配置和版本控制

这一部分包括下列内容:

版本控制工具具有保存、跟踪改动安全策略的能力,是管理防火墙配置的一个重要工具。安全管理员需要了解所做的改动,改动时间以及改动的人员。

为了协助管理员完成这些工作,阿姆瑞特防火墙提供了全面的版本控制系统,它是管理系统和防火墙内核不可分割的一部分。

阿姆瑞特防火墙的版本控制

姆瑞特防火墙中的版本控制设计是为了跟踪对防火墙所做的所有实际改动。这样,不仅防火墙规则集,而且整个防火墙的配置都处在严格的版本控制之下。

这意味着无论什么时候修改防火墙的配置,实际修改与进行修改的管理员的用户名被一同记录下来。而且,当前日期,时间和选择的版本都被存储起来。此设计允许管理员跟踪当时指定的任何版本,并将该配置应用到运行的防火墙上,知道防火墙确实在以首次创建的配置方式操作。

版本控制系统主要具有两个特性:在管理数据库中保存有多个配置版本,安全编辑器里的签入和签出配置的概念。这一部分将集中讲述版本控制系统的工作方式。关于配置版本是如何储存的具体说明,请查看管理数据源

注意:为了安全起见,版本控制系统从一开始就被启用,并且不能被禁止。需要考虑对防火墙配置所做的所有改动。这意味着了解版本控制概念对正确管理阿姆瑞特防火墙是非常重要的。

配置版本

理数据库中防火墙配置的每个版本都有一个版本号,首次创建配置时的索引设置为1。每次更改配置会生成一个新版本,版本号依次增加1。依次类推,最近的配置版本总有最大的版本号。

全编辑器防火墙列表的数据库配置文件栏显示每次配置的最高版本。通常,数据库里的最高版本就是安全编辑器正在使用的配置版本。但是有的情况并非如此。请在获取最新版本部分查看这些情况的更多信息。

内核配置文件版本栏显示防火墙内核当前使用的版本。如果版本号与数据库配置文件的版本号相符,防火墙内核使用的就是最新配置。

签入和签出的概念

使用版本控制系统经常被描述为“签入和签出”的概念。这个词指管理员为了配置防火墙对安全编辑器进行的操作。在安全编辑器编辑菜单的版本控制子菜单可获取所有与版本控制有关的命令。也可用工具条命令,热键,或通过点击安全编辑器树状查看栏的上下文菜单获取这些命令。

下图是对“签入和签出”概念的解释。

签出配置

论管理员何时希望开始修改配置,都需要先签出配置。首先在安全编辑器中选择需要修改的实际防火墙或命名空间,然后在版本控制子菜单选择签出,或按Ctrl+O。

树状查看栏图标前面的小红点指示已被检查的防火墙或命名空间。进行检查操作的管理员是现在唯一能够改写配置的人员。只要配置处于“检查”状态,其他管理站检查该配置的尝试都将失败。这样能够防止两个管理员偶然同时修改同一个配置的情况。

检查为可恢复操作,表明如果命名空间的配置正在接受检查,而且该命名空间的 自动配置继承 的选项是激活的,那么将对下面的所有配置进行检查,原因是命名空间配置的修改会影响下面已有命名空间的配置。

安全编辑器查看名称冲突的情况。当检查含有冲突名称的配置时,就出现一个电话框解决这些冲突的名称。更多信息,请参看名称冲突部分。

在有多个管理员的情况下,妥善的做法是在不必要时不应让配置处于“签出”模式。

签入一个配置文件

对配置进行所有必要修改时,管理员需实施签入操作以便把更改存入数据库。签入操作把配置的新版本保存在管理数据库,并将模式改为“签入”,表明配置又变为只读状态。

要签入配置,首先选择应该签入的实际防火墙或命名空间,然后在 版本控制 子菜单选择 签入,或按Ctrl+I

于是出现如图所示的对话框。

 

 

 

 

用户名 字段包含微软Windows缺省用户名,是登录的实施进入操作的管理员。版本注释 编辑框可以用于书写对配置所做修改的简短说明。点击OK继续进入操作,或Cancel取消,使配置处于“签出”模式。

防火墙列表的 数据库配置文件版本 栏现在显示新的版本号。由于现在 数据库配置文件版本 版本比 内核版本 版本高,因此,安全编辑器将通知管理员将新配置加载到防火墙上。防火墙列表 状态 栏出现的“需要部署配置”会对此做出提示。关于防火墙通讯的更多信息,请参考 远程管理

签入为可撤消操作,表明如果正在进入命名空间的配置,同时检查下面的配置,签入操作也就会检查所有下面的配置。

 

 

取消签出操作

可以对撤消对配置所做的全部改动。首先选择实际的防火墙或命名空间,然后在 版本控制 子菜单选择取消签出,或按Ctrl+U,将删除自对最新签出以来所做的所有改动。

 

 

打开以前的配置文件版本

管理员能够打开任何一个以前的配置版本。打开早期配置版本时,将会自动接受检查进行编辑。如果管理员改动打开并进入的配置,则不会取代原有配置。相反,一个新配置将产生,并成为管理数据库里最新的版本。

打开以前检查的配置版本,先选择实际防火墙或高可靠性集群,然后在 版本控制 子菜单选择 打开指定版本

 

 

 

出现如下所示的对话框。

对话框列出从第一个配置开始的所有签入过的配置版本。除版本号外,还显示每个版本的用户名,日期和版本说明。选择要打开的版本,点击 打开 。所选配置版本经安全编辑器阅读后,自动接受检查。

取得最近的版本

通常,安全编辑器使用数据库里最高版本进行配置。但是,当阿姆瑞特防火墙用在多管理员环境下时,情况则不相同。想象一下,两个管理员Alice和Bob都在不同的工作站使用阿姆瑞特防火墙管理器,但连接到了同一个管理数据库。除其他防火墙外,数据库还包括一个叫做Paris的防火墙。该防火墙已经过了多次配置改动,比如说现在最高的配置版本号为42。Alice和Bob防火墙管理器里的安全编辑器报告的正确 数据库配置文件版本 版本都是42。

现在Alice决定对Paris防火墙进行一些改动。她对防火墙进行检查,修改后再进入。Alice的安全编辑器现在报告 数据库配置文件版本 版本是43,需要进行配置。

现在Bob安全编辑器里的Paris配置会怎样呢?实际上,什么也没发生。如果Bob查看Paris防火墙的配置,就无法发现Alice所做的改动。因为他看到的仍然是42的配置。但是,数据库配置文件版本 栏却报告最新版本是43。为了让Bob知道Alice已经更新了配置,Paris防火墙的图标会出现一个信息标志,状态 栏显示一下文字:数据库已存在最新的配置版本。

现在Bob能够在 版本控制 子菜单选择 取得最新版本 。正在安全编辑器将读取数据库里的最新版本,取代当前版本。