我们的客户群体中有大量Fortinet客户，在日常网络运维中，经常被客户问：怎么定时自动备份防火墙的配置？以防万一，在设备损坏或者做了配置更改影响到业务需要回退配置。
如果没有集中管理平台FortiManager，我们通常是通过远程登录防火墙，一台一台手动进行备份，效率很低。

本文通过分享3种自动化备份配置的方法，希望能够帮助我们的客户提高运维工作效率，避免在突发情况下找不到配置。

方法1

通过Python脚本使用RestAPI定时自动备份配置

【1】在系统管理-->管理员，创建REST API管理员，可以为管理员账号启用“信任主机”只允许指定IP访问

【2】创建Python 脚本

【3】执行脚本，验证配置

备份成功

【4】使用Crontab定时执行Python脚本，这个大家就比较熟悉了！

01

方法2

通过Python脚本使用SCP方式定时自动备份配置

SCP（安全拷贝协议）用于文件安全复制，基于SSH登录，FortiGate 支持SCP，可以通过SCP客户端从FortiGate下载配置文件，本方法介绍如果通过Python脚本使用SCP协议自动备份FortiGate 配置文件。

【1】在FortiGate 防火墙启用SCP

【2】在接口启用SSH访问

【3】确认SSH端口，默认为22，本示例为11222

【4】创建防火墙管理员，可以为管理员账号启用“信任主机”只允许指定IP访问

【5】创建Python脚本

【6】执行脚本，验证配置

【7】使用Crontab定时执行Python脚本

02

方法3

通过FortiGate automation自动备份配置到tftp Server

【1】Security  Fabric-->Automation-->创建“Action”CLI脚本 Auto_Backup

【2】Security Fabric-->Automation-->创“Trigger”

【3】Security Fabric-->Automation-->创建“Stitch”当更改配置的管理员登出后，自动触发执行脚本Auto_Backup

【4】启用TFTP Server

【5】任意改变防火墙配置，Logout触发自动化工作流，验证结果

03

以上三种备份方法，虽然是以Fortinet防火墙为例，但其他厂商也是大同小异，如果有多台防火墙或者网络设备，可以把IP写在一个文本文件或者Excel里面，用for循环的方式迭代。
 
注意：方法一、方法二都是在脚本中以明文方式填写key或用户名、密码，日常工作一定要注意特权账号安全；可以为管理员设置可信主机，只允许特定的IP可以访问，有条件的用户可以尝试让脚本和CyberArk集成，来保护特权账号安全。