一、選擇合適的層面導出配置文件

　　在Forefront中，備份與還原功能非常的靈活，管理員可以在多個層面導出配置文件。如管理員可以根據(jù)需要，對整個防火墻策略進行備份或者還原。還可以備份單個規(guī)則或者單個網(wǎng)絡對象等等。這種靈活的機制對于我們后續(xù)的維護非常有幫助。

　　二、備份文件與證書文件的匹配性

　　最后需要特別強調(diào)一點，就是備份文件與證書文件的匹配性。因為在還原配置文件的時候，如果將備份文件導入到具有不同證書的Forefront服務器上的話，這微軟的防火墻服務將無法啟動。所以在導出Forefront整個配置文件的時候，還需要同時將管理員證書也導出。因為重新部署服務器之后，即使采用的是相同的管理員用戶名，其用戶的證書也是不同的。也就是說，相同的用戶名具有相同的證書的幾率幾乎為0。

　　三、最好將普通信息與機密信息分開備份

　　在執(zhí)行備份作業(yè)時，用戶可以選擇在導出常規(guī)配置信息的同時，也導出用戶權(quán)限設置、管理員帳戶與密碼等機密信息。不過筆者并不建議這么做。因為機密信息與常規(guī)配置信息的安全要求是不同的。在機密信息中，含有管理員用戶的帳號與密碼、遠程身份驗證撥號用戶服務共享機密和預共享協(xié)議安全密鑰等機密信息。對于這些信息往往需要采用額外的安全機制，如采用高強度的密碼或者放入到NTFS文件系統(tǒng)保存。而對于普通的配置信息，這安全等級沒有這么高。有時候為了操作的方便，往往只給其設定一個簡單的密碼、甚至不設置密碼，而只將其利用NTFS文件系統(tǒng)進行加密處理即可。

　　四、備份與還原操作的一些權(quán)限限制

　　備份與還原作業(yè)對于Forefront的安全非常重要。為此對于這個作業(yè)進行權(quán)限的限制就非常關鍵了。默認情況下，F(xiàn)orefront系統(tǒng)就對這些作業(yè)進行了權(quán)限的限制。管理員需要了解這些限制，并且在必要的時候?qū)ζ溥M行適當?shù)恼{(diào)整。企業(yè)級配置根據(jù)其內(nèi)容機密程度的不同，可以分為兩類：機密級信息與普通信息。對于普通信息來說，必須要由Forefront企業(yè)管理員或者企業(yè)審核員才能夠進行備份和還原企業(yè)級的配置。但是如果對于企業(yè)級別的機密信息，如管理員帳戶與密碼，企業(yè)審核員權(quán)限還無法操作，必須是企業(yè)管理員才可以。另外，如果企業(yè)規(guī)模比較大，則可能采用的時陣列的配置。此時對于這個作業(yè)的權(quán)限就有更高的要求。單個服務器的管理員還不能夠進行這個備份與還原的作業(yè)。只有陣列管理員才可以道出陣列級別的機密信息。