Sin backup = sin recuperación
Un FortiGate sin backup reciente puede significar horas o días de reconfiguración en caso de fallo. Implementa backups automáticos HOY.
Índice de contenidos
1Backup Manual
Por GUI (método más común)
- Accede a la GUI de FortiGate
- Ve a System → Backup (o Dashboard → Settings en versiones antiguas)
- Selecciona "Local PC" como destino
- Opcionalmente, activa "Encryption" y establece contraseña
- Click en "Backup"
- Se descargará un archivo .conf
Recomendación: Siempre usa cifrado para backups que contengan información sensible (claves VPN, contraseñas de usuarios locales).
Por CLI
# Backup a TFTP execute backup config tftp <filename> <tftp-server-ip> # Backup a FTP execute backup config ftp <filename> <ftp-server-ip> <username> <password> # Backup a USB (si tiene puerto USB) execute backup config usb <filename> # Ver la configuración actual (para copiar manualmente) show full-configuration
Backup con cifrado por CLI
# Backup cifrado a FTP execute backup config ftp <filename> <ftp-server> <user> <password> <crypto-password>
2Backup Automático
Configura backups automáticos para no depender de acciones manuales:
Opción 1: FortiCloud (más fácil)
- Ve a Security Fabric → Settings
- Activa FortiCloud y registra el dispositivo
- Habilita "Configuration Backup"
- Los backups se guardan automáticamente en la nube de Fortinet
Opción 2: Automation Stitch (avanzado)
Crea un backup automático cuando se guarda la configuración:
# Crear automation trigger
config system automation-trigger
edit "config-change"
set event-type config-change
next
end
# Crear automation action
config system automation-action
edit "backup-to-ftp"
set action-type cli-script
set script "execute backup config ftp backup-$(date +%Y%m%d).conf ftp.miempresa.com usuario password"
next
end
# Crear automation stitch
config system automation-stitch
edit "auto-backup-on-change"
set trigger "config-change"
config actions
edit 1
set action "backup-to-ftp"
set delay 60
next
end
next
endOpción 3: Script programado externo
Usa un script desde un servidor externo que haga backup vía SSH/API:
#!/bin/bash # backup-fortigate.sh DATE=$(date +%Y%m%d) FORTIGATE_IP="192.168.1.1" BACKUP_DIR="/backups/fortigate" # Backup via SSH ssh admin@$FORTIGATE_IP "execute backup config ftp backup-$DATE.conf ftp.server.com user pass" # O usar FortiGate API REST curl -k -X GET "https://$FORTIGATE_IP/api/v2/monitor/system/config/backup?scope=global" \ -H "Authorization: Bearer <api-token>" \ -o "$BACKUP_DIR/backup-$DATE.conf"
3Restaurar Configuración
Precaución: Restaurar sobrescribe TODA la configuración actual. Asegúrate de tener acceso físico al FortiGate por si la restauración falla.
Restaurar por GUI
- Ve a System → Backup
- En la sección "Restore", selecciona "Local PC"
- Click en "Upload" y selecciona el archivo .conf
- Si está cifrado, introduce la contraseña
- Click en "Restore"
- El FortiGate se reiniciará automáticamente
Restaurar por CLI
# Restaurar desde TFTP execute restore config tftp <filename> <tftp-server-ip> # Restaurar desde FTP execute restore config ftp <filename> <ftp-server-ip> <username> <password> # Restaurar desde USB execute restore config usb <filename> # Restaurar archivo cifrado (añadir contraseña al final) execute restore config ftp backup.conf ftp.server.com user pass crypto-password
Restaurar en equipo nuevo (factory reset)
- Conecta por consola serie al nuevo FortiGate
- Configura IP temporal en la interfaz de gestión
- Sube el backup via GUI o CLI
- El equipo adoptará la configuración del backup
4Backup de Firmware
Además de la configuración, guarda también el firmware para restauración completa:
Descargar firmware actual
# Ver versión actual get system status # Backup de imagen de firmware a TFTP execute backup image tftp <filename.out> <tftp-server-ip>
También puedes descargar firmwares desde support.fortinet.com con tu cuenta de soporte.
5Mejores Prácticas
✓ Hacer
- Backup antes de cada cambio importante
- Backup automático diario
- Usar cifrado con contraseña fuerte
- Guardar en múltiples ubicaciones
- Retener últimas 5-10 versiones
- Probar restauración periódicamente
- Documentar contraseñas de cifrado
✗ Evitar
- Guardar solo en el PC del admin
- Backups sin cifrar en ubicación insegura
- Olvidar contraseña de cifrado
- No probar nunca la restauración
- Sobrescribir siempre el mismo archivo
- Confiar solo en backups manuales
Estrategia de retención recomendada
- Diario: Últimos 7 días
- Semanal: Últimas 4 semanas
- Mensual: Últimos 12 meses
- Pre-cambios: Antes de cada actualización o cambio mayor
Preguntas Frecuentes
¿El backup incluye certificados y claves privadas?
Por defecto no. Para incluir certificados y claves privadas en el backup, debes usar la opción "Encryption" y establecer una contraseña. Sin cifrado, los backups excluyen información sensible como claves privadas de VPN.
¿Puedo restaurar un backup en un FortiGate diferente?
Sí, con limitaciones. Puedes restaurar en el mismo modelo o uno superior. Las interfaces deben coincidir o ajustarse manualmente. No puedes restaurar en un modelo inferior o con menos interfaces.
¿Cada cuánto debo hacer backup?
Recomendamos: backup después de cada cambio significativo, backup automático diario a servidor externo, y backup manual antes de cualquier actualización de firmware. Retén al menos las últimas 5 versiones.
¿Qué pasa si olvido la contraseña de un backup cifrado?
No hay forma de recuperar un backup cifrado sin la contraseña. Por eso es crítico documentar las contraseñas de backup en un lugar seguro (gestor de contraseñas empresarial). Sin la contraseña, el backup es inútil.
¿Necesitas ayuda con backups?
Podemos configurar una estrategia de backup automatizada y robusta para tu infraestructura FortiGate.
Consultar Servicio de Gestión