导出配置时，防火墙管理中心 也会导出其他必需的配置。例如，导出访问控制策略也会导出该策略调用的任何子策略、该策略使用的对象和对象组、祖先策略等等。又例如，如果导出启用了外部身份验证的平台设置策略，则也会导出身份验证对象。

但是，也有一些例外：

• 系统提供的数据库和源 - 防火墙管理中心 不会导出 URL 过滤类别和信誉数据、思科情报源数据或地理位置数据库 (GeoDB)。每个 防火墙管理中心 都需要从思科获取最新信息。

• 全局安全情报列表 - 防火墙管理中心 会导出与导出的配置关联的全局安全情报阻止列表和 不阻止 列表。导入过程将这些名单转换为用户创建的列表，然后将这些新列表用于导入的配置中。这可确保导入的列表不会与现有全局阻止和 不阻止 名单发生冲突。要在导入 防火墙管理中心 时使用全局列表，请将这些列表手动添加到导入的配置中。

• 入侵策略共享层 - 导出过程会中断入侵策略共享层。以前共享的层包含在数据包中，而导入的入侵策略不包含共享层。

• 入侵策略默认变量集 - 导出数据包包含一个默认变量集，此变量集包含自定义变量及带用户定义值的系统提供的变量。导入过程会使用导入的值更新导入 防火墙管理中心上的默认变量集。但是，导入过程不会删除不存在于导出数据包中的自定义变量。对于在导出数据包中未设置的值，导入过程也不会恢复导入 防火墙管理中心上的用户定义值。因此，如果导入 防火墙管理中心具有配置不同的默认变量，则导入的入侵策略的行为可能会与预期大不相同。

• 自定义用户对象 - 如果您在 防火墙管理中心中创建了自定义用户组或对象，并且此类自定义用户对象是访问控制策略中任何规则的一部分，那么请注意，导出文件 (.sfo) 不会包含用户对象信息（包括用户领域），因此在导入此类策略时，对此类自定义用户对象的任何引用都将被删除，不会导入到目标 防火墙管理中心。为了避免由于缺少用户组而引起的检测问题，请手动将自定义的用户对象添加到新的 防火墙管理中心，并在导入后重新配置访问控制策略。

默认解析行为

当您尝试导入配置时，防火墙管理中心会判断是否已存在同名同类型的配置。当导入包含重复配置时，防火墙管理中心会提供以下解决选项：

• 保持现有配置 (Keep existing)

  防火墙管理中心不会导入该配置。

• 替换现有配置 (Replace existing)

  防火墙管理中心会用所选导入配置覆盖当前配置。如果重复项位于祖先域或后代域中，则此选项不可用。

• 保留最新配置 (Keep newest)

  仅当所选配置的时间戳比当前配置的时间戳更新时，防火墙管理中心才会导入该配置。如果重复项位于祖先域或后代域中，则此选项不可用。

  注	如果导入包含 Microsoft Active Directory 用户和组的配置 我们强烈建议您在导入后下载所有用户和组，以避免出现访问控制策略和其他策略 解密策略中的问题。（集成 > 身份 > 领域 > 领域，然后点击 立即下载 （）（立即下载）。

• 导入为新配置 (Import as new)

  防火墙管理中心会导入所选重复配置，并在名称后附加系统生成的编号以确保其唯一性。（可以在完成导入过程之前更改此名称。）设备上的原始配置保持不变。

注	如果修改了防火墙管理中心上的已导入配置，然后将该配置重新导入到同一防火墙管理中心，则必须选择要保留的配置版本。

文件列表解析行为

当您导入包含文件策略（该文件策略使用干净检测文件列表或自定义检测文件列表）的访问控制策略，且文件列表出现名称重复冲突时，防火墙管理中心会提供上述冲突解决选项，但对策略和文件列表执行的操作如下表所示：