防火墻在確保網(wǎng)絡(luò)的安全運(yùn)行上發(fā)揮著重要作用，如何讓防火墻發(fā)揮最大的作用是IT人員思考的問題。本文和大家分享自己在防火墻管理方面的一些經(jīng)驗(yàn)，希望能夠幫助到大家。

　　1、建立防火墻的安全策略

　　安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規(guī)范，以及哪些人擁有這些權(quán)力等信息。

　　(1).防火墻的設(shè)計策略

　　防火墻的設(shè)計策略足具體地針對防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來實(shí)施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險。防火墻一般執(zhí)行一下兩種基本策略中的一種：1)除非叫確不允許，否則允許某種服務(wù);2)除非明確允許，否則將禁止某項(xiàng)服務(wù)。

　　執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略(第一種)，也可以實(shí)施一種限制性策略(第二種)，這就是制定防火墻策略的入手點(diǎn)。

　　(2).網(wǎng)絡(luò)服務(wù)訪問策略

　　網(wǎng)絡(luò)服務(wù)訪問策略足一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)巾允許的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對撥號訪問以及PPP(點(diǎn)對點(diǎn)協(xié)議)連接的限制。這是因?yàn)閷σ环N網(wǎng)絡(luò)服務(wù)的限制可能會促使用戶使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。比如，如果一個防火墻阻止用戶使用Telnet服務(wù)訪問互聯(lián)網(wǎng)，一些人可能會使用撥號連接來獲得這些服務(wù)，這樣就可能會使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該足一個站點(diǎn)安全策略的延伸，而且對于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問到移動介質(zhì)的管理。

#p#副標(biāo)題#e#

　　2、非常重要的日常管理

　　日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要工作：數(shù)據(jù)備份、賬號管理、磁盤空間管理等。

　　(1).數(shù)據(jù)備份

　　一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動的備份系統(tǒng)為一般用途的機(jī)器做備份。當(dāng)這個系統(tǒng)正常做完備份之后，最好還能發(fā)送出一封確定信，而當(dāng)它發(fā)現(xiàn)錯誤的時候，也最好能產(chǎn)生一個明顯不同的信息。

　　為什么只足在錯誤發(fā)生的時候送出一封信就好了呢?如果這個系統(tǒng)只在有錯誤的時候產(chǎn)生一封信，或許就有可能不會注意到，這個系統(tǒng)根本就沒有運(yùn)作。那為什么需要明顯不同的信息呢?如果備份系統(tǒng)正常和執(zhí)行失敗時產(chǎn)生的信息很類似。那么習(xí)慣于忽略成功信息的人，也有可能會忽略失敗信息。理想的情況足有一個程序檢查備份有沒有執(zhí)行，并在備份沒有執(zhí)行的時候產(chǎn)生一個信息。

　　(2).賬號管理

　　賬號的管理。包括增加新賬號、刪除舊賬號及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確地增加新賬號、迅速地刪除舊賬號以及適時地變更密碼，絕對是一項(xiàng)非常重要的工作。

　　建立一個增加賬號的程序，盡量使用一個程序增加賬號。即使防火墻系統(tǒng)上沒有多少用戶，但每一個用戶都可能足一個危險。一般人都有一個毛病，就足漏掉一些步驟，或在過程中暫停幾天。如果這個空檔正好碰到某個賬號沒有密碼，入侵者就很容易進(jìn)來了。

　　賬號建立程序中一定要標(biāo)明賬號日期，以及每隔一階段就自動檢查賬號。雖然不需要自動關(guān)閉賬號，但是需要自動通知那些賬號超過期限的人。可能的話，設(shè)置一個自動系統(tǒng)監(jiān)控這些賬號。這可以在UNIX系統(tǒng)上產(chǎn)生賬號文件，然后傳送到其他的機(jī)器上，或者是在各臺機(jī)器上產(chǎn)生賬號，自動把這些賬號文件拷貝到UNIX上，再檢查它們。

　　(3).磁盤空間管理

　　數(shù)據(jù)總是會塞滿所有可用的空間，即使在幾乎沒有什么用戶的機(jī)器上也一樣。人們總是向文件系統(tǒng)的各個角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存劍文件系統(tǒng)的臨時地址中。這樣引起的問題可能常常會超出人們的想象。暫且不蛻可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事件的處理更復(fù)雜。有人可能會問：“那是上次安裝新版程序留下來的程序嗎?是入侵者放進(jìn)來的程序嗎?那真的是一個普通的數(shù)據(jù)文件嗎?是一些對入侵者有特殊意義的東西?”等等，不幸的是，沒有能自動找出這種“垃圾”的方法，尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此，最好有一個人定期檢查磁盤，如果讓每一個新

　　任的系統(tǒng)管理者部去遍歷磁盤會特別有效。他們將會發(fā)現(xiàn)管理員忽況的東西。

#p#副標(biāo)題#e#

　　3、必不可少的監(jiān)視系統(tǒng)

　　對防火墻的維護(hù)、監(jiān)視系統(tǒng)是維護(hù)防火墻的重點(diǎn)，它可以告訴系統(tǒng)管理者以下的問題：(1).防火墻已經(jīng)岌岌可危了嗎?(2).防火墻能提供用戶需求的服務(wù)嗎?(3).防火墻還在正常運(yùn)作嗎?(4).嘗試攻擊防火墻的足哪些類型的攻擊?要回答這幾個問題，首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。

　　(1).專用設(shè)備的監(jiān)視

　　雖然大部分的監(jiān)視工作部是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會覺得如果有一些專用的監(jiān)視設(shè)備會很方便。例如，可能需要在周圍網(wǎng)絡(luò)上放一個監(jiān)視站，以便確定通過的都足預(yù)料中的數(shù)據(jù)包。可以使用有網(wǎng)絡(luò)窺視軟件包的一般計算機(jī)，也可以使用特殊用途的網(wǎng)絡(luò)檢測器。

　　如何確定達(dá)一臺監(jiān)視機(jī)器不會被入侵者利用呢?事實(shí)上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)設(shè)備上，只要利用一些技術(shù)和一對斷線器(wire cutter)取消網(wǎng)絡(luò)接口的傳輸功能，就可以使這臺機(jī)器無法被檢測到，也很難被入侵者利用。如果有操作系統(tǒng)的原始程序，也可以從那里取淌傳輸功能，隨時停止傳輸。但是，在這種情況下，很難確認(rèn)操作是否已經(jīng)成功了。

　　(2).應(yīng)該監(jiān)視的內(nèi)容

　　理想的情況是，應(yīng)該知道通過防火墻的一切事情，包括每一條連接，以及每一個丟棄或接受的數(shù)據(jù)包。然而，實(shí)際的情況足很難做到的，折衷的辦法是，在不至于影響主機(jī)速度也不會太快填滿磁盤的情況下，盡量多做記錄，然后再為所產(chǎn)生的記錄整理出摘要。

　　在特殊情況下，要記錄好以下內(nèi)容：一是所有拋棄的包和被拒絕的連接;二足每一個成功的連接通過堡壘主機(jī)的時間、協(xié)議和用戶名，三是所有從路由器中發(fā)現(xiàn)的錯誤，堡壘主機(jī)和一些代理程序。

　　(3).監(jiān)視工作巾的一些經(jīng)驗(yàn)

　　應(yīng)該把可疑的事件劃分為幾類：一是知道事件發(fā)生的原因，而且這不足一個安全方面的問題，二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無論它是什么，它從末再出現(xiàn)過，三是有人試圖侵入，但問題并不嚴(yán)重，只是試探一下;四是有人事實(shí)上已經(jīng)侵入。

　　這些類別之間的界限比較含糊。要提供以上任何問題的詳細(xì)征兆是不可能的，但是下面這些歸納出的經(jīng)驗(yàn)可能會對網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn)：一是試圖訪問在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試連接);二是試圖利用普通賬戶登錄(如guest);三是請求FTP文件傳輸或傳輸NFS映射;四是給站點(diǎn)的SMTP發(fā)送debug命令。

　　如果網(wǎng)絡(luò)系統(tǒng)管理員見到以下任何情況，應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別足互聯(lián)網(wǎng)上的通用賬戶，二是目的不明的數(shù)據(jù)包命令，三足向某個范圍內(nèi)每個端口廣播的數(shù)據(jù)包;四是不明站點(diǎn)的成功登錄。

　　如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點(diǎn)：一是日志文件被刪除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶)，或者突然成為特權(quán)用戶的意外用戶;五是來自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。

　　4、務(wù)必保持最新狀態(tài)

　　保持防火墻的最新狀態(tài)也是維護(hù)和管理防火墻的一個重點(diǎn)。在這個侵襲與反侵襲的領(lǐng)域中，每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病，以新的方式進(jìn)行侵襲，同時，現(xiàn)有的工具也會不斷地被更新。因此，要使防火墑能同該領(lǐng)域的發(fā)展保持同步。

　　當(dāng)防火墻需要修補(bǔ)、升級一些東西，或增加新功能時，就必須投入較多的時間。當(dāng)然所花的時間長短視修補(bǔ)、升級、或增加新功能的復(fù)雜程度而定。如果開始時對站點(diǎn)需求估計得越準(zhǔn)確，防火墻的設(shè)計和建造做得越好，防火墻適應(yīng)這些改變所花的時間就越少。

　　綜合：防火墻能保護(hù)網(wǎng)絡(luò)的安全，但并不是絕對安全的，而足相對的。因此，我們要不斷地提高我們管理和維護(hù)的水平，去更好地保護(hù)我們的網(wǎng)絡(luò)。