防火墻在確保網(wǎng)絡(luò)的安全運(yùn)行上發(fā)揮著重要作用，如何讓防火墻發(fā)揮最大的作用是IT人員思考的問題。本文和大家分享自己在防火墻管理方面的一些經(jīng)驗(yàn)，希望能夠幫助到大家。

1、建立防火墻的安全策略

安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規(guī)范，以及哪些人擁有這些權(quán)力等信息。

(1)防火墻的設(shè)計(jì)策略

防火墻的設(shè)計(jì)策略足具體地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來實(shí)施網(wǎng)絡(luò)服務(wù)訪問策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險(xiǎn)。防火墻一般執(zhí)行一下兩種基本策略中的一種：1)除非叫確不允許，否則允許某種服務(wù);2)除非明確允許，否則將禁止某項(xiàng)服務(wù)。

執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略(第一種)，也可以實(shí)施一種限制性策略(第二種)，這就是制定防火墻策略的入手點(diǎn)。

(2)網(wǎng)絡(luò)服務(wù)訪問策略

網(wǎng)絡(luò)服務(wù)訪問策略足一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)巾允許的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對(duì)撥號(hào)訪問以及PPP(點(diǎn)對(duì)點(diǎn)協(xié)議)連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)服務(wù)的限制可能會(huì)促使用戶使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。比如，如果一個(gè)防火墻阻止用戶使用Telnet服務(wù)訪問互聯(lián)網(wǎng)，一些人可能會(huì)使用撥號(hào)連接來獲得這些服務(wù)，這樣就可能會(huì)使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該足一個(gè)站點(diǎn)安全策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問到移動(dòng)介質(zhì)的管理。

#p#

2、非常重要的日常管理

日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要工作：數(shù)據(jù)備份、賬號(hào)管理、磁盤空間管理等。

(1)數(shù)據(jù)備份

一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動(dòng)的備份系統(tǒng)為一般用途的機(jī)器做備份。當(dāng)這個(gè)系統(tǒng)正常做完備份之后，最好還能發(fā)送出一封確定信，而當(dāng)它發(fā)現(xiàn)錯(cuò)誤的時(shí)候，也最好能產(chǎn)生一個(gè)明顯不同的信息。

為什么只足在錯(cuò)誤發(fā)生的時(shí)候送出一封信就好了呢?如果這個(gè)系統(tǒng)只在有錯(cuò)誤的時(shí)候產(chǎn)生一封信，或許就有可能不會(huì)注意到，這個(gè)系統(tǒng)根本就沒有運(yùn)作。那為什么需要明顯不同的信息呢?如果備份系統(tǒng)正常和執(zhí)行失敗時(shí)產(chǎn)生的信息很類似。那么習(xí)慣于忽略成功信息的人，也有可能會(huì)忽略失敗信息。理想的情況足有一個(gè)程序檢查備份有沒有執(zhí)行，并在備份沒有執(zhí)行的時(shí)候產(chǎn)生一個(gè)信息。

(2)賬號(hào)管理

賬號(hào)的管理。包括增加新賬號(hào)、刪除舊賬號(hào)及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確地增加新賬號(hào)、迅速地刪除舊賬號(hào)以及適時(shí)地變更密碼，絕對(duì)是一項(xiàng)非常重要的工作。

建立一個(gè)增加賬號(hào)的程序，盡量使用一個(gè)程序增加賬號(hào)。即使防火墻系統(tǒng)上沒有多少用戶，但每一個(gè)用戶都可能足一個(gè)危險(xiǎn)。一般人都有一個(gè)毛病，就足漏掉一些步驟，或在過程中暫停幾天。如果這個(gè)空檔正好碰到某個(gè)賬號(hào)沒有密碼，入侵者就很容易進(jìn)來了。

賬號(hào)建立程序中一定要標(biāo)明賬號(hào)日期，以及每隔一階段就自動(dòng)檢查賬號(hào)。雖然不需要自動(dòng)關(guān)閉賬號(hào)，但是需要自動(dòng)通知那些賬號(hào)超過期限的人?？赡艿脑?，設(shè)置一個(gè)自動(dòng)系統(tǒng)監(jiān)控這些賬號(hào)。這可以在UNIX系統(tǒng)上產(chǎn)生賬號(hào)文件，然后傳送到其他的機(jī)器上，或者是在各臺(tái)機(jī)器上產(chǎn)生賬號(hào)，自動(dòng)把這些賬號(hào)文件拷貝到UNIX上，再檢查它們。

(3)磁盤空間管理

數(shù)據(jù)總是會(huì)塞滿所有可用的空間，即使在幾乎沒有什么用戶的機(jī)器上也一樣。人們總是向文件系統(tǒng)的各個(gè)角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存劍文件系統(tǒng)的臨時(shí)地址中。這樣引起的問題可能常常會(huì)超出人們的想象。暫且不蛻可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事件的處理更復(fù)雜。有人可能會(huì)問：“那是上次安裝新版程序留下來的程序嗎?是入侵者放進(jìn)來的程序嗎?那真的是一個(gè)普通的數(shù)據(jù)文件嗎?是一些對(duì)入侵者有特殊意義的東西?”等等，不幸的是，沒有能自動(dòng)找出這種“垃圾”的方法，尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此，最好有一個(gè)人定期檢查磁盤，如果讓每一個(gè)新任的系統(tǒng)管理者部去遍歷磁盤會(huì)特別有效。他們將會(huì)發(fā)現(xiàn)管理員忽況的東西。

#p#

3、必不可少的監(jiān)視系統(tǒng)

對(duì)防火墻的維護(hù)、監(jiān)視系統(tǒng)是維護(hù)防火墻的重點(diǎn)，它可以告訴系統(tǒng)管理者以下的問題：(1).防火墻已經(jīng)岌岌可危了嗎?(2).防火墻能提供用戶需求的服務(wù)嗎?(3).防火墻還在正常運(yùn)作嗎?(4).嘗試攻擊防火墻的足哪些類型的攻擊?要回答這幾個(gè)問題，首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。

(1)專用設(shè)備的監(jiān)視

雖然大部分的監(jiān)視工作部是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會(huì)覺得如果有一些專用的監(jiān)視設(shè)備會(huì)很方便。例如，可能需要在周圍網(wǎng)絡(luò)上放一個(gè)監(jiān)視站，以便確定通過的都足預(yù)料中的數(shù)據(jù)包?？梢允褂糜芯W(wǎng)絡(luò)窺視軟件包的一般計(jì)算機(jī)，也可以使用特殊用途的網(wǎng)絡(luò)檢測(cè)器。

　如何確定達(dá)一臺(tái)監(jiān)視機(jī)器不會(huì)被入侵者利用呢?事實(shí)上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)設(shè)備上，只要利用一些技術(shù)和一對(duì)斷線器(wire cutter)取消網(wǎng)絡(luò)接口的傳輸功能，就可以使這臺(tái)機(jī)器無法被檢測(cè)到，也很難被入侵者利用。如果有操作系統(tǒng)的原始程序，也可以從那里取淌傳輸功能，隨時(shí)停止傳輸。但是，在這種情況下，很難確認(rèn)操作是否已經(jīng)成功了。

(2)應(yīng)該監(jiān)視的內(nèi)容

理想的情況是，應(yīng)該知道通過防火墻的一切事情，包括每一條連接，以及每一個(gè)丟棄或接受的數(shù)據(jù)包。然而，實(shí)際的情況足很難做到的，折衷的辦法是，在不至于影響主機(jī)速度也不會(huì)太快填滿磁盤的情況下，盡量多做記錄，然后再為所產(chǎn)生的記錄整理出摘要。

在特殊情況下，要記錄好以下內(nèi)容：一是所有拋棄的包和被拒絕的連接;二足每一個(gè)成功的連接通過堡壘主機(jī)的時(shí)間、協(xié)議和用戶名，三是所有從路由器中發(fā)現(xiàn)的錯(cuò)誤，堡壘主機(jī)和一些代理程序。

(3)監(jiān)視工作巾的一些經(jīng)驗(yàn)

應(yīng)該把可疑的事件劃分為幾類：一是知道事件發(fā)生的原因，而且這不足一個(gè)安全方面的問題，二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無論它是什么，它從末再出現(xiàn)過，三是有人試圖侵入，但問題并不嚴(yán)重，只是試探一下;四是有人事實(shí)上已經(jīng)侵入。

這些類別之間的界限比較含糊。要提供以上任何問題的詳細(xì)征兆是不可能的，但是下面這些歸納出的經(jīng)驗(yàn)可能會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn)：一是試圖訪問在不安全的端口上提供的服務(wù)(如企圖與端口映射或者調(diào)試連接);二是試圖利用普通賬戶登錄(如guest);三是請(qǐng)求FTP文件傳輸或傳輸NFS映射;四是給站點(diǎn)的SMTP發(fā)送debug命令。

如果網(wǎng)絡(luò)系統(tǒng)管理員見到以下任何情況，應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別足互聯(lián)網(wǎng)上的通用賬戶，二是目的不明的數(shù)據(jù)包命令，三足向某個(gè)范圍內(nèi)每個(gè)端口廣播的數(shù)據(jù)包;四是不明站點(diǎn)的成功登錄。

如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點(diǎn)：一是日志文件被刪除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡;四是特權(quán)用戶的意外登錄(例如root用戶)，或者突然成為特權(quán)用戶的意外用戶;五是來自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序;六是登錄提示信息發(fā)生了改變。

4、務(wù)必保持最新狀態(tài)

保持防火墻的最新狀態(tài)也是維護(hù)和管理防火墻的一個(gè)重點(diǎn)。在這個(gè)侵襲與反侵襲的領(lǐng)域中，每天都產(chǎn)生新的事物、發(fā)現(xiàn)新的毛病，以新的方式進(jìn)行侵襲，同時(shí)，現(xiàn)有的工具也會(huì)不斷地被更新。因此，要使防火墑能同該領(lǐng)域的發(fā)展保持同步。

當(dāng)防火墻需要修補(bǔ)、升級(jí)一些東西，或增加新功能時(shí)，就必須投入較多的時(shí)間。當(dāng)然所花的時(shí)間長(zhǎng)短視修補(bǔ)、升級(jí)、或增加新功能的復(fù)雜程度而定。如果開始時(shí)對(duì)站點(diǎn)需求估計(jì)得越準(zhǔn)確，防火墻的設(shè)計(jì)和建造做得越好，防火墻適應(yīng)這些改變所花的時(shí)間就越少。

綜合：防火墻能保護(hù)網(wǎng)絡(luò)的安全，但并不是絕對(duì)安全的，而足相對(duì)的。因此，我們要不斷地提高我們管理和維護(hù)的水平，去更好地保護(hù)我們的網(wǎng)絡(luò)。

【編輯推薦】

1. Gartner報(bào)告:Juniper在網(wǎng)絡(luò)防火墻供應(yīng)商中位列領(lǐng)先
2. 企業(yè)級(jí)主機(jī)防火墻完善你的終端安全管理
3. 新技術(shù)讓防火墻成為網(wǎng)絡(luò)防御的主要力量