防火墻管理與維護(hù)資料

1、網(wǎng)絡(luò)安全是一個(gè)不容忽視的 問題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開 放帶來(lái)的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵 者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些 中間系統(tǒng)就是防火墻(FirewallFirewall )技術(shù)。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽 網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來(lái) 實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。我們?cè)谑褂梅阑饓Φ耐瑫r(shí)，對(duì)性能、技術(shù)指標(biāo)和用戶

2、需求進(jìn)行分析。包過(guò)濾防火墻技術(shù)的特點(diǎn)是簡(jiǎn)單 實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。目錄刖 言 .目錄 .摘？要?:.Abstract: .第一章防火墻的概述及其分類 .1.1?概述 .1.2防火墻的分類 .第二章？防火墻的作用、特點(diǎn)及優(yōu)缺點(diǎn) .2.1防火墻的作用 .2.2?防火墻的特點(diǎn) .2.3?防火墻的優(yōu)勢(shì)和存在的不足 .第三章 防火墻的管理與維護(hù) .3.1?建立防火墻的安全策略 .3.2?日常管理 .3.3?監(jiān)視系統(tǒng) .3.4?保持最新狀態(tài) .結(jié)束語(yǔ) .致謝 .參考文獻(xiàn) .摘？要? ?:本文從介紹防火墻的基本概念、分類以及特點(diǎn)入手，探討

3、防火墻維護(hù)與管理的方法、技術(shù)的發(fā)展趨勢(shì)。為了保障網(wǎng)絡(luò)安全，當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵 者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中 間系統(tǒng)就是防火墻(Firewall)(Firewall)技術(shù)。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi) 部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來(lái)實(shí)現(xiàn)內(nèi)部 網(wǎng)絡(luò)的安全運(yùn)行?！娟P(guān)鍵字】：園區(qū)網(wǎng)；防火墻；管理與維護(hù)AbstractAbstract： This article from the firewall

4、 to introduce the basic concepts, classification and characteristics start to explore the firewall maintenance and man ageme nt methods, tech no logy tren ds. In order to protect the security of the network, when the parknetwork to connect with the outside network, in the middleof adding one or more

5、 intermediaries, to prevent illegal intruders through the n etwork attacks, un authorized access and provide data reliability, i ntegrity and con fide ntiality, and so on The review of security and con trol, i n the middle of these systems is a firewall (Firewall) tech no logy. Through its mon itori

6、 ng, limit, modify the data stream across a firewall, as far as possible to shield the networks in ternal structure and operati on of in formatio n to preve nt un authorized users outside the n etwork attacks, as well as visits to block the virus inv asi on, in order to achieve internal n etwork The

7、 safe operatio n.【Keyword : campus network ； firewall ； Operations, Administrationand Maintenance因此，防火墻通常使用在一第一章防火墻的概述及其分類網(wǎng)絡(luò)安全的重要性越來(lái)越引起網(wǎng)民們的注意，大大小小的單位紛紛為自己的內(nèi)部網(wǎng)絡(luò)筑墻、防病毒與防黑客成為確保單位信息系統(tǒng)安全的基本手段。防火墻是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備，是處于不同網(wǎng)絡(luò)（如可信任的局域內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一岀入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、監(jiān)測(cè)）岀入網(wǎng)絡(luò)

8、的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)， 實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。1.1?1.1?概述在邏輯上，防火墻其實(shí)是一個(gè)分析器，是一個(gè)分離器，同時(shí)也是一個(gè)限制器，它有效地監(jiān)控了內(nèi)部網(wǎng)間或InIn terter netnet之間的任何活動(dòng)，保證了局域網(wǎng)內(nèi)部的安全。1.1.1什么是防火墻古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了InIn terter netnet上面，它的用戶就可以訪問外部世界并與之通信。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的關(guān)卡， 它的作用與古時(shí)候的

9、防火磚墻有類似之處，因此就把這個(gè)屏障叫做防火墻”防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過(guò)硬件芯片監(jiān)測(cè)；也可以是軟件型的，其實(shí)硬件型也就是芯片里固化了UNIXUNIX系統(tǒng)軟件，只是它不占用計(jì)算機(jī)CPUCPU的處理時(shí)間，但價(jià)格非常高，對(duì)于個(gè)人用戶來(lái)說(shuō)軟件型更加方便實(shí)在。1.1.2防火墻的功能防火墻只是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。它的目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的訪問安全。它的主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其它不允許的連接。其主體功能可 以歸納為如下幾點(diǎn)：根據(jù)應(yīng)用程序訪問規(guī)則可對(duì)應(yīng)用程序聯(lián)網(wǎng)動(dòng)作進(jìn)行過(guò)濾；對(duì)應(yīng)用程序訪問規(guī)則具有 學(xué)習(xí)功能；可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)；具有日志，以記錄網(wǎng)絡(luò)

10、訪問動(dòng)作的詳細(xì)信息；被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶報(bào)警提示。1.1.3防火墻的使用由于防火墻的目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊。個(gè)被認(rèn)為是安全和可信的園區(qū)網(wǎng)與一個(gè)被認(rèn)為是不安全與不可信的網(wǎng)絡(luò)之間，阻止別人通過(guò)不安全與不可信的網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的攻擊，限制非法用戶訪問本網(wǎng)絡(luò)，最大限度地減少損失。1.21.2防火墻的分類市場(chǎng)上的硬件防火墻產(chǎn)品非常之多，分類的標(biāo)準(zhǔn)比較雜，從技術(shù)上通常將其分為 包過(guò)濾型代理型”和監(jiān)測(cè)型”等類型。1.2.1 包過(guò)濾型包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以 包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)

11、據(jù)包中都會(huì)包含一些 特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDPTCP/UDP（傳輸控制協(xié)議/ /用戶數(shù)據(jù)報(bào)協(xié)議）源端口和目標(biāo)端口等。1.2.2代理型代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶機(jī)需要 使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的 數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。1.2.3監(jiān)測(cè)型監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，這一技術(shù)

12、實(shí)際上已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防 火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火 墻能夠有效地判斷岀各層中的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊， 同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。第二章？防火墻的作用、特點(diǎn)及優(yōu)缺點(diǎn)防火墻通常使用在一個(gè)可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間，阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)局域網(wǎng)的威脅和入侵，確保局域網(wǎng)的安全。與其它網(wǎng)絡(luò)產(chǎn)品相比

13、，有著其自身的專用特色， 但其本身也有著某些不可避免的局限。下面對(duì)其在網(wǎng)絡(luò)系統(tǒng)中的作用、應(yīng)用特點(diǎn)和其優(yōu)缺點(diǎn)進(jìn)行簡(jiǎn)單的闡述。2.12.1防火墻的作用防火墻可以監(jiān)控進(jìn)岀網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)園區(qū)網(wǎng)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問題上的失誤和缺陷越來(lái)越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段，也有可能來(lái)自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。因此，防火墻的作用是防止不希望 的、未授權(quán)的通信進(jìn)岀被保護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的安全策略。一般的防火墻都可以達(dá)到 如下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；二是防止入侵者接 近防御設(shè)施；三是限定用戶訪問特殊

14、站點(diǎn)；四是為監(jiān)視InIn ternetternet安全提供方便。2.2?2.2?防火墻的特點(diǎn)在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。包過(guò)濾技術(shù)是一種基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的JavaJava小程序以及電子郵件中附帶的病毒；代理型防火墻的特點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。當(dāng)然代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性；雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻，但由于

15、監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代 理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻。防火墻一般具有如下顯著特點(diǎn)：廣泛的服務(wù)支持？通過(guò)動(dòng)態(tài)的、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合，可以實(shí)現(xiàn)WWWWWW瀏覽器、HTTPHTTP服務(wù)器、FTPFTP等；對(duì)私有數(shù)據(jù)的加密支持 ？保證通過(guò)InIn ternetternet進(jìn)行虛擬私人網(wǎng)絡(luò)和商業(yè)活動(dòng)不受損壞；客戶端只允許用戶訪問指定的網(wǎng)絡(luò)或選擇服務(wù)？企業(yè)本地網(wǎng)、園區(qū)網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶等安全通信的信息；反欺騙？欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包類似于來(lái)自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的

16、數(shù)據(jù)包并能丟棄；C/SC/S模式和跨平臺(tái)支持？能使運(yùn)行在一個(gè)平臺(tái)的管理模塊控制運(yùn)行在另一個(gè)平臺(tái)的監(jiān)視模塊。2.32.3？防火墻的優(yōu)勢(shì)和存在的不足防火墻在確保網(wǎng)絡(luò)的安全運(yùn)行上發(fā)揮著重要的作用。但任何事物都不是完美無(wú)缺的，對(duì)待任何事物必須一分為二，防火墻也不例外。在充分利用防火墻優(yōu)點(diǎn)為我們服務(wù)的同時(shí)，也不得不面 對(duì)其自身弱點(diǎn)給我們帶來(lái)的不便。231防火墻的優(yōu)勢(shì)(1)防火墻能夠強(qiáng)化安全策略。因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息，不可避免地會(huì)岀現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻就是為了防止不良現(xiàn)象發(fā)生的交通警察”它執(zhí)行站點(diǎn)的安全策略，僅僅允許認(rèn)可的和符合規(guī)則的請(qǐng)求通過(guò)。(2)防火墻能有效地

17、記錄網(wǎng)絡(luò)上的活動(dòng)。因?yàn)樗羞M(jìn)岀信息都必須通過(guò)防火墻，所以防火墻非常適合用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。(3 3 )防火墻限制暴露用戶點(diǎn)。防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。(4 4)防火墻是一個(gè)安全策略的檢查站。所有進(jìn)岀的信息都必須通過(guò)防火墻，防火墻便成為 安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。2.3.2防火墻存在的不足(1) 不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但 用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵

18、者已經(jīng)在防火墻內(nèi)部，防 火墻是無(wú)能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防 火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理。(2) 不能防范不通過(guò)它的連接。防火墻能夠有效地防止通過(guò)它傳輸?shù)男畔?，然而它卻不能 防止不通過(guò)它而傳輸?shù)男畔ⅰ＠?，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么 防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。(3) 不能防備全部的威脅。防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì) 方案，就可以防備新的威脅，但沒有一臺(tái)防火墻能自動(dòng)防御所有新的威脅。第三章防火墻的管理與維護(hù)在防火墻設(shè)計(jì)建造完成以后，使它正常運(yùn)轉(zhuǎn)還要做大量的工作

19、。值得注意的是，這里許多維護(hù)工作是自動(dòng)進(jìn)行的。管理與維護(hù)工作主要有4 4個(gè)方面，它們分別是：建立防火墻的安全策略、日常管理、監(jiān)控系統(tǒng)、保持最新狀態(tài)。3.1?3.1?建立防火墻的安全策略安全策略也可以稱為訪問上的控制策略。它包含了訪問上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問控制包含了哪些資源可以被訪問，如讀取、刪除、下載等行為的規(guī)范，以及哪些 人擁有這些權(quán)力等信息。網(wǎng)絡(luò)服務(wù)訪問策TCP/IPTCP/IP自身所具有的易攻擊除非管理員對(duì)某種服務(wù)明確表示禁除非管理員對(duì)某種服務(wù)明確表示允3.1.1網(wǎng)絡(luò)服務(wù)訪問策略網(wǎng)絡(luò)服務(wù)訪問策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)

20、絡(luò)服務(wù)，還包括對(duì)撥號(hào)訪問以及PPP （點(diǎn)對(duì)點(diǎn)協(xié)議）連接的限制。比如，如果一個(gè)防火墻阻止用戶使用TelnetTelnet服務(wù)訪問因特網(wǎng)，一些人可能會(huì)使用撥號(hào)連接來(lái)獲得這些服務(wù)，這樣就可能會(huì)使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問策略不但應(yīng)該是一個(gè)站點(diǎn)安全策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從 遠(yuǎn)程訪問到移動(dòng)介質(zhì)的管理。3.1.2防火墻的設(shè)計(jì)策略防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)實(shí)施略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、 性和危險(xiǎn)。防火墻一般執(zhí)行一下兩種基本策略中的一種：除非明確不允許，否則

21、允許某種服務(wù)；除非明確允許，否則將禁止某項(xiàng)服務(wù)。執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù),止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)， 許。防火墻可以實(shí)施一種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就 是制定防火墻策略的入手點(diǎn)3.1.3安全策略設(shè)計(jì)時(shí)需要考慮的問題為了確定防火墻安全設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)預(yù)期安全策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開始，即除非明確允許，否則禁止某種服務(wù)。策略應(yīng)該解決以下問題：需要什么服務(wù)，如 TelTel netnet、WWWWWW 或NFSNFS等；在那里使用這些服務(wù)，如本地、穿越因特網(wǎng)、從家里或遠(yuǎn)方的辦公機(jī)構(gòu)等；是否

22、應(yīng)當(dāng)支持撥號(hào)入網(wǎng)和加密等服務(wù)；提供這些服務(wù)的風(fēng)險(xiǎn)是什么；若提供這種保護(hù)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)使用上的不方便等負(fù)面影響；與可用性相比，站點(diǎn)的安全性放在什么位置。3.2?3.2?日常管理日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要 工作：數(shù)據(jù)備份、賬號(hào)管理、磁盤空間管理等。321數(shù)據(jù)備份一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動(dòng)的備份系統(tǒng)為一般用途的機(jī)器做備份。當(dāng) 這個(gè)系統(tǒng)正常做完備份之后，最好還能發(fā)送岀一封確定信，而當(dāng)它發(fā)現(xiàn)錯(cuò)誤的時(shí)候，也最好能產(chǎn) 生一個(gè)明顯不同的信息。為什么只是在錯(cuò)誤發(fā)生的時(shí)候送岀一封信就好了呢？如果這個(gè)系統(tǒng)只在有錯(cuò)誤的時(shí)候產(chǎn)生 一封信，或許就有

23、可能不會(huì)注意到這個(gè)系統(tǒng)根本就沒有運(yùn)作。那為什么需要明顯不同的信息呢？如果備份系統(tǒng)正常和執(zhí)行失敗時(shí)產(chǎn)生的信息很類似。那么習(xí)慣于忽略成功信息的人，也有可能會(huì)忽略失敗信息。理想的情況是有一個(gè)程序檢查備份有沒有執(zhí)行，并在備份沒有執(zhí)行的時(shí)候產(chǎn)生一個(gè)信息。322賬號(hào)管理賬號(hào)的管理。包括增加新賬號(hào)、刪除舊賬號(hào)及檢查密碼期限等，是最常被忽略的日常管理工 作。在防火墻上，正確的增加新賬號(hào)、迅速地刪除舊賬號(hào)以及適時(shí)地變更密碼，絕對(duì)是一項(xiàng)非常 重要的工作。建立一個(gè)增加賬號(hào)的程序，盡量使用一個(gè)程序增加賬號(hào)。即使防火墻系統(tǒng)上沒有多少用戶， 但每一個(gè)用戶都可能是一個(gè)危險(xiǎn)。一般人都有一個(gè)毛病，就是漏掉一些步驟，或在過(guò)程中暫

24、停幾 天。如果這個(gè)空檔正好碰到某個(gè)賬號(hào)沒有密碼，入侵者就很容易進(jìn)來(lái)了。賬號(hào)建立程序中一定要標(biāo)明賬號(hào)日期，以及每隔一階段就自動(dòng)檢查賬號(hào)。雖然不需要自動(dòng)關(guān)閉賬號(hào)，但是需要自動(dòng)通知那些賬號(hào)超過(guò)期限的人?？赡艿脑挘O(shè)置一個(gè)自動(dòng)系統(tǒng)監(jiān)控這些賬號(hào)。這可以在UNIXUNIX系統(tǒng)上產(chǎn)生賬號(hào)文件，然后傳送到其他的機(jī)器上，或者是在各臺(tái)機(jī)器上產(chǎn)生賬號(hào)， 自動(dòng)把這些賬號(hào)文件拷貝到 UNIXUNIX上，再檢查它們。如果系統(tǒng)支持密碼期限的功能，應(yīng)該把該功能打開。選擇稍微長(zhǎng)一點(diǎn)的期限，譬如說(shuō)三到六 個(gè)月。如果密碼有效期太短，例如一個(gè)月，用戶可能會(huì)想盡辦法躲避期限，也就無(wú)法在安全防護(hù) 上得到真正的收益。同理如果密碼期限功能不

25、能保證用戶在賬號(hào)被停用前看到密碼到期通知，就 不要開啟這個(gè)功能。否則，用戶會(huì)很不方便，而且也會(huì)冒著鎖住急需使用機(jī)器的系統(tǒng)管理者的風(fēng) 險(xiǎn)。3.2.3磁盤空間管理數(shù)據(jù)總是會(huì)塞滿所有可用的空間，即使在幾乎沒有什么用戶的機(jī)器上也一樣。人們總是向文件系統(tǒng)的各個(gè)角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存到文件系統(tǒng)的臨時(shí)地址中。這樣引起的問題可能常常 會(huì)超岀人們的想象。暫且不說(shuō)可能需要使用那些磁盤空間，只是這種碎片就容易造成混亂，使事 件的處理更復(fù)雜。于是有人可能會(huì)問：那是上次安裝新版程序留下來(lái)的程序嗎？是入侵者放進(jìn)來(lái)的程序嗎？那真的是一個(gè)普通的數(shù)據(jù)文件嗎？是一些對(duì)入侵者有特殊意義的東西？等等，不幸的是能自動(dòng)找岀這種 垃圾

26、”的方法沒有，尤其是可以在磁盤上到處寫東西的系統(tǒng)管理者。因此，最好有一個(gè)人定期檢查磁盤，如果讓每一個(gè)新任的系統(tǒng)管理者都去遍歷磁盤會(huì)特別有效。他們將會(huì)發(fā)現(xiàn)管理員忽視的東西。在大多數(shù)防火墻中，主要的磁盤空間問題會(huì)被日志記錄下來(lái)。這些記錄應(yīng)該自動(dòng)進(jìn)行，自動(dòng)重新開始，這些數(shù)據(jù)最好把它壓縮起來(lái)。TrimlTriml onon程序能夠使這個(gè)處理程序自動(dòng)化。當(dāng)系統(tǒng)管理者要截?cái)嗷虬嵋朴涗洉r(shí)，一定要停止程序或讓它們暫停記錄，如果在截?cái)嗷虬嵋朴涗洉r(shí)，還有程 序在嘗試寫入記錄文件，顯然就會(huì)有問題。事實(shí)上，即使只是有程序開啟了文件準(zhǔn)備稍后寫入， 也可能會(huì)惹上麻煩。3.3?3.3?監(jiān)視系統(tǒng)對(duì)防火墻的維護(hù)、監(jiān)視系統(tǒng)是維護(hù)

27、防火墻的重點(diǎn)，它可以告訴系統(tǒng)管理者以下的問題：防火墻已岌岌可危了嗎？防火墻能提供用戶需求的服務(wù)嗎？防火墻還在正常運(yùn)作嗎？嘗試攻擊防火墻的是哪些類型的攻擊？要回答這幾個(gè)問題，首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。3.3.1專用設(shè)備的監(jiān)視雖然大部分的監(jiān)視工作都是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會(huì)覺得如果有一些專用的監(jiān)視設(shè)備會(huì)很方便。例如，可能需要在周圍網(wǎng)絡(luò)上放一個(gè)監(jiān)視站，以便確定通過(guò)的都 是預(yù)料中的數(shù)據(jù)包?？梢允褂糜芯W(wǎng)絡(luò)窺視軟件包的一般計(jì)算機(jī)，也可以使用特殊用途的網(wǎng)絡(luò)檢測(cè)as如何確定這一臺(tái)監(jiān)視機(jī)器不會(huì)被入侵者利用呢？事實(shí)上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)硬件設(shè)備上，只要

28、利用一些技術(shù)和一對(duì)斷線器(wirewire cuttercutter)取消網(wǎng)絡(luò)接口的傳輸功能，就可以使這臺(tái)機(jī)器無(wú)法被檢測(cè)到，也很難被入侵者利用。如果有操作系統(tǒng)的原始程序， 也可以從那里取消傳輸功能，隨時(shí)停止傳輸。但是，在這種情況下很難確認(rèn)操作是否已經(jīng)做成功 了。3.3.2應(yīng)該監(jiān)視的內(nèi)容理想的情況是，應(yīng)該知道通過(guò)防火墻的一切事情，包括每一條連接，以及每一個(gè)丟棄或接受 的數(shù)據(jù)包。然而實(shí)際的情況是很難做到的，而折衷的辦法是，在不至于影響主機(jī)速度也不會(huì)太快 填滿磁盤的情況下，盡量多做記錄，然后再為所產(chǎn)生的記錄整理出摘要。在特殊情況下，要記錄好以下內(nèi)容：一是所有拋棄的包和被拒絕的連接；二是每一個(gè)成功的

29、連接通過(guò)堡壘主機(jī)的時(shí)間、協(xié)議和用戶名；三是所有從路由器中發(fā)現(xiàn)的錯(cuò)誤、堡壘主機(jī)和一些代 理程序。333監(jiān)視工作中的一些經(jīng)驗(yàn)應(yīng)該把可疑的事件劃分為幾類：一是知道事件發(fā)生的原因，而且這不是一個(gè)安全方面的問題；二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無(wú)論它是什么，它從未再岀現(xiàn) 過(guò)；三是有人試圖侵入，但問題并不嚴(yán)重，只是試探一下；四是有人事實(shí)上已經(jīng)侵入。這些類別之間的界限比較含糊。要提供以上任何問題的詳細(xì)征兆是不可能的，但是下面這些歸納岀的經(jīng)驗(yàn)可能會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn)：一是試圖訪問在不安全的端口上提供的服務(wù)（如企圖與端口

30、映射或者調(diào)試服務(wù)器連接）；二是試圖利用普通賬戶登錄（如guestguest）；三是請(qǐng)求FTPFTP文件傳輸或傳輸 NFSNFS（ NetworkNetworkFileFile SystemSystem，網(wǎng)絡(luò)文件系統(tǒng)）映射；四是給站點(diǎn)的SMTPSMTP （SimpleSimple MailMail TransferTransfer ProtocolProtocol ，簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)器發(fā)送debugdebug命令。如果網(wǎng)絡(luò)系統(tǒng)管理員見到以下任何情況，應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶，特別是因特網(wǎng)上的通用賬戶；二是目的不明的數(shù)據(jù)包命令；三是向某個(gè)范

31、圍內(nèi)每個(gè)端口廣播的數(shù)據(jù)包；四是不明站點(diǎn)的成功登錄。如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點(diǎn)：一是日志文件被刪 除或者修改；二是程序突然忽略所期望的正常信息；三是新的日志文件包含有不能解釋的密碼信 息或數(shù)據(jù)包痕跡；四是特權(quán)用戶的意外登錄（例如rootroot用戶），或者突然成為特權(quán)用戶的意外用戶；五是來(lái)自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序；六是登錄提示信息發(fā)生了改變。3.3.4對(duì)試探作出的處理通常情況下，不可避免地發(fā)覺外界對(duì)防火墻進(jìn)行明顯試探一一有人向沒有向InIn terter netnet提供的服務(wù)發(fā)送數(shù)據(jù)包，企圖用不存在的賬戶進(jìn)行登錄等。試探通常進(jìn)行一兩次，如果他們沒有得到令 人感興趣的反應(yīng)，他們通常就會(huì)走開。而如果想弄明白試探來(lái)自何方，這可能就要花大量時(shí)間追 尋類似的事件。然而，在大多數(shù)情況下，這樣做不會(huì)有很大成效，這種追尋試探的新奇感很快就 會(huì)消失。一些人滿足于建立防火墻機(jī)器去誘惑人們進(jìn)行一般的試探。例如，在匿名的FTPFTP區(qū)域設(shè)置裝有用戶賬號(hào)數(shù)據(jù)的文件，即使試探者破譯了密碼，看到的也只是一個(gè)虛假信息。這對(duì)于消磨空閑 時(shí)間是沒有害處的，這還能得到報(bào)復(fù)的快感，但是事實(shí)上它不