園區(qū)網(wǎng)防火墻管理與維護(hù)的研究

1、園區(qū)網(wǎng)防火墻管理與維護(hù)的研究 關(guān)鍵詞 園區(qū)網(wǎng)；防火墻；管理與維護(hù)1 引言 網(wǎng)絡(luò)安全是一個(gè)不容忽視的問(wèn)題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開(kāi)放帶來(lái)的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)安全，當(dāng)園區(qū)網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問(wèn)，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻（Firewall）技術(shù)。它通過(guò)監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況、阻止外部網(wǎng)絡(luò)中非法用戶(hù)的攻擊、訪問(wèn)以及阻擋病毒的入侵，以此來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全運(yùn)行。2

2、 防火墻的概述及其分類(lèi) 網(wǎng)絡(luò)安全的重要性越來(lái)越引起網(wǎng)民們的注意，大大小小的單位紛紛為自己的內(nèi)部網(wǎng)絡(luò)“筑墻”、防病毒與防黑客成為確保單位信息系統(tǒng)安全的基本手段。防火墻是目前最重要的一種網(wǎng)絡(luò)防護(hù)設(shè)備，是處于不同網(wǎng)絡(luò)（如可信任的局域內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全策略控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。2.1 概述 在邏輯上，防火墻其實(shí)是一個(gè)分析器，是一個(gè)分離器，同時(shí)也是一個(gè)限制器，它有效地監(jiān)控了內(nèi)部網(wǎng)間或Internet之間

3、的任何活動(dòng)，保證了局域網(wǎng)內(nèi)部的安全。 1）什么是防火墻 古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所。現(xiàn)在，如果一個(gè)網(wǎng)絡(luò)接到了Internet上面，它的用戶(hù)就可以訪問(wèn)外部世界并與之通信。但同時(shí)，外部世界也同樣可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵，提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的關(guān)卡，它的作用與古時(shí)候的防火磚墻有類(lèi)似之處，因此就把這個(gè)屏障叫做“防火墻”。 防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過(guò)硬件芯片監(jiān)測(cè)；也可以是軟件型的，軟件在計(jì)算機(jī)

4、上運(yùn)行并監(jiān)控。其實(shí)硬件型也就是芯片里固化了UNIX系統(tǒng)軟件，只是它不占用計(jì)算機(jī)CPU的處理時(shí)間，但價(jià)格非常高，對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)軟件型更加方便實(shí)在。 2）防火墻的功能 防火墻只是一個(gè)保護(hù)裝置，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備裝置。它的目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)安全。它的主要任務(wù)是允許特別的連接通過(guò)，也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點(diǎn)： 根據(jù)應(yīng)用程序訪問(wèn)規(guī)則可對(duì)應(yīng)用程序聯(lián)網(wǎng)動(dòng)作進(jìn)行過(guò)濾； 對(duì)應(yīng)用程序訪問(wèn)規(guī)則具有學(xué)習(xí)功能； 可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)； 具有日志，以記錄網(wǎng)絡(luò)訪問(wèn)動(dòng)作的詳細(xì)信息； 被攔阻時(shí)能通過(guò)聲音或閃爍圖標(biāo)給用戶(hù)報(bào)警提示。 3）防火墻的使用 由于防火墻的目的是保護(hù)一個(gè)網(wǎng)絡(luò)不

5、受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊。因此，防火墻通常使用在一個(gè)被認(rèn)為是安全和可信的園區(qū)網(wǎng)與一個(gè)被認(rèn)為是不安全與不可信的網(wǎng)絡(luò)之間，阻止別人通過(guò)不安全與不可信的網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的攻擊，破壞網(wǎng)絡(luò)安全，限制非法用戶(hù)訪問(wèn)本網(wǎng)絡(luò)，最大限度地減少損失。2.2 防火墻的分類(lèi) 市場(chǎng)上的硬件防火墻產(chǎn)品非常之多，分類(lèi)的標(biāo)準(zhǔn)比較雜，從技術(shù)上通常將其分為“包過(guò)濾型”、“代理型”和“監(jiān)測(cè)型”等類(lèi)型。 1）包過(guò)濾型 包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP(傳輸控制

6、協(xié)議/用戶(hù)數(shù)據(jù)報(bào)協(xié)議)源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門(mén)外。 2）代理型 代理型防火墻也可以被稱(chēng)為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶(hù)機(jī)來(lái)看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來(lái)看，代理服務(wù)器又是一臺(tái)真正的客戶(hù)機(jī)。當(dāng)客戶(hù)機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后由代理服務(wù)器將數(shù)據(jù)傳輸給客戶(hù)機(jī)。由于外部系統(tǒng)與內(nèi)部服

7、務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 3）監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品，這一技術(shù)實(shí)際上已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí)，這種監(jiān)測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器，這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中，不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此，監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越

8、了前兩代產(chǎn)品。3 防火墻的作用、特點(diǎn)及優(yōu)缺點(diǎn) 防火墻通常使用在一個(gè)可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間，阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)局域網(wǎng)的威脅和入侵，確保局域網(wǎng)的安全。與其它網(wǎng)絡(luò)產(chǎn)品相比，有著其自身的專(zhuān)用特色，但其本身也有著某些不可避免的局限。下面對(duì)其在網(wǎng)絡(luò)系統(tǒng)中的作用、應(yīng)用特點(diǎn)和其優(yōu)缺點(diǎn)進(jìn)行簡(jiǎn)單的闡述。3.1 防火墻的作用 防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對(duì)園區(qū)網(wǎng)構(gòu)成威脅的數(shù)據(jù)。隨著安全性問(wèn)題上的失誤和缺陷越來(lái)越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段，也有可能來(lái)自配置上的低級(jí)錯(cuò)誤或不合適的口令選擇。因此，防火墻的作用是防止不希望的、未授權(quán)的通信進(jìn)出被保

9、護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的安全策略。一般的防火墻都可以達(dá)到如下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶(hù)；二是防止入侵者接近防御設(shè)施；三是限定用戶(hù)訪問(wèn)特殊站點(diǎn)；四是為監(jiān)視Internet安全提供方便。3.2 防火墻的特點(diǎn) 我們?cè)谑褂梅阑饓Φ耐瑫r(shí)，對(duì)性能、技術(shù)指標(biāo)和用戶(hù)需求進(jìn)行分析。包過(guò)濾防火墻技術(shù)的特點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。包過(guò)濾技術(shù)是一種基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒；代理型防

10、火墻的特點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。當(dāng)然代理服務(wù)器必須針對(duì)客戶(hù)機(jī)可能產(chǎn)生的所有應(yīng)用類(lèi)型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性；雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。 防火墻一般具有如下顯著特點(diǎn)： 廣泛的服務(wù)支持 通過(guò)動(dòng)態(tài)的、應(yīng)用層的過(guò)濾能力和認(rèn)證相結(jié)合，可以實(shí)現(xiàn)WWW瀏覽器、HTTP服務(wù)器、FTP等； 對(duì)私有數(shù)據(jù)的加密支持 保證通過(guò)Internet進(jìn)行虛擬私人網(wǎng)絡(luò)和商業(yè)

11、活動(dòng)不受損壞； 客戶(hù)端只允許用戶(hù)訪問(wèn)指定的網(wǎng)絡(luò)或選擇服務(wù) 企業(yè)本地網(wǎng)、園區(qū)網(wǎng)與分支機(jī)構(gòu)、商業(yè)伙伴和移動(dòng)用戶(hù)等安全通信的信息； 反欺騙 欺騙是從外部獲取網(wǎng)絡(luò)訪問(wèn)權(quán)的常用手段，它使數(shù)據(jù)包類(lèi)似于來(lái)自網(wǎng)絡(luò)內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能丟棄； C/S模式和跨平臺(tái)支持 能使運(yùn)行在一個(gè)平臺(tái)的管理模塊控制運(yùn)行在另一個(gè)平臺(tái)的監(jiān)視模塊。3.3 防火墻的優(yōu)勢(shì)和存在的不足 防火墻在確保網(wǎng)絡(luò)的安全運(yùn)行上發(fā)揮著重要的作用。但任何事物都不是完美無(wú)缺的，對(duì)待任何事物必須一分為二，防火墻也不例外。在充分利用防火墻優(yōu)點(diǎn)為我們服務(wù)的同時(shí)，也不得不面對(duì)其自身弱點(diǎn)給我們帶來(lái)的不便。 1） 防火墻的優(yōu)勢(shì) （1）防火墻能夠強(qiáng)化安全策略

12、。因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅允許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。 （2）防火墻能有效地記錄網(wǎng)絡(luò)上的活動(dòng)。因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適合用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。 （3）防火墻限制暴露用戶(hù)點(diǎn)。防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。 （4）防火墻是一個(gè)安全策略的檢查站。所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為

13、安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門(mén)外。 2） 防火墻存在的不足 （1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶(hù)經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專(zhuān)有的信息，但用戶(hù)可以將數(shù)據(jù)復(fù)制到磁盤(pán)、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。內(nèi)部用戶(hù)可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來(lái)自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理。 （2）不能防范不通過(guò)它的連接。防火墻能夠有效地防止通過(guò)它傳輸?shù)男畔?，然而它卻不能防止不通過(guò)它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。 （3）不能防備全部的威

14、脅。防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，就可以防備新的威脅，但沒(méi)有一臺(tái)防火墻能自動(dòng)防御所有新的威脅。4 防火墻的管理與維護(hù) 如果已經(jīng)設(shè)計(jì)好了一個(gè)防火墻，使它滿(mǎn)足了你的機(jī)構(gòu)的需要，接下來(lái)的工作就是防火墻的管理與維護(hù)了。在防火墻設(shè)計(jì)建造完成以后，使它正常運(yùn)轉(zhuǎn)還要做大量的工作。值得注意的是，這里許多維護(hù)工作是自動(dòng)進(jìn)行的。管理與維護(hù)工作主要有4個(gè)方面，它們分別是：建立防火墻的安全策略、日常管理、監(jiān)控系統(tǒng)、保持最新?tīng)顟B(tài)。4.1 建立防火墻的安全策略 要不要制定安全上的策略規(guī)定是一個(gè)有爭(zhēng)議的問(wèn)題。有些人認(rèn)為制定一套安全策略是相當(dāng)必須的，因?yàn)樗梢哉f(shuō)是一個(gè)組織的安全策略輪廓，尤其在網(wǎng)

15、絡(luò)上以及網(wǎng)絡(luò)系統(tǒng)管理員對(duì)于安全上的顧慮并沒(méi)有明確的策略時(shí)。 安全策略也可以稱(chēng)為訪問(wèn)上的控制策略。它包含了訪問(wèn)上的控制以及組織內(nèi)其他資源使用的種種規(guī)定。訪問(wèn)控制包含了哪些資源可以被訪問(wèn)，如讀取、刪除、下載等行為的規(guī)范，以及哪些人擁有這些權(quán)力等信息。 1） 網(wǎng)絡(luò)服務(wù)訪問(wèn)策略 網(wǎng)絡(luò)服務(wù)訪問(wèn)策略是一種高層次的、具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許的或禁止的網(wǎng)絡(luò)服務(wù)，還包括對(duì)撥號(hào)訪問(wèn)以及PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）連接的限制。這是因?yàn)閷?duì)一種網(wǎng)絡(luò)服務(wù)的限制可能會(huì)促使用戶(hù)使用其他的方法，所以其他的途徑也應(yīng)受到保護(hù)。比如，如果一個(gè)防火墻阻止用戶(hù)使用Telnet服務(wù)訪問(wèn)因特網(wǎng)，一些人可能會(huì)使用撥號(hào)連接來(lái)獲得這些服

16、務(wù)，這樣就可能會(huì)使網(wǎng)絡(luò)受到攻擊。網(wǎng)絡(luò)服務(wù)訪問(wèn)策略不但應(yīng)該是一個(gè)站點(diǎn)安全策略的延伸，而且對(duì)于機(jī)構(gòu)內(nèi)部資源的保護(hù)也起全局的作用。這種策略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問(wèn)到移動(dòng)介質(zhì)的管理。 2） 防火墻的設(shè)計(jì)策略 防火墻的設(shè)計(jì)策略是具體地針對(duì)防火墻，負(fù)責(zé)制定相應(yīng)的規(guī)章制度來(lái)實(shí)施網(wǎng)絡(luò)服務(wù)訪問(wèn)策略。在制定這種策略之前，必須了解這種防火墻的性能以及缺陷、TCP/IP自身所具有的易攻擊性和危險(xiǎn)。防火墻一般執(zhí)行一下兩種基本策略中的一種： 除非明確不允許，否則允許某種服務(wù)； 除非明確允許，否則將禁止某項(xiàng)服務(wù)。執(zhí)行第一種策略的防火墻在默認(rèn)情況下允許所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示

17、禁止。執(zhí)行第二種策略的防火墻在默認(rèn)情況下禁止所有的服務(wù)，除非管理員對(duì)某種服務(wù)明確表示允許。防火墻可以實(shí)施一種寬松的策略（第一種），也可以實(shí)施一種限制性策略（第二種），這就是制定防火墻策略的入手點(diǎn)。 3） 安全策略設(shè)計(jì)時(shí)需要考慮的問(wèn)題 為了確定防火墻安全設(shè)計(jì)策略，進(jìn)而構(gòu)建實(shí)現(xiàn)預(yù)期安全策略的防火墻，應(yīng)從最安全的防火墻設(shè)計(jì)策略開(kāi)始，即除非明確允許，否則禁止某種服務(wù)。策略應(yīng)該解決以下問(wèn)題： 需要什么服務(wù)，如Telnet、WWW或NFS等； 在那里使用這些服務(wù)，如本地、穿越因特網(wǎng)、從家里或遠(yuǎn)方的辦公機(jī)構(gòu)等； 是否應(yīng)當(dāng)支持撥號(hào)入網(wǎng)和加密等服務(wù)； 提供這些服務(wù)的風(fēng)險(xiǎn)是什么； 若提供這種保護(hù)，可能會(huì)導(dǎo)致網(wǎng)絡(luò)使

18、用上的不方便等負(fù)面影響，這些影響會(huì)有多大； 與可用性相比，站點(diǎn)的安全性放在什么位置。4.2 日常管理 日常管理是經(jīng)常性的瑣碎工作，以使防火墻保持清潔和安全。為此，需要經(jīng)常去完成的主要工作：數(shù)據(jù)備份、賬號(hào)管理、磁盤(pán)空間管理等。 1） 數(shù)據(jù)備份 一定要備份防火墻的數(shù)據(jù)。使用一種定期的、自動(dòng)的備份系統(tǒng)為一般用途的機(jī)器做備份。當(dāng)這個(gè)系統(tǒng)正常做完備份之后，最好還能發(fā)送出一封確定信，而當(dāng)它發(fā)現(xiàn)錯(cuò)誤的時(shí)候，也最好能產(chǎn)生一個(gè)明顯不同的信息。 為什么只是在錯(cuò)誤發(fā)生的時(shí)候送出一封信就好了呢？如果這個(gè)系統(tǒng)只在有錯(cuò)誤的時(shí)候產(chǎn)生一封信，或許就有可能不會(huì)注意到這個(gè)系統(tǒng)根本就沒(méi)有運(yùn)作。那為什么需要明顯不同的信息呢？如果備份

19、系統(tǒng)正常和執(zhí)行失敗時(shí)產(chǎn)生的信息很類(lèi)似。那么習(xí)慣于忽略成功信息的人，也有可能會(huì)忽略失敗信息。理想的情況是有一個(gè)程序檢查備份有沒(méi)有執(zhí)行，并在備份沒(méi)有執(zhí)行的時(shí)候產(chǎn)生一個(gè)信息。 2） 賬號(hào)管理 賬號(hào)的管理。包括增加新賬號(hào)、刪除舊賬號(hào)及檢查密碼期限等，是最常被忽略的日常管理工作。在防火墻上，正確的增加新賬號(hào)、迅速地刪除舊賬號(hào)以及適時(shí)地變更密碼，絕對(duì)是一項(xiàng)非常重要的工作。 建立一個(gè)增加賬號(hào)的程序，盡量使用一個(gè)程序增加賬號(hào)。即使防火墻系統(tǒng)上沒(méi)有多少用戶(hù)，但每一個(gè)用戶(hù)都可能是一個(gè)危險(xiǎn)。一般人都有一個(gè)毛病，就是漏掉一些步驟，或在過(guò)程中暫停幾天。如果這個(gè)空檔正好碰到某個(gè)賬號(hào)沒(méi)有密碼，入侵者就很容易進(jìn)來(lái)了。 賬號(hào)建

20、立程序中一定要標(biāo)明賬號(hào)日期，以及每隔一階段就自動(dòng)檢查賬號(hào)。雖然不需要自動(dòng)關(guān)閉賬號(hào)，但是需要自動(dòng)通知那些賬號(hào)超過(guò)期限的人?？赡艿脑?huà)，設(shè)置一個(gè)自動(dòng)系統(tǒng)監(jiān)控這些賬號(hào)。這可以在UNIX系統(tǒng)上產(chǎn)生賬號(hào)文件，然后傳送到其他的機(jī)器上，或者是在各臺(tái)機(jī)器上產(chǎn)生賬號(hào)，自動(dòng)把這些賬號(hào)文件拷貝到UNIX上，再檢查它們。 如果系統(tǒng)支持密碼期限的功能，應(yīng)該把該功能打開(kāi)。選擇稍微長(zhǎng)一點(diǎn)的期限，譬如說(shuō)三到六個(gè)月。如果密碼有效期太短，例如一個(gè)月，用戶(hù)可能會(huì)想盡辦法躲避期限，也就無(wú)法在安全防護(hù)上得到真正的收益。同理如果密碼期限功能不能保證用戶(hù)在賬號(hào)被停用前看到密碼到期通知，就不要開(kāi)啟這個(gè)功能。否則，用戶(hù)會(huì)很不方便，而且也會(huì)冒著鎖

21、住急需使用機(jī)器的系統(tǒng)管理者的風(fēng)險(xiǎn)。 3） 磁盤(pán)空間管理 數(shù)據(jù)總是會(huì)塞滿(mǎn)所有可用的空間，即使在幾乎沒(méi)有什么用戶(hù)的機(jī)器上也一樣。人們總是向文件系統(tǒng)的各個(gè)角落丟東西，把各種數(shù)據(jù)轉(zhuǎn)存到文件系統(tǒng)的臨時(shí)地址中。這樣引起的問(wèn)題可能常常會(huì)超出人們的想象。暫且不說(shuō)可能需要使用那些磁盤(pán)空間，只是這種碎片就容易造成混亂，使事件的處理更復(fù)雜。于是有人可能會(huì)問(wèn)：那是上次安裝新版程序留下來(lái)的程序嗎？是入侵者放進(jìn)來(lái)的程序嗎？那真的是一個(gè)普通的數(shù)據(jù)文件嗎？是一些對(duì)入侵者有特殊意義的東西？等等，不幸的是能自動(dòng)找出這種“垃圾”的方法沒(méi)有，尤其是可以在磁盤(pán)上到處寫(xiě)東西的系統(tǒng)管理者。因此，最好有一個(gè)人定期檢查磁盤(pán)，如果讓每一個(gè)新任的

22、系統(tǒng)管理者都去遍歷磁盤(pán)會(huì)特別有效。他們將會(huì)發(fā)現(xiàn)管理員忽視的東西。在大多數(shù)防火墻中，主要的磁盤(pán)空間問(wèn)題會(huì)被日志記錄下來(lái)。這些記錄應(yīng)該自動(dòng)進(jìn)行，自動(dòng)重新開(kāi)始，這些數(shù)據(jù)最好把它壓縮起來(lái)。Trimlon程序能夠使這個(gè)處理程序自動(dòng)化。當(dāng)系統(tǒng)管理者要截?cái)嗷虬嵋朴涗洉r(shí)，一定要停止程序或讓它們暫停記錄，如果在截?cái)嗷虬嵋朴涗洉r(shí)，還有程序在嘗試寫(xiě)入記錄文件，顯然就會(huì)有問(wèn)題。事實(shí)上，即使只是有程序開(kāi)啟了文件準(zhǔn)備稍后寫(xiě)入，也可能會(huì)惹上麻煩。4.3 監(jiān)視系統(tǒng)對(duì)防火墻的維護(hù)、監(jiān)視系統(tǒng)是維護(hù)防火墻的重點(diǎn)，它可以告訴系統(tǒng)管理者以下的問(wèn)題：防火墻已岌岌可危了嗎？防火墻能提供用戶(hù)需求的服務(wù)嗎？防火墻還在正常運(yùn)作嗎？嘗試攻擊防火墻

23、的是哪些類(lèi)型的攻擊？要回答這幾個(gè)問(wèn)題，首先應(yīng)該知道什么是防火墻的正常工作狀態(tài)。1） 專(zhuān)用設(shè)備的監(jiān)視雖然大部分的監(jiān)視工作都是利用防火墻上現(xiàn)成的工具或記錄數(shù)據(jù)，但是也可能會(huì)覺(jué)得如果有一些專(zhuān)用的監(jiān)視設(shè)備會(huì)很方便。例如，可能需要在周?chē)W(wǎng)絡(luò)上放一個(gè)監(jiān)視站，以便確定通過(guò)的都是預(yù)料中的數(shù)據(jù)包。可以使用有網(wǎng)絡(luò)窺視軟件包的一般計(jì)算機(jī)，也可以使用特殊用途的網(wǎng)絡(luò)檢測(cè)器。如何確定這一臺(tái)監(jiān)視機(jī)器不會(huì)被入侵者利用呢？事實(shí)上，最好根本不要讓入侵者知道它的存在。在某些網(wǎng)絡(luò)硬件設(shè)備上，只要利用一些技術(shù)和一對(duì)斷線器（wire cutter）取消網(wǎng)絡(luò)接口的傳輸功能，就可以使這臺(tái)機(jī)器無(wú)法被檢測(cè)到，也很難被入侵者利用。如果有操作系統(tǒng)的

24、原始程序，也可以從那里取消傳輸功能，隨時(shí)停止傳輸。但是，在這種情況下很難確認(rèn)操作是否已經(jīng)做成功了。2） 應(yīng)該監(jiān)視的內(nèi)容理想的情況是，應(yīng)該知道通過(guò)防火墻的一切事情，包括每一條連接，以及每一個(gè)丟棄或接受的數(shù)據(jù)包。然而實(shí)際的情況是很難做到的，而折衷的辦法是，在不至于影響主機(jī)速度也不會(huì)太快填滿(mǎn)磁盤(pán)的情況下，盡量多做記錄，然后再為所產(chǎn)生的記錄整理出摘要。在特殊情況下，要記錄好以下內(nèi)容：一是所有拋棄的包和被拒絕的連接；二是每一個(gè)成功的連接通過(guò)堡壘主機(jī)的時(shí)間、協(xié)議和用戶(hù)名；三是所有從路由器中發(fā)現(xiàn)的錯(cuò)誤、堡壘主機(jī)和一些代理程序。3） 監(jiān)視工作中的一些經(jīng)驗(yàn)應(yīng)該把可疑的事件劃分為幾類(lèi)：一是知道事件發(fā)生的原因，而且

25、這不是一個(gè)安全方面的問(wèn)題；二是不知道是什么原因，也許永遠(yuǎn)不知道是什么原因引起的，但是無(wú)論它是什么，它從未再出現(xiàn)過(guò)；三是有人試圖侵入，但問(wèn)題并不嚴(yán)重，只是試探一下；四是有人事實(shí)上已經(jīng)侵入。這些類(lèi)別之間的界限比較含糊。要提供以上任何問(wèn)題的詳細(xì)征兆是不可能的，但是下面這些歸納出的經(jīng)驗(yàn)可能會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)管理員有所幫助。如果發(fā)現(xiàn)以下情況，網(wǎng)絡(luò)系統(tǒng)管理員就有理由懷疑有人在探試站點(diǎn)：一是試圖訪問(wèn)在不安全的端口上提供的服務(wù)（如企圖與端口映射或者調(diào)試服務(wù)器連接）；二是試圖利用普通賬戶(hù)登錄（如guest）；三是請(qǐng)求FTP文件傳輸或傳輸NFS（Network File System，網(wǎng)絡(luò)文件系統(tǒng)）映射；四是給站點(diǎn)的S

26、MTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)器發(fā)送debug命令。如果網(wǎng)絡(luò)系統(tǒng)管理員見(jiàn)到以下任何情況，應(yīng)該更加關(guān)注。因?yàn)榍忠u可能正在進(jìn)行之中：一是多次企圖登錄但多次失敗的合法賬戶(hù)，特別是因特網(wǎng)上的通用賬戶(hù)；二是目的不明的數(shù)據(jù)包命令；三是向某個(gè)范圍內(nèi)每個(gè)端口廣播的數(shù)據(jù)包；四是不明站點(diǎn)的成功登錄。如果網(wǎng)絡(luò)系統(tǒng)管理員了發(fā)現(xiàn)以下情況，應(yīng)該懷疑已有人成功地侵入站點(diǎn)：一是日志文件被刪除或者修改；二是程序突然忽略所期望的正常信息；三是新的日志文件包含有不能解釋的密碼信息或數(shù)據(jù)包痕跡；四是特權(quán)用戶(hù)的意外登錄（例如root用戶(hù)），或者突然成為特權(quán)用戶(hù)的意外用戶(hù)；五是來(lái)自本機(jī)的明顯的試探或者侵襲，名字與系統(tǒng)程序相近的應(yīng)用程序；六是登錄提示信息發(fā)生了改變。4） 對(duì)試探作出的處理通常情況下，不可避免地發(fā)覺(jué)外界對(duì)防火墻進(jìn)行明顯試探有人向沒(méi)有向Internet