4.防火墙的管理与维护

　　如果已经设计好了一个防火墙，使它满足了你的机构的需要，接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后，使它正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。

　　4.1 建立防火墙的安全策略

　　要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。

　　安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。

　　1) 网络服务访问策略

　　网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。

　　2) 防火墙的设计策略

　　防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：

　　① 除非明确不允许，否则允许某种服务;

　　② 除非明确允许，否则将禁止某项服务。

　　执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种)，也可以实施一种限制性策略(第二种)，这就是制定防火墙策略的入手点。

　　3) 安全策略设计时需要考虑的问题

　　为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下问题：

• 需要什么服务，如Telnet、WWW或NFS等；
  


• 在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构等；
  


• 是否应当支持拨号入网和加密等服务；
  


• 提供这些服务的风险是什么；
  


• 若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大；
  


• 与可用性相比，站点的安全性放在什么位置。

　　4.2 日常管理

　　日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。

　　1) 数据备份

　　一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。

　　为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行，并在备份没有执行的时候产生一个信息。

　　2) 账号管理

　　账号的管理。包括增加新账号、删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号、迅速地删除旧账号以及适时地变更密码，绝对是一项非常重要的工作。

　　建立一个增加账号的程序，尽量使用一个程序增加账号。即使防火墙系统上没有多少用户，但每一个用户都可能是一个危险。一般人都有一个毛病，就是漏掉一些步骤，或在过程中暂停几天。如果这个空档正好碰到某个账号没有密码，入侵者就很容易进来了。

　　账号建立程序中一定要标明账号日期，以及每隔一阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置一个自动系统监控这些账号。这可以在UNIX系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到UNIX上，再检查它们。

　　如果系统支持密码期限的功能，应该把该功能打开。选择稍微长一点的期限，譬如说三到六个月。如果密码有效期太短，例如一个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。

　　3) 磁盘空间管理

　　数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也一样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问：那是上次安装新版程序留下来的程序吗?是入侵者放进来的程序吗?那真的是一个普通的数据文件吗?是一些对入侵者有特殊意义的东西?等等，不幸的是能自动找出这种“垃圾”的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有一个人定期检查磁盘，如果让每一个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。

　　在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。Trimlon程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，一定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。

　　4.3 监视系统

　　对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题：

• 防火墙已岌岌可危了吗?
  


• 防火墙能提供用户需求的服务吗?
  


• 防火墙还在正常运作吗?
  


• 尝试攻击防火墙的是哪些类型的攻击?

　　要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。

　　1) 专用设备的监视

　　虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。

　　如何确定这一台监视机器不会被入侵者利用呢?事实上，最好根本不要让入侵者知道它的存在。在某些网络设备上，只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功能，随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。

　　2) 应该监视的内容

　　理想的情况是，应该知道通过防火墙的一切事情，包括每一条连接，以及每一个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。

　　在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序。

　　3) 监视工作中的一些经验

　　应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不是一个安全方面的问题;二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过;三是有人试图侵入，但问题并不严重，只是试探一下;四是有人事实上已经侵入。

　　这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System，网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)发送debug命令。

　　如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。

　　如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点：一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户)，或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序;六是登录提示信息发生了改变。

　　4) 对试探作出的处理

　　通常情况下，不可避免地发觉外界对防火墙进行明显试探——有人向没有向Internet提供的服务发送数据包，企图用不存在的账户进行登录等。试探通常进行一两次，如果他们没有得到令人感兴趣的反应，他们通常就会走开。而如果想弄明白试探来自何方，这可能就要花大量时间追寻类似的事件。然而，在大多数情况下，这样做不会有很大成效，这种追寻试探的新奇感很快就会消失。

　　一些人满足于建立防火墙机器去诱惑人们进行一般的试探。例如，在匿名的FTP区域设置装有用户账号数据的文件，即使试探者破译了密码，看到的也只是一个虚假信息。这对于消磨空闲时间是没有害处的，这还能得到报复的快感，但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒，从而坚定了入侵者闯入站点的决心。

　　4.4 保持最新状态

　　保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中，每天都产生新的事物、发现新的毛病，以新的方式进行侵袭，同时现有的工具也会不断地被更新。因此，要使防火墙能同该领域的发展保持同步。

　　当防火墙需要修补、升级一些东西，或增加新功能时，就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计的越准确，防火墙的设计和建造做的越好，防火墙适应这些改变所花的时间就越少。

　　5.结束语

　　随着Internet在我国的迅速发展，网络安全的问题越来越得到重视，防火墙技术也引起了各方面的广泛关注。我们国家除了自行展开了对防火墙的一些研究，还对国外的信息安全和防火墙的发展进行了密切的关注，以便能更快掌握这方面的信息，更早的应用到我们的网络上面。当然，金无足赤，人无完人，我们从防火墙维护和管理的研究上得知，防火墙能保护网络的安全，但并不是绝对安全的，而是相对的。