防火墙行为审计

核心提示：一旦你通过了防火墙的选择和架构设计阶段的挑战，你就安装了DMZ，防火墙行为审计，对吧？你的Rulebase应该还很稳定，永远也不需要改变配置，你的防火墙审计日志是真正的网络安全的金矿，使用审计日志，我们只能梦想！在实际的防火墙管理中，我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡

一旦你通过了防火墙的选择和架构设计阶段的挑战，你就安装了DMZ，对吧？你的Rulebase应该还很稳定，永远也不需要改变配置。我们只能梦想！在实际的防火墙管理中，我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。迅速而频繁的改变配置使得日常维护任务变得很难。在这篇文章中，我们将探讨防火墙日志功能，来维持良好的事态。

我们来看四个的实际的部分，在这里基础的日志分析可以提供有价值防火墙管理数据：

1.监测规则行为

系统管理员趋向于尽快了解新规则，但是在一条规则不再需要的时候，他们就不着急让你知道了。监测规则行为可以提供一些有价值的信息，协助管理Rulebase。如果一条频繁使用的规则突然之间变得安静了，就应该研究一些这条规则是否还需要。。如果不再需要了，就从Rulebase中把它删除。遗留下来的规则堆积起来，会增加不必要的复杂性。这些年，我有机会分析很多防火墙产品的Rulebase，我估计至少20%的一般防火墙的Rulebase都是不必要的。我见过这个比例高达60%的系统。

2．流量

还要监控不正常流量日志。如果一个服务器通常的流量很低，突然要负担通过放火墙的大部分流量（不管是在整个链接中，还是通过的字节），那么就需要深入研究一下了。如果在有些情况下，预料到会出现“flash crowds”，他们通常是系统错误配置或进程攻击的征兆。

3．违反规则

插卡防火墙拦截的流量，可能会发现有趣的信息。这一点对于来自网络内部的流量尤其准确。这种活动的通常原因是系统错误配置或者用户不知道流量限制，但是违反规则分析也可能会发现企图通过设备的恶意流量。

4．拒绝探针

如果你曾经分析过连接到互联网的防火墙的日志，就会知道研究从互联网直接连到你的网络的探针是没有用的。它们太过频繁了，经常出现死胡同。尽管如此，你可能没有考虑过分析来自内部可信赖网络的探针日志。这些机器有趣，应为他们最可能出现的是被攻击的系统探求扫描互联网主机，或者内部用户正在运行扫描工具。这两种情况都值得关注。

你的防火墙审计日志是真正的网络安全的金矿。使用审计日志，会对你有益的。