详述防火墙维护与管理以及技术发展趋势

核心提示： 在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序，详述防火墙维护与管理以及技术发展趋势(10)，3) 监视工作中的一些经验应该把可疑的事件划分为几类：一是知道事件发生的

在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接;二是每一个成功的连接通过堡垒主机的时间、协议和用户名;三是所有从路由器中发现的错误、堡垒主机和一些代理程序。

3) 监视工作中的一些经验

应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不是一个安全方面的问题;二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过;三是有人试图侵入，但问题并不严重，只是试探一下;四是有人事实上已经侵入。

这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS(Network File System，网络文件系统)映射;四是给站点的SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)发送debug命令。

如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户;二是目的不明的数据包命令;三是向某个范围内每个端口广播的数据包;四是不明站点的成功登录。

如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点：一是日志文件被删除或者修改;二是程序突然忽略所期望的正常信息;三是新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户)，或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序;六是登录提示信息发生了改变。