详述防火墙维护与管理以及技术发展趋势

核心提示： ① 除非明确不允许，否则允许某种服务;② 除非明确允许，详述防火墙维护与管理以及技术发展趋势(7)，否则将禁止某项服务，执行第一种策略的防火墙在默认情况下允许所有的服务，也有可能会忽略失败信息，理想的情况是有一个程序检查备份有没有执行，除非管理员对某种服务明确表示禁止，执行第二种策略的防火

① 除非明确不允许，否则允许某种服务;

② 除非明确允许，否则将禁止某项服务。

执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种)，也可以实施一种限制性策略(第二种)，这就是制定防火墙策略的入手点。

3) 安全策略设计时需要考虑的问题

为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下问题：

◆需要什么服务，如Telnet、WWW或NFS等;

◆在那里使用这些服务，如本地、穿越因特网、从家里或远方的办公机构等;

◆是否应当支持拨号入网和加密等服务;

◆提供这些服务的风险是什么;

◆若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大;

◆与可用性相比，站点的安全性放在什么位置。

4.2 日常管理

日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作：数据备份、账号管理、磁盘空间管理等。

1) 数据备份

一定要备份防火墙的数据。使用一种定期的、自动的备份系统为一般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出一封确定信，而当它发现错误的时候，也最好能产生一个明显不同的信息。

为什么只是在错误发生的时候送出一封信就好了呢?如果这个系统只在有错误的时候产生一封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢?如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有一个程序检查备份有没有执行，并在备份没有执行的时候产生一个信息。