防火牆有哪些基礎篇配置
⑴ 防火牆怎麼配置
在使用防火牆之前,需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例,說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸,我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC,使用串口連接工具即可。從串口登陸到防火牆之後,可以配置用戶,密碼,登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口,一般默認配置了IP,如192.168.0.1/24。我們在對端PC上配置同網段的IP,如192.168.0.10/24,我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後,默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖,interface GigabitEthernet 0/0/0進入介面視圖,diagnose進入診斷視圖,security-policy進入安全策略視圖,firewall zone trust進入trust安全區域視圖,aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務:
telnet server enable
3. ftp配置
在aaa里配置:
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務:
ftp server enable
4. SFTP配置
配置VTY界面:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務:
sftp server enable
配置Password認證方式 :
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c:
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3:
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶:
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務:
web-manager enable
配置完Web之後,其他配置就可以登陸到Web頁面進行可視化配置了。
⑵ 華為usg防火牆基本配置命令有哪些
華為usg防火牆基本配置命令
步驟一.登陸預設配置的防火牆並修改防火牆的名稱
防火牆和路由器一樣,有一個Console介面。使用console線纜將console介面和計算機的com口連接在一塊。使用windows操作系統自帶的超級終端軟體,即可連接到防火牆。
防火牆的預設配置中,包括了用戶名和密碼。其中用戶名為admin、密碼Admin@123,所以登錄時需要輸入用戶名和密碼信息,輸入時注意區分大小寫。
修改防火牆的名稱的方法與修改路由器名稱的方法一致。
另外需要注意的是,由於防火牆和路由器同樣使用了VRP平台操作系統,所以在命令級別、命令幫助等,與路由器上相應操作相同。
sys
13:47:28 2014/07/04
Enter system view, return user view withCtrl+Z.
[SRG]sysname FW
13:47:32 2014/07/04
步驟二.修改防火牆的時間和時區信息
默認情況下防火牆沒有定義時區,系統保存的時間和實際時間可能不符。使用時應該根據實際的情況定義時間和時區信息。實驗中我們將時區定義到東八區,並定義標准時間。
clock timezone 1 add 08:00:00
13:50:57 2014/07/04
dis clock
21:51:15 2014/07/03
2014-07-03 21:51:15
Thursday
Time Zone : 1 add 08:00:00
clock datetime 13:53:442014/07/04
21:53:29 2014/07/03
dis clock
13:54:04 2014/07/04
2014-07-04 13:54:04
Friday
Time Zone : 1 add 08:00:00
步驟三。修改防火牆登錄標語信息
默認情況下,在登陸防火牆,登陸成功後有如下的標語信息。
Please Press ENTER.
Login authentication
Username:admin
Password:*********
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
防火牆設備以此信息警告非授權的訪問。
實際使用中,管理員可以根據需要修改默認的登陸標語信息。分為登錄前提示信息和登陸成功後提示信息兩種。
[FW]header login information ^
14:01:21 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500^
[FW]header shell information ^
14:02:54 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500
You are logining insystem Please do not delete system config files^
配置完成後,通過推出系統。然後重新登錄,可以查看是否生效。
Please Press ENTER.
Welcome to USG5500
Login authentication
Username:admin
Password:*********
Welcome to USG5500
You are logining insystem Please do not delete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
注意,默認達到NOTICE信息一般都會存在,不會消失或被代替。
步驟四.修改登陸防火牆的用戶名和密碼
防火牆默認使用的用戶名admin。密碼Admin@123。可以根據我們的需求進行修改。試驗中我們新建一個用戶,級別為level3.用戶名為user1.密碼:huawei@123.需要說明的是,默認情況下console介面登陸僅允許admin登陸。所以配置console介面登陸驗證方式為aaa,才能確保新建的用戶生效。在配置中,需要指定該配置的用戶名的使用范圍,本次實驗中選擇termianl,表示使用於通過console口登陸驗證的憑據。
[FW]aaa
14:15:43 2014/07/04
[FW-aaa]local-user user1 pass
[FW-aaa]local-user user1 password cipherhuawei@123
14:16:08 2014/07/04
[FW-aaa]local-user user1 service-typeterminal
14:16:28 2014/07/04
[FW-aaa]local-user user1 level 3
14:16:38 2014/07/04
[FW-aaa]q
14:16:43 2014/07/04
[FW]user-interface console 0
14:16:57 2014/07/04
[FW-ui-console0]authentication-mode aaa
退出系統,測試新用戶名和密碼是否生效。
Please Press ENTER.
Welcome to USG5500
Login authentication
Username:user1
Password:**********
Welcome to USG5500
You are logining in system Please do notdelete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
⑶ 邊界防火牆與內部防火牆配置
邊界防火牆的配置:由於網路邊界處已經配備的防火牆可能不支持TOPSEC聯動協議,因此將此防火牆更換掉用於其他網路部分,根據網路具體流量情況,採用型號為NGFW4000,支持TOPSEC聯動協議,標准配置三介面的防火牆,其最大並發連接數將近60萬個,其中兩個介面分別接外網和內網兩個網段,第三個口可以作為預留。
內網保護伺服器群防火牆的配置:資源信息伺服器群是整個網路數據保護的關鍵,因此必須在其級聯的P33交換機與核心交換機P550R處配備。 台能夠支持TOPSEC聯動協議的、高性能天融信網路衛土防火牆4000系統。用於對內部伺服器其最大並發連接數達到60萬個,一個介面接核心交換機,一個介面接級聯交換機,另一個介面作為預留介面,從而實現對內部伺服器群的訪問控制保護。
⑷ 如何配置防火牆
1、nameif
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡介面關閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置網路介面的IP地址
4、global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網介面名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網路掩碼。
5、nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
6、route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
7、static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL
訪問控制列表的命令與couit命令類似
10、偵聽命令fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet
當從外部介面要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
12、顯示命令:
showinterface;查看埠狀態。
showstatic;查看靜態地址映射。
showip;查看介面ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
13、DHCP服務
PIX具有DHCP服務功能。
⑸ 什麼是硬體防火牆怎麼配置
硬體防火牆是指把防火牆程序做到晶元裡面,由硬體執行這些功能,能減少CPU的負擔,使路由更穩定。
硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定,直接關繫到整個內部網路的安全。因此,日常例行的檢查對於保證硬體防火牆的安全是非常重要的。
系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭,例行檢查的任務就是要發現這些安全隱患,並盡可能將問題定位,方便問題的解決。
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
⑹ 防火牆構造和設置有哪些要求
防火牆是分隔水平防火分區或防止建築間火災蔓延的重要分隔構件,對於減少火災損失發揮著重要作用。
(1)防火牆應直接設置在建築的基礎或框架、梁等承重結構上,框架、梁等承重結構的耐火極限不應低於防火牆的耐火極限。
防火牆應從樓地面基層隔斷至梁、樓板或屋面板的底面基層。當高層廠房(倉庫)屋頂承重結構和屋面板的耐火極限低於1.00h,其他建築屋頂承重結構和屋面板的耐火極限低於0.50h時,防火牆應伍拍並高出屋面0.5m以上。
(2)防火牆橫截面中心線水平距離天窗端面小於4.0m,且天窗端面為可燃性牆體時,應採取防止火勢蔓延的措施。
(3)建築外牆為難燃性或可燃性牆體時,防火牆應凸出牆的外表面0.4m以上腔跡,且防火牆兩側的外牆均應為寬度均不小於2.0m的不燃性牆體,其耐火極限不應低於外牆的耐火極限。
建築外牆為不燃性牆體時,防火牆可不凸出牆的外表面,緊靠防火牆兩側的門、窗、洞口之間最近邊緣的水平距離不應小於2.0m;採取設置乙級防火窗等防止火災水平蔓延的措施時,該距離不限。
(4)建築內的防火牆不宜設置在轉角處,確需設置時,內轉角兩側牆上的門、窗、洞口之間最近邊緣的水平距離不應小於4.0m;採取設置乙級防火窗等防止火災水平蔓延的措施時,該距離不限。
(5)防火牆上不應開設門、窗、洞口,確需開設時,應設置不可開啟或火災時能自動關閉的甲級防火門、窗。
可燃氣體和甲、乙、丙類液體的管道嚴禁穿過防火牆。防火牆內不應設置排氣道。
(6)除(5)規定外的其他管道不宜穿過防火牆,確需穿過時,應採用防火封堵材料將牆與管道之間的空隙緊密填實,穿過防火牆處的管道保溫材料,應採用不燃材料;當管道為難燃及可燃材料時,應在防火牆兩側的管道上採取防火措施。
(7)防火牆的構造應能在防火牆任意一側的屋賀殲架、梁、樓板等受到火災的影響而破壞時,不會導致防火牆倒塌。
⑺ 簡述防火牆有哪些基本功能
防火牆主要有以下幾方面基本功能
1. 創建一個阻塞點
防火牆在一個公司內部網路和外部網路間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立,防火牆設備就可以監視,過濾和檢查所有進來和出去的流量。這樣一個檢查點,在網路安全行業中稱之為「阻塞點」。通過強制所有進出流量都通過這些檢查點,網路管理員可以集中在較少的地方來實現安全目的。如果沒有這樣一個供監視和控制信息的點,系統或安全管理員則要亮畝在大量的地方來進行監測。
2. 隔離不同網路,防止內部信息的外泄
這是防火牆的最基本功能,它通過隔離內、外部網路來確保內部網路的安全。也限制了局部重點或敏感網路安全問題對全局網路造成的影響。企業秘密是大家普遍非常關心的問題,一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所截獲,攻擊者通過所獲取的信息可以知道一個系統使用的頻繁程度,這個系統是否有敬和森用戶正在連線上網等信息。防火牆可以同樣阻塞有關內部網路中的DNS信息,這樣一台主機的域名和IP地址就不會被外界所了解。
3. 強化網路安全策略
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。各種安全措施的有機結合,更能有效地對網路安全性能起到加強作用。
4. 有效地審計和記錄內、外部網路上的活動
防火牆可以對內、外部網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並進行日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。這為網路管理人員提供非常重要的安全管理信息,可以使管理員清楚防火牆是否能夠抵擋攻擊者的棚如探測和攻擊,並且清楚防火牆的控制是否充足。
⑻ 防火牆 配置原則
一、區域網內共享的天網防火牆設置
1、首先保證在沒有裝防火牆的情況下區域網內是可以相互通訊的(如果你連這個都不能保障那麼就不是防火牆的問題了)
2、在防火牆的系統設置裡面按刷新,設置好本地區域網的IP地址
3、在自定義IP規則的TCP協議里把其中『允許區域網內的機器進行連接和傳輸』打上勾,並且保存規則
4、訪問網路
如果共享列印機不能使用的,那就要開放對應的連接埠就可以了
二、設置規則開放WEB服務的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——任何地址
4、設置TCP本地埠80到80,對方埠0到0,TCP標志位為SYN,當滿足上面條件時「通行」,確定
5、在IP規則列表中把該規則上移到TCP協議的第一條,並選上勾再保存
三、設置規則開放FTP服務的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——任何地址
4、設置TCP本地埠20到21,對方埠0到0,TCP標志位為SYN,當滿足上面條件時「通行」,確定
5、在IP規則列表中把該規則上移到TCP協議的第一條,並選上勾再保存
其它埠的開放設置方法類似
四、關閉或開放特定埠
例,關閉TCP 139埠
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收或發送,對方IP地址——任何地址
4、設置TCP本地埠139到139,對方埠0到0,TCP標志位為SYN,當滿足上面條件時『攔截』,確定;同時還:記錄、警告、發聲(視個人設置喜好,可選擇若干方式)
5、在IP規則列表中把該新規則上移到TCP協議的第一條,並選上勾再保存
其它埠的關閉設置方法類似;如要開放埠的,設置後把『攔截』改為『通行』就可以了。
五、設置規則屏蔽或開放IP的步驟
1、進入防火牆自定義IP規則,增加規則
2、輸入名稱、說明 (可任意輸入,以便查閱)
3、設置數據包方向——接收和發送,對方IP地址——指定地址
4、選擇IP協議,當滿足上面條件時「攔截」,確定
5、在IP規則列表中把該規則上移到IP協議的第一條,並把新規則和IP規則選上勾再保存
屏蔽IP的方法如上;但如果要開放指定IP的,設置後把『攔截』改為『通行』就可以了。
⑼ 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
⑽ 如何配置防火牆
1、打開控制面板,點擊「系統和安全」。
