系统管理员的防火墙日志向导

　　Windows网络总是成为黑客及其他破坏者的攻击目标。但是一旦管理员通过防火墙日志定期了解网络状态信息，破坏者就很难得逞了。

　　每周或每月查看一次防火墙日志，了解安全漏洞，浏览器速度及网络性能情况，能够保障网络安全。这些日志反应了攻击者不断攻击网络的记录，显示遭到恶意软件影响的内部系统，并且能帮助你识别与你有生意往来的公司里错误配置或遭破坏的系统。

　　从防火墙得到的信息与软件活动或设备监视器的类型有关。在选择防火墙时，要考虑使用能监控入站、出站连接和入侵企图的类型。配置防火墙日志文件大小时，注意其大小要能保存几周的有用数据；只有两天追踪信息的日志并不能提供足够数据应对可能出现的安全问题。

　　注意不断攻击的入侵者

　　最近的研究表明，新连接上网的系统在连接的头10分钟内最容易被攻击。你的防火墙也不例外。平均每20分钟所有注册的地址都会进行端口扫描。这时你会发现总有人企图连接某个端口或一组端口。多数防火墙

　　在默认情况下会阻止端口扫描。在潜在入侵者对10个或15个以上的端口依次进行扫描后，部分防火墙能在一段时间内锁住某个特定地址。

　　来自不同地址的端口扫描不是警报的原因。但如果发现在几周或几个月内有同个地址企图对端口依次进行扫描，你可能就要通过封包监听器验证源地址，确定它不是欺骗行为，并对注册该地址的雇员，承包人或有商业往来的人进行调查。

　　监控内部系统中的恶意软件尽管努力阻止，但有时仍未将Trojans，蠕虫及间谍软件等下载到桌面系统里。有些桌面恶意软件会利用一些包冲击防火墙。（我记得最近有一个端口80中的HTTP和端口7中的Echo结合）当发现内部网中系统与防火墙之间连接不恰当，就要立即查看计算机情况，确认是否安装了恶意软件，并即刻采取措施进行修复。

　　误配置伙伴合作系统只会浪费空间

　　由于商业往来，许多公司要求通过第三方进行服务器对服务器或服务器对客户端的交流。我其中一名客户有独立的承包人，改承包人通过外部代理处理公共关系。在承包人安装了代理机构的软件后，防火墙遭到来自代理服务器的非方验证请求破坏——每天平均20分钟就有15至20次试图连接。对这种行为至少有两种解释，服务器配置错误，或者遭到破坏。无论哪种情况都需要解决该问题，因为阻止企图的记录无疑会占去日志文件一定的空间和带宽，而这些空间和带宽最好是能用到合法的商业行为中。

　　拒绝服务器攻击

　　防火墙每天都记录了成百或成千的阻止连接信息。除了你指定的端口，如果防火墙阻止所有输入信息，这些企图攻入你网络的尝试虽然恼人，但相对没有什么害处。在一定时期内，恶意用户每一百毫秒就企图连接一个注册地址。这就产生了大家熟知的拒绝服务器（DoS）攻击的“lite”版本。这种类型的攻击会间歇性减缓网络访问速度，尤其是容量周围的链接。阻止记录能确认出你是或曾是“lite”或DoS的攻击对象。

　　网络中有些网站可以实时监控网络中存在的威胁。一个公认的权威网站是isc.sans.org的因特网风暴中心。该网页显示出全球的网络数据地图，这些数据都是基于对全球防火墙日志的分析——数据库包括了每日3600万条记录及每月2.4亿条记录。

　　如想将你的网络数据与当地网络的实时状态进行比较，就在ISC地图上点击你所在的国家，显示有关统计数据。主页www.dshield.org中还有彩色地图，显出全球范围中攻击关联引擎。

　　如果定期查看防火墙日志，你就能发现以上提到的一些问题，或者其他干扰网络操作或性能的异常情况。

　　除了保持对网络威胁的警惕，你也能利用防火墙日志中的数据成功说服老板增加安全预算。