定义拨入使用的所分配的地址池定义的空闲时间定义的在上创建个用户，用户名密码都为防火墙与配置配置服务器被访问,,四川科技职业学院毕业设计论文第页配置办公网络地址转换具有服务功能配置日志和保存配置入侵检测的个命令。当有数据包具有攻击或报告型特征码时，将采取报警动作缺省动作，四川科技职业学院毕业设计论文第页向指定的日志记录主机产生系统日志消息此外还可以作出丢弃数据包和发出连接复位信号等动作，需另外配置。第四章防火墙的安全管理和维护日常管理日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作数据备份账号管理磁盘空间管理等。数据备份定要备份防火墙的数据。使用种定期的自动的备份系统为般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出封确定信，而当它发现的时候，也最好能产生个明显不同的信息。为什么只是在发生的时候送出封信就好了呢如果这个系统只在有的时候产生封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有个程序检查备份有没有执行，并在备份没有执行的时候产生个信息。账号管理账号的管理。包括增加新账号删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号迅速地删除旧账号以及适时地变更密码，绝对是项非常重要的工作。建立个增加账号的程序，尽量使用个程序增加账号。即使防火墙系统上没有多少用户，但每个用户都可能是个危险。般人都有个毛病，就是漏掉些步骤，或在过程中暂停几天。如果这个空档正好碰到个账号没有密码，入侵者就很容易四川科技职业学院毕业设计论文第页进来了。账号建立程序中定要标明账号日期，以及每隔阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置个自动系统监控这些账号。这可以在系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到上，再检查它们。如果系统支持密码期限的功能，应该把该功能打开。选择稍微长点的期限，譬如说三到六个月。如果密码有效期太短，例如个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。磁盘空间管理王永群电子工业出版社网络安全策略钟建伟武汉科技学院学报信息安全保护方法分析李赫男张娟洛阳工业高等专科学院学报防火墙系统设计张少中唐毅辽宁工业学院学报据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问那是上次安装新版程序留下来的程序吗是入侵者放进来的程序吗那真的是个普通的数据文件吗是些对入侵者有特殊意义的东西等等，不幸的是能自动找出这种垃圾的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有个人定期检查磁盘，如果让每个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。监视系统对防火墙的维护监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题四川科技职业学院毕业设计论文第页防火墙已岌岌可危了吗防火墙能提供用户需求的服务吗防火墙还在正常运作吗尝试攻击防火墙的是哪些类型的攻击要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。专用设备的监视虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有些专用的监视设备会很方便。例如，可能需要在周围网络上放个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的般计算机，也可以使用特殊用途的网络检测器。如何确定这台监视机器不会被入侵者利用呢事实上，最好根本不要让入侵者知道它的存在。在些网络硬件设备上，只要利用些技术和对断线器取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功能，随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。应该监视的内容理想的情况是，应该知道通过防火墙的切事情，包括每条连接，以及每个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。在特殊情况下，要记录好以下内容是所有抛弃的包和被拒绝的连接二是每个成功的连接通过堡垒主机的时间协议和用户名三是所有从路由器中发现的堡垒主机和些代理程序。监视工作中的些经验应该把可疑的事件划分为几类是知道事件发生的原因，而且这不是个安全方面的问题二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过三是有人试图侵入，但问题并不严重，只是试探下四是有人事实上已经侵入。这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，四川科技职业学院毕业设计论文第页但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点是试图访问在不安全的端口上提供的服务如企图与端口映射或者调试服务器连接二是试图利用普通账户登录如三是请求文件传输或传输，网络文件系统映射四是给站点的