四川科技职业学院毕业设计论文第页配置办公网络地址转换具有服务功能配置日志和保存配置入侵检测的个命令。当有数据包具有攻击或报告型特征码时，将采取报警动作缺省动作，四川科技职业学院毕业设计论文第页向指定的日志记录主机产生系统日志消息此外还可以作出丢弃数据包和发出连接复位信号等动作，需另外配置。第四章防火墙的安全管理和维护日常管理日常管理是经常性的琐碎工作，以使防火墙保持清洁和安全。为此，需要经常去完成的主要工作数据备份账号管理磁盘空间管理等。数据备份定要备份防火墙的数据。使用种定期的自动的备份系统为般用途的机器做备份。当这个系统正常做完备份之后，最好还能发送出封确定信，而当它发现的时候，也最好能产生个明显不同的信息。为什么只是在发生的时候送出封信就好了呢如果这个系统只在有的时候产生封信，或许就有可能不会注意到这个系统根本就没有运作。那为什么需要明显不同的信息呢如果备份系统正常和执行失败时产生的信息很类似。那么习惯于忽略成功信息的人，也有可能会忽略失败信息。理想的情况是有个程序检查备份有没有执行，并在备份没有执行的时候产生个信息。账号管理账号的管理。包括增加新账号删除旧账号及检查密码期限等，是最常被忽略的日常管理工作。在防火墙上，正确的增加新账号迅速地删除旧账号以及适时地变更密码，绝对是项非常重要的工作。建立个增加账号的程序，尽量使用个程序增加账号。即使防火墙系统上没有多少用户，但每个用户都可能是个危险。般人都有个毛病，就是漏掉些步骤，或在过程中暂停几天。如果这个空档正好碰到个账号没有密码，入侵者就很容易四川科技职业学院毕业设计论文第页进来了。账号建立程序中定要标明账号日期，以及每隔阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置个自动系统监控这些账号。这可以在系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到上，再检查它们。如果系统支持密码期限的功能，应该把该功能打开。选择稍微长点的期限，譬如说三到六个月。如果密码有效期太短，例如个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险。磁盘空间管理数据总是会塞满所有可用的空间，即使在几乎没有什么用户的机器上也样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问那是上次安装新版程序留下来的程序吗是入侵者放进来的程序吗那真的是个普通的数据文件吗是些对入侵者有特殊意义的东西等等，不幸的是能自动找出这种垃圾的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有个人定期检查磁盘，如果让每个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件，显然就会有问题。事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。监视系统对防火墙的维护监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题四川科技职业学院毕业设计论文第页防火墙已岌岌可危了吗防火墙能提供用户需求的服务吗防火墙还在正常运作吗尝试攻击防火墙的是哪些类型的攻击要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。专用设备的监视虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有些专用的监视设备会很方便。例如，可能需要在周围网络上放个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的般计算机，也可以使用特殊用途的网络检测器。如何确定这台监视机器不会被入侵者利用呢事实上，最好根本不要让入侵者知道它的存在。在些网络硬件设备上，只要利用些技术和对断线器取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取消传输功能，随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。应该监视的内容理想的情况是，应该知道通过防火墙的切事情，包括每条连接，以及每个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。在特殊情况下，要记录好以下内容是所有抛弃的包和被拒绝的连接二是每个成功的连接通过堡垒主机的时间协议和用户名三是所有从路由器中发现的堡垒主机和些代理程序。监视工作中的些经验应该把可疑的事件划分为几类是知道事件发生的原因，而且这不是个安全方面的问题二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过三是有人试图侵入，但问题并不严重，只是试探下四是有人事实上已经侵入。这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，四川科技职业学院毕业设计论文第页但是下面这些归纳出的经验可能会对网络系统管理员有所帮们起学习生活，让我在大学期间生活的很充实，给我留下了很多难忘的回忆。最后，我要感谢我的父母对我的关系和理解，如果没有他们在我的学习生涯中的无私奉献和默默支持，我将无法顺利完成今天的学业。四年的大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上个新的征程，要把所学的知识应用到实际工作中去。回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师四年来对我孜孜不倦的教诲，对我成长的关心和爱护。学友情深，情同兄妹。四年的风风雨雨，我们同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。在我的十几年求学历程里，离不开父母的鼓励和支持，是他们辛勤的劳作，无私的付出，为我创造良好的学习条件，我才能顺利完成完成学业，感激他们直以来对我的抚养与培育。最后，我要特别感谢我的导师赵达睿老师和研究生助教熊伟丽老师。是他们在我毕业的最后关头给了我们巨大的帮助与鼓励，给了我很多解决问题的思路，在此表示衷心的感激。老师们认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅。他无论在理论上还是在实践中，都给与我很大的帮助，使我得到不少的提高这对于我以后的工作和学习都有种巨大的帮助，感谢他耐心的辅导。在论文的撰写过程中老师们给予我很大的帮助，帮助解决了不少的难点，使得论文能够及时完成，这里并表示真诚的感谢如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点是试图访问在不安全的端口上提供的服务如企图与端口映射或者调试服务器连接二是试图利用普通账户登录如三是请求文件传输或传输，网络文件系统映射四是给站点的，简单邮件传输协议服务器发送命令。如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户二是目的不明的数据包命令三是向个范围内每个端口广播的数据包四是不明站点的成功登录。如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点是日志文件被删除或者修改二是程序突然忽略所期望的正常信息三是新的日志文件包含有不能解释的密码信息或数据包痕迹四是特权用户的意外登录例如用户，或者突然成为特权用户的意外用户五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序六是登录提示信息发生了改变。对试探作出的处理通常情况下，不可避免地发觉外界对防火墙进行明显试探有人向没有向提供的服务发送数据包，企图用不存在的账户进行登录等。试探通常进行两次，如果他们没有得到令人感兴趣的反应，他们通常就会走开。而如果想弄明白试探来自何方，这可能就要花大量时间追寻类似的事件。然而，在大多数情况下，这样做不会有很大成效，这种追寻试探的新奇感很快就会消失。些人满足于建立防火墙机器去诱惑人们进行般的试探。例如，在匿名的区域设置装有用户账号数据的文件，即使试探者破译了密码，看到的也只是个虚假信息。这对于消磨空闲时间是没有害处的，这还能得到报复的快感，但是事实上它不会改善防火墙的安全性。它只能使入侵者恼怒，从而坚定了入侵者闯入站点的决心。保持最新状态保持