管理员的防火墙日志向导

　　每周或每月查看一次防火墙日志，了解安全漏洞，浏览器速度及网络性能情况，能够保障网络安全。这些日志反应了攻击者不断攻击网络的记录，显示遭到恶意软件影响的内部系统，并且能帮助你识别与你有生意往来的公司里错误配置或遭破坏的系统。

　　从防火墙得到的信息与软件活动或设备监视器的类型有关。在选择防火墙时，要考虑使用能监控入站、出站连接和入侵企图的类型。配置防火墙日志文件大小时，注意其大小要能保存几周的有用数据；只有两天追踪信息的日志并不能提供足够数据应对可能出现的安全问题。

注意不断攻击的入侵者

　　最近的研究表明，新连接上网的系统在连接的头10分钟内最容易被攻击。你的防火墙也不例外。平均每20分钟所有注册的地址都会进行端口扫描。这时你会发现总有人企图连接某个端口或一组端口。多数防火墙在默认情况下会阻止端口扫描。在潜在入侵者对10个或15个以上的端口依次进行扫描后，部分防火墙能在一段时间内锁住某个特定地址。

　　来自不同地址的端口扫描不是警报的原因。但如果发现在几周或几个月内有同个地址企图对端口依次进行扫描，你可能就要通过封包监听器验证源地址，确定它不是欺骗行为，并对注册该地址的雇员，承包人或有商业往来的人进行调查。

　　监控内部系统中的恶意软件

　　尽管努力阻止，但有时仍未将Trojans，蠕虫及间谍软件等下载到桌面系统里。有些桌面恶意软件会利用一些包冲击防火墙。（我记得最近有一个端口80中的HTTP和端口7中的Echo结合）当发现内部网中系统与防火墙之间连接不恰当，就要立即查看计算机情况，确认是否安装了恶意软件，并即刻采取措施进行修复。

[1] [2]  下一页