3、必不可少的监视系统

　　对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题：(1).防火墙已经岌岌可危了吗?(2).防火墙能提供用户需求的服务吗?(3).防火墙还在正常运作吗?(4).尝试攻击防火墙的足哪些类型的攻击?要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。

　　(1).专用设备的监视

　　虽然大部分的监视工作部是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都足预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。

　　如何确定达一台监视机器不会被入侵者利用呢?事实上，最好根本不要让入侵者知道它的存在。在某些网络设备上，只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取淌传输功能，随时停止传输。但是，在这种情况下，很难确认操作是否已经成功了。

　　(2).应该监视的内容

　　理想的情况是，应该知道通过防火墙的一切事情，包括每一条连接，以及每一个丢弃或接受的数据包。然而，实际的情况足很难做到的，折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。

　　在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接;二足每一个成功的连接通过堡垒主机的时间、协议和用户名，三是所有从路由器中发现的错误，堡垒主机和一些代理程序。

　　(3).监视工作巾的一些经验

　　应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不足一个安全方面的问题，二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从末再出现过，三是有人试图侵入，但问题并不严重，只是试探一下;四是有人事实上已经侵入。

　　这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS映射;四是给站点的SMTP发送debug命令。

　　如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别足互联网上的通用账户，二是目的不明的数据包命令，三足向某个范围内每个端口广播的数据包;四是不明站点的成功登录。

　　如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点：一是日志文件被删除或者修改;二足程序突然忽略所期望的正常信息;三足新的日志文件包含有不能解释的密码信息或数据包痕迹;四是特权用户的意外登录(例如root用户)，或者突然成为特权用户的意外用户;五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序;六是登录提示信息发生了改变。

　　4、务必保持最新状态

　　保持防火墙的最新状态也是维护和管理防火墙的一个重点。在这个侵袭与反侵袭的领域中，每天都产生新的事物、发现新的毛病，以新的方式进行侵袭，同时，现有的工具也会不断地被更新。因此，要使防火墒能同该领域的发展保持同步。

　　当防火墙需要修补、升级一些东西，或增加新功能时，就必须投入较多的时间。当然所花的时间长短视修补、升级、或增加新功能的复杂程度而定。如果开始时对站点需求估计得越准确，防火墙的设计和建造做得越好，防火墙适应这些改变所花的时间就越少。

　　综合：防火墙能保护网络的安全，但并不是绝对安全的，而足相对的。因此，我们要不断地提高我们管理和维护的水平，去更好地保护我们的网络。