Windows網(wǎng)絡(luò)總是成為黑客及其他破壞者的攻擊目標(biāo)。但是一旦管理員通過防火墻日志定期了解網(wǎng)絡(luò)狀態(tài)信息，破壞者就很難得逞了。

每周或每月查看一次防火墻日志，了解安全漏洞，瀏覽器速度及網(wǎng)絡(luò)性能情況，能夠保障網(wǎng)絡(luò)安全。這些日志反應(yīng)了攻擊者不斷攻擊網(wǎng)絡(luò)的記錄，顯示遭到惡意軟件影響的內(nèi)部系統(tǒng)，并且能幫助你識別與你有生意往來的公司里錯誤配置或遭破壞的系統(tǒng)。

從防火墻得到的信息與軟件活動或設(shè)備監(jiān)視器的類型有關(guān)。在選擇防火墻時，要考慮使用能監(jiān)控入站、出站連接和入侵企圖的類型。配置防火墻日志文件大小時，注意其大小要能保存幾周的有用數(shù)據(jù)；只有兩天追蹤信息的日志并不能提供足夠數(shù)據(jù)應(yīng)對可能出現(xiàn)的安全問題。

注意不斷攻擊的入侵者

最近的研究表明，新連接上網(wǎng)的系統(tǒng)在連接的頭10分鐘內(nèi)最容易被攻擊。你的防火墻也不例外。平均每20分鐘所有注冊的地址都會進(jìn)行端口掃描。這時你會發(fā)現(xiàn)總有人企圖連接某個端口或一組端口。多數(shù)防火墻

在默認(rèn)情況下會阻止端口掃描。在潛在入侵者對10個或15個以上的端口依次進(jìn)行掃描后，部分防火墻能在一段時間內(nèi)鎖住某個特定地址。

來自不同地址的端口掃描不是警報的原因。但如果發(fā)現(xiàn)在幾周或幾個月內(nèi)有同個地址企圖對端口依次進(jìn)行掃描，你可能就要通過封包監(jiān)聽器驗證源地址，確定它不是欺騙行為，并對注冊該地址的雇員，承包人或有商業(yè)往來的人進(jìn)行調(diào)查。

監(jiān)控內(nèi)部系統(tǒng)中的惡意軟件盡管努力阻止，但有時仍未將Trojans，蠕蟲及間諜軟件等下載到桌面系統(tǒng)里。有些桌面惡意軟件會利用一些包沖擊防火墻。（我記得最近有一個端口80中的HTTP和端口7中的Echo結(jié)合）當(dāng)發(fā)現(xiàn)內(nèi)部網(wǎng)中系統(tǒng)與防火墻之間連接不恰當(dāng)，就要立即查看計算機(jī)情況，確認(rèn)是否安裝了惡意軟件，并即刻采取措施進(jìn)行修復(fù)。

誤配置伙伴合作系統(tǒng)只會浪費(fèi)空間

由于商業(yè)往來，許多公司要求通過第三方進(jìn)行服務(wù)器對服務(wù)器或服務(wù)器對客戶端的交流。我其中一名客戶有獨(dú)立的承包人，改承包人通過外部代理處理公共關(guān)系。在承包人安裝了代理機(jī)構(gòu)的軟件后，防火墻遭到來自代理服務(wù)器的非方驗證請求破壞——每天平均20分鐘就有15至20次試圖連接。對這種行為至少有兩種解釋，服務(wù)器配置錯誤，或者遭到破壞。無論哪種情況都需要解決該問題，因為阻止企圖的記錄無疑會占去日志文件一定的空間和帶寬，而這些空間和帶寬最好是能用到合法的商業(yè)行為中。

拒絕服務(wù)器攻擊

防火墻每天都記錄了成百或成千的阻止連接信息。除了你指定的端口，如果防火墻阻止所有輸入信息，這些企圖攻入你網(wǎng)絡(luò)的嘗試雖然惱人，但相對沒有什么害處。在一定時期內(nèi)，惡意用戶每一百毫秒就企圖連接一個注冊地址。這就產(chǎn)生了大家熟知的拒絕服務(wù)器（DoS）攻擊的“l(fā)ite”版本。這種類型的攻擊會間歇性減緩網(wǎng)絡(luò)訪問速度，尤其是容量周圍的鏈接。阻止記錄能確認(rèn)出你是或曾是“l(fā)ite”或DoS的攻擊對象。

網(wǎng)絡(luò)中有些網(wǎng)站可以實時監(jiān)控網(wǎng)絡(luò)中存在的威脅。一個公認(rèn)的權(quán)威網(wǎng)站是isc.sans.org的因特網(wǎng)風(fēng)暴中心。該網(wǎng)頁顯示出全球的網(wǎng)絡(luò)數(shù)據(jù)地圖，這些數(shù)據(jù)都是基于對全球防火墻日志的分析——數(shù)據(jù)庫包括了每日3600萬條記錄及每月2.4億條記錄。

如想將你的網(wǎng)絡(luò)數(shù)據(jù)與當(dāng)?shù)鼐W(wǎng)絡(luò)的實時狀態(tài)進(jìn)行比較，就在ISC地圖上點擊你所在的國家，顯示有關(guān)統(tǒng)計數(shù)據(jù)。主頁www.dshield.org中還有彩色地圖，顯出全球范圍中攻擊關(guān)聯(lián)引擎。

如果定期查看防火墻日志，你就能發(fā)現(xiàn)以上提到的一些問題，或者其他干擾網(wǎng)絡(luò)操作或性能的異常情況。

除了保持對網(wǎng)絡(luò)威脅的警惕，你也能利用防火墻日志中的數(shù)據(jù)成功說服老板增加安全預(yù)算。