和路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備相比，硬件防火墻并沒有什么不同。它們同樣具有不長的生命周期，過不了幾年就要更新?lián)Q代。但是和其它設(shè)備相比，更換防火墻做的好的話是挺麻煩的一件事，做不好還會(huì)給網(wǎng)絡(luò)帶來安全隱患。

對(duì)于中小企業(yè)來說，管理防火墻時(shí)網(wǎng)絡(luò)管理員或系統(tǒng)管理員所承擔(dān)的眾多職責(zé)中的一項(xiàng)。因此，作為一個(gè)IT技術(shù)人員，至少也要知道防火墻的內(nèi)部結(jié)構(gòu)。一般來說，對(duì)防火墻的操作都是間歇性的，比如企業(yè)網(wǎng)絡(luò)上添加了新的應(yīng)用程序，或者添加了新的服務(wù)器，才需要對(duì)防火墻進(jìn)行適當(dāng)配置。對(duì)于日常工作來說，這種偶爾的工作不會(huì)有什么問題，但是對(duì)于一些更復(fù)雜深入的工作，比如將一個(gè)廠商的防火墻更換為另一個(gè)廠商的產(chǎn)品，或者從低端產(chǎn)品升級(jí)到高端產(chǎn)品，這個(gè)過程對(duì)于IT技術(shù)人員來說會(huì)有更多的要求。

升級(jí)防火墻所涉及到的問題包括很多，有的問題比較簡單直接，有些則很復(fù)雜，但不論怎樣，該考慮的方面非常多。

[[8399]]

圖A

比如 Cisco ASA 5505 (圖A)的操作手冊(cè)有114頁。這種情況不止是Cisco產(chǎn)品獨(dú)有的， Welch-Abernathy的長達(dá) 656頁的Essential Checkpoint Firewall (2004) 手冊(cè)被Amazon 的評(píng)測(cè)人員評(píng)為“最適合新手學(xué)習(xí)”的手冊(cè)。

近日我采訪了Rich Gallo ，作為一家小型技術(shù)企業(yè)的系統(tǒng)管理員，他剛剛升級(jí)了公司一臺(tái)防火墻。在采訪中，他提供了一個(gè)很長的升級(jí)防火注意事項(xiàng)列表。粗略來看分為七大類，如圖B所示。

圖 B

Gallo在工作中遇到的主要問題包括處理之前由ISP Verizon設(shè)置的未使用過的外部Ip地址，以及與遠(yuǎn)程辦公室子網(wǎng)進(jìn)行協(xié)調(diào)。兩個(gè)技術(shù)人員協(xié)同工作無疑可以極大的降低防火墻手工遷移過程中出錯(cuò)的概率。

防火墻升級(jí)的同時(shí)，也是路由器線纜重排，交換機(jī)移動(dòng)位置，調(diào)整帶寬分配或重新整理機(jī)柜的好時(shí)機(jī)。

好的測(cè)試是必要的一個(gè)環(huán)境，而測(cè)試不僅包括連接性的測(cè)試，還包括應(yīng)用程序的測(cè)試。比如，面向公眾的網(wǎng)絡(luò)應(yīng)用就必須從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)環(huán)境進(jìn)行測(cè)試，必要時(shí)還要使用特殊測(cè)試工具或軟件。還應(yīng)該審慎的檢查故障應(yīng)急計(jì)劃以及恢復(fù)計(jì)劃，以防萬一。

VPN是一個(gè)特殊的情況，可能會(huì)影響到防火墻規(guī)則設(shè)置。在Gallo的公司，有站點(diǎn)到站點(diǎn)的VPN連接需要格外注意。另外，在設(shè)定VPN時(shí)，還要注意特定客戶的問題，因?yàn)橐瑫r(shí)支持x32 和x64 位系統(tǒng)， Mac系統(tǒng), Windows和 Linux系統(tǒng)平臺(tái)的客戶，以及其它各種環(huán)境下的用戶。比如在設(shè)置過程中發(fā)現(xiàn)一個(gè) Snow Leopard系統(tǒng)無法進(jìn)行正確的VPN連接。管理員通過收集各方面信息以及DNS記錄，最終解決了問題。

防火墻規(guī)則是防火墻的核心能力的體現(xiàn)，但是新舊防火墻可能在規(guī)則設(shè)置上存在很大的差別。此時(shí)正好可以將這些差別通過文檔形式記錄下來，刪除無用的規(guī)則，并通過程序管理器運(yùn)行新規(guī)則。防火墻規(guī)則應(yīng)該同時(shí)采用機(jī)器可讀的防火墻特定格式，以及明文可閱讀格式書寫。

新的防火墻會(huì)影響到日志以及警告進(jìn)程。因此應(yīng)該計(jì)劃升級(jí)警告和日志閱讀程序，以便能夠?qū)π碌木孀龀鲰憫?yīng)，并能讓安全分析程序以及其它類似的程序正常工作。

在升級(jí)防火墻時(shí)，有很多工作要做。有可能出現(xiàn)防火墻許可證支持DMZ問題，處理電子郵件服務(wù)器的特殊問題，或者為了支持遠(yuǎn)端辦公室而設(shè)置額外邏輯規(guī)則等。而這個(gè)列表基本上能夠模擬你在面對(duì)防火墻升級(jí)時(shí)所考慮的問題以及問題的順序。

【編輯推薦】

1. 選擇硬件防火墻時(shí)你應(yīng)注意的十件事
2. 深入理解防火墻 有效屏蔽外界的攻擊
3. 防火墻功能分類及其局限性介紹分析