修改配置
不时地与任何设备,您将需要修改防火墙的配置。是否这是由于线带来的新设备接入互联网或添加一个新的web服务器在防火墙后面,有必要改变防火墙配置。修改配置的问题归结为改变control-ensuring跟踪更改防火墙和登录的问题。这些物品将在下面几节中讨论。
变更控制
变更控制被定义为过程和程序来管理产品或配置更改。为了讨论,重点是控制变更的配置防火墙。变更控制的防火墙依赖于这些变化被记录或复制之前的配置存储或两者兼而有之。一个最简单的方法来控制改变防火墙的配置是使用某种形式的版本控制系统在版本控制服务(RCS)或并发版本系统(CVS)——检查更改,如有必要,重现以前的版本的配置应该出现的问题。这是当防火墙的配置存储为一个文本文件,可以下载到系统作为RCS或CVS存储库。当防火墙的配置不能作为一个文本文件,下载运行日志的更改防火墙应该保持这样的变化可以在必要时退出了。看到http://www.cs.purdue.edu/homes/trinkle/RCS更多信息关于RCS, CVS,和其他变更控制软件系统。
建立一个简单的变更控制系统,如RCS(在UNIX、Linux或Windows)管理改变防火墙配置,重要的是要记住,配置有时行政包含敏感信息,如密码或访问控制列表(acl)。重要的是,RCS (CVS)系统和包含配置文件的目录或文件夹保持安全。在UNIX或Linux,这需要改变RCS库这样的权限根行政组内或其他有访问权限,例如:
# chgrp轮配置# chmod - r 750款
这些命令改变组配置目录的所有权车轮组,然后更改的权限,以及所有目录下,读、写和执行业主;读取和执行小组成员;和其他人没有权限。这限制了访问目录,在这个例子中,只有所有者以及其他用户是车轮组的成员。然而,小组成员不能更改文件目录中。他们只能查看它们。只有所有者可以更改配置文件的目录。
在Windows下,但其过程是相似的。只限制管理员或管理集团每一个人组织必须被删除。这可以通过设置权限所示图11-7。设置安全文件夹的权限,您必须右键单击该文件夹,然后选择属性。这将打开文件夹属性窗口所示图11-7。在文件夹属性窗口,打开安全选项卡。这将打开安全权限的文件夹,如图所示图11 - 8。
文件夹属性
最初的文件夹的安全设置
选择每一个人集团和点击删除按钮右侧的属性窗口。然后点击添加按钮以添加用户你想拥有所有权的文件夹(在本例中,域管理员所有权)。图11-9显示了结果。
最后一个文件夹的安全设置
当完成时,访问文件夹是有限的,只有适当的凭证,如图所示图11。
拒绝访问,没有适当的凭证
配置存储库的目录已经被保护足够时,下一步是检查初始配置的存储库。初始配置是起点,您将使用一个已知的好配置的设备。任何更改初始配置后跟踪使用配置库。通过这样做,你将能够重建一个好的配置在一个特定的变化是不好或需要被删除。此外,通过使用版本控制,您可以找出谁做什么改变,为什么要求的个人改变输入日志条目解释它的变化和需要。在最初的检查,配置好设备,只需使用签入(ci剩下的)命令所示的例子。这个例子展示了如何在一个文件检查存储库以及如何查看一个文件从存储库。这些命令在命令行上输入在UNIX和Windows环境。
剩下的例子:使用RCS配置控制
73 #ci - frodo.cfgRCS /弗罗多。cfg, v <——弗罗多。cfg输入描述,与单一的终止。或结束的文件:注意:这不是日志消息!> >初始配置的外部边缘路由器/ > >。完成(root@sauron款)126 #有限公司- l frodo.cfgRCS /弗罗多。cfg, v - - >弗罗多。cfg修订1.1(锁)做(root@sauron款)127 #ls - l总26 drwxrwx——2根sysadmin 512年8月29日10:06 RCS -rw-r - - - - - - 1根其他11879年8月29日10:06 frodo.cfg
的ci命令检查配置成存储库。的-我国旗告诉RCS软件创建和初始化一个新的存储库。的有限公司命令是用来检查项目的存储库。的- l国旗也锁库为特定用户发布了有限公司命令。检查配置文件时的存储库,它出现在本地目录(或文件夹在Windows)剩下的如上所示的例子。在这种情况下是frodo.cfg工作文件。
文件已经签出,锁定后,只有当前用户可以更改配置。然后检查回库文件时,必须记录所做的变更。当你检查新版本回库,RCS软件存储库允许您添加一个日志消息来解释这些变化。把的例子演示了如何检查到RCS库的配置更改。请注意,-我国旗是不习惯,因为我们不是初始化库。配置后回仓库,检查工作文件(在本例中,frodo.cfg)是通过RCS软件删除。
把的例子:检查在改变RCS库中
[root@sauron款)132 #ci frodo.cfgRCS /弗罗多。cfg, v <——弗罗多。cfg新版本:1.2;之前的版本:1.1输入日志消息,与单一的终止。或结束的文件:> >添加新的外部NAT地址,172.16.45.152 - > 192.168.155.152 - idubraws > >。完成(root@sauron配置]33 #ls - l总2 drwxrwx——2根sysadmin 512年8月29日10:20 RCS
RCS, CVS和其他开源修订控制系统提供一种简单,低成本的管理和控制配置更改。
变更控制记录
变更控制日志的过程变更控制系统中输入的信息是关于更改配置。重要的是,信息配置更改时被包括。这提供了简单故障排除应与新配置一个问题发生。当新配置修改检查存储库,RCS软件自动提供的日志消息。日志消息应该充分反映更改配置,另一个人可以进去,识别变化,并可以在必要时支持他们。查看所有的更改的一种方法到一个特定的配置文件通过RCS rlog程序的使用。rlog程序打印日志消息RCS库中的文件和其他信息。11:6例子演示了观看的RCS日志配置使用rlog命令。查看日志文件的更改配置管理通过RCS,语法只是rlog文件名。这将显示所有文件更改的日志条目。
示例11:6:查看RCS日志配置更改
[root@sauron款)136 #rlog frodo.cfgRCS文件:RCS /弗罗多。cfg, v工作文件:佛罗多。cfg头:1.2分支:锁:严格的访问列表:符号名称:关键字替换:kv总修改:2;选择修改:2描述:外部/边缘路由器的初始配置- - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1.2修订日期:2005/08/29 14:19:59;作者:根;状态:经验值;行:+ 1 0添加新的外部NAT地址,172.16.45.152 - > 192.168.155.152 - idubraws - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1.1修订日期:2005/08/29 13:51:42;作者:根;状态:经验值;最初的版本
例子中的输出11:6提供了大量的信息。例如,工作文件在工作文件中标识线。此外,它显示了多少已经修改文件(在这个例子中,两个做过修改)。的描述和下面提供的文件修订日志条目。
这表明之后的所有更改的日志条目配置文件首次检查存储库。注意,用户的名称使NAT配置的变化进入日志消息本身。然而使用根用户管理账户。这是很重要的,如果一个人需要联系关于他或她的改变。更好的做法是使用个人用户帐户提供责任任何更改需要回滚的配置。
查看更改之间的配置,管理员可以使用rcsdiff11-7命令所示的例子。的rcsdiff命令显示了给定文件的两个版本之间的差异在RCS库中。11-7的例子,这表明进入修订级别之间的配置命令指定使用- r国旗在命令行上。
示例11-7:查看不同的配置修改
[root@sauron配置]14 #rcsdiff -r1.1 -r1.2 frodo.cfg= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = RCS文件:RCS /弗罗多。cfg, v检索修订1.1检索修订1.2 diff -r1.1 -r1.2 73 a74 > ip nat内部源静态172.16.45.152 66.92.161.152
虽然RCS是有用的一个小网站,企业网络管理员会更好商业配置管理工具如CiscoWorks防火墙的管理中心。该工具不仅提供了版本控制的配置也是一个工作流工具,提供了管理员的职责分离。这可以防止单个adminis-trator进行更改并将配置防火墙没有另一个管理员审查并批准的变更。
更新防火墙软件
管理防火墙时要考虑的最后一个主题是更新防火墙软件。有两个主要原因更新软件。原因之一是利用新功能添加到新的软件版本。另一个原因是需要解决软件的缺陷和漏洞。像所有的软件,防火墙软件是复杂的,包含很多行代码。防火墙中的代码可能是严格测试,但仍然会有角情况下,软件开发人员并不认为还是直接忽视。一个角落是一个情况,只有外面发生的正常操作。通常,角情况下时出现多个条件同时发生,在一个极端的水平。例如,一个DHCP饥饿攻击(攻击,攻击者试图排气DHCP服务器的能力为客户提供租赁通过生成多个请求的所有IP地址在DHCP服务器的范围)以及分布式拒绝服务(DDoS)攻击。这两个的组合攻击可能会导致资源枯竭的防火墙或访问其他软件漏洞,可以让防火墙无法使用。 These bugs may result in the firewall resetting itself or may result in the firewall allowing invalid traffic through when it should be blocked.
选择正确的版本
更新防火墙软件的第一步是确定正确的版本。这意味着决定哪个版本将运行在防火墙平台升级和哪个版本提供所有所需的功能和防火墙的许可。在SOHO防火墙设备如路由器或焦油501/506E,最新版本通常是使用正确的版本。然而,最近思科发布照片OS 7.0沥青平台。这个版本适用于所有照片平台除了焦油501和506 e平台。照顾当一个新发布的软件版本是制造商的要求得到满足之前版本升级防火墙。否则,这可能导致非功能性的防火墙和要求软件降级前一版本恢复操作。
在Linux NetFilter-based防火墙的情况下,管理员必须小心,以确保NetFilter防火墙代码被编译到Linux内核(静态或动态加载的模块)。在最近的Linux内核2.6系列,NetFilter自动包含在内核配置,动态加载的模块。