在電腦(nao)世(shi)界什么最(zui)(zui)(zui)重用(yong)？相信有許多(duo)朋友都會想到(dao)安全。的(de)(de)確，在安全的(de)(de)基礎(chu)上(shang)才能保障系統(tong)正常運(yun)行(xing)，保證自己(ji)的(de)(de)內容私密性，保證不(bu)(bu)會因為受攻擊而(er)DOWN機。那么，既然是最(zui)(zui)(zui)重要(yao)的(de)(de)部分(fen)，那一定就(jiu)是最(zui)(zui)(zui)貴的(de)(de)吧。這次應該很(hen)多(duo)朋友會想錯，用(yong)馬云的(de)(de)話(hua)來說：“服(fu)(fu)(fu)務是全世(shi)界最(zui)(zui)(zui)貴的(de)(de)產品，所(suo)以最(zui)(zui)(zui)佳的(de)(de)服(fu)(fu)(fu)務就(jiu)是不(bu)(bu)要(yao)服(fu)(fu)(fu)務，最(zui)(zui)(zui)好的(de)(de)服(fu)(fu)(fu)務就(jiu)是不(bu)(bu)需要(yao)服(fu)(fu)(fu)務。”為了(le)節約開支，為了(le)“不(bu)(bu)需要(yao)服(fu)(fu)(fu)務”，在服(fu)(fu)(fu)務器領(ling)域里了(le)硬防的(de)(de)概念(nian)，IDC服(fu)(fu)(fu)務器租用(yong)商(shang)通常免費贈送硬防來爭取贏得客戶。

服務器硬防的(de)簡單介紹

服務(wu)器的(de)(de)硬(ying)防是指硬(ying)件防火墻(qiang)，硬(ying)件防火墻(qiang)是指把防火墻(qiang)程序做到芯(xin)片里(li)面，由(you)硬(ying)件執行這些功(gong)能(neng)，能(neng)減少CPU的(de)(de)負擔(dan)，使路由(you)更穩(wen)定。 硬(ying)件防火墻(qiang)是保(bao)障內部網(wang)絡安全(quan)(quan)(quan)的(de)(de)一道重要屏障。它的(de)(de)安全(quan)(quan)(quan)和穩(wen)定，直接關(guan)系到整個內部網(wang)絡的(de)(de)安全(quan)(quan)(quan)。因此，日常例行的(de)(de)檢查對于保(bao)證硬(ying)件防火墻(qiang)的(de)(de)安全(quan)(quan)(quan)是非常重要的(de)(de)。

系(xi)統中(zhong)存(cun)在的(de)很多隱患和故(gu)障(zhang)在暴發前都會(hui)出現(xian)這(zhe)樣(yang)或那樣(yang)的(de)苗頭，例行(xing)檢查的(de)任務就是要發現(xian)這(zhe)些(xie)安全隱患，并盡可能將問題定位，方便問題的(de)解決。

硬(ying)件防(fang)火墻的例行(xing)檢(jian)查主要內容

1.硬件防(fang)火墻(qiang)的配置文件

不(bu)(bu)論我們在(zai)安裝硬(ying)件防(fang)(fang)火(huo)(huo)墻(qiang)的(de)(de)時(shi)候考慮(lv)得有多么的(de)(de)全面(mian)和嚴密，一旦硬(ying)件防(fang)(fang)火(huo)(huo)墻(qiang)投(tou)入到(dao)實(shi)際使(shi)用(yong)環境(jing)中，情(qing)況卻(que)隨(sui)時(shi)都在(zai)發生改(gai)(gai)變。硬(ying)件防(fang)(fang)火(huo)(huo)墻(qiang)的(de)(de)規(gui)(gui)則總(zong)會(hui)不(bu)(bu)斷地變化和調整著(zhu)，配(pei)置(zhi)參數(shu)也會(hui)時(shi)常有所(suo)改(gai)(gai)變。作(zuo)為網(wang)絡安全管理(li)人(ren)員，最(zui)好能夠編寫一套(tao)修改(gai)(gai)防(fang)(fang)火(huo)(huo)墻(qiang)配(pei)置(zhi)和規(gui)(gui)則的(de)(de)安全策略，并嚴格實(shi)施。所(suo)涉及(ji)的(de)(de)硬(ying)件防(fang)(fang)火(huo)(huo)墻(qiang)配(pei)置(zhi)，最(zui)好能詳細到(dao)類似哪些流量被允許，哪些服務要(yao)用(yong)到(dao)代理(li)這樣的(de)(de)細節。

在(zai)安全策略(lve)中，要寫明修(xiu)(xiu)改(gai)(gai)硬件(jian)防火(huo)墻配置的(de)(de)(de)步驟，如(ru)哪些授權(quan)需要修(xiu)(xiu)改(gai)(gai)、誰(shui)能進(jin)行(xing)這樣的(de)(de)(de)修(xiu)(xiu)改(gai)(gai)、什么時候(hou)才能進(jin)行(xing)修(xiu)(xiu)改(gai)(gai)、如(ru)何記錄這些修(xiu)(xiu)改(gai)(gai)等(deng)。安全策略(lve)還應(ying)該寫明責任的(de)(de)(de)劃分，如(ru)某人具體(ti)做(zuo)修(xiu)(xiu)改(gai)(gai)，另一人負責記錄，第三個(ge)人來檢(jian)查和(he)測試修(xiu)(xiu)改(gai)(gai)后的(de)(de)(de)設置是否正確。詳盡(jin)的(de)(de)(de)安全策略(lve)應(ying)該保證硬件(jian)防火(huo)墻配置的(de)(de)(de)修(xiu)(xiu)改(gai)(gai)工作程序化，并能盡(jin)量(liang)避免(mian)因修(xiu)(xiu)改(gai)(gai)配置所造成的(de)(de)(de)錯(cuo)誤(wu)和(he)安全漏洞(dong)。

2.硬件防(fang)火墻(qiang)的(de)磁盤使用情(qing)況

如果(guo)(guo)在(zai)硬(ying)件(jian)防(fang)火(huo)墻(qiang)上保(bao)留(liu)日(ri)志(zhi)記(ji)(ji)錄，那么檢查硬(ying)件(jian)防(fang)火(huo)墻(qiang)的磁盤(pan)(pan)(pan)使(shi)用(yong)情況是一(yi)件(jian)很重要(yao)的事情。如果(guo)(guo)不保(bao)留(liu)日(ri)志(zhi)記(ji)(ji)錄，那么檢查硬(ying)件(jian)防(fang)火(huo)墻(qiang)的磁盤(pan)(pan)(pan)使(shi)用(yong)情況就變(bian)得(de)更加重要(yao)了(le)。保(bao)留(liu)日(ri)志(zhi)記(ji)(ji)錄的情況下(xia)，磁盤(pan)(pan)(pan)占用(yong)量的異(yi)常增長很可(ke)能表明日(ri)志(zhi)清(qing)除過(guo)程存(cun)在(zai)問題，這種(zhong)情況相對來說還好(hao)處理(li)一(yi)些。在(zai)不保(bao)留(liu)日(ri)志(zhi)的情況下(xia)，如果(guo)(guo)磁盤(pan)(pan)(pan)占用(yong)量異(yi)常增長，則(ze)說明硬(ying)件(jian)防(fang)火(huo)墻(qiang)有可(ke)能是被(bei)人安(an)裝(zhuang)了(le)Rootkit工具(ju)，已經被(bei)人攻破。

因(yin)此(ci)，網絡安(an)全管(guan)理(li)人(ren)員首(shou)先需要(yao)了(le)解在正常情況(kuang)下，防火墻(qiang)的(de)磁盤(pan)占用情況(kuang)，并以此(ci)為(wei)依據(ju)，設(she)定一個(ge)檢查(cha)基線。硬件(jian)防火墻(qiang)的(de)磁盤(pan)占用量一旦超過這(zhe)個(ge)基線，就意味著系(xi)統遇(yu)到了(le)安(an)全或其他方面(mian)的(de)問題(ti)，需要(yao)進一步的(de)檢查(cha)。

3.硬件防火墻的CPU負載

和磁盤使(shi)用情況類(lei)似，CPU負(fu)載也是(shi)判斷(duan)硬(ying)(ying)件防(fang)火墻系統運行是(shi)否正常(chang)(chang)的(de)一個重要指標。作為安全管理(li)人員，必須了解(jie)硬(ying)(ying)件防(fang)火墻系統CPU負(fu)載的(de)正常(chang)(chang)值(zhi)(zhi)是(shi)多少(shao)，過(guo)(guo)低的(de)負(fu)載值(zhi)(zhi)不一定(ding)表示一切正常(chang)(chang)，但(dan)出(chu)現過(guo)(guo)高(gao)的(de)負(fu)載值(zhi)(zhi)則說明防(fang)火墻系統肯定(ding)出(chu)現問(wen)題了。過(guo)(guo)高(gao)的(de)CPU負(fu)載很可能是(shi)硬(ying)(ying)件防(fang)火墻遭到DoS攻擊或(huo)外部網絡(luo)連接斷(duan)開(kai)等問(wen)題造成的(de)。

4.硬(ying)件防火墻系統的(de)精靈(ling)程序

每(mei)臺防火墻在(zai)(zai)正常(chang)運(yun)行(xing)的情況下，都(dou)有(you)一組精靈(ling)(ling)程序(xu)(xu)（Daemon），比如名字服務程序(xu)(xu)、系統日志程序(xu)(xu)、網絡分(fen)發(fa)(fa)程序(xu)(xu)或認證程序(xu)(xu)等。在(zai)(zai)例行(xing)檢(jian)查(cha)中必(bi)須檢(jian)查(cha)這(zhe)些(xie)程序(xu)(xu)是(shi)不(bu)是(shi)都(dou)在(zai)(zai)運(yun)行(xing)，如果發(fa)(fa)現某些(xie)精靈(ling)(ling)程序(xu)(xu)沒有(you)運(yun)行(xing)，則需要(yao)進一步檢(jian)查(cha)是(shi)什么原因導致這(zhe)些(xie)精靈(ling)(ling)程序(xu)(xu)不(bu)運(yun)行(xing)，還(huan)有(you)哪些(xie)精靈(ling)(ling)程序(xu)(xu)還(huan)在(zai)(zai)運(yun)行(xing)中。

5.系統文件

關(guan)鍵的(de)(de)系(xi)統文(wen)件的(de)(de)改變不外乎三種情況：管(guan)理人(ren)(ren)員(yuan)有目(mu)的(de)(de)、有計劃(hua)地進行(xing)的(de)(de)修改，比如計劃(hua)中的(de)(de)系(xi)統升級所造成(cheng)的(de)(de)修改；管(guan)理人(ren)(ren)員(yuan)偶爾對系(xi)統文(wen)件進行(xing)的(de)(de)修改；攻(gong)擊者對文(wen)件的(de)(de)修改。

經常性地(di)檢查系(xi)統(tong)文(wen)件(jian)，并查對系(xi)統(tong)文(wen)件(jian)修改記錄，可及時發現(xian)防火(huo)墻所遭(zao)到的(de)攻擊。此外，還應該強調一下，最(zui)好在硬件(jian)防火(huo)墻配置(zhi)策(ce)略(lve)的(de)修改中，包含(han)對系(xi)統(tong)文(wen)件(jian)修改的(de)記錄。

6.異常日志

硬件(jian)防(fang)火墻日志記(ji)錄(lu)了所有允許或拒絕的(de)通(tong)信(xin)(xin)的(de)信(xin)(xin)息，是(shi)主要(yao)的(de)硬件(jian)防(fang)火墻運(yun)行狀況(kuang)的(de)信(xin)(xin)息來源。由于該(gai)日志的(de)數據量(liang)龐大(da)，所以(yi)，檢查異常(chang)日志通(tong)常(chang)應該(gai)是(shi)一個自動進行的(de)過程。當然，什么(me)樣(yang)的(de)事(shi)件(jian)是(shi)異常(chang)事(shi)件(jian)，得由管理(li)員來確(que)定，只有管理(li)員定義了異常(chang)事(shi)件(jian)并(bing)進行記(ji)錄(lu)，硬件(jian)防(fang)火墻才會保留相應的(de)日志備查。

上述6個方面的(de)(de)例行(xing)檢查也(ye)許并(bing)不能(neng)(neng)立刻檢查到(dao)硬件(jian)防火墻(qiang)可(ke)(ke)能(neng)(neng)遇(yu)到(dao)的(de)(de)所(suo)有問題和隱患，但持之以(yi)恒地檢查對(dui)硬件(jian)防火墻(qiang)穩定可(ke)(ke)靠地運行(xing)是非常重(zhong)要(yao)的(de)(de)。如果有必要(yao)，管理員還可(ke)(ke)以(yi)用數據(ju)包掃(sao)描程(cheng)(cheng)序來(lai)確認硬件(jian)防火墻(qiang)配(pei)置的(de)(de)正確與否(fou)，甚至可(ke)(ke)以(yi)更進(jin)一步地采用漏(lou)洞掃(sao)描程(cheng)(cheng)序來(lai)進(jin)行(xing)模擬攻擊，以(yi)考(kao)核硬件(jian)防火墻(qiang)的(de)(de)能(neng)(neng)力。

服(fu)(fu)務(wu)器租用與高硬防服(fu)(fu)務(wu)器

服(fu)(fu)務(wu)(wu)器(qi)租(zu)用(yong)(yong)：是指用(yong)(yong)戶無須自己購買服(fu)(fu)務(wu)(wu)器(qi)，只(zhi)需(xu)根據(ju)自己業務(wu)(wu)的(de)(de)(de)需(xu)要(yao)，提出(chu)對硬件配置的(de)(de)(de)要(yao)求。主機服(fu)(fu)務(wu)(wu)器(qi)由IDC服(fu)(fu)務(wu)(wu)商配置。用(yong)(yong)戶采(cai)取租(zu)用(yong)(yong)的(de)(de)(de)方(fang)式，安裝(zhuang)相(xiang)應的(de)(de)(de)系統軟件及應用(yong)(yong)軟件以實現(xian)用(yong)(yong)戶獨享專用(yong)(yong)高性(xing)能服(fu)(fu)務(wu)(wu)器(qi)，實現(xian)WEB+FTP+MAIL+VDNS全部網絡服(fu)(fu)務(wu)(wu)功(gong)能，用(yong)(yong)戶的(de)(de)(de)初期投資減輕了(le)，可(ke)以更專著于自己業務(wu)(wu)的(de)(de)(de)研發。

高(gao)硬(ying)防(fang)(fang)(fang)服務器：是(shi)指一些專門提供高(gao)硬(ying)防(fang)(fang)(fang)的(de)(de)機房(fang)，10G以上(shang)的(de)(de)硬(ying)防(fang)(fang)(fang)都(dou)為(wei)高(gao)硬(ying)防(fang)(fang)(fang)，因為(wei)1G硬(ying)防(fang)(fang)(fang)的(de)(de)投資10萬元(yuan)左右，10G的(de)(de)話就(jiu)是(shi)100萬。日前市場上(shang)最多的(de)(de)都(dou)是(shi)單線(xian)機房(fang)有硬(ying)防(fang)(fang)(fang)，雙線(xian)機房(fang)大多都(dou)是(shi)沒有硬(ying)防(fang)(fang)(fang)的(de)(de)。

現(xian)在市(shi)場上針(zhen)對(dui)這些攻擊(ji)的有(you)很多(duo)知名(ming)的硬防，如：金(jin)盾硬防集(ji)，傲盾硬防集(ji)，以及(ji)冰盾，黑(hei)洞(dong)，黑(hei)盾，綠盾，威盾，等等。

綜上所述，服(fu)(fu)(fu)務(wu)器(qi)的硬(ying)防(fang)通常跟服(fu)(fu)(fu)務(wu)器(qi)租(zu)(zu)賃聯系在(zai)一(yi)(yi)起，目前IDC服(fu)(fu)(fu)務(wu)器(qi)租(zu)(zu)賃商紛紛把贈送(song)高(gao)硬(ying)防(fang)的服(fu)(fu)(fu)務(wu)作為一(yi)(yi)個(ge)賣點，希望消費者更加(jia)信賴自己的服(fu)(fu)(fu)務(wu)器(qi)產品，相信在(zai)未來，服(fu)(fu)(fu)務(wu)器(qi)硬(ying)防(fang)會做的更強更好，可以有效的保護服(fu)(fu)(fu)務(wu)器(qi)系統(tong)的安全，為網(wang)絡環境(jing)創造一(yi)(yi)個(ge)更加(jia)安靜健(jian)康的局面。