3、必不可少的监视系统

    对防火墙的维护、监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题：(1).防火墙已经岌岌可危了吗?(2).防火墙能提供用户需求的服务吗?(3).防火墙还在正常运作吗?(4).尝试攻击防火墙的足哪些类型的攻击?要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。

    (1)专用设备的监视

    虽然大部分的监视工作部是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有一些专用的监视设备会很方便。例如，可能需要在周围网络上放一个监视站，以便确定通过的都足预料中的数据包。可以使用有网络窥视软件包的一般计算机，也可以使用特殊用途的网络检测器。

    如何确定达一台监视机器不会被入侵者利用呢?事实上，最好根本不要让入侵者知道它的存在。在某些网络设备上，只要利用一些技术和一对断线器(wire cutter)取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序，也可以从那里取淌传输功能，随时停止传输。但是，在这种情况下，很难确认操作是否已经成功了。

    (2)应该监视的内容

    理想的情况是，应该知道通过防火墙的一切事情，包括每一条连接，以及每一个丢弃或接受的数据包。然而，实际的情况足很难做到的，折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。

    在特殊情况下，要记录好以下内容：一是所有抛弃的包和被拒绝的连接;二足每一个成功的连接通过堡垒主机的时间、协议和用户名，三是所有从路由器中发现的错误，堡垒主机和一些代理程序。

    (3)监视工作巾的一些经验

    应该把可疑的事件划分为几类：一是知道事件发生的原因，而且这不足一个安全方面的问题，二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从末再出现过，三是有人试图侵入，但问题并不严重，只是试探一下;四是有人事实上已经侵入。

    这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的，但是下面这些归纳出的经验可能会对网络系统管理员有所帮助。如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点：一是试图访问在不安全的端口上提供的服务(如企图与端口映射或者调试连接);二是试图利用普通账户登录(如guest);三是请求FTP文件传输或传输NFS映射;四是给站点的SMTP发送debug命令。

    如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中：一是多次企图登录但多次失败的合法账户，特别足互联网上的通用账户，二是目的不明的数据包命令，三足向某个范围内每个端口广播的数据包;四是不明站点的成功登录。