引言：在構建安全網(wǎng)絡環(huán)境的過程中，防火墻作為第一道安全防線，既可為內(nèi)部網(wǎng)絡提供必要的訪問控制，又不會造成網(wǎng)絡的瓶頸，保護網(wǎng)絡內(nèi)部的關鍵資源。本文結合筆者所用的天融信防火墻經(jīng)常遇到的幾種故障實例，談談防火墻的維護與故障排除方法。

防火墻是目前使用最為廣泛的一種網(wǎng)絡安全技術。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。在構建安全網(wǎng)絡環(huán)境的過程中，防火墻作為第一道安全防線，既可為內(nèi)部網(wǎng)絡提供必要的訪問控制，又不會造成網(wǎng)絡的瓶頸，并通過安全策略控制進出系統(tǒng)的數(shù)據(jù)，保護網(wǎng)絡內(nèi)部的關鍵資源。由此可見，對于連接到Internet的企業(yè)內(nèi)部網(wǎng)絡而言，選用防火墻是非常必要的。下面就結合筆者所用的天融信防火墻經(jīng)常遇到的幾種故障實例，來談談如何防護墻的維護。

實例一：客戶機無法Telnet或GUI管理防火墻

遇客戶機無法Telnet或GUI管理防火墻的情況，應首先檢查防火墻登錄控制中是否允許Telnet或GUI管理，若防火墻客戶端列表中無Telnet或GUI管理，則增加防火墻Telnet或GUI管理登錄客戶。注意，正確選擇登錄客戶的類型和正確填寫該登錄用戶的IP地址范圍。

其次，檢查登錄源主機的IP是否在設定的IP地址范圍內(nèi)，若不在設定范圍內(nèi)，則更改源主機的IP在設定的IP地址范圍內(nèi)。這一點特別要注意，很多防火墻維護人員為了方便，無限制地擴大了管理防火墻的IP地址范圍，這樣無疑給整個網(wǎng)絡增加了新的安全隱患。然后，檢查該防火墻是否為首次使用的新墻，如果是，則確認使用集中管理器（GUI管理）登錄防火墻的計算機應連接在防火墻ETH2內(nèi)網(wǎng)接口上。

最后，檢查是否有相同用戶名的用戶已經(jīng)登錄防火墻，由于同名用戶不允許在同一時間登錄同一臺防火墻，因此若同用戶已經(jīng)登錄則應更該登錄用戶名，這個現(xiàn)象經(jīng)常會遇到，特別是那種網(wǎng)頁式的防火墻，雖然限定了用戶的無響應時間，但在這個時間段內(nèi)從別的計算機登錄時則無法管理防火墻。

實例二：增加策略禁止某主機，該主機仍能通過防火墻。

這種情況下首先應檢查該主機與通信目標主機間的通信通道是否經(jīng)過防火墻，如果不經(jīng)過防火墻，再好的策略也無法起作用，也不能通過增加防火墻策略禁止該主機和目標主機間的通信。其次，檢查是否已有策略允許該主機通過防火墻，若存在該許可策略則刪除掉，大部分防火墻都遵循策略序號，即是從策略序號小的開始執(zhí)行，一旦一條策略對某臺主機生效后，后面針對該臺主機的策略也是無法執(zhí)行的，這一點要特別注意。最后，檢查測試源主機是否配置雙網(wǎng)卡以及多個IP地址，若是則禁用其中一個網(wǎng)卡。

實例三：IP地址綁定未起作用

遇到這種情況時應該認真分析，其實IP地址綁定分為IP地址與MAC地址綁定和IP地址與用戶綁定。當IP地址綁定未起作用時，檢查綁定IP是否經(jīng)過其他路由設備（路由器、三層交換機）才到達防火墻，由于通過路由設備后IP地址已被更改，原綁定IP地址失效，解決方法是更改路由設備為交換設備。

實例四：使用防火墻后原本可互相訪問的主機無法通信

出現(xiàn)此問題主要有以下幾個原因：

第一，主機所在的不同區(qū)域配置成disable，應保證區(qū)域配置為enable。

第二，通信雙方主機在同一網(wǎng)段，防火墻設置的VLAN不包含主機所在的區(qū)域，應檢查防火墻的VLAN設置，必須有一個VLAN包含主機所在的區(qū)域。

第三，通信雙方主機不在同一網(wǎng)段，主機間沒有路由設備，防火墻配置成透明模式，應在防火墻的兩個接口上配置相應的IP地址，并把防火墻配置為路由模式。

第四，通信雙方主機不在同一網(wǎng)段，主機間有路由設備，沒有主機與路由設備在同一防火墻VLAN中，應保證其中一臺主機與路由設備在同一個防火墻VLAN中。

第五，主機所在的區(qū)域訪問策略中有禁止主機雙方通信的策略，或主機所在區(qū)域的缺省訪問權限是禁止的，應刪除禁止訪問策略，并保證缺省訪問權限是允許的。

經(jīng)驗總結

在很多人眼里，防火墻無疑是“高大上”的，但作為網(wǎng)絡安全運維人員角度來看，防火墻無疑就是“軟件+硬件”的結合體，最重要的部分就是軟件，軟件水平的高低直接決定了防火墻的性能。默認情況下，所有的防火墻都是按拒絕所有的流量或允許所有的流量，因此在防火墻的配置中，首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置中需堅持以下三個原則。

一是簡單實用原則。對防火墻環(huán)境設計來講就是越簡單越好。越簡單的實現(xiàn)方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。目前常用的防火墻在基本功能上都或多或少都增加了一些特殊功能，但這些增值功能并不是所有應用環(huán)境都需要，在配置時可針對具體環(huán)境進行配置，不必對每一功能都詳細配置。

二是全面深入原則。單一的防御措施是難以保障系統(tǒng)安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，不要停留在幾個表面的防火墻語句上，而應系統(tǒng)地看等整個網(wǎng)絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統(tǒng)。

三是內(nèi)外兼顧原則。防火墻的一個特點是防外不防內(nèi)，其實在現(xiàn)實的網(wǎng)絡環(huán)境中，80%以上的威脅都來自內(nèi)部，所以要從根本上改變過去防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。部署與上述內(nèi)部防護手段一起聯(lián)動的機制。