系统防火墙变更维护与日常管理技巧汇总

pierce1216

日常运维工作中，其中有一项工作在业务系统中经常会涉及到，那就是在线业务系统的系统自带防火墙的维护与管理，这块的工作的好坏对于业务系统的安全与稳定非常之重要，如果你在此处出过安全问题（防火墙临时停掉，忘记启动；防火墙没启动或设置不严谨导致成功被黑等），如果你在此处出事故（防火墙更新操作异常，业务中断；防火墙策略丢失；防火墙未测试把自己挡在家外了等），那么你应该对此记忆犹新，很难忘缺。
好吧，现把我这些年来的心得分享给大家，或许对于您的工作能够有所借鉴。



系统防火墙变更维护与日常管理技巧汇总：

1.  常见的系统防火墙：windows ipsec， linux iptables， freebsd ipfw

2.  系统防火墙是我们日常运维的一项重要工作，它对于我们生产环境的在线系统稳定和安全都是非常重要且有效的，需以足够重视，即使你有硬防。

3.  系统防火墙的日常变更操作应列为技术部门的高危操作，有明确的操作步骤和规定，监督与审核机制，以及违规惩罚。

4.  系统管理员对待防火墙操作要有足够的安全意识，严谨，责任感，对待线上环境保持十分的敬畏感。

5.  线上的系统防火墙状态一定要有监控（启停，默认策略，精确到每条策略的匹配等），有异常能够及时且有效预警，及时处理。

6.  系统防火墙维护应该有一套模板，先对模板操作，再到线上操作。每次变更有记录

7.  系统防火墙的维护管理（变更，状态，监控，报警）有例行的人工检查验证机制（每月，每季度，每半年根据业务需要启动一次，验证有效性）

8.  一般情况下， 防火墙变更操作必须在非在线期间或维护期间实施

9.  防火墙策略变更测试时，防止意外，可以在启用防火墙的命令下，添加cron（sleep 10；Service iptables stop 或者  */10 * * * *  service iptables stop)留有余地

10. 系统防火墙策略设置要严谨，在线应用防火墙进出策略都要有限制（不能开的太大或限制太少）

11. 涉及到全服防火墙策略变更的，需要在一台或几台服务器测试正常后，再更新到全服（先局部测试再全服更新）

12. 对于没有把握的防火墙操作，先要执行service iptables  save  ，后再备份当前配置文件（将当前内核中的策略保存到配置文件，可以规避命令行添加但保存到配置文件中问题，这个会有哦，尤其是你从别人手里接的业务，很容易出问题）

13. 某种特殊情况下，需要对在线服防火墙直接进行紧急变更操作（此类比较危险，但又需要操作）。两种经过验证的方法

        a. 命令行添加（iptables –A）后，执行service iptables save

        b.修改配置文件后，执行 iptables-restore /etc/sysconfig/iptables

14. 系统防火墙配置文件要建立每日例行备份机制，以便恢复之用

15. 防火墙日常管理要明确列入到日常业务交接工作中，从而保障业务交接的连续性，平稳过渡。