提示你晋级防火墙的7大小心事项

　　和路由器，交流机等网络配备相比，硬件防火墙并没有什么不一样。它们一样具有不长的生命周期，过不了几年就要更新换代。但是和其它配备相比，更换防火墙做的好的话是挺费事的一件事，做不好还会给网络带来安全隐患。 　　关于中小企业来说，维护防火墙时网络维护员或系统维护员所承当的众多职责中的一项。因而，作为一个IT技术职员，至少也要知晓防火墙的内部结构。普通来说，对防火墙的操纵都是间歇性的，比如企业网络上添加了新的使用顺序，或许添加了新的服务器，才须要对防火墙执行适当配置。关于日常任务来说，这种偶然的任务不会有什么疑问，但是关于一些更庞杂深化的任务，比如将一个厂商的防火墙更换为另一个厂商的产品，或许从低端产品晋级到高端产品，这个流程关于IT技术职员来说会有更多的要求。 　　晋级防火墙所触及到的疑问包含很多，有的疑问相比轻易直接，有些则很庞杂，但不论怎样，该思考的方面十分多。 　　比如 Cisco ASA 5505 的操纵手册有114页。这种情况不止是Cisco产品独占的， Welch-Abernathy的长达 656页的Essential Checkpoint Firewall (2004) 手册被Amazon 的评测职员评为“最适宜菜鸟学习”的手册。 　　近来我采访了Rich Gallo ，作为一家小型技术企业的系统维护员，他刚刚晋级了公司一台防火墙。在采访中，他提供了一个很长的晋级防火留意事项列表。粗略来看分为七大类，如下图所示。 　　Gallo在任务中碰到的首要疑问包含处理之前由ISP Verizon配置的未运用过的外部Ip地址，以及与远程办公室子网执行协调。两个技术职员协同任务无疑可以极大的降低防火墙手工迁移流程中出错的概率。 　　防火墙晋级的同时，也是路由器线缆重排，交流机挪动位置，调整带宽分配或重新整理机柜的好机遇。 　　好的测试是必要的一个环境，而测试不只包含衔接性的测试，还包含使用顺序的测试。比如，面向群众的网络使用就必须从内网和外网两个环境执行测试，必要时还要运用特殊测试工具或软件。还应该审慎的检验毛病应急方案以及恢复方案，以防万一。 　　VPN是一个特殊的情况，能够会影响到防火墙原则配置。在Gallo的公司，有站点到站点的VPN衔接须要格外留意。另外，在设定VPN时，还要留意特定客户的疑问，由于要同时支持x32 和x64 位系统， Mac系统, Windows和 Linux系统平台的客户，以及其它各种环境下的用户。比如在配置流程中觉察一个 Snow Leopard系统不能执行正确的VPN衔接。维护员议决搜集各方面信息以及DNS记载，开头处理了疑问。