日常运维工作中,其中有一项工作在业务系统中经常会涉及到,那就是在线业务系统的系统自带防火墙的维护与管理,这块的工作的好坏对于业务系统的安全与稳定非常之重要,如果你在此处出过安全问题(防火墙临时停掉,忘记启动;防火墙没启动或设置不严谨导致成功被黑等),如果你在此处出事故(防火墙更新操作异常,业务中断;防火墙策略丢失;防火墙未测试把自己挡在家外了等),那么你应该对此记忆犹新,很难忘缺。 
好吧,现把我这些年来的心得分享给大家,或许对于您的工作能够有所借鉴。

系统防火墙变更维护与日常管理技巧汇总:
1.  常见的系统防火墙:windows ipsec, linux iptables, freebsd ipfw
2.  系统防火墙是我们日常运维的一项重要工作,它对于我们生产环境的在线系统稳定和安全都是非常重要且有效的,需以足够重视,即使你有硬防。
3.  系统防火墙的日常变更操作应列为技术部门的高危操作,有明确的操作步骤和规定,监督与审核机制,以及违规惩罚。
4.  系统管理员对待防火墙操作要有足够的安全意识,严谨,责任感,对待线上环境保持十分的敬畏感。
5.  线上的系统防火墙状态一定要有监控(启停,默认策略,精确到每条策略的匹配等),有异常能够及时且有效预警,及时处理。
6.  系统防火墙维护应该有一套模板,先对模板操作,再到线上操作。每次变更有记录
7.  系统防火墙的维护管理(变更,状态,监控,报警)有例行的人工检查验证机制(每月,每季度,每半年根据业务需要启动一次,验证有效性)
8.  一般情况下, 防火墙变更操作必须在非在线期间或维护期间实施
9.  防火墙策略变更测试时,防止意外,可以在启用防火墙的命令下,添加cron(sleep 10;Service iptables stop 或者  */10 * * * *  service iptables stop)留有余地
10. 系统防火墙策略设置要严谨,在线应用防火墙进出策略都要有限制(不能开的太大或限制太少)
11. 涉及到全服防火墙策略变更的,需要在一台或几台服务器测试正常后,再更新到全服(先局部测试再全服更新)
12. 对于没有把握的防火墙操作,先要执行service iptables  save  ,后再备份当前配置文件(将当前内核中的策略保存到配置文件,可以规避命令行添加但保存到配置文件中问题,这个会有哦,尤其是你从别人手里接的业务,很容易出问题)
13. 某种特殊情况下,需要对在线服防火墙直接进行紧急变更操作(此类比较危险,但又需要操作)。两种经过验证的方法
        a. 命令行添加(iptables –A)后,执行service iptables save
        b.修改配置文件后,执行 iptables-restore /etc/sysconfig/iptables
14. 系统防火墙配置文件要建立每日例行备份机制,以便恢复之用
15. 防火墙日常管理要明确列入到日常业务交接工作中,从而保障业务交接的连续性,平稳过渡。


由于本人近几年因防火墙遇到或看到的问题比较多,有因个人安全意识不够导致给公司造成重要损失而被开除,有因重视不够系统被黑的,有应没按流程操作导致业务中断,有应没按流程操作导致大量掉人的,有防火墙策略误删除,有防火墙工作交接中出现问题的,有被挡在家门外的。。。。。,所以这块经历比较多,供大家参考,希能给你带来收获。。