24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

淺談防火墻審計(jì)

來源: 編輯: 2005/10/26 10:59:01  字體:
  防火墻的審計(jì)是近一、兩年在美國(guó)各企業(yè)和公立部門逐漸開始的一項(xiàng)安全業(yè)務(wù)。美國(guó)在二零零零年就基本上普及了防火墻。但由于缺乏經(jīng)驗(yàn)豐富的專業(yè)人員,以及管理上的疏忽與混亂,很多防火墻基本上形同虛設(shè),并沒有真正有效地發(fā)揮作用。網(wǎng)絡(luò)入侵的事件仍然頻頻發(fā)生。絕大多數(shù)公司對(duì)于網(wǎng)絡(luò)入侵或者根本就沒有察覺,或者察覺后保持沉默,能瞞就瞞,盡量避免影響公司的形象。但是在暗地里,這些公司吃一塹長(zhǎng)一智,重金聘請(qǐng)高手,查找安全漏洞。結(jié)果發(fā)現(xiàn)很多漏洞就來自于防火墻本身。事實(shí)使他們認(rèn)識(shí)到,如果不好好管理防火墻,不但防不了“火”,有時(shí)甚至還會(huì)引火燒身。要解決這個(gè)問題,有效的辦法之一就是對(duì)防火墻進(jìn)行定期的審計(jì),搶在問題發(fā)生之前去發(fā)現(xiàn)問題。這樣一來,一個(gè)新的安全業(yè)務(wù)-防火墻審計(jì),就在戰(zhàn)火中悄然誕生了。如今對(duì)防火墻審計(jì)已漸漸成為安全審計(jì)的一個(gè)重要的環(huán)節(jié)。本文力圖用有限的篇幅,對(duì)防火墻審計(jì)做一個(gè)簡(jiǎn)單的介紹。這里說的防火墻審計(jì),并不是簡(jiǎn)單地指對(duì)防火墻日志的審計(jì),而是對(duì)整個(gè)防火墻的功能、設(shè)置、管理、環(huán)境、弱點(diǎn)、漏洞等進(jìn)行全面的審計(jì)。

  1.為什么要審計(jì)防火墻?

  審計(jì)防火墻就是要查找防火墻的問題。導(dǎo)致防火墻出問題的因素很多。歸結(jié)起來,主要有以下四個(gè)方面的因素:

  第一,人為的疏忽。

  智者千慮,必有一失。防火墻雖然已有了十多年的歷史,但直到今天,還沒有一個(gè)廠家可以向客戶提供簡(jiǎn)單明了的管理界面。即使一個(gè)經(jīng)驗(yàn)豐富的防火墻管理員,面對(duì)幾十條上百條防火墻規(guī)則(FirewallRules),也有搞糊涂的時(shí)候。一個(gè)生手就更不必說了。有時(shí)規(guī)則之間互相沖突。有的洞開得太大,不能夠起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。有的規(guī)則根本就違反公司的安全政策(SecurityPolicy),就不該存在。有的單位讓多人擁有防火墻管理員的帳戶。誰高興了就來設(shè)置一條新的規(guī)則,防火墻被搞得亂七八糟。防火墻是不會(huì)提醒操作員這些問題的。這些問題使防火墻的有效性大打折扣。糾正這一類問題的辦法,就是靠定期的審計(jì)。

  第二,管理的松懈。

  這是最普遍的情況。對(duì)于一個(gè)小公司來說,也許有一座防火墻就足夠可以應(yīng)付守衛(wèi)網(wǎng)絡(luò)的需求。不過,這樣一個(gè)小公司,往往雇不起一個(gè)防火墻專家,就只好把這一職責(zé)外包。那個(gè)承接外包的安全公司,也許就只有那么兩、三個(gè)防火墻專家在唱空城計(jì)。他們每人至少要看管好幾十個(gè)公司的防火墻,人員經(jīng)常處于超負(fù)荷運(yùn)行狀態(tài)。為了盡力滿足客戶的需要,他們基本上是有求必應(yīng)。如果對(duì)客戶說“不”,以后的合同就不好拿到了。很多安全漏洞就出在這里。因?yàn)榭蛻魝兊陌踩R(shí)有限,他們提出的要求有不少是違反安全原則的。隨便答應(yīng)了他們,就在防火墻留下了一個(gè)個(gè)安全隱患。有的公司連把防火墻外包的錢都不想花,就賭自己公司不會(huì)有霉運(yùn),隨便讓公司內(nèi)部某個(gè)未經(jīng)防火墻培訓(xùn)的網(wǎng)管兼任墻管的重任。錢是省了,可是,一場(chǎng)大禍,這省的錢就會(huì)加倍地賠出去。大點(diǎn)的公司,情況似乎好一些。防火墻有專人負(fù)責(zé)??墒?,公司一大,防火墻的數(shù)目也跟著增長(zhǎng)(筆者就職的公司有四百多座防火墻,還有很多嵌入式防火墻裝在3G的微波塔內(nèi))。尤其是,公司內(nèi)部也互設(shè)防火墻,以達(dá)到分級(jí)保護(hù)的目的。這就使情況極為復(fù)雜。墻越多,管理的難度就越高。一個(gè)數(shù)據(jù)在公司內(nèi)部從網(wǎng)絡(luò)的一端走到另一端,可能要通過好幾道防火墻。如何讓各種數(shù)據(jù)暢通無阻又不在安全方面妥協(xié)退讓,就成為一個(gè)十分復(fù)雜的問題。當(dāng)然,最偷懶省事的辦法就是打開閘門,讓魚蝦螃蟹一律通過。這種情況尤其是在緊急狀態(tài)下常出現(xiàn)。很多臨時(shí)加上去的應(yīng)急策略往往變成永久策略。這就種下一個(gè)個(gè)禍根。防火墻一多,正確地做變更日志就困難得多。沒有精確地做好變更日志,加上人員的流動(dòng),久而久之整個(gè)防火墻系統(tǒng)就成為一團(tuán)理不清的亂線,該擋的不去擋,該放行的不放行。另外一個(gè)十分常見的防火墻管理方面的問題,就是忽略了對(duì)防火墻日志的定期審計(jì)。以至于墻內(nèi)外風(fēng)聲四起,雷鳴電閃,防火墻管理員也照常睡大覺。對(duì)付以上這一類的問題,只有加強(qiáng)管理。和財(cái)務(wù)管理一樣,防火墻的管理不能沒有定期的審計(jì)。定期的審計(jì)可以協(xié)助防火墻管理人員理清亂線,發(fā)現(xiàn)潛在的危機(jī),消除隱患。對(duì)于客戶來說,這是負(fù)責(zé)任的做法。

  第三,防火墻自身存在的漏洞或缺陷。

  一個(gè)防火墻今天是密不透風(fēng),如銅墻鐵壁,過些天就有可能是漏洞百出,有如一團(tuán)豆腐渣。這種情況是如何產(chǎn)生的呢?迄今為止,還沒有哪個(gè)廠家生產(chǎn)的防火墻不存在任何安全漏洞。只不過那些漏洞須經(jīng)時(shí)日才能被逐漸發(fā)現(xiàn)。每當(dāng)這種情況發(fā)生,生產(chǎn)廠家就要拿出修補(bǔ)的軟件包,供用戶安裝。有時(shí)甚至要推出新的版本才能堵住漏洞。問題在于,能懶就懶的防火墻管理員不乏其人。天長(zhǎng)日久,欠的補(bǔ)釘太多了,問題就越來越大。有時(shí),防火墻本身并不存在什么大問題,但問題出在防火墻軟件基于的操作系統(tǒng)軟件上。目前大部分在線的防火墻仍然是軟件防火墻。一般地說,每個(gè)防火墻至少有一個(gè)網(wǎng)絡(luò)界面可以進(jìn)入防火墻的操作系統(tǒng)操,還有一個(gè)界面可以用來管理防火墻。我們叫它管理界面(ManagementInterface)。它們應(yīng)該是被設(shè)置在特殊的孤立網(wǎng)絡(luò)環(huán)境里。但在現(xiàn)實(shí)中往往并不是這樣。通過攻擊防火墻操作系統(tǒng)和管理界面的漏洞,可以一舉攻破防火墻,起到出其不意的效果。要堵住操作系統(tǒng)的漏洞,也基本上是靠生產(chǎn)廠家提供修補(bǔ)程序。只要嚴(yán)格按照廠家的信息,及時(shí)修補(bǔ)操作系統(tǒng)的漏洞,嚴(yán)格控制進(jìn)入管理界面的渠道,這一問題就不會(huì)存在。還有的防火墻,由于價(jià)格過于低廉,功能太差,比如說不能檢測(cè)和阻擋拒絕服務(wù)類的攻擊,無法滿足日益增長(zhǎng)的安全需要,就只好更新?lián)Q代。對(duì)防火墻的定期審計(jì),可以查出這一方面的問題,及時(shí)采取明智的措施。

  第四,防火墻的運(yùn)行及環(huán)境狀況。

  對(duì)于很多企業(yè)來說,防火墻是數(shù)據(jù)進(jìn)出口的重要關(guān)卡。防火墻一旦停止運(yùn)行,或者出現(xiàn)阻滯的狀態(tài),企業(yè)的運(yùn)營(yíng)就會(huì)受影響。一個(gè)正常情況下運(yùn)行的防火墻,應(yīng)該有足夠的內(nèi)存和外存空間來周轉(zhuǎn)和儲(chǔ)存數(shù)據(jù),在大多數(shù)的時(shí)間處理器不是處于滿負(fù)荷狀態(tài),防火墻有高質(zhì)量的穩(wěn)壓電源及斷電保護(hù),周圍溫度和濕度有嚴(yán)格的控制,以及物理安全有保障。當(dāng)然,最好所有的防火墻都能夠有failover的設(shè)置。這樣在主墻倒塌的情況下,預(yù)備墻可以自動(dòng)接替。這些條件,并不是所有單位都有做到。這方面的問題,往往最容易受到忽略。有的公司把防火墻與服務(wù)器,網(wǎng)絡(luò)開關(guān),路由器等同堆在一層架子上。網(wǎng)絡(luò)管理員一不小心就可將防火墻的電纜碰掉,造成網(wǎng)絡(luò)中斷。這一類的問題看起來并不難解決,但并不是所有單位都解決好了。審計(jì)防火墻,可以發(fā)現(xiàn)這方面的問題。

  現(xiàn)在,我們對(duì)為什么要定期審計(jì)防火墻,以及主要從哪幾個(gè)方面去查問題,應(yīng)該有個(gè)較清楚的輪廓了。

  2.由什么人來審計(jì)防火墻?

  就像有財(cái)務(wù)知識(shí)和經(jīng)驗(yàn)的專業(yè)人員原則上都可以搞財(cái)務(wù)審計(jì)一樣,大凡精通網(wǎng)絡(luò)安全審計(jì)及防火墻管理的專業(yè)人員,原則上都可以審計(jì)防火墻。但是,這里還是有一些規(guī)矩的。

  一般來說,防火墻管理員本人不應(yīng)被聘請(qǐng)來審計(jì)自己管理的防火墻。這和財(cái)務(wù)上把審計(jì)和財(cái)會(huì)人員職責(zé)分開有些類似。鮮有防火墻管理員會(huì)承認(rèn)自己管理的防火強(qiáng)存在重大問題。別人從另外一個(gè)角度來看問題,就比較容易發(fā)現(xiàn)毛病之所在。當(dāng)然,有師徒關(guān)系的防火墻管理員最好也不要互查防火墻。尤其在國(guó)內(nèi),礙面子的話總說不出口。另外,如果一家單位是把防火墻管理工作外包的話,那么就最好不要請(qǐng)同一外包公司審計(jì)自己的防火墻。但是如果那家外包公司主動(dòng)經(jīng)常地審計(jì)客戶的防火墻,那倒是件好事。大公司可以讓不管理防火墻的網(wǎng)絡(luò)安全管理人員來審防火墻,或者干脆把這一工作外包。

  有人會(huì)提出,既然審計(jì)防火墻有一定的規(guī)矩去遵循,為什么不寫一個(gè)軟件去把這項(xiàng)業(yè)務(wù)自動(dòng)化?到目前為止,審計(jì)防火墻日志的軟件倒是有不少,也有人寫出軟件來審計(jì)防火墻的規(guī)則。但對(duì)防火墻進(jìn)行全面的審計(jì),和財(cái)務(wù)審計(jì)那樣,牽涉到的因素太多,不能全用軟件來執(zhí)行。尤其是上市公司的安全審計(jì)結(jié)果會(huì)影響公司的聲譽(yù)及股票持有人的信心。稍一出錯(cuò)就有可能牽扯到法律訴訟。在這類情況下,人的經(jīng)驗(yàn)還是最可靠的。目前審計(jì)防火墻最快捷的辦法,就是事先開列詳細(xì)的審計(jì)步驟,一步一個(gè)腳印地執(zhí)行,把審計(jì)結(jié)果一一填寫在事先準(zhǔn)備好的一堆(電子)表格上(AuditChecklist)。表填滿了,剩下的任務(wù)就是t填表寫報(bào)告。

  本文的作用,就是為審計(jì)防火墻的基本步驟提供一個(gè)大致的輪廓。有了這個(gè)輪廓后,根據(jù)各單位的具體情況搞出審計(jì)防火墻的具體步驟,應(yīng)該是輕而易舉的。

  3.防火墻審計(jì)的基本方法和步驟

 ?。?)在開始審計(jì)防火墻前,要把防火墻的周圍網(wǎng)絡(luò)環(huán)境,保護(hù)對(duì)象,安全要求搞清楚。還要搜集一些必要的資料為后面的步驟做準(zhǔn)保。至少要得到最新的以下方面的情報(bào):

  防火墻周圍區(qū)域網(wǎng)絡(luò)的流程圖(包括內(nèi)部和外部)

  路由器的設(shè)置

  防火墻及周圍設(shè)備在網(wǎng)絡(luò)上的名字和IP地址

  防火墻網(wǎng)絡(luò)連接情況(防火墻每個(gè)網(wǎng)絡(luò)界面的IP和鄰近設(shè)備)

  有關(guān)防火墻的最基本信息,比如生產(chǎn)廠家,版本,質(zhì)量保障合同,管理員的姓名,24小時(shí)技術(shù)支持的電話號(hào)碼,等等。

  防火墻使用單位的安全政策(SecurityPolicy)。在國(guó)內(nèi)還必須搞清楚國(guó)家政策和法律要求。

  防火墻的管理制度(書面)。要仔細(xì)檢查責(zé)任制,變更控制過程(changecontrolprocess),維修和廠家銷后支持的途徑及過程,等等。

  防火墻的安裝、使用、升級(jí)、維護(hù)、及日常管理記錄。

  這一步實(shí)際上是為整個(gè)審計(jì)工作做準(zhǔn)備。如果缺少以上任何一個(gè)方面的情報(bào),必須在審計(jì)報(bào)告中建議有關(guān)人員補(bǔ)上。最難補(bǔ)的是安全政策??墒且粋€(gè)單位如果沒有一個(gè)哪怕是很簡(jiǎn)單的安全政策,信息安全就只能是兒戲,充其量是某種權(quán)宜之計(jì)。如果缺失防火墻記錄,能補(bǔ)的盡量補(bǔ)上,補(bǔ)不上的就從現(xiàn)在開始嚴(yán)格地做記錄。根據(jù)筆者的經(jīng)驗(yàn),很多單位在這第一步就出問題。比如,根本沒有任何的防火墻管理制度或維護(hù)日志。即使有,也是基本空白。防火墻的管理界面放到高危險(xiǎn)區(qū),防火墻的Internet端口接入的網(wǎng)絡(luò)開關(guān)(NetworkSwitch)上接入了幾個(gè)未登記的機(jī)器,等等。但如果這第一步?jīng)]有問題,后邊的問題也不會(huì)太多。

 ?。?)下一步就是查看防火墻的配置、環(huán)境、和運(yùn)行情況。這其中包括邏輯的和物理的狀況  要調(diào)查的至少應(yīng)包括以下幾個(gè)方面:

  防火墻的硬件設(shè)置(這主要是查處理器的數(shù)目及速度,硬件防火墻免查這一項(xiàng))。

  防火墻的操作系統(tǒng)及版本(硬件防火墻免查操作系統(tǒng)及版本)。

  防火墻的網(wǎng)卡設(shè)置速度。是不是halfduplex?是不是10Base-T?其速度跟網(wǎng)絡(luò)開關(guān)的速度是否嚴(yán)格匹配?

  防火墻的日志是存在哪里的(存在自身的硬驅(qū)還是另一計(jì)算機(jī)的硬驅(qū))?如果存在另外一臺(tái)計(jì)算機(jī)上,那么是如何保護(hù)日志的(是否加密)?保存多長(zhǎng)時(shí)間?有沒有把日志備份到磁帶上?

  如果防火墻的日志是存到自己的硬驅(qū)里,那么硬驅(qū)總共有多大存儲(chǔ)空間?還剩多少存儲(chǔ)空間?如果只剩有很少的空間,那么要趕快想辦法。

  看一看防火墻的內(nèi)存(RAM)使用情況。看看是否經(jīng)常處于滿負(fù)荷狀態(tài)。如果是,就要在審計(jì)報(bào)告中建議考慮增加內(nèi)存。

  看一看防火墻的中央處理器使用情況。看看是否經(jīng)常處于滿負(fù)荷狀態(tài)。如果是,就要在審計(jì)報(bào)告中建議更換機(jī)器。

  對(duì)于軟件防火墻,是不是定期將所有數(shù)據(jù)(包括操作系統(tǒng))備份到磁帶上?

  防火墻有沒有failover設(shè)置?如果有,怎么測(cè)試它是否真的管用?

  有沒有緊急情況應(yīng)急方案?對(duì)方案有沒有進(jìn)行定期的實(shí)戰(zhàn)訓(xùn)練?

  有關(guān)防火墻的文件是不是胡亂堆在哪個(gè)桌子上任人翻看?防火墻是放在哪里的?機(jī)房溫度是否太高?防火墻的散熱風(fēng)扇是否在轉(zhuǎn)?摸摸防火墻是不是燙手?機(jī)房的門是不是大敞開歡迎各方游客?機(jī)房有沒有防火報(bào)警器?防火墻是不是隨便堆在另一臺(tái)計(jì)算機(jī)上面一碰就倒?所有的電纜是否用標(biāo)簽明確地說明網(wǎng)絡(luò)界面及IP?電纜是不是吊在空中一不小心就會(huì)把人絆倒?電源是不是穩(wěn)壓的?有沒有斷電保護(hù)?機(jī)房地面是不是防靜電的?機(jī)房的垃圾桶里面是不是有防火墻的示意圖、半截?zé)燁^、香蕉皮、色情圖文?一個(gè)隨便亂丟機(jī)密文件、在機(jī)房吸煙、飽開口福、想入非非的防火墻管理員是難以勝任的。

  上面除第一個(gè)環(huán)節(jié)外,其它任何一個(gè)環(huán)節(jié)出問題,都有可能導(dǎo)致嚴(yán)重的后果。像防火墻操作系統(tǒng)的版本,如果還是SunSolaris2.6,就是個(gè)大問題。因?yàn)镾un(升陽(yáng)公司)早就停止支持Solaris2.6,并不再為其寫任何補(bǔ)釘了。這就是說,如果某黑客發(fā)現(xiàn)了一個(gè)新的SunSolaris2.6的漏洞,SunSolaris2.6的用戶將毫無舉措。

 ?。?)下一步就是了解防火墻的自身安全狀況。防火墻是用來保護(hù)網(wǎng)絡(luò)的,當(dāng)然首先要有能力保護(hù)自己。自身不保的防火墻等于是放火墻。在這方面至少要把以下幾點(diǎn)搞清楚:

  對(duì)于軟件防火墻,查看防火墻的操作系統(tǒng)究竟有沒有按照生產(chǎn)廠家的規(guī)定,安裝足夠的安全補(bǔ)釘。如果沒有,那么將缺少的補(bǔ)釘一一列出來。

  查看防火墻本身的補(bǔ)釘–是否有按照生產(chǎn)廠家的規(guī)定,把安全補(bǔ)釘裝夠。如果沒有,那么將缺少的補(bǔ)釘一一列出來。如果是硬件防火墻,那么就要查看防火墻的Firmware版本。然后核對(duì)生產(chǎn)廠家的最新版本。如果防火墻的Firmware確版本不是最新的,那么就要在審計(jì)報(bào)告中把這個(gè)問題寫上去。

  有多少人被授權(quán)進(jìn)行防火墻的管理?他們是使用各自的用戶名進(jìn)入防火墻管理界面,還是否共享一個(gè)用戶名?有沒有一張示意圖表明這些人的權(quán)限?他們是否被要求定期更換口令?是否允許使用脆弱口令?防火墻日志是否記詳細(xì)記錄每個(gè)管理員的進(jìn)入系統(tǒng)的時(shí)間、輸錯(cuò)口令的次數(shù)、被拒絕進(jìn)入的次數(shù),退出系統(tǒng)的時(shí)間,等等。

  有沒有“后門”可以避開種種安全控制,進(jìn)入防火墻。這是比較困難的。因?yàn)榉阑饓芾韱T一般不會(huì)說出這一類秘密。要做些研究,包括向生產(chǎn)廠家詢問。特別是要向生產(chǎn)廠家打聽系統(tǒng)安裝時(shí)第一個(gè)使用的用戶名及口令。然后看看那個(gè)用戶名和口令是不是在系統(tǒng)安裝好后已更改。

  防火墻管理是從哪臺(tái)計(jì)算機(jī)進(jìn)行操作的?那臺(tái)計(jì)算機(jī)是不是有屏幕保護(hù)以防止外人隨意操作?是不是誰都可以躲在后面偷看一把?翻開鍵盤底下,是不是寫了一行口令?

  一般地說,防火墻的管理是遠(yuǎn)程操作的。那么,我們要了解這一遠(yuǎn)程操作過程是否自始至終加密??梢栽囋囉肨elnet遠(yuǎn)程登錄。還要搞清楚是不是任何IP都可以允許進(jìn)行遠(yuǎn)程管理。如果是,一定要在審計(jì)報(bào)告中要求對(duì)IP加嚴(yán)格的限制。

  對(duì)于軟件防火墻,還要仔細(xì)檢查操作系統(tǒng)的設(shè)置。是不是有任何多余的系統(tǒng)過程(services)在運(yùn)行?各用戶口令是否定期改變?是否允許使用脆弱口令?是否有完備的操作系統(tǒng)安全日志?等等。

  (4)現(xiàn)在我們要進(jìn)入審計(jì)的核心部分:檢查防火墻的規(guī)則(ruleset)。這是防火墻審計(jì)過程中最困難、最復(fù)雜,最費(fèi)時(shí)的一步。

  每一條防火墻的規(guī)則的產(chǎn)生或更改,都需要有詳細(xì)的注釋,寫清楚是誰要求添加和修改的,原因何在,添加或更改的日期,以及時(shí)限等。我們首先要把全部的規(guī)則從防火墻調(diào)出(幾乎所有品牌的防火墻都有這項(xiàng)功能),然后打印出來。下面就要一條一條地去查看是否有注釋……如果任何一條規(guī)則后面沒有加注釋,那么就要在審計(jì)報(bào)告中建議防火墻管理員補(bǔ)上。

  然后,我們要檢查防火墻的第一條規(guī)則。防火墻的第一條規(guī)則就是拒絕一切數(shù)據(jù)流進(jìn)入(“blockall”)。這一步極少出問題。

  下面的工作,就是要把所有時(shí)限并過時(shí)了的規(guī)則列在一起。這一步的目的就是防止那些應(yīng)急策略變成永久策略。如果防火墻管理員對(duì)于每一條規(guī)則都做了詳細(xì)的注釋,這一步就很快可以完成。完成這一步可以為下一步減少許多工作量。找出了所有的過時(shí)了的規(guī)則后,最終目的是要把它們刪除,或者把它們變成永久性的(在不違反安全政策的前提下)。如果防火墻管理員不能提供很好的注釋,這一步就無法完成。下一步就要多一些工作量。要把這個(gè)問題寫在審計(jì)報(bào)告上,以防再次出現(xiàn)。

  然后我們要一條一條地去核實(shí)防火墻規(guī)則的有效性。所謂有效性,是指兩個(gè)方面。其一是指每一條規(guī)則是否需要存在。最簡(jiǎn)單的做法,就是核實(shí)每一條規(guī)則的起點(diǎn)和終點(diǎn)是否還存在。比如說一條規(guī)則要從內(nèi)部IP192.168.24.20到外部IP201.30.33.11打開TCP端口3105,使公司某人可以參加某個(gè)網(wǎng)上會(huì)議。但是仔細(xì)一檢查,IP201.30.33.11已關(guān)閉多時(shí)。也就是說這一條規(guī)則無效,必須刪除,或者改到正確的IP上。有效性又是指每一條規(guī)則是否能夠做要做的事情。還以上面的例子,假如兩個(gè)IP都處于工作狀態(tài),但是公司里這個(gè)參加網(wǎng)上會(huì)議的人老是抱怨不能觀看對(duì)方的實(shí)況樣品電視解說。只可以看靜態(tài)的圖象。檢查原因,TCP端口3105是打開了,但是對(duì)方的系統(tǒng)要求把UDP端口也打開,才能看到電視。這條規(guī)則須經(jīng)修改,加開UDP端口3105.

  防火墻規(guī)則安全性的涵義較廣。接受過專門培訓(xùn)的防火墻管理員一般是知道如何避免使用不安全的規(guī)則。但是現(xiàn)實(shí)中有很多復(fù)雜的情況,稍不留心就會(huì)使一條規(guī)則成為一個(gè)安全隱患。安全性方面大多數(shù)問題都是把“洞”開得太大,或開在不該開的地方。舉個(gè)例子,假設(shè)在DMZ上有幾十臺(tái)互聯(lián)網(wǎng)服務(wù)器(WebServer)在日夜運(yùn)行。日常管理和監(jiān)視這些服務(wù)器是通過一臺(tái)設(shè)在內(nèi)部網(wǎng)的Tivoli服務(wù)器來執(zhí)行的。可是Tivoli服務(wù)器和DMZ上的幾十臺(tái)互聯(lián)網(wǎng)服務(wù)器之間有一層防火墻擋著。根據(jù)IBM的技術(shù)文獻(xiàn),這就要在這一層防火墻開許多端口才行。有些還必需是雙向的(bi-directional)。如果真聽了IBM的話,那防火墻的安全性就大打折扣。因?yàn)楣テ艱MZ是相對(duì)來說較容易的事。攻破了DMZ,又有這么多端口大門敞開,攻入內(nèi)部網(wǎng)絡(luò)就不太費(fèi)事了。解決這個(gè)問題的辦法,是關(guān)掉這些端口,在DMZ上安裝一個(gè)Tivoli數(shù)據(jù)中轉(zhuǎn)服務(wù)器,然后只要在防火墻上開兩個(gè)單向端口就行了。安全性還反映在是否執(zhí)行單位的安全政策方面。比如說,某單位的安全政策規(guī)定不準(zhǔn)隨便安裝SMTP服務(wù)器。但是某部門異想天開,要試驗(yàn)一下讓客戶能夠自己開啟用自己注冊(cè)域名的Email帳戶發(fā)送電子郵件的可行性。由于大家深知SMTP的危險(xiǎn)性,就決定把它裝在DMZ上,內(nèi)外各有一層防火墻作屏障。可是由于SMTP端口在防火墻上已打開,而且由于是試驗(yàn)的緣故,對(duì)四面八方的郵件轉(zhuǎn)發(fā)(MailRelay)的申請(qǐng)一概不拒。這一端口一開,立即被世界上眾多的垃圾郵件發(fā)送裝置自動(dòng)掃描到。幾小時(shí)后成千上萬的垃圾郵件就潮水般地涌過來,尋找免費(fèi)服務(wù)??墒悄莻€(gè)防火墻后面的SMTP服務(wù)器卻說不行,因?yàn)槟銈兌疾荒芡ㄟ^我的身份鑒別。但那成千上萬的垃圾郵件發(fā)送裝置不管這一套。這個(gè)失敗了,那個(gè)又來碰碰運(yùn)氣。這樣一來,這臺(tái)SMTP服務(wù)器一天到晚在被狂轟濫炸。炸幾下并不會(huì)導(dǎo)致任何嚴(yán)重后果。問題是網(wǎng)絡(luò)被阻塞。事實(shí)上,這個(gè)問題在國(guó)內(nèi)比較嚴(yán)重。很多SMTP服務(wù)器根本沒有任何防范垃圾郵件功能。它們深受國(guó)際垃圾郵件大佬們的青睞。解決這個(gè)問題很簡(jiǎn)單:在審計(jì)報(bào)告中建議:嚴(yán)格按照單位的安全政策辦事,取消這類的不安全的SMTP服務(wù)器。中國(guó)的具體國(guó)情是,國(guó)家有嚴(yán)格規(guī)定阻擋特定的IP流通。那么這也是要查的一項(xiàng)。

  最后,我們要確保防火墻規(guī)則的合理性。合理的防火墻規(guī)則應(yīng)沒有重復(fù),沒有交疊,它們之間也不互相沖突。這方面的問題在多人管理的防火墻上較多。要把重復(fù)的,相互交疊的,還有互相沖突的規(guī)則列出來,在審計(jì)報(bào)告中建議修改它們。

  上面幾件事做好了,防火墻的一團(tuán)亂線就理清了,人為造成的漏洞堵住了。在美國(guó)很多單位有人僅憑做好這件事情,就會(huì)得到上面的嘉獎(jiǎng)。因?yàn)樗鉀Q了很多實(shí)際問題。

 ?。?)上面幾個(gè)環(huán)節(jié),都是由經(jīng)驗(yàn)豐富的人去做的?,F(xiàn)在我們可以輕松一點(diǎn)了:讓傻瓜機(jī)器去幫點(diǎn)忙。這就是對(duì)防火墻進(jìn)行漏洞掃描(VulnerabilityScan)。這一類時(shí)髦的安全軟件工具市場(chǎng)上至少已有一打。有些確實(shí)很好。要注意的是,對(duì)防火墻的每一個(gè)網(wǎng)絡(luò)界面都要掃描一番,不要漏掉任何一個(gè)。如果你有更時(shí)髦的穿透試驗(yàn)(PenetrationTest)軟件,當(dāng)然也無妨拿過來用用。你手中的百般武藝盡可以拿來大顯身手。筆者還建議,對(duì)用來做防火墻管理的計(jì)算機(jī)也不妨掃描一番,比如說看看是否有人已送了一個(gè)特洛伊木馬去常駐。如果把存放防火墻日志的那臺(tái)計(jì)算機(jī)也掃描一番,也不算過分。把所有掃描結(jié)果寫到審計(jì)報(bào)告上。有一點(diǎn)要注意的是,不管你用何種方法對(duì)防火墻進(jìn)行掃描,一定要把時(shí)間,掃描工具或人使用的IP都準(zhǔn)確地記下來。在下一步的審計(jì)防火墻的日志時(shí),一定要看看防火墻日志有沒有把受到的攻擊如實(shí)記錄下來。有的防火墻設(shè)置有警報(bào)。要看看警報(bào)系統(tǒng)是否正常工作。

 ?。?)然后,我們來審計(jì)防火墻的日志。國(guó)內(nèi)對(duì)這方面已有不少介紹。這里就不打算重復(fù)了。這方面的軟件也不少。我想提醒兩點(diǎn):第一,對(duì)于軟件防火墻,別忘了也審計(jì)防火墻操作系統(tǒng)的日志。如果一臺(tái)防火墻也用來做VPN,那么也要注意有關(guān)VPN上各項(xiàng)活動(dòng)的日志(一般來說這類VPN沒有獨(dú)立的日志)。如果一臺(tái)防火墻也用來做代理服務(wù)器(Proxy),那么也要審計(jì)代理服務(wù)器的日志。審計(jì)代理服務(wù)器的日志耗費(fèi)時(shí)間,用軟件工具可以大大提高效率。第二,審計(jì)防火墻的日志,并不單單是一個(gè)技術(shù)問題,有時(shí)也可能會(huì)引出人事,法律,隱私等問題。它在某種程度上可以監(jiān)視跟蹤員工上班時(shí)的網(wǎng)上行為。它可能導(dǎo)致員工丟飯碗,也可能暴露員工的工作效率,癖好,情緒,乃至性傾向。筆者在1996年某次查看防火墻員工瀏攬互聯(lián)網(wǎng)日志,發(fā)現(xiàn)某部門的一個(gè)挺不錯(cuò)的員工的“性”趣全是同性。在跟同事聊天時(shí)不慎說漏了嘴,很快這消息就長(zhǎng)了翅膀。不久那個(gè)員工就在風(fēng)言風(fēng)雨中辭職了。這是筆者的一個(gè)永遠(yuǎn)的沉痛教訓(xùn)。審計(jì)防火墻的日志,最好由兩人查看同一日志,以防任何一人隱瞞任何問題。但對(duì)于審計(jì)的結(jié)果,要嚴(yán)加保密。如果審計(jì)兵結(jié)果牽涉到人事、法律方面的問題,要把原始證據(jù)妥善保存好,以便復(fù)核。只有原始日志才能用于法律證據(jù)。在防火墻的審計(jì)報(bào)告中要隱去涉嫌人名。

  (7)最后的一步,就是對(duì)防火墻實(shí)施攻擊測(cè)驗(yàn)(PenetrationTesting),以測(cè)驗(yàn)防火墻的真實(shí)安全性。這需要最謹(jǐn)慎從事。這是只有專家才能做的事情。不同的專家由于經(jīng)驗(yàn)和手段不同,會(huì)得出不同的結(jié)果。稱職的這類專家人數(shù)極少。如果沒有條件,這一步可以省略。

  對(duì)防火墻的審計(jì)工作本身,大致就是這些步驟。但要把工作善始善終,還有一件大事要做,這就是要把審計(jì)報(bào)告寫出來。這是可以自動(dòng)化的。把上述講的所有結(jié)果列在一張表格上。然后給每一方面進(jìn)行打分。打好分后把分?jǐn)?shù)最低和最高的那幾條寫到總結(jié)里去。對(duì)需要改正的地方,提出相對(duì)的建議。然后再把幾個(gè)大方面的結(jié)果畫幾張五顏六色的大餅圖。最后再搞幾個(gè)附錄之類的。報(bào)告就做出來了。國(guó)內(nèi)有些有關(guān)網(wǎng)絡(luò)安全的文章,寫的充滿玄機(jī),深不可測(cè),把簡(jiǎn)單的事情搞復(fù)雜了。但是防火墻的審計(jì)報(bào)告,卻要以簡(jiǎn)單明了的方式和格式,讓客戶看得懂,知道怎樣去改正錯(cuò)誤,避免再犯錯(cuò)誤。這就要把復(fù)雜的事情弄簡(jiǎn)單一些。
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.yinshua168.com.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)