防火墙审计的基本方法和步骤.doc
《防火墙审计的基本方法和步骤.doc》由会员分享,可在线阅读,更多相关《防火墙审计的基本方法和步骤.doc(5页珍藏版)》请在咨信网上搜索。
1、防火墙审计的基本方法和步骤(1)审前调查在开始审计防火墙前,要把防火墙的周围网络环境,保护对象,安全要求搞清楚。还要搜集一些必要的资料为后面的步骤做准备。至少要得到最新的以下方面的情报: 防火墙周围区域网络的流程图(包括内部和外部) 路由器的设置 防火墙及周围设备在网络上的名字和IP地址防火墙网络连接情况(防火墙每个网络界面的IP和邻近设备) 有关防火墙的最基本信息,比如生产厂家,版本,质量保障合同,管理员的姓名,24小时技术支持的电话号码,等等。 防火墙使用单位的安全政策(SecurityPolicy)。在国内还必须搞清楚国家政策和法律要求。 防火墙的管理制度(书面)。要仔细检查责任制,变更
2、控制过程(changecontrolprocess),维修和厂家销后支持的途径及过程,等等。 防火墙的安装、使用、升级、维护、及日常管理记录。 这一步实际上是为整个审计工作做准备。如果缺少以上任何一个方面的情报,必须在审计报告中建议有关人员补上。最难补的是安全政策。可是一个单位如果没有一个哪怕是很简单的安全政策,信息安全就只能是儿戏,充其量是某种权宜之计。如果缺失防火墙记录,能补的尽量补上,补不上的就从现在开始严格地做记录。根据笔者的经验,很多单位在这第一步就出问题。比如,根本没有任何的防火墙管理制度或维护日志。即使有,也是基本空白。防火墙的管理界面放到高危险区,防火墙的Internet端口接
3、入的网络开关(NetworkSwitch)上接入了几个未登记的机器,等等。但如果这第一步没有问题,后边的问题也不会太多。 (2) 查看防火墙的配置、环境、和运行情况下一步就是查看防火墙的配置、环境、和运行情况。这其中包括逻辑的和物理的状况要调查的至少应包括以下几个方面: 防火墙的硬件设置(这主要是查处理器的数目及速度,硬件防火墙免查这一项)。 防火墙的操作系统及版本(硬件防火墙免查操作系统及版本)。 防火墙的网卡设置速度。其速度跟网络开关的速度是否严格匹配? 防火墙的日志是存在哪里的(存在自身的硬驱还是另一计算机的硬驱)?如果存在另外一台计算机上,那么是如何保护日志的(是否加密)?保存多长时间
4、?有没有把日志备份到磁带上? 如果防火墙的日志是存到自己的硬驱里,那么硬驱总共有多大存储空间?还剩多少存储空间?如果只剩有很少的空间,那么要赶快想办法。 看一看防火墙的内存(RAM)使用情况。看看是否经常处于满负荷状态。如果是,就要在审计报告中建议考虑增加内存。 看一看防火墙的中央处理器使用情况。看看是否经常处于满负荷状态。如果是,就要在审计报告中建议更换机器。 对于软件防火墙,是不是定期将所有数据(包括操作系统)备份到磁带上? 防火墙有没有failover设置?如果有,怎么测试它是否真的管用? 有没有紧急情况应急方案?对方案有没有进行定期的实战训练? 有关防火墙的文件是不是胡乱堆在哪个桌子上
5、任人翻看?防火墙是放在哪里的?机房温度是否太高?防火墙的散热风扇是否在转?摸摸防火墙是不是烫手?机房的门是不是大敞开欢迎各方游客?机房有没有防火报警器?防火墙是不是随便堆在另一台计算机上面一碰就倒?所有的电缆是否用标签明确地说明网络界面及IP?电缆是不是吊在空中一不小心就会把人绊倒?电源是不是稳压的?有没有断电保护?机房地面是不是防静电的?机房的垃圾桶里面是不是有防火墙的示意图、半截烟头、香蕉皮?一个随便乱丢机密文件、在机房吸烟、饱开口福、想入非非的防火墙管理员是难以胜任的。 上面除第一个环节外,其它任何一个环节出问题,都有可能导致严重的后果。像防火墙操作系统的版本,如果还是SunSolari
6、s2.6,就是个大问题。因为Sun(升阳公司)早就停止支持Solaris2.6,并不再为其写任何补丁了。这就是说,如果某黑客发现了一个新的SunSolaris2.6的漏洞,SunSolaris2.6的用户将毫无举措。 (3) 了解防火墙的自身安全状况下一步就是了解防火墙的自身安全状况。防火墙是用来保护网络的,当然首先要有能力保护自己。自身不保的防火墙等于是放火墙。在这方面至少要把以下几点搞清楚: 对于软件防火墙,查看防火墙的操作系统究竟有没有按照生产厂家的规定,安装足够的安全补丁。如果没有,那么将缺少的补丁一一列出来。 查看防火墙本身的补丁是否有按照生产厂家的规定,把安全补丁装够。如果没有,那
7、么将缺少的补丁一一列出来。如果是硬件防火墙,那么就要查看防火墙的 Firmware版本。然后核对生产厂家的最新版本。如果防火墙的Firmware确版本不是最新的,那么就要在审计报告中把这个问题写上去。 有多少人被授权进行防火墙的管理?他们是使用各自的用户名进入防火墙管理界面,还是否共享一个用户名?有没有一张示意图表明这些人的权限?他们是否被要求定期更换口令?是否允许使用脆弱口令?防火墙日志是否记详细记录每个管理员的进入系统的时间、输错口令的次数、被拒绝进入的次数,退出系统的时间,等等。 有没有“后门”可以避开种种安全控制,进入防火墙。这是比较困难的。因为防火墙管理员一般不会说出这一类秘密。要做
8、些研究,包括向生产厂家询问。特别是要向生产厂家打听系统安装时第一个使用的用户名及口令。然后看看那个用户名和口令是不是在系统安装好后已更改。 防火墙管理是从哪台计算机进行操作的?那台计算机是不是有屏幕保护以防止外人随意操作?是不是谁都可以躲在后面偷看一把?翻开键盘底下,是不是写了一行口令? 一般地说,防火墙的管理是远程操作的。那么,我们要了解这一远程操作过程是否自始至终加密。可以试试用Telnet远程登录。还要搞清楚是不是任何IP都可以允许进行远程管理。如果是,一定要在审计报告中要求对IP 加严格的限制。 对于软件防火墙,还要仔细检查操作系统的设置。是不是有任何多余的系统过程(services)
9、在运行?各用户口令是否定期改变?是否允许使用脆弱口令?是否有完备的操作系统安全日志?等等。 (4) 检查防火墙的规则现在我们要进入审计的核心部分:检查防火墙的规则(ruleset)。这是防火墙审计过程中最困难、最复杂,最费时的一步。 每一条防火墙的规则的产生或更改,都需要有详细的注释,写清楚是谁要求添加和修改的,原因何在,添加或更改的日期,以及时限等。我们首先要把全部的规则从防火墙调出(几乎所有品牌的防火墙都有这项功能),然后打印出来。下面就要一条一条地去查看是否有注释如果任何一条规则后面没有加注释,那么就要在审计报告中建议防火墙管理员补上。 然后,我们要检查防火墙的第一条规则。防火墙的第一条
10、规则就是拒绝一切数据流进入(“blockall”)。这一步极少出问题。 下面的工作,就是要把所有时限并过时了的规则列在一起。这一步的目的就是防止那些应急策略变成永久策略。如果防火墙管理员对于每一条规则都做了详细的注释,这一步就很快可以完成。完成这一步可以为下一步减少许多工作量。找出了所有的过时了的规则后,最终目的是要把它们删除,或者把它们变成永久性的(在不违反安全政策的前提下)。如果防火墙管理员不能提供很好的注释,这一步就无法完成。下一步就要多一些工作量。要把这个问题写在审计报告上,以防再次出现。 然后我们要一条一条地去核实防火墙规则的有效性。所谓有效性,是指两个方面。其一是指每一条规则是否需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 审计 基本 方法 步骤
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。