防火墙审计的基本方法和步骤.doc

1、防火墙审计的基本方法和步骤(1)审前调查在开始审计防火墙前，要把防火墙的周围网络环境，保护对象，安全要求搞清楚。还要搜集一些必要的资料为后面的步骤做准备。至少要得到最新的以下方面的情报： 防火墙周围区域网络的流程图(包括内部和外部) 路由器的设置 防火墙及周围设备在网络上的名字和IP地址防火墙网络连接情况(防火墙每个网络界面的IP和邻近设备) 有关防火墙的最基本信息，比如生产厂家，版本，质量保障合同，管理员的姓名，24小时技术支持的电话号码，等等。 防火墙使用单位的安全政策(SecurityPolicy)。在国内还必须搞清楚国家政策和法律要求。 防火墙的管理制度(书面)。要仔细检查责任制，变更

2、控制过程(changecontrolprocess)，维修和厂家销后支持的途径及过程，等等。 防火墙的安装、使用、升级、维护、及日常管理记录。 这一步实际上是为整个审计工作做准备。如果缺少以上任何一个方面的情报，必须在审计报告中建议有关人员补上。最难补的是安全政策。可是一个单位如果没有一个哪怕是很简单的安全政策，信息安全就只能是儿戏，充其量是某种权宜之计。如果缺失防火墙记录，能补的尽量补上，补不上的就从现在开始严格地做记录。根据笔者的经验，很多单位在这第一步就出问题。比如，根本没有任何的防火墙管理制度或维护日志。即使有，也是基本空白。防火墙的管理界面放到高危险区，防火墙的Internet端口接

3、入的网络开关(NetworkSwitch)上接入了几个未登记的机器，等等。但如果这第一步没有问题，后边的问题也不会太多。 (2) 查看防火墙的配置、环境、和运行情况下一步就是查看防火墙的配置、环境、和运行情况。这其中包括逻辑的和物理的状况要调查的至少应包括以下几个方面： 防火墙的硬件设置(这主要是查处理器的数目及速度，硬件防火墙免查这一项)。 防火墙的操作系统及版本(硬件防火墙免查操作系统及版本)。 防火墙的网卡设置速度。其速度跟网络开关的速度是否严格匹配? 防火墙的日志是存在哪里的(存在自身的硬驱还是另一计算机的硬驱)?如果存在另外一台计算机上，那么是如何保护日志的(是否加密)?保存多长时间

4、?有没有把日志备份到磁带上? 如果防火墙的日志是存到自己的硬驱里，那么硬驱总共有多大存储空间?还剩多少存储空间?如果只剩有很少的空间，那么要赶快想办法。 看一看防火墙的内存(RAM)使用情况。看看是否经常处于满负荷状态。如果是，就要在审计报告中建议考虑增加内存。 看一看防火墙的中央处理器使用情况。看看是否经常处于满负荷状态。如果是，就要在审计报告中建议更换机器。 对于软件防火墙，是不是定期将所有数据(包括操作系统)备份到磁带上? 防火墙有没有failover设置?如果有，怎么测试它是否真的管用? 有没有紧急情况应急方案?对方案有没有进行定期的实战训练? 有关防火墙的文件是不是胡乱堆在哪个桌子上

5、任人翻看?防火墙是放在哪里的?机房温度是否太高?防火墙的散热风扇是否在转?摸摸防火墙是不是烫手?机房的门是不是大敞开欢迎各方游客?机房有没有防火报警器?防火墙是不是随便堆在另一台计算机上面一碰就倒?所有的电缆是否用标签明确地说明网络界面及IP?电缆是不是吊在空中一不小心就会把人绊倒?电源是不是稳压的?有没有断电保护?机房地面是不是防静电的?机房的垃圾桶里面是不是有防火墙的示意图、半截烟头、香蕉皮?一个随便乱丢机密文件、在机房吸烟、饱开口福、想入非非的防火墙管理员是难以胜任的。 上面除第一个环节外，其它任何一个环节出问题，都有可能导致严重的后果。像防火墙操作系统的版本，如果还是SunSolari

6、s2.6，就是个大问题。因为Sun(升阳公司)早就停止支持Solaris2.6，并不再为其写任何补丁了。这就是说，如果某黑客发现了一个新的SunSolaris2.6的漏洞，SunSolaris2.6的用户将毫无举措。 (3) 了解防火墙的自身安全状况下一步就是了解防火墙的自身安全状况。防火墙是用来保护网络的，当然首先要有能力保护自己。自身不保的防火墙等于是放火墙。在这方面至少要把以下几点搞清楚： 对于软件防火墙，查看防火墙的操作系统究竟有没有按照生产厂家的规定，安装足够的安全补丁。如果没有，那么将缺少的补丁一一列出来。 查看防火墙本身的补丁是否有按照生产厂家的规定，把安全补丁装够。如果没有，那

7、么将缺少的补丁一一列出来。如果是硬件防火墙，那么就要查看防火墙的 Firmware版本。然后核对生产厂家的最新版本。如果防火墙的Firmware确版本不是最新的，那么就要在审计报告中把这个问题写上去。 有多少人被授权进行防火墙的管理?他们是使用各自的用户名进入防火墙管理界面，还是否共享一个用户名?有没有一张示意图表明这些人的权限?他们是否被要求定期更换口令?是否允许使用脆弱口令?防火墙日志是否记详细记录每个管理员的进入系统的时间、输错口令的次数、被拒绝进入的次数，退出系统的时间，等等。 有没有“后门”可以避开种种安全控制，进入防火墙。这是比较困难的。因为防火墙管理员一般不会说出这一类秘密。要做

8、些研究，包括向生产厂家询问。特别是要向生产厂家打听系统安装时第一个使用的用户名及口令。然后看看那个用户名和口令是不是在系统安装好后已更改。 防火墙管理是从哪台计算机进行操作的?那台计算机是不是有屏幕保护以防止外人随意操作?是不是谁都可以躲在后面偷看一把?翻开键盘底下，是不是写了一行口令? 一般地说，防火墙的管理是远程操作的。那么，我们要了解这一远程操作过程是否自始至终加密。可以试试用Telnet远程登录。还要搞清楚是不是任何IP都可以允许进行远程管理。如果是，一定要在审计报告中要求对IP 加严格的限制。 对于软件防火墙，还要仔细检查操作系统的设置。是不是有任何多余的系统过程(services)

9、在运行?各用户口令是否定期改变?是否允许使用脆弱口令?是否有完备的操作系统安全日志?等等。 (4) 检查防火墙的规则现在我们要进入审计的核心部分：检查防火墙的规则(ruleset)。这是防火墙审计过程中最困难、最复杂，最费时的一步。 每一条防火墙的规则的产生或更改，都需要有详细的注释，写清楚是谁要求添加和修改的，原因何在，添加或更改的日期，以及时限等。我们首先要把全部的规则从防火墙调出(几乎所有品牌的防火墙都有这项功能)，然后打印出来。下面就要一条一条地去查看是否有注释如果任何一条规则后面没有加注释，那么就要在审计报告中建议防火墙管理员补上。 然后，我们要检查防火墙的第一条规则。防火墙的第一条

10、规则就是拒绝一切数据流进入(“blockall”)。这一步极少出问题。 下面的工作，就是要把所有时限并过时了的规则列在一起。这一步的目的就是防止那些应急策略变成永久策略。如果防火墙管理员对于每一条规则都做了详细的注释，这一步就很快可以完成。完成这一步可以为下一步减少许多工作量。找出了所有的过时了的规则后，最终目的是要把它们删除，或者把它们变成永久性的(在不违反安全政策的前提下)。如果防火墙管理员不能提供很好的注释，这一步就无法完成。下一步就要多一些工作量。要把这个问题写在审计报告上，以防再次出现。 然后我们要一条一条地去核实防火墙规则的有效性。所谓有效性，是指两个方面。其一是指每一条规则是否需

11、要存在。最简单的做法，就是核实每一条规则的起点和终点是否还存在。比如说一条规则要从内部IP192.168.24.20到外部IP201.30.33.11打开TCP端口3105，使公司某人可以参加某个网上会议。但是仔细一检查，IP201.30.33.11已关闭多时。也就是说这一条规则无效，必须删除，或者改到正确的IP上。有效性又是指每一条规则是否能够做要做的事情。还以上面的例子，假如两个IP都处于工作状态，但是公司里这个参加网上会议的人老是抱怨不能观看对方的视频解说。只可以看静态的图象。检查原因，TCP端口3105是打开了，但是对方的系统要求把UDP端口也打开，才能看到视频。这条规则须经修改，加开

12、UDP端口3105. 防火墙规则安全性的涵义较广。接受过专门培训的防火墙管理员一般是知道如何避免使用不安全的规则。但是现实中有很多复杂的情况，稍不留心就会使一条规则成为一个安全隐患。安全性方面大多数问题都是把“洞”开得太大，或开在不该开的地方。举个例子，假设在DMZ上有几十台互联网服务器(WebServer)在日夜运行。日常管理和监视这些服务器是通过一台设在内部网的Tivoli服务器来执行的。可是Tivoli服务器和DMZ上的几十台互联网服务器之间有一层防火墙挡着。根据IBM的技术文献，这就要在这一层防火墙开许多端口才行。有些还必需是双向的(bi-directional)。如果真听了IBM的话

13、，那防火墙的安全性就大打折扣。因为攻破DMZ是相对来说较容易的事。攻破了DMZ，又有这么多端口大门敞开，攻入内部网络就不太费事了。解决这个问题的办法，是关掉这些端口，在DMZ上安装一个Tivoli数据中转服务器，然后只要在防火墙上开两个单向端口就行了。安全性还反映在是否执行单位的安全政策方面。比如说，某单位的安全政策规定不准随便安装SMTP服务器。但是某部门异想天开，要试验一下让客户能够自己开启用自己注册域名的Email帐户发送电子邮件的可行性。由于大家深知SMTP的危险性，就决定把它装在DMZ上，内外各有一层防火墙作屏障。可是由于SMTP端口在防火墙上已打开，而且由于是试验的缘故，对四面八方

14、的邮件转发(MailRelay)的申请一概不拒。这一端口一开，立即被世界上众多的垃圾邮件发送装置自动扫描到。几小时后成千上万的垃圾邮件就潮水般地涌过来，寻找免费服务。可是那个防火墙后面的SMTP服务器却说不行，因为你们都不能通过我的身份鉴别。但那成千上万的垃圾邮件发送装置不管这一套。这个失败了，那个又来碰碰运气。这样一来，这台SMTP服务器一天到晚在被狂轰滥炸。炸几下并不会导致任何严重后果。问题是网络被阻塞。事实上，这个问题在国内比较严重。很多SMTP服务器根本没有任何防范垃圾邮件功能。它们深受国际垃圾邮件大佬们的青睐。解决这个问题很简单：在审计报告中建议：严格按照单位的安全政策办事，取消这类

15、的不安全的SMTP服务器。中国的具体国情是，国家有严格规定阻挡特定的IP流通。那么这也是要查的一项。 最后，我们要确保防火墙规则的合理性。合理的防火墙规则应没有重复，没有交叠，它们之间也不互相冲突。这方面的问题在多人管理的防火墙上较多。要把重复的，相互交叠的，还有互相冲突的规则列出来，在审计报告中建议修改它们。 上面几件事做好了，防火墙的一团乱线就理清了，人为造成的漏洞堵住了。在美国很多单位有人仅凭做好这件事情，就会得到上面的嘉奖。因为它解决了很多实际问题。 (5)使用扫描测试工具上面几个环节，都是由经验丰富的人去做的。现在我们可以轻松一点了：让傻瓜机器去帮点忙。这就是对防火墙进行漏洞扫描(V

16、ulnerabilityScan)。这一类时髦的安全软件工具市场上至少已有一打。有些确实很好。要注意的是，对防火墙的每一个网络界面都要扫描一番，不要漏掉任何一个。如果你有更时髦的穿透试验(PenetrationTest)软件，当然也无妨拿过来用用。你手中的百般武艺尽可以拿来大显身手。笔者还建议，对用来做防火墙管理的计算机也不妨扫描一番，比如说看看是否有人已送了一个特洛伊木马去常驻。如果把存放防火墙日志的那台计算机也扫描一番，也不算过分。把所有扫描结果写到审计报告上。有一点要注意的是，不管你用何种方法对防火墙进行扫描，一定要把时间，扫描工具或人使用的IP都准确地记下来。在下一步的审计防火墙的日志

17、时，一定要看看防火墙日志有没有把受到的攻击如实记录下来。有的防火墙设置有警报。要看看警报系统是否正常工作。 (6)审计防火墙的日志国内对这方面已有不少介绍。这里就不打算重复了。这方面的软件也不少。我想提醒两点：第一，对于软件防火墙，别忘了也审计防火墙操作系统的日志。如果一台防火墙也用来做VPN，那么也要注意有关VPN上各项活动的日志(一般来说这类VPN没有独立的日志)。如果一台防火墙也用来做代理服务器(Proxy)，那么也要审计代理服务器的日志。审计代理服务器的日志耗费时间，用软件工具可以大大提高效率。第二，审计防火墙的日志，并不单单是一个技术问题，有时也可能会引出人事，法律，隐私等问题。它在

18、某种程度上可以监视跟踪员工上班时的网上行为。它可能导致员工丢饭碗，也可能暴露员工的工作效率，情绪，癖好。审计防火墙的日志，最好由两人查看同一日志，以防任何一人隐瞒任何问题。但对于审计的结果，要严加保密。如果审计结果牵涉到人事、法律方面的问题，要把原始证据妥善保存好，以便复核。只有原始日志才能用于法律证据。在防火墙的审计报告中要隐去涉嫌人名。 (7)对防火墙实施攻击测验最后的一步，就是对防火墙实施攻击测验(PenetrationTesting)，以测验防火墙的真实安全性。这需要最谨慎从事。这是只有专家才能做的事情。不同的专家由于经验和手段不同，会得出不同的结果。称职的这类专家人数极少。如果没有条

19、件，这一步可以省略。 对防火墙的审计工作本身，大致就是这些步骤。但要把工作善始善终，还有一件大事要做，这就是要把审计报告写出来。这是可以自动化的。把上述讲的所有结果列在一张表格上。然后给每一方面进行打分。打好分后把分数最低和最高的那几条写到总结里去。对需要改正的地方，提出相对的建议。然后再把几个大方面的结果画几张五颜六色的大饼图。最后再搞几个附录之类的。报告就做出来了。防火墙的审计报告，要以简单明了的方式和格式，让客户看得懂，知道怎样去改正错误，避免再犯错误。这就要把复杂的事情弄简单一些。常见的防火墙审计检查表 防火墙 安全审核被审核部门审核人员审核日期陪同人员序号审核项目审核步骤/方法审核结

20、果补充说明备注1防火墙安全策略审核检查防火墙安全策略的设置是否合理：1. 检查防火墙是否只开放了必须要开放的端口；2. 检查防火墙是否禁止了所有不必要开放的端口；3. 检查防火墙是否设置了防DOS攻击安全策略；4. 检查防火墙是否设置了抗扫描安全措施。2防火墙应用模式安全审核防火墙采用何种应用模式（透明、NAT、路由），是否采用了必要的NAT、PAT措施隐藏服务器及内部网络结构3防火墙软件检查检查防火墙操作系统是否为最新版本、是否安装相应的安全补丁。4防火墙管理检查1. 检查防火墙的通过什么方式进行管理，是否为安全的管理方式2. 检查防火墙是否根据权限不同进行分级管理3. 检查防火墙的口令设置情况，口令设置是否满足安全要求5防火墙日志检查1. 检查防火墙的日志设置是否合理，是否有所有拒绝数据包的记录日志。2. 检查防火墙的日志保存情况，所记录的日志是否有连续性；3. 检查防火墙日志的查看情况，网络安全管理员是否按照防火墙管理制度对防火墙进行日常维护