浅谈防火墙审计_0.docVIP

浅谈防火墙审计 防火墙的审计是近一、两年在美国各 企业 和公立部门逐渐开始的一项安全业务。美国在二零零零年就基本上普及了防火墙。但由于缺乏经验丰富的专业人员，以及管理上的疏忽与混乱，很多防火墙基本上形同虚设，并没有真正有效地发挥作用。 网络 入侵的事件仍然频频发生。绝大多数公司对于网络入侵或者根本就没有察觉，或者察觉后保持沉默，能瞒就瞒，尽量避免 影响 公司的形象。但是在暗地里，这些公司吃一堑长一智，重金聘请高手，查找安全漏洞。结果发现很多漏洞就来自于防火墙本身。事实使他们认识到，如果不好好管理防火墙，不但防不了“火”，有时甚至还会引火烧身。要解决这个 问题 ，有效的办法之一就是对防火墙进行定期的审计，抢在问题发生之前去发现问题。这样一来，一个新的安全业务-防火墙审计，就在战火中悄然诞生了。如今对防火墙审计已渐渐成为安全审计的一个重要的环节。本文力图用有限的篇幅，对防火墙审计做一个简单的介绍。这里说的防火墙审计，并不是简单地指对防火墙日志的审计，而是对整个防火墙的功能、设置、管理、环境、弱点、漏洞等进行全面的审计。 　　1.为什么要审计防火墙？ 　　审计防火墙就是要查找防火墙的问题。导致防火墙出问题的因素很多。归结起来，主要有以下四个方面的因素： 　　第一，人为的疏忽。 　　智者千虑，必有一失。防火墙虽然已有了十多年的 历史 ，但直到今天，还没有一个厂家可以向客户提供简单明了的管理界面。即使一个经验丰富的防火墙管理员，面对几十条上百条防火墙规则（FirewallRules），也有搞糊涂的时候。一个生手就更不必说了。有时规则之间互相冲突。有的洞开得太大，不能够起到保护内部网络的作用。有的规则根本就违反公司的安全政策（SecurityPolicy），就不该存在。有的单位让多人拥有防火墙管理员的帐户。谁高兴了就来设置一条新的规则，防火墙被搞得乱七八糟。防火墙是不会提醒操作员这些问题的。这些问题使防火墙的有效性大打折扣。纠正这一类问题的办法，就是靠定期的审计。 　　第二，管理的松懈。 　　这是最普遍的情况。对于一个小公司来说，也许有一座防火墙就足够可以应付守卫网络的需求。不过，这样一个小公司，往往雇不起一个防火墙专家，就只好把这一职责外包。那个承接外包的安全公司，也许就只有那么两、三个防火墙专家在唱空城计。他们每人至少要看管好几十个公司的防火墙，人员经常处于超负荷运行状态。为了尽力满足客户的需要，他们基本上是有求必应。如果对客户说“不”，以后的合同就不好拿到了。很多安全漏洞就出在这里。因为客户们的安全知识有限，他们提出的要求有不少是违反安全原则的。随便答应了他们，就在防火墙留下了一个个安全隐患。有的公司连把防火墙外包的钱都不想花，就赌自己公司不会有霉运，随便让公司内部某个未经防火墙培训的网管兼任墙管的重任。钱是省了，可是，一场大祸，这省的钱就会加倍地赔出去。大点的公司，情况似乎好一些。防火墙有专人负责。可是，公司一大，防火墙的数目也跟着增长（笔者就职的公司有四百多座防火墙，还有很多嵌入式防火墙装在3G的微波塔内）。尤其是，公司内部也互设防火墙，以达到分级保护的目的。这就使情况极为复杂。墙越多，管理的难度就越高。一个数据在公司内部从网络的一端走到另一端，可能要通过好几道防火墙。如何让各种数据畅通无阻又不在安全方面妥协退让，就成为一个十分复杂的问题。当然，最偷懒省事的办法就是打开闸门，让鱼虾螃蟹一律通过。这种情况尤其是在紧急状态下常出现。很多临时加上去的应急策略往往变成永久策略。这就种下一个个祸根。防火墙一多，正确地做变更日志就困难得多。没有精确地做好变更日志，加上人员的流动，久而久之整个防火墙系统就成为一团理不清的乱线，该挡的不去挡，该放行的不放行。另外一个十分常见的防火墙管理方面的问题，就是忽略了对防火墙日志的定期审计。以至于墙内外风声四起，雷鸣电闪，防火墙管理员也照常睡大觉。对付以上这一类的问题，只有加强管理。和财务管理一样，防火墙的管理不能没有定期的审计。定期的审计可以协助防火墙管理人员理清乱线，发现潜在的危机，消除隐患。对于客户来说，这是负责任的做法。 　　第三，防火墙自身存在的漏洞或缺陷。 　　一个防火墙今天是密不透风，如铜墙铁壁，过些天就有可能是漏洞百出，有如一团豆腐渣。这种情况是如何产生的呢？迄今为止，还没有哪个厂家生产的防火墙不存在任何安全漏洞。只不过那些漏洞须经时日才能被逐渐发现。每当这种情况发生，生产厂家就要拿出修补的软件包，供用户安装。有时甚至要推出新的版本才能堵住漏洞。问题在于，能懒就懒的防火墙管理员不乏其人。天长日久，欠的补钉太多了，问题就越来越大。有时，防火墙本身并不存在什么大问题，但问题出在防火墙软件基于的操作系统软件上。 目前 大部分在线的防火墙仍然是软件防火墙。一般地说，每个防火墙至少有一个网络界面可以