防火墙审计的基本方法和步骤.pdf

精品资料 防火墙审计的基本方法和步骤 (1) 审前调查 在开始审计防火墙前，要把防火墙的周围网络环境，保护对象，安全要求搞清楚。 还要 搜集一些必要的资料为后面的步骤做准备。至少要得到最新的以下方面的情报： 防火墙周围区域网络的流程图 (包括内部和外部 ) 路由器的设置 防火墙及周围设备在网络上的名字和 IP 地址 防火墙网络连接情况 (防火墙每个网络界面的 IP 和邻近设备 ) 有关防火墙的最基本信息，比如生产厂家，版本，质量保障合同，管理员的姓名， 24 小时技术支持的电话号码，等等。 防火墙使用单位的安全政策 (SecurityPolicy) 。在国内还必须搞清楚国家政策和法律要 求。 防火墙的管理制度 (书面 ) 。要仔细检查责任制， 变更控制过程 (changecontrolprocess) ， 维修和厂家销后支持的途径及过程，等等。 防火墙的安装、使用、升级、维护、及日常管理记录。 这一步实际上是为整个审计工作做准备。 如果缺少以上任何一个方面的情报， 必须在审 计报告中建议有关人员补上。 最难补的是安全政策。 可是一个单位如果没有一个哪怕是很简 单的安全政策， 信息安全就只能是儿戏， 充其量是某种权宜之计。 如果缺失防火墙记录，能 补的尽量补上， 补不上的就从现在开始严格地做记录。 根据笔者的经验， 很多单位在这第一 步就出问题。比如，根本没有任何的防火墙管理制度或维护日志。即使有，也是基本空白。 防火墙的管理界面放到高危险区， 防火墙的 Internet 端口接入的网络开关 (NetworkSwitch) 上接入了几个未登记的机器，等等。但如果这第一步没有问题，后边的问题也不会太多。 (2) 查看防火墙的配置、环境、和运行情况 下一步就是查看防火墙的配置、 环境、 和运行情况。 这其中包括逻辑的和物理的状况要 调查的至少应包括以下几个方面： 防火墙的硬件设置 (这主要是查处理器的数目及速度，硬件防火墙免查这一项 )。 防火墙的操作系统及版本 (硬件防火墙免查操作系统及版本 )。 防火墙的网卡设置速度。其速度跟网络开关的速度是否严格匹配 ? 防火墙的日志是存在哪里的 (存在自身的硬驱还是另一计算机的硬驱 )? 如果存在另外一 台计算机上，那么是如何保护日志的 (是否加密 )?保存多长时间 ? 有没有把日志备份到磁带 上? 如果防火墙的日志是存到自己的硬驱里，那么硬驱总共有多大存储空间 ?还剩多少存储 空间 ?如果只剩有很少的空间，那么要赶快想办法。 看一看防火墙的内存 (RAM) 使用情况。 看看是否经常处于满负荷状态。 如果是， 就要在 审计报告中建议考虑增加内存。 看一看防火墙的中央处理器使用情况。 看看是否经常处于满负荷状态。 如果是， 就要在 审计报告中建议更换机器。 对于软件防火墙，是不是定期将所有数据 (包括操作系统 )备份到磁带上 ? 防火墙有没有 failover 设置 ?如果有，怎么测试它是否真的管用 ? 有没有紧急情况应急方案 ? 对方案有没有进行定期的实战训练