浅谈防火墙审计(2)
2016-08-30 01:05
导读:第三,防火墙自身存在的漏洞或缺陷。 一个防火墙今天是密不透风,如铜墙铁壁,过些天就有可能是漏洞百出,有如一团豆腐渣。这种情况是如何产生的
第三,防火墙自身存在的漏洞或缺陷。
一个防火墙今天是密不透风,如铜墙铁壁,过些天就有可能是漏洞百出,有如一团豆腐渣。这种情况是如何产生的呢?迄今为止,还没有哪个厂家生产的防火墙不存在任何安全漏洞。只不过那些漏洞须经时日才能被逐渐发现。每当这种情况发生,生产厂家就要拿出修补的软件包,供用户安装。有时甚至要推出新的版本才能堵住漏洞。题目在于,能懒就懒的防火墙治理员不胜枚举。天永日久,欠的补钉太多了,题目就越来越大。有时,防火墙本身并不存在什么大题目,但题目出在防火墙软件基于的操纵系统软件上。大部分在线的防火墙仍然是软件防火墙。一般地说,每个防火墙至少有一个网络界面可以进进防火墙的操纵系统操,还有一个界面可以用来治理防火墙。我们叫它治理界面(ManagementInte***ce)。它们应该是被设置在特殊的孤立网络环境里。但在现实中往往并不是这样。通过攻击防火墙操纵系统和治理界面的漏洞,可以一举攻破防火墙,起到出其不意的效果。要堵住操纵系统的漏洞,也基本上是靠生产厂家提供修补程序。只要严格按照厂家的信息,及时修补操纵系统的漏洞,严格控制进进治理界面的渠道,这一题目就不会存在。还有的防火墙,由于价格过于低廉,功能太差,比如说不能检测和阻挡拒尽服务类的攻击,无法满足日益增长的安全需要,就只好更新换代。对防火墙的定期审计,可以查出这一方面的题目,及时采取明智的措施。
第四,防火墙的运行及环境状况。
对于很多企业来说,防火墙是数据进出口的重要关卡。防火墙一旦停止运行,或者出现阻滞的状态,企业的运营就会受影响。一个正常情况下运行的防火墙,应该有足够的内存和外存空间来周转和储存数据,在大多数的时间处理器不是处于满负荷状态,防火墙有高质量的稳压电源及断电保护,四周温度和湿度有严格的控制,以及物理安全有保障。当然,最好所有的防火墙都能够有failover的设置。这样在主墙倒塌的情况下,预备墙可以自动接替。这些条件,并不是所有单位都有做到。这方面的题目,往往最轻易受到忽略。有的公司把防火墙与服务器,网络开关,路由器等同堆在一层架子上。网络治理员一不小心就可将防火墙的电缆碰掉,造成网络中断。这一类的题目看起来并不难解决,但并不是所有单位都解决好了。审计防火墙,可以发现这方面的题目。
(科教论文网 lw.NsEac.com编辑整理)
现在,我们对为什么要定期审计防火墙,以及主要从哪几个方面往查题目,应该有个较清楚的轮廓了。
2.由什么人来审计防火墙?
就像有财务知识和经验的专业职员原则上都可以搞财务审计一样,大凡精通网络安全审计及防火墙治理的专业职员,原则上都可以审计防火墙。但是,这里还是有一些规矩的。
一般来说,防火墙治理员本人不应被聘请来审计自己治理的防火墙。这和财务上把审计和财会职员职责分开有些类似。鲜有防火墙治理员会承认自己治理的防火强存在重大题目。别人从另外一个角度来看题目,就比较轻易发现毛病之所在。当然,有师徒关系的防火墙治理员最好也不要互查防火墙。尤其在国内,碍面子的话总说不出口。另外,假如一家单位是把防火墙治理工作外包的话,那么就最好不要请同一外包公司审计自己的防火墙。但是假如那家外包公司主动经常地审计客户的防火墙,那倒是件好事。至公司可以让不治理防火墙的网络安全治理职员来审防火墙,或者干脆把这一工作外包。
有人会提出,既然审计防火墙有一定的规矩往遵循,为什么不写一个软件往把这项业务自动化?到目前为止,审计防火墙日志的软件倒是有不少,也有人写出软件来审计防火墙的规则。但对防火墙进行全面的审计,和财务审计那样,牵涉到的因素太多,不能全用软件来执行。尤其是上市公司的安全审计结果会影响公司的声誉及股票持有人的信心。稍一出错就有可能牵扯到诉讼。在这类情况下,人的经验还是最可靠的。目前审计防火墙最快捷的办法,就是事先开列具体的审计步骤,一步一个脚印地执行,把审计结果逐一填写在事先预备好的一堆()表格上(AuditChecklist)。表填满了,剩下的任务就是t填表写报告。
