计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

浅谈防火墙审计(5)

2016-08-30 01:05
导读:防火墙规则安全性的涵义较广。接受过专门培训的防火墙治理员一般是知道如何避免使用不安全的规则。但是现实中有很多复杂的情况,稍不留心就会使一


  防火墙规则安全性的涵义较广。接受过专门培训的防火墙治理员一般是知道如何避免使用不安全的规则。但是现实中有很多复杂的情况,稍不留心就会使一条规则成为一个安全隐患。安全性方面大多数题目都是把“洞”开得太大,或开在不该开的地方。举个例子,假设在DMZ上有几十台互联网服务器(WebServer)在昼夜运行。日常治理和监视这些服务器是通过一台设在内部网的Tivoli服务器来执行的。可是Tivoli服务器和DMZ上的几十台互联网服务器之间有一层防火墙挡着。根据IBM的技术,这就要在这一层防火墙开很多端口才行。有些还必须是双向的(bi-directional)。假如真听了IBM的话,那防火墙的安全性就大打折扣。由于攻破DMZ是相对来说较轻易的事。攻破了DMZ,又有这么多端口大门敞开,攻进内部就不太费事了。解决这个题目的办法,是关掉这些端口,在DMZ上安装一个Tivoli数据中转服务器,然后只要在防火墙上开两个单向端口就行了。安全性还反映在是否执行单位的安全政策方面。比如说,某单位的安全政策规定不准随便安装SMTP服务器。但是某部分异想天开,要试验一下让客户能够自己开启用自己注册域名的Email帐户发送邮件的可行性。由于大家深知SMTP的危险性,就决定把它装在DMZ上,内外各有一层防火墙作屏障。可是由于SMTP端口在防火墙上已打开,而且由于是试验的缘故,对四面八方的邮件转发(MailRelay)的申请一概不拒。这一端口一开,立即被世界上众多的垃圾邮件发送装置自动扫描到。几小时后成千上万的垃圾邮件就潮水般地涌过来,寻找免费服务。可是那个防火墙后面的SMTP服务器却说不行,由于你们都不能通过我的身份鉴别。但那成千上万的垃圾邮件发送装置不管这一套。这个失败了,那个又来碰碰运气。这样一来,这台SMTP服务器一天到晚在被狂轰滥炸。炸几下并不会导致任何严重后果。题目是网络被阻塞。事实上,这个题目在国内比较严重。很多SMTP服务器根本没有任何防范垃圾邮件功能。它们深受国际垃圾邮件大佬们的青睐。解决这个题目很简单:在审计报告中建议:严格按照单位的安全政策办事,取消这类的不安全的SMTP服务器。的具体国情是,国家有严格规定阻挡特定的IP流通。那么这也是要查的一项。 本文来自中国科教评价网

  最后,我们要确保防火墙规则的公道性。公道的防火墙规则应没有重复,没有交叠,它们之间也不互相冲突。这方面的题目在多人治理的防火墙上较多。要把重复的,相互交叠的,还有互相冲突的规则列出来,在审计报告中建议修改它们。

  上面几件事做好了,防火墙的一团乱线就理清了,人为造成的漏洞堵住了。在美国很多单位有人仅凭做好这件事情,就会得到上面的嘉奖。由于它解决了很多实际题目。

  (5)上面几个环节,都是由经验丰富的人往做的。现在我们可以轻松一点了:让傻瓜机器往帮点忙。这就是对防火墙进行漏洞扫描(VulnerabilityScan)。这一类时髦的安全软件工具市场上至少已有一打。有些确实很好。要留意的是,对防火墙的每一个网络界面都要扫描一番,不要遗漏任何一个。假如你有更时髦的穿透试验(PenetrationTest)软件,当然也无妨拿过来用用。你手中的百般武艺尽可以拿来大显身手。笔者还建议,对用来做防火墙治理的计算机也不妨扫描一番,比如说看看是否有人已送了一个特洛伊木马往常驻。假如把存放防火墙日志的那台计算机也扫描一番,也不算过分。把所有扫描结果写到审计报告上。有一点要留意的是,不管你用何种对防火墙进行扫描,一定要把时间,扫描工具或人使用的IP都正确地记下来。在下一步的审计防火墙的日志时,一定要看看防火墙日志有没有把受到的攻击如实记录下来。有的防火墙设置有警报。要看看警报系统是否正常工作。

  (6)然后,我们来审计防火墙的日志。国内对这方面已有不少先容。这里就不打算重复了。这方面的软件也不少。我想提醒两点:第一,对于软件防火墙,别忘了也审计防火墙操纵系统的日志。假如一台防火墙也用来做VPN,那么也要留意有关VPN上各项活动的日志(一般来说这类VPN没有独立的日志)。假如一台防火墙也用来做代理服务器(Proxy),那么也要审计代理服务器的日志。审计代理服务器的日志耗费时间,用软件工具可以大大进步效率。第二,审计防火墙的日志,并不单单是一个技术题目,有时也可能会引出人事,,隐私等题目。它在某种程度上可以监视跟踪员工上班时的网上行为。它可能导致员工丢饭碗,也可能暴露员工的工作效率,嗜好,情绪,乃至性倾向。笔者在1996年某次查看防火墙员工浏揽互联网日志,发现某部分的一个挺不错的员工的“性”趣全是同性。在跟同事聊天时不慎说漏了嘴,很快这消息就长了翅膀。不久那个员工就在风言风雨中辞职了。这是笔者的一个永远的沉痛教训。审计防火墙的日志,最好由两人查看同一日志,以防任何一人隐瞒任何题目。但对于审计的结果,要严加保密。假如审计兵结果牵涉到人事、法律方面的题目,要把原始证据妥善保存好,以便复核。只有原始日志才能用于法律证据。在防火墙的审计报告中要隐往涉嫌人名。
上一篇:创新审计方法和技巧 查找帐外资金踪迹 下一篇:没有了