浅谈防火墙审计
防火墙的审计是近一、两年在美国各和公立部分逐渐开始的一项安全业务。美国在二零零零年就基本上普及了防火墙。但由于缺乏经验丰富的专业职员,以及治理上的疏忽与混乱,很多防火墙基本上形同虚设,并没有真正有效地发挥作用。进侵的事件仍然频频发生。尽大多数公司对于网络进侵或者根本就没有察觉,或者察觉后保持沉默,能瞒就瞒,尽量避免公司的形象。但是在暗地里,这些公司吃一堑长一智,重金聘请高手,查找安全漏洞。结果发现很多漏洞就来自于防火墙本身。事实使他们熟悉到,假如不好好治理防火墙,不但防不了“火”,有时甚至还会引火烧身。要解决这个,有效的办法之一就是对防火墙进行定期的审计,抢在题目发生之前往发现题目。这样一来,一个新的安全业务-防火墙审计,就在战火中悄然诞生了。如今对防火墙审计已渐渐成为安全审计的一个重要的环节。本文力图用有限的篇幅,对防火墙审计做一个简单的先容。这里说的防火墙审计,并不是简单地指对防火墙日志的审计,而是对整个防火墙的功能、设置、治理、环境、弱点、漏洞等进行全面的审计。1.为什么要审计防火墙?
审计防火墙就是要查找防火墙的题目。导致防火墙出题目的因素很多。回结起来,主要有以下四个方面的因素:
第一,人为的疏忽。
智者千虑,必有一失。防火墙固然已有了十多年的,但直到今天,还没有一个厂家可以向客户提供简单明了的治理界面。即使一个经验丰富的防火墙治理员,面对几十条上百条防火墙规则(FirewallRules),也有搞糊涂的时候。一个生手就更不必说了。有时规则之间互相冲突。有的洞开得太大,不能够起到保护内部网络的作用。有的规则根本就违反公司的安全政策(SecurityPolicy),就不该存在。有的单位让多人拥有防火墙治理员的帐户。谁兴奋了就来设置一条新的规则,防火墙被搞得乱七八糟。防火墙是不会提醒操纵员这些题目的。这些题目使防火墙的有效性大打折扣。纠正这一类题目的办法,就是靠定期的审计。
第二,治理的松懈。
这是最普遍的情况。对于一个小公司来说,也许有一座防火墙就足够可以应付守卫网络的需求。不过,这样一个小公司,往往雇不起一个防火墙专家,就只好把这一职责外包。那个承接外包的安全公司,也许就只有那么两、三个防火墙专家在唱空城计。他们每人至少要看管好几十个公司的防火墙,职员经常处于超负荷运行状态。为了尽力满足客户的需要,他们基本上是有求必应。假如对客户说“不”,以后的合同就不好拿到了。很多安全漏洞就出在这里。由于客户们的安全知识有限,他们提出的要求有不少是违反安全原则的。随便答应了他们,就在防火墙留下了一个个安全隐患。有的公司连把防火墙外包的钱都不想花,就赌自己公司不会有霉运,随便让公司内部某个未经防火墙培训的网管兼任墙管的重任。钱是省了,可是,一场大祸,这省的钱就会加倍地赔出往。大点的公司,情况似乎好一些。防火墙有专人负责。可是,公司一大,防火墙的数目也随着增长(笔者就职的公司有四百多座防火墙,还有很多嵌进式防火墙装在3G的微波塔内)。尤其是,公司内部也互设防火墙,以达到分级保护的目的。这就使情况极为复杂。墙越多,治理的难度就越高。一个数据在公司内部从网络的一端走到另一端,可能要通过好几道防火墙。如何让各种数据畅通无阻又不在安全方面妥协退让,就成为一个十分复杂的题目。当然,最偷懒省事的办法就是打开闸门,让鱼虾螃蟹一律通过。这种情况尤其是在紧急状态下常出现。很多临时加上往的应急策略往往变成永久策略。这就种下一个个祸根。防火墙一多,正确地做变更日志就困难得多。没有精确地做好变更日志,加上职员的活动,久而久之整个防火墙系统就成为一团理不清的乱线,该挡的不往挡,该放行的不放行。另外一个十分常见的防火墙治理方面的题目,就是忽略了对防火墙日志的定期审计。以至于墙内外风声四起,雷叫电闪,防火墙治理员也照常睡大觉。对付以上这一类的题目,只有加强治理。和财务治理一样,防火墙的治理不能没有定期的审计。定期的审计可以协助防火墙治理职员理清乱线,发现潜伏的危机,消除隐患。对于客户来说,这是负责任的做法。