淺談防火墻審計(jì)

防火墻的審計(jì)是近一、兩年在美國(guó)各和公立部分逐漸開始的一項(xiàng)安全業(yè)務(wù)。美國(guó)在二零零零年就基本上普及了防火墻。但由于缺乏經(jīng)驗(yàn)豐富的專業(yè)職員，以及治理上的疏忽與混亂，很多防火墻基本上形同虛設(shè)，并沒有真正有效地發(fā)揮作用。進(jìn)侵的事件仍然頻頻發(fā)生。盡大多數(shù)公司對(duì)于網(wǎng)絡(luò)進(jìn)侵或者根本就沒有察覺，或者察覺后保持沉默，能瞞就瞞，盡量避免公司的形象。但是在暗地里，這些公司吃一塹長(zhǎng)一智，重金聘請(qǐng)高手，查找安全漏洞。結(jié)果發(fā)現(xiàn)很多漏洞就來自于防火墻本身。事實(shí)使他們熟悉到，假如不好好治理防火墻，不但防不了“火”，有時(shí)甚至還會(huì)引火燒身。要解決這個(gè)，有效的辦法之一就是對(duì)防火墻進(jìn)行定期的審計(jì)，搶在題目發(fā)生之前往發(fā)現(xiàn)題目。這樣一來，一個(gè)新的安全業(yè)務(wù)-防火墻審計(jì)，就在戰(zhàn)火中悄然誕生了。如今對(duì)防火墻審計(jì)已漸漸成為安全審計(jì)的一個(gè)重要的環(huán)節(jié)。本文力圖用有限的篇幅，對(duì)防火墻審計(jì)做一個(gè)簡(jiǎn)單的先容。這里說的防火墻審計(jì)，并不是簡(jiǎn)單地指對(duì)防火墻日志的審計(jì)，而是對(duì)整個(gè)防火墻的功能、設(shè)置、治理、環(huán)境、弱點(diǎn)、漏洞等進(jìn)行全面的審計(jì)。

　　1.為什么要審計(jì)防火墻？

　　審計(jì)防火墻就是要查找防火墻的題目。導(dǎo)致防火墻出題目的因素很多�；亟Y(jié)起來，主要有以下四個(gè)方面的因素：

　　第一，人為的疏忽。

　　智者千慮，必有一失。防火墻固然已有了十多年的，但直到今天，還沒有一個(gè)廠家可以向客戶提供簡(jiǎn)單明了的治理界面。即使一個(gè)經(jīng)驗(yàn)豐富的防火墻治理員，面對(duì)幾十條上百條防火墻規(guī)則（FirewallRules），也有搞糊涂的時(shí)候。一個(gè)生手就更不必說了。有時(shí)規(guī)則之間互相沖突。有的洞開得太大，不能夠起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。有的規(guī)則根本就違反公司的安全政策（SecurityPolicy），就不該存在。有的單位讓多人擁有防火墻治理員的帳戶。誰興奮了就來設(shè)置一條新的規(guī)則，防火墻被搞得亂七八糟。防火墻是不會(huì)提醒操縱員這些題目的。這些題目使防火墻的有效性大打折扣。糾正這一類題目的辦法，就是靠定期的審計(jì)。

　　第二，治理的松懈。

　　這是最普遍的情況。對(duì)于一個(gè)小公司來說，也許有一座防火墻就足夠可以應(yīng)付守衛(wèi)網(wǎng)絡(luò)的需求。不過，這樣一個(gè)小公司，往往雇不起一個(gè)防火墻專家，就只好把這一職責(zé)外包。那個(gè)承接外包的安全公司，也許就只有那么兩、三個(gè)防火墻專家在唱空城計(jì)。他們每人至少要看管好幾十個(gè)公司的防火墻，職員經(jīng)常處于超負(fù)荷運(yùn)行狀態(tài)。為了盡力滿足客戶的需要，他們基本上是有求必應(yīng)。假如對(duì)客戶說“不”，以后的合同就不好拿到了。很多安全漏洞就出在這里。由于客戶們的安全知識(shí)有限，他們提出的要求有不少是違反安全原則的。隨便答應(yīng)了他們，就在防火墻留下了一個(gè)個(gè)安全隱患。有的公司連把防火墻外包的錢都不想花，就賭自己公司不會(huì)有霉運(yùn)，隨便讓公司內(nèi)部某個(gè)未經(jīng)防火墻培訓(xùn)的網(wǎng)管兼任墻管的重任。錢是省了，可是，一場(chǎng)大禍，這省的錢就會(huì)加倍地賠出往。大點(diǎn)的公司，情況似乎好一些。防火墻有專人負(fù)責(zé)。可是，公司一大，防火墻的數(shù)目也隨著增長(zhǎng)（筆者就職的公司有四百多座防火墻，還有很多嵌進(jìn)式防火墻裝在3G的微波塔內(nèi)）。尤其是，公司內(nèi)部也互設(shè)防火墻，以達(dá)到分級(jí)保護(hù)的目的。這就使情況極為復(fù)雜。墻越多，治理的難度就越高。一個(gè)數(shù)據(jù)在公司內(nèi)部從網(wǎng)絡(luò)的一端走到另一端，可能要通過好幾道防火墻。如何讓各種數(shù)據(jù)暢通無阻又不在安全方面妥協(xié)退讓，就成為一個(gè)十分復(fù)雜的題目。當(dāng)然，最偷懶省事的辦法就是打開閘門，讓魚蝦螃蟹一律通過。這種情況尤其是在緊急狀態(tài)下常出現(xiàn)。很多臨時(shí)加上往的應(yīng)急策略往往變成永久策略。這就種下一個(gè)個(gè)禍根。防火墻一多，正確地做變更日志就困難得多。沒有精確地做好變更日志，加上職員的活動(dòng)，久而久之整個(gè)防火墻系統(tǒng)就成為一團(tuán)理不清的亂線，該擋的不往擋，該放行的不放行。另外一個(gè)十分常見的防火墻治理方面的題目，就是忽略了對(duì)防火墻日志的定期審計(jì)。以至于墻內(nèi)外風(fēng)聲四起，雷叫電閃，防火墻治理員也照常睡大覺。對(duì)付以上這一類的題目，只有加強(qiáng)治理。和財(cái)務(wù)治理一樣，防火墻的治理不能沒有定期的審計(jì)。定期的審計(jì)可以協(xié)助防火墻治理職員理清亂線，發(fā)現(xiàn)潛伏的危機(jī)，消除隱患。對(duì)于客戶來說，這是負(fù)責(zé)任的做法。

　　第三，防火墻自身存在的漏洞或缺陷。

　　一個(gè)防火墻今天是密不透風(fēng)，如銅墻鐵壁，過些天就有可能是漏洞百出，有如一團(tuán)豆腐渣。這種情況是如何產(chǎn)生的呢？迄今為止，還沒有哪個(gè)廠家生產(chǎn)的防火墻不存在任何安全漏洞。只不過那些漏洞須經(jīng)時(shí)日才能被逐漸發(fā)現(xiàn)。每當(dāng)這種情況發(fā)生，生產(chǎn)廠家就要拿出修補(bǔ)的軟件包，供用戶安裝。有時(shí)甚至要推出新的版本才能堵住漏洞。題目在于，能懶就懶的防火墻治理員不勝枚舉。天永日久，欠的補(bǔ)釘太多了，題目就越來越大。有時(shí)，防火墻本身并不存在什么大題目，但題目出在防火墻軟件基于的操縱系統(tǒng)軟件上。大部分在線的防火墻仍然是軟件防火墻。一般地說，每個(gè)防火墻至少有一個(gè)網(wǎng)絡(luò)界面可以進(jìn)進(jìn)防火墻的操縱系統(tǒng)操，還有一個(gè)界面可以用來治理防火墻。我們叫它治理界面（ManagementInte***ce）。它們應(yīng)該是被設(shè)置在特殊的孤立網(wǎng)絡(luò)環(huán)境里。但在現(xiàn)實(shí)中往往并不是這樣。通過攻擊防火墻操縱系統(tǒng)和治理界面的漏洞，可以一舉攻破防火墻，起到出其不意的效果。要堵住操縱系統(tǒng)的漏洞，也基本上是靠生產(chǎn)廠家提供修補(bǔ)程序。只要嚴(yán)格按照廠家的信息，及時(shí)修補(bǔ)操縱系統(tǒng)的漏洞，嚴(yán)格控制進(jìn)進(jìn)治理界面的渠道，這一題目就不會(huì)存在。還有的防火墻，由于價(jià)格過于低廉，功能太差，比如說不能檢測(cè)和阻擋拒盡服務(wù)類的攻擊，無法滿足日益增長(zhǎng)的安全需要，就只好更新?lián)Q代。對(duì)防火墻的定期審計(jì)，可以查出這一方面的題目，及時(shí)采取明智的措施。

　　第四，防火墻的運(yùn)行及環(huán)境狀況。

　　對(duì)于很多企業(yè)來說，防火墻是數(shù)據(jù)進(jìn)出口的重要關(guān)卡。防火墻一旦停止運(yùn)行，或者出現(xiàn)阻滯的狀態(tài)，企業(yè)的運(yùn)營(yíng)就會(huì)受影響。一個(gè)正常情況下運(yùn)行的防火墻，應(yīng)該有足夠的內(nèi)存和外存空間來周轉(zhuǎn)和儲(chǔ)存數(shù)據(jù)，在大多數(shù)的時(shí)間處理器不是處于滿負(fù)荷狀態(tài)，防火墻有高質(zhì)量的穩(wěn)壓電源及斷電保護(hù)，四周溫度和濕度有嚴(yán)格的控制，以及物理安全有保障。當(dāng)然，最好所有的防火墻都能夠有failover的設(shè)置。這樣在主墻倒塌的情況下，預(yù)備墻可以自動(dòng)接替。這些條件，并不是所有單位都有做到。這方面的題目，往往最輕易受到忽略。有的公司把防火墻與服務(wù)器，網(wǎng)絡(luò)開關(guān)，路由器等同堆在一層架子上。網(wǎng)絡(luò)治理員一不小心就可將防火墻的電纜碰掉，造成網(wǎng)絡(luò)中斷。這一類的題目看起來并不難解決，但并不是所有單位都解決好了。審計(jì)防火墻，可以發(fā)現(xiàn)這方面的題目。

　　現(xiàn)在，我們對(duì)為什么要定期審計(jì)防火墻，以及主要從哪幾個(gè)方面往查題目，應(yīng)該有個(gè)較清楚的輪廓了。

　　2.由什么人來審計(jì)防火墻？

　　就像有財(cái)務(wù)知識(shí)和經(jīng)驗(yàn)的專業(yè)職員原則上都可以搞財(cái)務(wù)審計(jì)一樣，大凡精通網(wǎng)絡(luò)安全審計(jì)及防火墻治理的專業(yè)職員，原則上都可以審計(jì)防火墻。但是，這里還是有一些規(guī)矩的。

　　一般來說，防火墻治理員本人不應(yīng)被聘請(qǐng)來審計(jì)自己治理的防火墻。這和財(cái)務(wù)上把審計(jì)和財(cái)會(huì)職員職責(zé)分開有些類似。鮮有防火墻治理員會(huì)承認(rèn)自己治理的防火強(qiáng)存在重大題目。別人從另外一個(gè)角度來看題目，就比較輕易發(fā)現(xiàn)毛病之所在。當(dāng)然，有師徒關(guān)系的防火墻治理員最好也不要互查防火墻。尤其在國(guó)內(nèi)，礙面子的話總說不出口。另外，假如一家單位是把防火墻治理工作外包的話，那么就最好不要請(qǐng)同一外包公司審計(jì)自己的防火墻。但是假如那家外包公司主動(dòng)經(jīng)常地審計(jì)客戶的防火墻，那倒是件好事。至公司可以讓不治理防火墻的網(wǎng)絡(luò)安全治理職員來審防火墻，或者干脆把這一工作外包。

　　有人會(huì)提出，既然審計(jì)防火墻有一定的規(guī)矩往遵循，為什么不寫一個(gè)軟件往把這項(xiàng)業(yè)務(wù)自動(dòng)化？到目前為止，審計(jì)防火墻日志的軟件倒是有不少，也有人寫出軟件來審計(jì)防火墻的規(guī)則。但對(duì)防火墻進(jìn)行全面的審計(jì)，和財(cái)務(wù)審計(jì)那樣，牽涉到的因素太多，不能全用軟件來執(zhí)行。尤其是上市公司的安全審計(jì)結(jié)果會(huì)影響公司的聲譽(yù)及股票持有人的信心。稍一出錯(cuò)就有可能牽扯到訴訟。在這類情況下，人的經(jīng)驗(yàn)還是最可靠的。目前審計(jì)防火墻最快捷的辦法，就是事先開列具體的審計(jì)步驟，一步一個(gè)腳印地執(zhí)行，把審計(jì)結(jié)果逐一填寫在事先預(yù)備好的一堆（）表格上（AuditChecklist）。表填滿了，剩下的任務(wù)就是t填表寫報(bào)告。

　　本文的作用，就是為審計(jì)防火墻的基本步驟提供一個(gè)大致的輪廓。有了這個(gè)輪廓后，根據(jù)各單位的具體情況搞出審計(jì)防火墻的具體步驟，應(yīng)該是輕而易舉的。

　　3.防火墻審計(jì)的基本和步驟

　�。�1）在開始審計(jì)防火墻前，要把防火墻的四周網(wǎng)絡(luò)環(huán)境，保護(hù)對(duì)象，安全要求搞清楚。還要搜集一些必要的資料為后面的步驟做準(zhǔn)保。至少要得到最新的以下方面的情報(bào)：

　　防火墻四周區(qū)域網(wǎng)絡(luò)的流程圖（包括內(nèi)部和外部）

　　路由器的設(shè)置

　　防火墻及四周設(shè)備在網(wǎng)絡(luò)上的名字和IP地址

　　防火墻網(wǎng)絡(luò)連接情況（防火墻每個(gè)網(wǎng)絡(luò)界面的IP和鄰近設(shè)備）

　　有關(guān)防火墻的最基本信息，比如生產(chǎn)廠家，版本，質(zhì)量保障合同，治理員的姓名，24小時(shí)技術(shù)支持的電話號(hào)碼，等等。

　　防火墻使用單位的安全政策（SecurityPolicy）。在國(guó)內(nèi)還必須搞清楚國(guó)家政策和法律要求。

　　防火墻的治理制度（書面）。要仔細(xì)檢查責(zé)任制，變更控制過程（changecontrolprocess），維修和廠家銷后支持的途徑及過程，等等。

　　防火墻的安裝、使用、升級(jí)、維護(hù)、及日常治理記錄。

　　這一步實(shí)際上是為整個(gè)審計(jì)工作做預(yù)備。假如缺少以上任何一個(gè)方面的情報(bào)，必須在審計(jì)報(bào)告中建議有關(guān)職員補(bǔ)上。最難補(bǔ)的是安全政策�？墒且粋�(gè)單位假如沒有一個(gè)哪怕是很簡(jiǎn)單的安全政策，信息安全就只能是兒戲，充其量是某種權(quán)宜之計(jì)。假如缺失防火墻記錄，能補(bǔ)的盡量補(bǔ)上，補(bǔ)不上的就從現(xiàn)在開始嚴(yán)格地做記錄。根據(jù)筆者的經(jīng)驗(yàn)，很多單位在這第一步就出題目。比如，根本沒有任何的防火墻治理制度或維護(hù)日志。即使有，也是基本空缺。防火墻的治理界面放到高危險(xiǎn)區(qū)，防火墻的Internet端口接進(jìn)的網(wǎng)絡(luò)開關(guān)（NetworkSwitch）上接進(jìn)了幾個(gè)未登記的機(jī)器，等等。但假如這第一步?jīng)]有題目，后邊的題目也不會(huì)太多。

　　（2）下一步就是查看防火墻的配置、環(huán)境、和運(yùn)行情況。這其中包括邏輯的和物理的狀況　　要調(diào)查的至少應(yīng)包括以下幾個(gè)方面：

　　防火墻的硬件設(shè)置（這主要是查處理器的數(shù)目及速度，硬件防火墻免查這一項(xiàng)）。

　　防火墻的操縱系統(tǒng)及版本（硬件防火墻免查操縱系統(tǒng)及版本）。

　　防火墻的網(wǎng)卡設(shè)置速度。是不是halfduplex？是不是10Base-T？其速度跟網(wǎng)絡(luò)開關(guān)的速度是否嚴(yán)格匹配？

　　防火墻的日志是存在哪里的（存在自身的硬驅(qū)還是另一機(jī)的硬驅(qū)）？假如存在另外一臺(tái)計(jì)算機(jī)上，那么是如何保護(hù)日志的（是否加密）？保存多長(zhǎng)時(shí)間？有沒有把日志備份到磁帶上？

　　假如防火墻的日志是存到自己的硬驅(qū)里，那么硬驅(qū)總共有多大存儲(chǔ)空間？還剩多少存儲(chǔ)空間？假如只剩有很少的空間，那么要趕緊想辦法。

　　看一看防火墻的內(nèi)存（RAM）使用情況。看看是否經(jīng)常處于滿負(fù)荷狀態(tài)。假如是，就要在審計(jì)報(bào)告中建議考慮增加內(nèi)存。

　　看一看防火墻的中心處理器使用情況�？纯词欠窠�(jīng)常處于滿負(fù)荷狀態(tài)。假如是，就要在審計(jì)報(bào)告中建議更換機(jī)器。

　　對(duì)于軟件防火墻，是不是定期將所有數(shù)據(jù)（包括操縱系統(tǒng)）備份到磁帶上？

　　防火墻有沒有failover設(shè)置？假如有，怎么測(cè)試它是否真的管用？

　　有沒有緊急情況應(yīng)急方案？對(duì)方案有沒有進(jìn)行定期的實(shí)戰(zhàn)練習(xí)？

　　有關(guān)防火墻的文件是不是胡亂堆在哪個(gè)桌子上任人翻看？防火墻是放在哪里的？機(jī)房溫度是否太高？防火墻的散熱風(fēng)扇是否在轉(zhuǎn)？摸摸防火墻是不是燙手？機(jī)房的門是不是大敞開歡迎各方游客？機(jī)房有沒有防火報(bào)警器？防火墻是不是隨便堆在另一臺(tái)計(jì)算機(jī)上面一碰就倒？所有的電纜是否用標(biāo)簽明確地說明網(wǎng)絡(luò)界面及IP？電纜是不是吊在空中一不小心就會(huì)把人絆倒？電源是不是穩(wěn)壓的？有沒有斷電保護(hù)？機(jī)房地面是不是防靜電的？機(jī)房的垃圾桶里面是不是有防火墻的示意圖、半截?zé)燁^、香蕉皮、色情圖文？一個(gè)隨便亂丟機(jī)密文件、在機(jī)房吸煙、飽開口福、想進(jìn)非非的防火墻治理員是難以勝任的。

　　上面除第一個(gè)環(huán)節(jié)外，其它任何一個(gè)環(huán)節(jié)出題目，都有可能導(dǎo)致嚴(yán)重的后果。像防火墻操縱系統(tǒng)的版本，假如還是SunSolaris2.6，就是個(gè)大題目。由于Sun（升陽(yáng)公司）早就停止支持Solaris2.6，并不再為其寫任何補(bǔ)釘了。這就是說，假如某黑客發(fā)現(xiàn)了一個(gè)新的SunSolaris2.6的漏洞，SunSolaris2.6的用戶將毫無舉措。

　�。�3）下一步就是了解防火墻的自身安全狀況。防火墻是用來保護(hù)網(wǎng)絡(luò)的，當(dāng)然首先要有能力保護(hù)自己。自身不保的防火墻即是是縱火墻。在這方面至少要把以下幾點(diǎn)搞清楚：

　　對(duì)于軟件防火墻，查看防火墻的操縱系統(tǒng)究竟有沒有按照生產(chǎn)廠家的規(guī)定，安裝足夠的安全補(bǔ)釘。假如沒有，那么將缺少的補(bǔ)釘逐一列出來。

　　查看防火墻本身的補(bǔ)釘–是否有按照生產(chǎn)廠家的規(guī)定，把安全補(bǔ)釘裝夠。假如沒有，那么將缺少的補(bǔ)釘逐一列出來。假如是硬件防火墻，那么就要查看防火墻的Firmware版本。然后核對(duì)生產(chǎn)廠家的最新版本。假如防火墻的Firmware確版本不是最新的，那么就要在審計(jì)報(bào)告中把這個(gè)寫上往。

　　有多少人被授權(quán)進(jìn)行防火墻的治理？他們是使用各自的用戶名進(jìn)進(jìn)防火墻治理界面，還是否共享一個(gè)用戶名？有沒有一張示意圖表明這些人的權(quán)限？他們是否被要求定期更換口令？是否答應(yīng)使用脆弱口令？防火墻日志是否記具體記錄每個(gè)治理員的進(jìn)進(jìn)系統(tǒng)的時(shí)間、輸錯(cuò)口令的次數(shù)、被拒盡進(jìn)進(jìn)的次數(shù)，退出系統(tǒng)的時(shí)間，等等。

　　有沒有“后門”可以避開種種安全控制，進(jìn)進(jìn)防火墻。這是比較困難的。由于防火墻治理員一般不會(huì)說出這一類秘密。要做些，包括向生產(chǎn)廠家詢問。特別是要向生產(chǎn)廠家打聽系統(tǒng)安裝時(shí)第一個(gè)使用的用戶名及口令。然后看看那個(gè)用戶名和口令是不是在系統(tǒng)安裝好后已更改。

　　防火墻治理是從哪臺(tái)機(jī)進(jìn)行操縱的？那臺(tái)計(jì)算機(jī)是不是有屏幕保護(hù)以防止外人隨意操縱？是不是誰都可以躲在后面偷看一把？翻開鍵盤底下，是不是寫了一行口令？

　　一般地說，防火墻的治理是遠(yuǎn)程操縱的。那么，我們要了解這一遠(yuǎn)程操縱過程是否自始至終加密�？梢栽囋囉肨elnet遠(yuǎn)程登錄。還要搞清楚是不是任何IP都可以答應(yīng)進(jìn)行遠(yuǎn)程治理。假如是，一定要在審計(jì)報(bào)告中要求對(duì)IP加嚴(yán)格的限制。

　　對(duì)于軟件防火墻，還要仔細(xì)檢查操縱系統(tǒng)的設(shè)置。是不是有任何多余的系統(tǒng)過程（services）在運(yùn)行？各用戶口令是否定期改變？是否答應(yīng)使用脆弱口令？是否有完備的操縱系統(tǒng)安全日志？等等。

　　（4）現(xiàn)在我們要進(jìn)進(jìn)審計(jì)的核心部分：檢查防火墻的規(guī)則（ruleset）。這是防火墻審計(jì)過程中最困難、最復(fù)雜，最費(fèi)時(shí)的一步。

　　每一條防火墻的規(guī)則的產(chǎn)生或更改，都需要有具體的注釋，寫清楚是誰要求添加和修改的，原因何在，添加或更改的日期，以及時(shí)限等。我們首先要把全部的規(guī)則從防火墻調(diào)出（幾乎所有品牌的防火墻都有這項(xiàng)功能），然后打印出來。下面就要一條一條地往查看是否有注釋……假如任何一條規(guī)則后面沒有加注釋，那么就要在審計(jì)報(bào)告中建議防火墻治理員補(bǔ)上。

　　然后，我們要檢查防火墻的第一條規(guī)則。防火墻的第一條規(guī)則就是拒盡一切數(shù)據(jù)流進(jìn)進(jìn)（“blockall”）。這一步極少出題目。

　　下面的工作，就是要把所有時(shí)限并過期了的規(guī)則列在一起。這一步的目的就是防止那些應(yīng)急策略變成永久策略。假如防火墻治理員對(duì)于每一條規(guī)則都做了具體的注釋，這一步就很快可以完成。完成這一步可以為下一步減少很多工作量。找出了所有的過期了的規(guī)則后，終極目的是要把它們刪除，或者把它們變成永久性的（在不違反安全政策的條件下）。假如防火墻治理員不能提供很好的注釋，這一步就無法完成。下一步就要多一些工作量。要把這個(gè)題目寫在審計(jì)報(bào)告上，以防再次出現(xiàn)。

　　然后我們要一條一條地往核實(shí)防火墻規(guī)則的有效性。所謂有效性，是指兩個(gè)方面。其一是指每一條規(guī)則是否需要存在。最簡(jiǎn)單的做法，就是核實(shí)每一條規(guī)則的出發(fā)點(diǎn)和終點(diǎn)是否還存在。比如說一條規(guī)則要從內(nèi)部IP192.168.24.20到外部IP201.30.33.11打開TCP端口3105，使公司某人可以參加某個(gè)網(wǎng)上會(huì)議。但是仔細(xì)一檢查，IP201.30.33.11已封閉多時(shí)。也就是說這一條規(guī)則無效，必須刪除，或者改到正確的IP上。有效性又是指每一條規(guī)則是否能夠做要做的事情。還以上面的例子，假如兩個(gè)IP都處于工作狀態(tài)，但是公司里這個(gè)參加網(wǎng)上會(huì)議的人總是抱怨不能觀看對(duì)方的實(shí)況樣品電視解說。只可以看靜態(tài)的圖象。檢查原因，TCP端口3105是打開了，但是對(duì)方的系統(tǒng)要求把UDP端口也打開，才能看到電視。這條規(guī)則須經(jīng)修改，加開UDP端口3105.

　　防火墻規(guī)則安全性的涵義較廣。接受過專門培訓(xùn)的防火墻治理員一般是知道如何避免使用不安全的規(guī)則。但是現(xiàn)實(shí)中有很多復(fù)雜的情況，稍不留心就會(huì)使一條規(guī)則成為一個(gè)安全隱患。安全性方面大多數(shù)題目都是把“洞”開得太大，或開在不該開的地方。舉個(gè)例子，假設(shè)在DMZ上有幾十臺(tái)互聯(lián)網(wǎng)服務(wù)器（WebServer）在晝夜運(yùn)行。日常治理和監(jiān)視這些服務(wù)器是通過一臺(tái)設(shè)在內(nèi)部網(wǎng)的Tivoli服務(wù)器來執(zhí)行的�？墒荰ivoli服務(wù)器和DMZ上的幾十臺(tái)互聯(lián)網(wǎng)服務(wù)器之間有一層防火墻擋著。根據(jù)IBM的技術(shù)，這就要在這一層防火墻開很多端口才行。有些還必須是雙向的（bi-directional）。假如真聽了IBM的話，那防火墻的安全性就大打折扣。由于攻破DMZ是相對(duì)來說較輕易的事。攻破了DMZ，又有這么多端口大門敞開，攻進(jìn)內(nèi)部就不太費(fèi)事了。解決這個(gè)題目的辦法，是關(guān)掉這些端口，在DMZ上安裝一個(gè)Tivoli數(shù)據(jù)中轉(zhuǎn)服務(wù)器，然后只要在防火墻上開兩個(gè)單向端口就行了。安全性還反映在是否執(zhí)行單位的安全政策方面。比如說，某單位的安全政策規(guī)定不準(zhǔn)隨便安裝SMTP服務(wù)器。但是某部分異想天開，要試驗(yàn)一下讓客戶能夠自己開啟用自己注冊(cè)域名的Email帳戶發(fā)送郵件的可行性。由于大家深知SMTP的危險(xiǎn)性，就決定把它裝在DMZ上，內(nèi)外各有一層防火墻作屏障。可是由于SMTP端口在防火墻上已打開，而且由于是試驗(yàn)的緣故，對(duì)四面八方的郵件轉(zhuǎn)發(fā)（MailRelay）的申請(qǐng)一概不拒。這一端口一開，立即被世界上眾多的垃圾郵件發(fā)送裝置自動(dòng)掃描到。幾小時(shí)后成千上萬的垃圾郵件就潮水般地涌過來，尋找免費(fèi)服務(wù)�？墒悄莻�(gè)防火墻后面的SMTP服務(wù)器卻說不行，由于你們都不能通過我的身份鑒別。但那成千上萬的垃圾郵件發(fā)送裝置不管這一套。這個(gè)失敗了，那個(gè)又來碰碰運(yùn)氣。這樣一來，這臺(tái)SMTP服務(wù)器一天到晚在被狂轟濫炸。炸幾下并不會(huì)導(dǎo)致任何嚴(yán)重后果。題目是網(wǎng)絡(luò)被阻塞。事實(shí)上，這個(gè)題目在國(guó)內(nèi)比較嚴(yán)重。很多SMTP服務(wù)器根本沒有任何防范垃圾郵件功能。它們深受國(guó)際垃圾郵件大佬們的青睞。解決這個(gè)題目很簡(jiǎn)單：在審計(jì)報(bào)告中建議：嚴(yán)格按照單位的安全政策辦事，取消這類的不安全的SMTP服務(wù)器。的具體國(guó)情是，國(guó)家有嚴(yán)格規(guī)定阻擋特定的IP流通。那么這也是要查的一項(xiàng)。

　　最后，我們要確保防火墻規(guī)則的公道性。公道的防火墻規(guī)則應(yīng)沒有重復(fù)，沒有交疊，它們之間也不互相沖突。這方面的題目在多人治理的防火墻上較多。要把重復(fù)的，相互交疊的，還有互相沖突的規(guī)則列出來，在審計(jì)報(bào)告中建議修改它們。

　　上面幾件事做好了，防火墻的一團(tuán)亂線就理清了，人為造成的漏洞堵住了。在美國(guó)很多單位有人僅憑做好這件事情，就會(huì)得到上面的嘉獎(jiǎng)。由于它解決了很多實(shí)際題目。

　　（5）上面幾個(gè)環(huán)節(jié)，都是由經(jīng)驗(yàn)豐富的人往做的。現(xiàn)在我們可以輕松一點(diǎn)了：讓傻瓜機(jī)器往幫點(diǎn)忙。這就是對(duì)防火墻進(jìn)行漏洞掃描（VulnerabilityScan）。這一類時(shí)髦的安全軟件工具市場(chǎng)上至少已有一打。有些確實(shí)很好。要留意的是，對(duì)防火墻的每一個(gè)網(wǎng)絡(luò)界面都要掃描一番，不要遺漏任何一個(gè)。假如你有更時(shí)髦的穿透試驗(yàn)（PenetrationTest）軟件，當(dāng)然也無妨拿過來用用。你手中的百般武藝盡可以拿來大顯身手。筆者還建議，對(duì)用來做防火墻治理的計(jì)算機(jī)也不妨掃描一番，比如說看看是否有人已送了一個(gè)特洛伊木馬往常駐。假如把存放防火墻日志的那臺(tái)計(jì)算機(jī)也掃描一番，也不算過分。把所有掃描結(jié)果寫到審計(jì)報(bào)告上。有一點(diǎn)要留意的是，不管你用何種對(duì)防火墻進(jìn)行掃描，一定要把時(shí)間，掃描工具或人使用的IP都正確地記下來。在下一步的審計(jì)防火墻的日志時(shí)，一定要看看防火墻日志有沒有把受到的攻擊如實(shí)記錄下來。有的防火墻設(shè)置有警報(bào)。要看看警報(bào)系統(tǒng)是否正常工作。

　�。�6）然后，我們來審計(jì)防火墻的日志。國(guó)內(nèi)對(duì)這方面已有不少先容。這里就不打算重復(fù)了。這方面的軟件也不少。我想提醒兩點(diǎn)：第一，對(duì)于軟件防火墻，別忘了也審計(jì)防火墻操縱系統(tǒng)的日志。假如一臺(tái)防火墻也用來做VPN，那么也要留意有關(guān)VPN上各項(xiàng)活動(dòng)的日志（一般來說這類VPN沒有獨(dú)立的日志）。假如一臺(tái)防火墻也用來做代理服務(wù)器（Proxy），那么也要審計(jì)代理服務(wù)器的日志。審計(jì)代理服務(wù)器的日志耗費(fèi)時(shí)間，用軟件工具可以大大進(jìn)步效率。第二，審計(jì)防火墻的日志，并不單單是一個(gè)技術(shù)題目，有時(shí)也可能會(huì)引出人事，，隱私等題目。它在某種程度上可以監(jiān)視跟蹤員工上班時(shí)的網(wǎng)上行為。它可能導(dǎo)致員工丟飯碗，也可能暴露員工的工作效率，嗜好，情緒，乃至性傾向。筆者在1996年某次查看防火墻員工瀏攬互聯(lián)網(wǎng)日志，發(fā)現(xiàn)某部分的一個(gè)挺不錯(cuò)的員工的“性”趣全是同性。在跟同事聊天時(shí)不慎說漏了嘴，很快這消息就長(zhǎng)了翅膀。不久那個(gè)員工就在風(fēng)言風(fēng)雨中辭職了。這是筆者的一個(gè)永遠(yuǎn)的沉痛教訓(xùn)。審計(jì)防火墻的日志，最好由兩人查看同一日志，以防任何一人隱瞞任何題目。但對(duì)于審計(jì)的結(jié)果，要嚴(yán)加保密。假如審計(jì)兵結(jié)果牽涉到人事、法律方面的題目，要把原始證據(jù)妥善保存好，以便復(fù)核。只有原始日志才能用于法律證據(jù)。在防火墻的審計(jì)報(bào)告中要隱往涉嫌人名。

　�。�7）最后的一步，就是對(duì)防火墻實(shí)施攻擊測(cè)驗(yàn)（PenetrationTesting），以測(cè)驗(yàn)防火墻的真實(shí)安全性。這需要最謹(jǐn)慎從事。這是只有專家才能做的事情。不同的專家由于經(jīng)驗(yàn)和手段不同，會(huì)得出不同的結(jié)果。稱職的這類專家人數(shù)極少。假如沒有條件，這一步可以省略。

　　對(duì)防火墻的審計(jì)工作本身，大致就是這些步驟。但要把工作善始善終，還有一件大事要做，這就是要把審計(jì)報(bào)告寫出來。這是可以自動(dòng)化的。把上述講的所有結(jié)果列在一張表格上。然后給每一方面進(jìn)行打分。打好分后把分?jǐn)?shù)最低和最高的那幾條寫到里往。對(duì)需要改正的地方，提出相對(duì)的建議。然后再把幾個(gè)大方面的結(jié)果畫幾張五顏六色的大餅圖。最后再搞幾個(gè)附錄之類的。報(bào)告就做出來了。國(guó)內(nèi)有些有關(guān)網(wǎng)絡(luò)安全的文章，寫的布滿玄機(jī)，深不可測(cè)，把簡(jiǎn)單的事情搞復(fù)雜了。但是防火墻的審計(jì)報(bào)告，卻要以簡(jiǎn)單明了的方式和格式，讓客戶看得懂，知道怎樣往改正錯(cuò)誤，避免再出錯(cuò)誤。這就要把復(fù)雜的事情弄簡(jiǎn)單一些。

【淺談防火墻審計(jì)】相關(guān)文章：

淺談經(jīng)營(yíng)失敗審計(jì)失敗與審計(jì)風(fēng)險(xiǎn)05-10

淺談內(nèi)部審計(jì)人員的職業(yè)道德05-24

淺談基層開展專項(xiàng)審計(jì)調(diào)查的思考06-19

淺談中外內(nèi)部審計(jì)準(zhǔn)則比較研究05-03

淺談內(nèi)部審計(jì)風(fēng)險(xiǎn)控制（精選7篇）04-26

淺談企業(yè)內(nèi)部管理審計(jì)的論文08-27

淺談重要性概念在審計(jì)中的運(yùn)用04-22

淺談如何利用內(nèi)部審計(jì)創(chuàng)造價(jià)值論文（通用7篇）08-21

淺談注冊(cè)會(huì)計(jì)師審計(jì)風(fēng)險(xiǎn)及其規(guī)避措施論文08-06

淺談生命的可貴06-08