今日頭條
官方微信
官方抖音
案例頻道★北京抖音信息服務(wù)有限公司嵇海麗周
關(guān)鍵詞:防火墻;安全管理;策略;風(fēng)險(xiǎn)評(píng)估;路徑;研究
互聯(lián)網(wǎng)不僅改變著我們的生活方式,還為全球連通性、無限可能性和現(xiàn)代便利性打開了一扇“仰望星空、觸摸世界”的大門。近年來,網(wǎng)絡(luò)威脅已發(fā)生新的變化,惡意軟件威脅變得日益嚴(yán)重,例如特洛伊木馬和勒索軟件等惡意病毒軟件,通過欺詐性電子郵件附件和欺騙性網(wǎng)站進(jìn)行廣泛傳播,目的是獲取和破壞敏感信息和勒索錢財(cái)?shù)取闈M足安全域間的防護(hù)以及安全訪問控制措施,設(shè)置防火墻成為人們網(wǎng)絡(luò)安全防護(hù)的“第一道防線”。
1 防火墻功能和工作原理
防火墻既可以是軟件工具,也可以是軟件和硬件組成的系統(tǒng)。它是處于安全的網(wǎng)絡(luò)(通常是內(nèi)部局域網(wǎng))和不安全的網(wǎng)絡(luò)之間的屏障,可以根據(jù)系統(tǒng)管理員設(shè)置的訪問控制規(guī)則,通過既定規(guī)則過濾傳入和傳出的網(wǎng)絡(luò)流量,進(jìn)行實(shí)時(shí)監(jiān)視安全設(shè)備系統(tǒng)保護(hù)內(nèi)部網(wǎng)絡(luò)安全。防火墻通常內(nèi)置于操作系統(tǒng)中,可以根據(jù)多個(gè)條件篩選網(wǎng)絡(luò)流量,包括源和目標(biāo)IP地址、IP協(xié)議或源和目標(biāo)端口令等。“源”指的是“嘗試建立的連接來自哪里”。“目標(biāo)”指的是“嘗試建立的連接到哪里”。它們實(shí)質(zhì)上就是監(jiān)視網(wǎng)絡(luò)流量并檢測(cè)潛在威脅的安全設(shè)備或程序,目的是將惡意文件和病毒在公共網(wǎng)絡(luò)上傳播的風(fēng)險(xiǎn)降至最低。
根據(jù)設(shè)置,防火墻可以保護(hù)單臺(tái)計(jì)算機(jī)或整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)。設(shè)備根據(jù)預(yù)定義規(guī)則檢查傳入和傳出流量。防火墻對(duì)數(shù)據(jù)流有三種處理方式:允許數(shù)據(jù)流通過、拒絕數(shù)據(jù)流通過和將這些數(shù)據(jù)流丟棄。設(shè)置防火墻有三個(gè)基本要求:所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都必須經(jīng)過防火墻;只允許經(jīng)過授權(quán)的數(shù)據(jù)流通過防火墻;防火墻自身對(duì)入侵是免疫的。互聯(lián)網(wǎng)的通信主要通過從發(fā)送方請(qǐng)求數(shù)據(jù)并將其傳輸?shù)浇邮辗健S捎跓o法整體發(fā)送數(shù)據(jù),因此將其分解為組成初始傳輸實(shí)體的可管理數(shù)據(jù)包,防火墻的作用是檢查往返主機(jī)的數(shù)據(jù)包,每個(gè)數(shù)據(jù)包均包含一個(gè)標(biāo)頭(控制信息)和有效負(fù)載(實(shí)際數(shù)據(jù)),標(biāo)頭提供有關(guān)發(fā)送方和接收方的信息。在數(shù)據(jù)包可以通過定義的端口進(jìn)入內(nèi)部網(wǎng)絡(luò)之前,它必須經(jīng)過防火墻。這種轉(zhuǎn)移取決于它攜帶的信息以及它與預(yù)定義規(guī)則的對(duì)應(yīng)關(guān)系。例如,防火墻可以具有排除來自指定IP地址的流量的規(guī)則。如果防火墻接收到標(biāo)頭中具有該IP地址的數(shù)據(jù)包,則防火墻拒絕訪問。同樣,防火墻可以拒絕對(duì)除已定義的受信人員之外的任何人的訪問。有多種方法可以配置安全設(shè)備,對(duì)現(xiàn)有系統(tǒng)保護(hù)程度取決于防火墻的類型。
2 防火墻的類型及特性
盡管各類型防火墻都可以防止未經(jīng)授權(quán)的訪問,防火墻結(jié)構(gòu)不同,操作方法可能就有很大差異。根據(jù)防火墻的結(jié)構(gòu),可以將防火墻分為三種類型:一是軟件防火墻類型;二是硬件防火墻類型;三是其它防火墻類型,可以將它概述為軟件或硬件的防火墻技術(shù)。
2.1 軟件防火墻
軟件防火墻直接安裝在主機(jī)設(shè)備上,這種類型的防火墻也稱為主機(jī)防火墻。由于它連接到特定設(shè)備,因此必須利用其資源來工作。軟件防火墻的優(yōu)勢(shì)在于可以在過濾傳入和傳出流量的同時(shí)區(qū)分程序。因此,它們可以拒絕訪問一個(gè)程序,同時(shí)又允許訪問另一個(gè)程序。軟件防火墻保護(hù)也存在局限性,它們必須安裝在網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)上。因此,它不可避免地要占用系統(tǒng)的某些RAM和CPU,會(huì)消耗關(guān)鍵的算力和內(nèi)存。如果有多個(gè)設(shè)備,則需要在每個(gè)設(shè)備上安裝軟件。由于它需要與主機(jī)兼容,因此需要對(duì)每個(gè)主機(jī)進(jìn)行單獨(dú)配置,從而影響用戶體驗(yàn)。
2.2 硬件防火墻
硬件防火墻是安全設(shè)備,是放置在內(nèi)部和外部互聯(lián)網(wǎng)間的單獨(dú)硬件。此類型也稱為設(shè)備防火墻。與軟件防火墻不同,硬件防火墻具有其資源,并且不會(huì)占用主機(jī)設(shè)備的任何CPU或RAM。它是一種物理設(shè)備,充當(dāng)用于進(jìn)出內(nèi)部網(wǎng)絡(luò)的流量的網(wǎng)關(guān),擁有在同一網(wǎng)絡(luò)中運(yùn)行多臺(tái)計(jì)算機(jī)的中型和大型組織都使用它們。在這種情況下,使用硬件防火墻比在每個(gè)設(shè)備上安裝單獨(dú)的軟件更為實(shí)際。配置和管理硬件防火墻,需要專業(yè)知識(shí)和技能。
2.3 其它防火墻
其它防火墻可以概述為軟件或硬件的防火墻技術(shù)。
2.3.1 包過濾防火墻。根據(jù)防火墻的操作方法劃分防火墻類型時(shí),其最基本的類型是數(shù)據(jù)包或包過濾防火墻。包過濾防火墻是我們所謂的“在線防御”,它用作連接到路由器或交換機(jī)的內(nèi)聯(lián)安全檢查點(diǎn)。數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯,被稱為訪問控制表。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。它通過傳入數(shù)據(jù)包攜帶的信息過濾來監(jiān)視網(wǎng)絡(luò)流量。每個(gè)數(shù)據(jù)包包括一個(gè)標(biāo)頭和它發(fā)送的數(shù)據(jù)。此類防火墻根據(jù)標(biāo)頭信息決定是允許還是拒絕訪問數(shù)據(jù)包。為此,它將檢查協(xié)議、源IP地址、目標(biāo)IP、源端口和目標(biāo)端口。根據(jù)數(shù)字與訪問控制列表的匹配方式(定義所需/不需要的流量的規(guī)則),數(shù)據(jù)包將繼續(xù)傳遞或丟棄。如果數(shù)據(jù)包不符合所有必需的規(guī)則,則將不允許它到達(dá)系統(tǒng)。數(shù)據(jù)包過濾防火墻是一種快速解決方案,不需要大量資源。關(guān)于包過濾防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表1。
表1 包過濾防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.2 電路級(jí)網(wǎng)關(guān)(防火墻)。電路級(jí)網(wǎng)關(guān)是一種在OSI模型的會(huì)話層工作的防火墻,它遵守TCP(傳輸控制協(xié)議)連接和會(huì)話,主要功能是確保已建立的連接是安全的。在大多數(shù)情況下,電路級(jí)網(wǎng)關(guān)防火墻內(nèi)置于某種類型的軟件或已經(jīng)存在的防火墻中。像包過濾防火墻一樣,它不檢查實(shí)際數(shù)據(jù),只檢查有關(guān)交易的信息。電路級(jí)網(wǎng)關(guān)非常實(shí)用,易于設(shè)置,并且不需要單獨(dú)的代理服務(wù)器。關(guān)于電路級(jí)網(wǎng)關(guān)(防火墻)優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表2。
表2 電路級(jí)網(wǎng)關(guān)(防火墻)優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.3 狀態(tài)檢查防火墻。由于整個(gè)惡意軟件行業(yè)都專注于創(chuàng)建避開檢測(cè)網(wǎng)格的變體,因此需要一種能夠檢查每個(gè)軟件包內(nèi)容的防火墻。狀態(tài)檢查防火墻或多或少地相當(dāng)于海關(guān)官員的IT部門,負(fù)責(zé)檢查每個(gè)包裹和手提箱,然后所有者才能將其取回并開展業(yè)務(wù)。狀態(tài)檢查防火墻通過監(jiān)視TCP3跟蹤連接狀態(tài),可以跟蹤整個(gè)連接-從頭到尾-僅允許預(yù)期的返回流量入站。啟動(dòng)連接并請(qǐng)求數(shù)據(jù)時(shí),狀態(tài)檢查將建立數(shù)據(jù)庫(狀態(tài)表)并存儲(chǔ)連接信息。在狀態(tài)表中,它記下每個(gè)連接的源IP、源端口、目標(biāo)IP和目標(biāo)端口。使用狀態(tài)檢查方法,可以動(dòng)態(tài)創(chuàng)建防火墻規(guī)則以允許預(yù)期的流量。此類防火墻用作附加安全性。與無狀態(tài)過濾器相比,它執(zhí)行更多檢查,并且更安全。但是,與無狀態(tài)或數(shù)據(jù)包篩選不同,有狀態(tài)防火墻檢查跨多個(gè)數(shù)據(jù)包而不只是標(biāo)頭傳輸?shù)膶?shí)際數(shù)據(jù)。因此,它們還需要更多的系統(tǒng)資源。關(guān)于狀態(tài)檢查防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表3。
表3 狀態(tài)檢查防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.4 代理防火墻。代理防火墻可視為包過濾防火墻和電路級(jí)網(wǎng)關(guān)的最愛,用技術(shù)術(shù)語說,此數(shù)據(jù)包檢查技術(shù)在客戶端(您的計(jì)算機(jī))與互聯(lián)網(wǎng)的其余部分之間插入了啟用防火墻的代理服務(wù)器,充當(dāng)通過互聯(lián)網(wǎng)通信的內(nèi)部和外部系統(tǒng)之間的中間設(shè)備,通過轉(zhuǎn)發(fā)來自原始客戶端的請(qǐng)求并將其掩蓋為自己的網(wǎng)絡(luò)來保護(hù)網(wǎng)絡(luò)。代理的意思是充當(dāng)替代者,因此,代理就發(fā)揮了作用。它代替了發(fā)送請(qǐng)求的客戶端。當(dāng)客戶端發(fā)送訪問網(wǎng)頁的請(qǐng)求時(shí),代理服務(wù)器將與該消息相交。代理將消息轉(zhuǎn)發(fā)到Web服務(wù)器,假裝是客戶端。這樣做可以隱藏客戶端的標(biāo)識(shí)和地理位置,從而保護(hù)其不受任何限制和潛在的攻擊。然后,Web服務(wù)器做出響應(yīng),并將請(qǐng)求的信息提供給代理,該信息將傳遞給客戶端。關(guān)于代理防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表4。
表4 代理防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.5 下一代防火墻。下一代防火墻(Next Generation Firewall,NGFW),是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻,它將傳統(tǒng)防火墻與其他網(wǎng)絡(luò)設(shè)備過濾功能相結(jié)合,例如使用在線深度包檢查(DPI)的應(yīng)用防火墻,入侵防御系統(tǒng)(IPS);也可以采用其他技術(shù),例如TLS/SSL加密的流量檢查、網(wǎng)站過濾、QoS/帶寬管理、防病毒檢查和第三方身份管理集成(即LDAP,RADIUS,Active Directory)。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容,并借助全新的高性能單路徑異構(gòu)并行處理引擎,NGFW能夠?yàn)橛脩籼峁┯行У膽?yīng)用層一體化安全防護(hù),幫助用戶安全地開展業(yè)務(wù)并簡(jiǎn)化用戶的網(wǎng)絡(luò)安全架構(gòu)。它結(jié)合了許多其他防火墻功能的安全設(shè)備,合并了數(shù)據(jù)包、狀態(tài)和深度數(shù)據(jù)包檢查。簡(jiǎn)而言之,NGFW會(huì)檢查數(shù)據(jù)包的實(shí)際有效負(fù)載,而不是僅關(guān)注標(biāo)頭信息。它與傳統(tǒng)防火墻不同,下一代防火墻檢查數(shù)據(jù)的整個(gè)事務(wù),包括TCP握手、表面級(jí)別和深度包檢查。使用NGFW可以充分防御惡意軟件攻擊、外部威脅和入侵。這些設(shè)備非常靈活,并且沒有明確定義它們提供的功能。關(guān)于下一代防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表5。
表5 下一代防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.6 云防火墻。集中管理互聯(lián)網(wǎng)與移動(dòng)云VPC間的訪問控制,可自定義防火墻規(guī)則,提供對(duì)用戶內(nèi)部網(wǎng)絡(luò)的整體安全防護(hù)。云防火墻分布式部署在每一個(gè)計(jì)算節(jié)點(diǎn)上,消除集中化部署,避免單點(diǎn)故障和性能瓶頸,為用戶提供分層次、全方位、可擴(kuò)展的安全隔離和安全防護(hù),以及互聯(lián)網(wǎng)訪問VPC的安全防護(hù)。通過管理界面可輕松創(chuàng)建云防火墻和防護(hù)規(guī)則,虛擬機(jī)遷移后防火墻規(guī)則自動(dòng)跟隨,無需調(diào)整。云防火墻采用先進(jìn)的SDN技術(shù),可對(duì)傳統(tǒng)防火墻功能進(jìn)行安全性、可靠性、穩(wěn)定性優(yōu)化,具備極高可靠性。關(guān)于云防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)詳見表6。
表6 云防火墻優(yōu)缺點(diǎn)、保護(hù)等級(jí)
2.3.7 混合防火墻。又稱“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟件、硬件組件組成,分布于內(nèi)部、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對(duì)內(nèi)部、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。混合防火墻是防火墻技術(shù)的縮影,它結(jié)合了先進(jìn)的數(shù)據(jù)包掃描技術(shù)(如深層數(shù)據(jù)包檢查)和防病毒反惡意軟件。混合防火墻將檢查Web瀏覽會(huì)話的各個(gè)方面,一直到每個(gè)傳輸數(shù)據(jù)包的內(nèi)容,并具有執(zhí)行深度數(shù)據(jù)包分析的能力。
3 防火墻管理優(yōu)化的主要策略
防火墻雖不能完全保護(hù)計(jì)算機(jī)免受高級(jí)持續(xù)性威脅侵害,但可以有效防止暴力攻擊之類的“復(fù)雜”惡意連接網(wǎng)絡(luò)的企圖。在決定選擇哪種防火墻雖沒有統(tǒng)一明確的標(biāo)準(zhǔn),但使用不止一種防火墻類型可提供多層保護(hù)。防火墻管理優(yōu)化就是通過全面分析和調(diào)整防火墻的配置策略,以提升設(shè)備運(yùn)行性能和安全防護(hù)效果的過程。防火墻主要功能就是提供一定程度的保護(hù),防止惡意者連接網(wǎng)絡(luò)企圖。
3.1 設(shè)置最佳防火墻策略應(yīng)考慮的三個(gè)因素
3.1.1 組織規(guī)模。內(nèi)部網(wǎng)絡(luò)有多大?是在每臺(tái)設(shè)備上管理防火墻,還是僅需要監(jiān)視內(nèi)部網(wǎng)絡(luò)的防火墻?決定選擇軟件防火墻還是硬件防火墻?搞清楚這些問題很重要。在這兩者之間做決擇很大程度上取決于指派管理設(shè)置的技術(shù)團(tuán)隊(duì)的能力。
3.1.2 可用資源。是將防火墻放置在單獨(dú)的硬件還是云上?是否需要將防火墻與內(nèi)部網(wǎng)絡(luò)隔離開?這都是需要考慮的問題。因?yàn)榉阑饓π枰^濾的流量負(fù)載以及流量負(fù)載是否保持一致起著重要作用。
3.1.3 所需保護(hù)級(jí)別。防火墻的數(shù)量和類型應(yīng)符合內(nèi)部網(wǎng)絡(luò)所需的安全措施。處理敏感客戶端信息的企業(yè),應(yīng)通過加強(qiáng)防火墻保護(hù)來確保數(shù)據(jù)免受黑客攻擊。
3.2 防火墻優(yōu)化設(shè)置的主要策略
3.2.1 漏洞防范和高等級(jí)安全。首先,防止攻擊并在惡意軟件進(jìn)入內(nèi)部時(shí)快速檢測(cè)。防火墻的首要任務(wù)應(yīng)該是防止違規(guī)行為并保證組織安全。預(yù)防性的措施永遠(yuǎn)不會(huì)是100%有效的,設(shè)置的防火墻就應(yīng)該具有現(xiàn)代化能力,以快速檢測(cè)先進(jìn)的惡意軟件,防止它逃避你的前沿防御。投資具有以下功能的防火墻將非常必要:在攻擊進(jìn)入內(nèi)部之前進(jìn)行預(yù)防;內(nèi)置一流的下一代IPS,可快速發(fā)現(xiàn)隱形威脅并阻止它們;URL過濾,以在數(shù)億個(gè)URL上實(shí)施策略;內(nèi)置沙盒和先進(jìn)的惡意軟件保護(hù)。
3.2.2 用最新情報(bào)阻止新出現(xiàn)的威脅。人們不能保護(hù)看不見的東西。這就需要時(shí)刻監(jiān)控網(wǎng)絡(luò)上發(fā)生了什么,隨時(shí)發(fā)現(xiàn)不良行為并迅速制止。所設(shè)置的防火墻應(yīng)該能提供活動(dòng)的整體視圖以及前后動(dòng)態(tài)的變化,主要包括:跨用戶、主機(jī)、網(wǎng)絡(luò)和設(shè)備的威脅活動(dòng);威脅起源于何地和何時(shí),以及它現(xiàn)在在做什么;活躍的應(yīng)用程序和網(wǎng)站;虛擬機(jī)之間的通信、文件傳輸?shù)取?/p>
3.2.3 靈活的管理和部署選項(xiàng)。定制以滿足每個(gè)組織的獨(dú)特需求。無論是中小型企業(yè)還是大型企業(yè),設(shè)置的防火墻應(yīng)該滿足其獨(dú)特要求:對(duì)每個(gè)用例進(jìn)行管理-從onbox中選擇管理器或所有設(shè)備集中管理;通過虛擬防火墻部署在本地或云中;使用滿足個(gè)性化需求的功能進(jìn)行定制。
3.2.4 最快檢測(cè)時(shí)間。加速惡意軟件檢測(cè)以降低風(fēng)險(xiǎn)。目前的行業(yè)標(biāo)準(zhǔn)時(shí)間檢測(cè)威脅一般是在100天到200天之間。下一代防火墻應(yīng)該能夠在幾秒鐘內(nèi)檢測(cè)到威脅;在數(shù)小時(shí)或數(shù)分鐘內(nèi)檢測(cè)到成功的違規(guī)行為;區(qū)分警報(bào)的優(yōu)先級(jí),以便能夠迅速、準(zhǔn)確地采取行動(dòng)消除威脅;通過部署易于維護(hù)的一致策略,在組織內(nèi)部實(shí)現(xiàn)自動(dòng)執(zhí)行。
3.2.5 建立集成的安全體系。集成的安全體系實(shí)現(xiàn)了自動(dòng)化,降低了復(fù)雜性。下一代防火墻不應(yīng)該是孤立的工具。它應(yīng)該與組織的安全架構(gòu)的其它部分進(jìn)行通信和協(xié)作。選擇一個(gè)防火墻:能與同一供應(yīng)商的其他工具無縫集成;自動(dòng)共享威脅信息、事件數(shù)據(jù)、策略和上下文電子郵件、web、端點(diǎn)和網(wǎng)絡(luò)安全工具的信息;自動(dòng)化安全任務(wù),如影響評(píng)估、策略調(diào)整和用戶標(biāo)識(shí)。
4 防火墻安全風(fēng)險(xiǎn)和威脅及其評(píng)估路徑思考
防火墻安全風(fēng)險(xiǎn)評(píng)估也稱為防火墻規(guī)則集審查,旨在發(fā)現(xiàn)設(shè)備配置、防火墻規(guī)則、管理和合規(guī)性中的不足,以確保其正常運(yùn)行并保護(hù)你的網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅。除做好防火墻管理優(yōu)化策略外,鑒于防火墻自身存在的內(nèi)在風(fēng)險(xiǎn)和威脅,應(yīng)定期進(jìn)行防火墻安全風(fēng)險(xiǎn)評(píng)估,這對(duì)確保和維護(hù)組織網(wǎng)絡(luò)安全非常關(guān)鍵和至關(guān)重要。
4.1 防火墻安全面臨的風(fēng)險(xiǎn)和威脅
保護(hù)防火墻的第一步首先是要了解它們可能面臨的風(fēng)險(xiǎn)和威脅。
4.1.1 防火墻安全常見的風(fēng)險(xiǎn)。(1)不安全的配置:固件版本、管理協(xié)議配置、文件傳輸/遠(yuǎn)程管理協(xié)議是防火墻審核期間的常見問題。(2)不安全的日志記錄和監(jiān)視控制:審查日志記錄和監(jiān)視控制措施,以識(shí)別事件收集、存儲(chǔ)、分析和威脅識(shí)別中的缺陷。(3)大攻擊面:隨著組織越來越多地采用云服務(wù)以及混合工作模式(到公司上班/在家工作),其網(wǎng)絡(luò)和相關(guān)攻擊面變得越來越大,越來越復(fù)雜。尤其是防火墻服務(wù)提供商或客戶的IT團(tuán)隊(duì)的變動(dòng),由此帶來的第三方風(fēng)險(xiǎn)擴(kuò)大了攻擊面幾率。(4)規(guī)則集/防火墻規(guī)則審查:防火墻規(guī)則的審核通常顯示存在噪聲(不必要的廣播協(xié)議)、重復(fù)規(guī)則、臨時(shí)規(guī)則、注釋、使用ANY/大型規(guī)則。防火墻使用定義的規(guī)則來評(píng)估通過防火墻傳遞的所有流量,以確定流量是否與允許或拒絕條件匹配。如果沒有允許流量的規(guī)則,則默認(rèn)情況下拒絕流量。(5)加密缺陷:配置和使用HTTPS、SSH、VPN轉(zhuǎn)換(如果是VPN)、靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)的加密方法。(6)管理限制:對(duì)內(nèi)部(內(nèi)部網(wǎng)絡(luò)/DMZ)和外部(通過互聯(lián)網(wǎng))的管理和管理接口的限制通常在滲透測(cè)試和PCI防火墻審查期間(必須進(jìn)行分段)發(fā)現(xiàn)。(7)身份驗(yàn)證和授權(quán):負(fù)責(zé)用戶身份驗(yàn)證、內(nèi)部集成(RADIUS/AD/等)、接口限制以及授權(quán)的身份驗(yàn)證和授權(quán)機(jī)制。
4.1.2 防火墻安全面臨的主要威脅。(1)內(nèi)部攻擊:一些最危險(xiǎn)的防火墻來自組織內(nèi)部,具有過多權(quán)限的用戶無需任何防火墻干預(yù)即可突破外圍防御。當(dāng)他們獲得內(nèi)部網(wǎng)絡(luò)資源的訪問權(quán)限時(shí),就可以竊取數(shù)據(jù)或破壞數(shù)字基礎(chǔ)設(shè)施。(2)DDoS攻擊:DDoS攻擊涉及惡意入侵者的大量訪問請(qǐng)求或數(shù)據(jù)包注入。如果沒有適當(dāng)?shù)倪^濾器,大量流量可能會(huì)占用網(wǎng)絡(luò)資源,這會(huì)導(dǎo)致停機(jī)或數(shù)據(jù)丟失等。(3)防火墻漏洞:防火墻漏洞有多種形式。例如,某些漏洞可能是由防火墻配置或維護(hù)中的錯(cuò)誤引起的,而其他漏洞可能是由于防火墻操作方法中的特定缺陷引起的。
4.2 防火墻安全風(fēng)險(xiǎn)評(píng)估最佳路徑思考
防火墻安全風(fēng)險(xiǎn)評(píng)估具有識(shí)別并限制內(nèi)部系統(tǒng)暴露,以應(yīng)對(duì)不斷變化的威脅;識(shí)別配置和管理過程中的弱點(diǎn)以提高網(wǎng)絡(luò)性能;服務(wù)質(zhì)量是安全工作的基礎(chǔ);驗(yàn)證你的變更管理或控制流程;符合PCI DSS、ISO27001、GDPR合規(guī)性要求等優(yōu)勢(shì)。通過實(shí)施全面防火墻安全風(fēng)險(xiǎn)評(píng)估的最佳路徑,可以顯著降低數(shù)據(jù)泄露、網(wǎng)絡(luò)停機(jī)和其他安全事件的風(fēng)險(xiǎn),從而幫助維護(hù)客戶、合作伙伴和利益相關(guān)者的聲譽(yù)和信任。
4.2.1 定義評(píng)估的范圍和目標(biāo)。防火墻風(fēng)險(xiǎn)評(píng)估首先涉及確定要審核的防火墻和關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備,并確定審核持續(xù)時(shí)間。為了確保審查和評(píng)估所有關(guān)鍵領(lǐng)域,審核范圍必須遵守法律要求和行業(yè)標(biāo)準(zhǔn),不僅可以降低處罰和罰款的風(fēng)險(xiǎn),還可以提高企業(yè)在客戶和利益相關(guān)者中的聲譽(yù)。通過定義審核范圍,可以清楚地了解將要審核的領(lǐng)域和要實(shí)現(xiàn)的目標(biāo)。
4.2.2 收集相關(guān)信息。從以前的審核中收集所有相關(guān)的安全策略、防火墻日志和報(bào)告。審查和匯總相關(guān)的防火墻供應(yīng)商信息,并在可靠的系統(tǒng)中更新它們,因?yàn)槊磕昕赡軙?huì)進(jìn)行多次審核。收集所有這些信息將幫助制定有效的審計(jì)計(jì)劃,通過識(shí)別需要解決的漏洞和風(fēng)險(xiǎn)來增強(qiáng)網(wǎng)絡(luò)安全。
4.2.3 查看防火墻配置。查看防火墻設(shè)置和配置,確保它們符合組織的安全策略。還應(yīng)查看訪問控制策略、安全規(guī)則和日志文件等關(guān)鍵區(qū)域。同時(shí),必須驗(yàn)證最近對(duì)防火墻所做的更改是否經(jīng)過授權(quán)和記錄。所有這些審查和驗(yàn)證將有助于識(shí)別潛在的安全漏洞,并提供增強(qiáng)網(wǎng)絡(luò)安全的解決方案。
4.2.4 查看防火墻日志。防火墻日志包含網(wǎng)絡(luò)流量的來源和目標(biāo)以及防火墻對(duì)該流量的響應(yīng)等信息。通過查看這些日志,你可以識(shí)別潛在的安全風(fēng)險(xiǎn),例如開放端口或不安全的網(wǎng)絡(luò)服務(wù),這些風(fēng)險(xiǎn)可能使網(wǎng)絡(luò)容易受到攻擊。它還有助于識(shí)別任何未經(jīng)授權(quán)的訪問嘗試或成功的防火墻違規(guī)。如果發(fā)現(xiàn)任何可疑活動(dòng),應(yīng)進(jìn)一步調(diào)查它們以確定其根本原因,并提供有關(guān)改進(jìn)網(wǎng)絡(luò)安全狀況的建議。
4.2.5 清理和優(yōu)化防火墻規(guī)則。優(yōu)化防火墻規(guī)則可以對(duì)工作效率和性能產(chǎn)生積極影響,同時(shí)可簡(jiǎn)化審核過程。刪除任何無用、過期和不活動(dòng)的規(guī)則和對(duì)象,并評(píng)估其余規(guī)則的有效性和順序。未使用的鏈接和過度寬松的規(guī)則可以根據(jù)策略和實(shí)際使用場(chǎng)景進(jìn)行識(shí)別和調(diào)整。
4.2.6 測(cè)試防火墻是否存在漏洞。對(duì)防火墻進(jìn)行漏洞測(cè)試將使組織能夠更好地了解其網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。通過漏洞測(cè)試,你可以識(shí)別攻擊者可能試圖利用的潛在弱點(diǎn),并采取措施緩解這些弱點(diǎn)。漏洞測(cè)試可以采取多種形式,包括試圖穿透防火墻防御的模擬攻擊。然后,可以使用此類測(cè)試的結(jié)果為改進(jìn)防火墻的安全狀況提供建議。通過定期進(jìn)行漏洞測(cè)試,你可以對(duì)新出現(xiàn)的安全威脅保持警惕,并領(lǐng)先于潛在攻擊者。
4.2.7 記錄結(jié)果。運(yùn)行測(cè)試后,可以創(chuàng)建一個(gè)全面的報(bào)告,其中包括審核結(jié)果的摘要以及對(duì)任何已識(shí)別的漏洞或安全風(fēng)險(xiǎn)的詳細(xì)分析。此報(bào)告應(yīng)包括對(duì)任何發(fā)現(xiàn)的漏洞的詳細(xì)說明,以及改進(jìn)防火墻安全狀況的具體建議。這些建議可能包括實(shí)施新的安全策略、重新配置防火墻設(shè)置或更新安全軟件以解決已識(shí)別的漏洞。
4.2.8 提出實(shí)施建議。完成徹底的防火墻審核并收到改進(jìn)建議后,下一步是實(shí)施建議的更改。對(duì)審核期間確定的防火墻規(guī)則、配置設(shè)置或其他安全措施進(jìn)行所有必要的調(diào)整。請(qǐng)務(wù)必測(cè)試這些更改,以確保它們不會(huì)給系統(tǒng)帶來任何新的漏洞或風(fēng)險(xiǎn)。這些測(cè)試應(yīng)包括漏洞掃描或滲透測(cè)試,以確保更改不會(huì)損害防火墻的安全狀況。
4.2.9 監(jiān)視防火墻,循環(huán)重復(fù)上述步驟。成功實(shí)施和測(cè)試更改后,需要持續(xù)監(jiān)控和維護(hù),以確保防火墻在保護(hù)網(wǎng)絡(luò)免受潛在威脅方面保持安全有效。定期監(jiān)控防火墻,以發(fā)現(xiàn)可能出現(xiàn)的任何新安全風(fēng)險(xiǎn)。定期進(jìn)行防火墻評(píng)估,以確保防火墻保持安全并符合組織的安全策略和標(biāo)準(zhǔn)。
5 結(jié)語
“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”。共筑網(wǎng)絡(luò)安全防線,維護(hù)網(wǎng)絡(luò)安全是全社會(huì)公民共同的責(zé)任。IT基礎(chǔ)設(shè)施發(fā)展和復(fù)雜網(wǎng)絡(luò)攻擊威脅出現(xiàn),刺激并推動(dòng)了防火墻技術(shù)不斷發(fā)展。防火墻不僅是監(jiān)視某些端口、IP地址或地址之間的數(shù)據(jù)包活動(dòng)和做出解決及拒絕決策的手段,在流量檢查和管理方面提供了組織可以激活包括URL、過濾、防病毒、垃圾郵件和機(jī)器人保護(hù)、數(shù)據(jù)泄露防護(hù)、移動(dòng)設(shè)備的訪問控制等額外功能,添加和部署這些功能從而增強(qiáng)網(wǎng)絡(luò)安全并在出現(xiàn)新問題時(shí)得到及時(shí)解決。目前,防火墻正處于鼎盛時(shí)期,維護(hù)良好的防火墻是網(wǎng)絡(luò)安全的“第一道防線”,花費(fèi)少量時(shí)間和資源,正確設(shè)置防火墻安全策略,執(zhí)行全面防火墻風(fēng)險(xiǎn)評(píng)估,采取主動(dòng)措施保護(hù)網(wǎng)絡(luò)免受潛在攻擊,將更有助于企業(yè)各項(xiàng)業(yè)務(wù)開展并確保數(shù)據(jù)安全。
作者簡(jiǎn)介:
嵇海麗周(1993-),女,江蘇鹽城人,碩士,現(xiàn)就職 于北京抖音信息服務(wù)有限公司,主要研究方向?yàn)榫W(wǎng)絡(luò)信 息技術(shù)安全產(chǎn)品管理和技術(shù)品牌創(chuàng)新等。
參考文獻(xiàn):
[1] Mitchell Telatnik. What is a Firewall? [EB/OL].(2023.03.28).
[2] heimdal. Why a Reliable Firewall is Essential to Enterprise Security? [EB/OL]. (2022.06.17).
[3] Cisco.5 Tips for Choosing a Next-Generation Firewall[EB/OL].(2022.01.02)[2024.03.01].
[4] Fortinet. what is firewall security[EB/OL].(2022.10.30).
[5] Tibor Moes. What is a Firewall? Everything You Need to Know[EB/OL].(2023.06.01),
[6] Cybersecurity-Automation.com Team, Firewalls explained: the different firewall types and technologies[EB/OL].(2022.11.01).
[7] Kaspersky. What is a firewall? Definition and explanation[EB/OL].(2023.10.20).
[8] Franklin Okeke. 9 Steps for Performing a Firewall Audit: Easy Firewall Checklist[EB/OL].(2023.05.18) [2023.11.12].
[9] Nordlayer.Main firewall threats & vulnerabilities[EB/OL].(2023.06.13) .
[10] GBT 20281-2020. 信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法[S] (2020.11.01).
摘自《自動(dòng)化博覽》2024年5月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)