【正文】 這樣的報(bào)告形成有周期性規(guī)律，可以有效地發(fā)現(xiàn)問(wèn)題，利于及時(shí)解決問(wèn)題。防火墻應(yīng)當(dāng)有啟用/禁止這些界定的能力，特別是對(duì)于“模糊”辨別的攻擊類(lèi)型，防火墻可以修改各種參數(shù)的配置，以便根據(jù)網(wǎng)絡(luò)具體情況進(jìn)行調(diào)節(jié)。對(duì)安全設(shè)備而言，日志的保密性也需要考慮。Syslog標(biāo)準(zhǔn)適合存儲(chǔ)大量的信息。同時(shí)，任何事件都不是孤立的，整個(gè)網(wǎng)絡(luò)安全系統(tǒng)包括路由器，交換機(jī)，主機(jī)系統(tǒng)，防火墻，以及入侵檢測(cè)系統(tǒng)都是相關(guān)連的。一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問(wèn)題，管理員要及時(shí)對(duì)問(wèn)題和事件進(jìn)行分析，確定出現(xiàn)了哪些問(wèn)題，對(duì)目前哪些系統(tǒng)造成了影響，如何采取相應(yīng)的措施。 恢復(fù)時(shí)間一次錯(cuò)誤的認(rèn)證后，需要間隔一定的時(shí)間才能出現(xiàn)新的登陸界面。一般要求這個(gè)時(shí)間在1分鐘左右。對(duì)于整體網(wǎng)絡(luò)來(lái)講，集中的外部認(rèn)證方式可以比較有效地節(jié)約管理成本，如果采用相應(yīng)的擴(kuò)展標(biāo)準(zhǔn)，將管理用戶(hù)的權(quán)限等字段利用起來(lái)，造成安全權(quán)限分配失誤的幾率也小得多。l 配合安全管理機(jī)構(gòu)對(duì)安全工作的考核。安全管理員的職責(zé)包括：l 負(fù)責(zé)職權(quán)范圍內(nèi)IP網(wǎng)絡(luò)安全防范工作的具體實(shí)施、安全配置操作和維護(hù)工作、以及相關(guān)網(wǎng)絡(luò)安全問(wèn)題的處理。信息系統(tǒng)安全管理組織體系應(yīng)采用統(tǒng)一組織、分級(jí)管理的方式，在集團(tuán)公司成立信息系統(tǒng)安全管理機(jī)構(gòu),并在各個(gè)省公司及其下屬分公司主管數(shù)據(jù)網(wǎng)運(yùn)行維護(hù)的部門(mén)設(shè)置相應(yīng)的信息系統(tǒng)安全管理機(jī)構(gòu)，負(fù)責(zé)本公司IP網(wǎng)絡(luò)的安全管理工作。 實(shí)施過(guò)程歸檔所需刪除安全策略的確定防火墻管理員根據(jù)相關(guān)業(yè)務(wù)部門(mén)應(yīng)用的調(diào)整或網(wǎng)絡(luò)的調(diào)整，對(duì)現(xiàn)有防火墻安全策略進(jìn)行及時(shí)的刪除來(lái)確保網(wǎng)絡(luò)的安全性。如果在更改過(guò)程中出現(xiàn)問(wèn)題，需要及時(shí)將備份的配置進(jìn)行上載恢復(fù)系統(tǒng)。比如由于應(yīng)用系統(tǒng)的變化，現(xiàn)有防火墻安全策略需要調(diào)整。通過(guò)對(duì)應(yīng)用的充分驗(yàn)證之后，確定該新添加策略的合法性和正確性。由于防火墻包含有眾多的安全策略，每一個(gè)策略的位置和功能對(duì)整個(gè)防火墻系統(tǒng)的安全至關(guān)重要。 所需添加策略的確定216。需要不斷地監(jiān)控和維護(hù)。過(guò)于復(fù)雜的功能和設(shè)計(jì)， 最容易由于不慎帶來(lái)潛在的威脅；216。制定安全策略需要考慮下列事項(xiàng)：216。 訪(fǎng)問(wèn)策略防火墻的訪(fǎng)問(wèn)策略， 主要有下列幾個(gè)方面：216。）。它們是互相獨(dú)立的，例如管理員可以禁止機(jī)器A訪(fǎng)問(wèn)服務(wù)器B，他同時(shí)可以描述機(jī)器A訪(fǎng)問(wèn)服務(wù)器B時(shí)必須NAT。具體策略配置案例（用戶(hù)數(shù)據(jù)保護(hù)功能類(lèi)）：具體策略的制定需要根據(jù)各分公司的網(wǎng)絡(luò)應(yīng)用情況結(jié)合上述原則進(jìn)行。 網(wǎng)絡(luò)受威脅的程度； 216。l 為了和內(nèi)部網(wǎng)二層交換機(jī)配合使用，提高數(shù)據(jù)在內(nèi)部網(wǎng)的安全性，防火墻支持VLAN也是必要的。支持SSL協(xié)議的客戶(hù)端可以很容易的與支持SSL協(xié)議的防火墻建立安全通道。新型防火墻的日志文件可以異機(jī)備份，可以和日志分析軟件配合使用，通過(guò)日志分析軟件及時(shí)發(fā)現(xiàn)攻擊行為。l 內(nèi)容過(guò)濾不僅對(duì)數(shù)據(jù)包頭進(jìn)行過(guò)濾，能對(duì)Java、ActiveX、JavaScript、VBscript、URL記錄和攔截和過(guò)濾。一旦審計(jì)存儲(chǔ)耗盡，防火墻應(yīng)能保證在授權(quán)管理員所采取的審計(jì)行為以外，防止其他可審計(jì)行為的出現(xiàn)。 審計(jì)跟蹤管理防火墻的安全功能應(yīng)使管理員能創(chuàng)建、存檔、刪除和清空審計(jì)記錄。防火墻的安全功能應(yīng)能把授權(quán)執(zhí)行管理功能的授權(quán)管理員和可信主機(jī)與使用防火墻的所有其他個(gè)人或系統(tǒng)分開(kāi)。 —— 文件傳送協(xié)議（FTP）； —— 超文本傳輸協(xié)議（HTTP）； —— 登錄； —— 郵政協(xié)議（POP）； —— 遠(yuǎn)程登錄； —— 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）； —— Telnet。 鑒別失敗的基本處理防火墻的安全功能應(yīng)能夠在鑒別嘗試經(jīng)一個(gè)可設(shè)定的次數(shù)失敗以后，終止可信主機(jī)或用戶(hù)建立會(huì)話(huà)的過(guò)程。 管理員屬性修改防火墻應(yīng)執(zhí)行訪(fǎng)問(wèn)控制的功能策略（SFP）：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；向授權(quán)管理員提供修改下述參數(shù)的能力：a）標(biāo)識(shí)與角色（例如：管理員）的關(guān)聯(lián)。 多種安全屬性訪(fǎng)問(wèn)控制（1）防火墻應(yīng)根據(jù)源地址，目的地址，傳輸層協(xié)議和請(qǐng)求的服務(wù)（如源端口號(hào)或目的端口號(hào)）對(duì)客體執(zhí)行未鑒別的端到端策略。一旦審計(jì)存儲(chǔ)耗盡，防火墻應(yīng)能保證在授權(quán)管理員所采取的審計(jì)行為以外，防止其他可審計(jì)行為的出現(xiàn)。 審計(jì)跟蹤管理防火墻的安全功能應(yīng)使管理員能創(chuàng)建、存檔、刪除和清空審計(jì)記錄。防火墻的安全功能應(yīng)能把授權(quán)執(zhí)行管理功能的授權(quán)管理員和可信主機(jī)與使用防火墻的所有其他個(gè)人或系統(tǒng)分開(kāi)。防火墻應(yīng)預(yù)防與遠(yuǎn)程管理和遠(yuǎn)程可信主機(jī)操作有關(guān)的鑒別數(shù)據(jù)的重用。 授權(quán)管理員和可信主機(jī)鑒別數(shù)據(jù)的基本保護(hù)防火墻應(yīng)保護(hù)存儲(chǔ)于設(shè)備中的鑒別數(shù)據(jù)不受未授權(quán)查閱、修改和破壞。 資源分配時(shí)對(duì)遺留信息的充分保護(hù)防火墻應(yīng)保證在為所有客體進(jìn)行資源分配時(shí)，不提供以前的任何信息內(nèi)容。根據(jù)主體和客體的安全屬性值提供明確的訪(fǎng)問(wèn)保障能力。 5 防火墻的功能要求雖然前面章節(jié)介紹防火墻的體系結(jié)構(gòu)和技術(shù)多種多樣，但防火墻產(chǎn)品從原理上主要分為兩類(lèi)：包過(guò)濾和應(yīng)用網(wǎng)關(guān)。 合并堡壘主機(jī)與外部路由器；在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來(lái)破壞屏蔽路由器，整個(gè)過(guò)程中不能引發(fā)警報(bào)。 屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。它可以由廠(chǎng)家專(zhuān)門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來(lái)實(shí)現(xiàn)。實(shí)施的考慮 ：防攻擊的手段的實(shí)施通常與網(wǎng)絡(luò)的性能有直接的關(guān)聯(lián)，需要仔細(xì)平衡和調(diào)節(jié)上述第一種手段基本不會(huì)影響防火墻的性能，通常一定是會(huì)考慮的第二種手段可用于大多數(shù)中、小節(jié)點(diǎn)，提供較完善的攻擊防護(hù)，同時(shí)不增加網(wǎng)絡(luò)的成本和復(fù)雜性。然而，由于網(wǎng)絡(luò)傳輸速度的往往不一致， Reset無(wú)法準(zhǔn)確地將數(shù)據(jù)包丟棄。入侵檢測(cè)：分類(lèi)說(shuō)明1） 針對(duì)性的參數(shù)調(diào)整一些基本的防火墻功能對(duì)應(yīng)的參數(shù)的調(diào)整可以在一定程度上防止攻擊的發(fā)生。只有產(chǎn)生了Ack確認(rèn)的網(wǎng)絡(luò)訪(fǎng)問(wèn)，防火墻才會(huì)讓該訪(fǎng)問(wèn)流透過(guò)防火墻轉(zhuǎn)發(fā)到服務(wù)器；對(duì)于在規(guī)定時(shí)間內(nèi)沒(méi)有響應(yīng)Ack的數(shù)據(jù)流，防火墻會(huì)主動(dòng)將連接清除。通過(guò)實(shí)施帶寬管理，保證關(guān)鍵應(yīng)用的順暢進(jìn)行，同時(shí)，防止某些應(yīng)用或某些用戶(hù)無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬。如：時(shí)延。 內(nèi)容過(guò)濾內(nèi)容過(guò)濾是基于應(yīng)用層信息對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。對(duì)于網(wǎng)絡(luò)信息流，可使用IP 地址或動(dòng)態(tài)IP (DIP) 池的目的地區(qū)段接口地址來(lái)執(zhí)行 NAT，動(dòng)態(tài) IP 池與目的地區(qū)段接口在同一子網(wǎng)中。Transparent 模式（透明模式）是一種保護(hù) Web 服務(wù)器、或者主要從不可信源接收信息流的其它任意類(lèi)型服務(wù)器的方便手段。為了防止這種情況的出現(xiàn)，應(yīng)該使用冗余的防火墻來(lái)提供系統(tǒng)的容錯(cuò)性，同時(shí)也可以提高系統(tǒng)的處理能力。其中靜態(tài)NAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。3 防火墻技術(shù) NATNAT可以節(jié)約公用IP地址，同時(shí)外部也不能直接查找到中國(guó)移動(dòng)內(nèi)部的網(wǎng)絡(luò)設(shè)備，可以起到隱藏和保護(hù)內(nèi)部信息的作用。今后，越來(lái)越多的攻擊是應(yīng)用層攻擊和DDOS攻擊，而傳統(tǒng)的防火墻所起的作用有限。自適應(yīng)代理不僅能維護(hù)系統(tǒng)安全，還能夠動(dòng)態(tài)“適應(yīng)”傳送中的分組流量。當(dāng)用戶(hù)訪(fǎng)問(wèn)請(qǐng)求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。動(dòng)態(tài)包過(guò)濾只有在用戶(hù)的請(qǐng)求下才打開(kāi)端口，并且在服務(wù)完畢之后關(guān)閉端口，這樣可以降低受到與開(kāi)放端口相關(guān)的攻擊的可能性。 電路層代理（Circuit Proxy）另一種類(lèi)型的代理技術(shù)稱(chēng)為電路層網(wǎng)關(guān)（Circuit Gateway）。包過(guò)濾主要檢查包頭中的下列內(nèi)容：IP源地址、IP目標(biāo)地址、協(xié)議類(lèi)型（TCP包、UDP包和ICMP包）、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息類(lèi)型、TCP包頭的ACK位、TCP包的序列號(hào)、IP校驗(yàn)和等。其它安全控制各部門(mén)可以根據(jù)本單位的特殊要求來(lái)配置防火墻系統(tǒng)的使用規(guī)則與應(yīng)用參數(shù)，從而保障自己部門(mén)的網(wǎng)絡(luò)安全運(yùn)行。比如，從外界可以訪(fǎng)問(wèn)內(nèi)網(wǎng)的某些主機(jī)，而對(duì)內(nèi)網(wǎng)內(nèi)的其它主機(jī)的訪(fǎng)問(wèn)則會(huì)被視為非法。密 級(jí)：文檔編號(hào)：項(xiàng)目代號(hào)：中國(guó)移動(dòng)企業(yè)信息化防火墻安全規(guī)范Version 中國(guó)移動(dòng)通信有限公司二零零四年十二月擬 制:審 核:批 準(zhǔn):會(huì) 簽:標(biāo)準(zhǔn)化:版本控制版本號(hào)日期參與人員更新說(shuō)明分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系1創(chuàng)建、修改、讀取負(fù)責(zé)編制、修改、審核2批準(zhǔn)負(fù)責(zé)本文檔的批準(zhǔn)程序3標(biāo)準(zhǔn)化審核作為本項(xiàng)目的標(biāo)準(zhǔn)化負(fù)責(zé)人，負(fù)責(zé)對(duì)本文檔進(jìn)行標(biāo)準(zhǔn)化審核4讀取5讀取目錄1 綜述 62 防火墻簡(jiǎn)介和分類(lèi) 7 防火墻簡(jiǎn)介 7 防火墻分類(lèi) 8 包過(guò)濾（Packet Filter） 8 應(yīng)用層代理（Proxy） 9 電路層代理（Circuit Proxy） 9 動(dòng)態(tài)包過(guò)濾（Dynamic Packet Filter） 10 全狀態(tài)檢測(cè)（Stateful Inspection） 10 自適應(yīng)代理（Adaptive Proxy） 11 深度包檢測(cè)（Deep Packet Inspection） 113 防火墻技術(shù) 13 NAT 13 雙機(jī)熱備 14 橋接、路由 14 內(nèi)容過(guò)濾 16 帶寬管理 17 附加功能：攻擊保護(hù)，聯(lián)動(dòng)功能，入侵檢測(cè)，防止攻擊 184 防火墻的體系結(jié)構(gòu) 21 屏蔽路由器（Screening Router） 21 雙穴主機(jī)網(wǎng)關(guān)（Dual Homed Gateway） 21 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway） 22 屏蔽子網(wǎng) （Screened Subnet） 225 防火墻的功能要求 24 包過(guò)濾防火墻應(yīng)具備的基本安全功能 24 用戶(hù)數(shù)據(jù)保護(hù)功能 24 識(shí)別與鑒別功能 26 保密功能 27 可信安全功能保護(hù) 27 安全審計(jì)功能 28 應(yīng)用網(wǎng)關(guān)防火墻應(yīng)具備的基本安全功能 30 用戶(hù)數(shù)據(jù)保護(hù)功能 30 識(shí)別與鑒別功能 33 保密功能 34 可信安全功能保護(hù) 34 安全審計(jì)功能 35 防火墻的特殊安全功能要求 37 選擇防火墻的考慮 396 防火墻的管理與配置 41 安全策略配置 41 通信策略 42 訪(fǎng)問(wèn)策略 44 應(yīng)用策略 44 安全策略流程管理 46 增添安全策略流程 47 更改安全策略流程 48 刪除安全策略流程 49 防火墻分級(jí)管理 50 管理員角色定義 50 用戶(hù)參數(shù)管理 52 日志審計(jì)及監(jiān)控 54 安全審計(jì)原則 54 審計(jì)方法及過(guò)程 55 日常維護(hù)管理 59 防火墻系統(tǒng)資源監(jiān)控 59 系統(tǒng)日志監(jiān)控 60 數(shù)據(jù)包捕獲分析 60 定期備份 607 防火墻適用環(huán)境與部署原則 62 適用環(huán)境 62 部署原則 631 綜述本規(guī)范的目的是介紹防火墻的分類(lèi)、常用技術(shù)和體系結(jié)構(gòu)，并為中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)提供使用防火墻時(shí)需要考慮的功能要求、策略配置和管理要求，以及防火墻系統(tǒng)的維護(hù)和審計(jì)方式，幫助中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)安全管理人員建設(shè)新的防火墻系統(tǒng)，或是對(duì)現(xiàn)有的防火墻系統(tǒng)進(jìn)行改造、調(diào)整、維護(hù)，以滿(mǎn)足企業(yè)信息化業(yè)務(wù)發(fā)展對(duì)網(wǎng)絡(luò)安全的要求。強(qiáng)化安全管理 透過(guò)分布式防火墻/網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)內(nèi)部設(shè)備的監(jiān)管，可有效控制內(nèi)部工作站對(duì)內(nèi)部主機(jī)、外部Internet的登陸與訪(fǎng)問(wèn)，通過(guò)對(duì)其使用的協(xié)議、端口以及通訊數(shù)據(jù)的過(guò)濾，加之根據(jù)具體應(yīng)用的規(guī)則限定與流量控制，可有效防止發(fā)自于網(wǎng)絡(luò)內(nèi)部的攻擊，從整體上強(qiáng)化系統(tǒng)的安全管理增強(qiáng)抗攻擊能力。 防火墻分類(lèi)根據(jù)技術(shù)實(shí)現(xiàn)方式的不同，傳統(tǒng)的防火墻的類(lèi)型主要有三種：包過(guò)濾、應(yīng)用層代理、電路層代理。包過(guò)濾防火墻的優(yōu)點(diǎn)是速度快、邏輯簡(jiǎn)單、成本低、易于安裝和使用，網(wǎng)絡(luò)性能和透明度好，不需要改變用戶(hù)的行為。在電路層網(wǎng)關(guān)中，包被提交到用戶(hù)應(yīng)用層處理。防火墻可以動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過(guò)內(nèi)部網(wǎng)絡(luò)的鏈路和應(yīng)用程序?qū)臃?wù)。全狀態(tài)檢測(cè)防火墻保留狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話(huà)，利用狀態(tài)表跟蹤每一個(gè)會(huì)話(huà)狀態(tài)。自適應(yīng)代理防火墻允許用戶(hù)根據(jù)具體需求，定義防火墻策略，而不會(huì)犧牲速度或安全性。深度包檢測(cè)防火墻提供了入侵檢測(cè)和攻擊防范的功能，它能深入檢查信息包流，查出惡意行為，可以根據(jù)特征檢測(cè)和內(nèi)容過(guò)濾，來(lái)尋找已知的攻擊，并理解什么是“正常的”通信，同時(shí)阻止異常的訪(fǎng)問(wèn)。因此在移動(dòng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部私有空間地址，通過(guò)NAT把內(nèi)部私有地址翻譯成合法的公用全局IP地址。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。 防火墻的冗余解決方案為系統(tǒng)的自然增長(zhǎng)提供了完備的可擴(kuò)縮性，能夠方便地管理一群相對(duì)低價(jià)位的防火墻或者VPN系統(tǒng)協(xié)同工作，而不用花費(fèi)大量的投資升級(jí)到單個(gè)不具容錯(cuò)能力卻價(jià)格昂貴的防火墻。使用Transparent 模式（透明模式）有以下優(yōu)點(diǎn)：216。對(duì)于 VPN信息流，可使用目的地區(qū)段接口 IP 地址或其相關(guān) DIP 池的地址，或者通道接口 IP 地址或其相關(guān) DIP 池的地址，來(lái)執(zhí)行 NAT。信息的過(guò)濾處理需要進(jìn)行大量的查找工作，而且查找所基于的數(shù)據(jù)庫(kù)通常非常巨大而且不斷在被修改，因此不適于在防火墻內(nèi)部進(jìn)行數(shù)據(jù)庫(kù)的維護(hù)和查找。應(yīng)要求防火墻將內(nèi)容請(qǐng)求信息及時(shí)轉(zhuǎn)發(fā)給過(guò)濾服務(wù)器和應(yīng)用服務(wù)器，但對(duì)應(yīng)用服務(wù)器的響應(yīng)內(nèi)容做緩存，當(dāng)過(guò)濾服務(wù)器的判決結(jié)果被收到后立即對(duì)緩存內(nèi)容進(jìn)行轉(zhuǎn)發(fā)或丟棄。在實(shí)施的過(guò)程中，防火墻的流量算法可以精確控制帶寬分配：類(lèi)似于幀中繼技術(shù)中的帶寬管理功能，對(duì)特定的網(wǎng)絡(luò)服務(wù)設(shè)定最小網(wǎng)絡(luò)帶寬（最小是10K）和最大網(wǎng)絡(luò)帶寬；另外，通過(guò)設(shè)置8級(jí)隊(duì)列的優(yōu)先級(jí)，為不同的流量分配優(yōu)先權(quán)。通常，防火墻能夠防御不低于30種的目前較為流行的網(wǎng)絡(luò)攻擊。如：超時(shí)等待時(shí)間、最大半開(kāi)連接數(shù)、