【正文】 終確定所需添加的策略和它在整個安全策略的位置。在防火墻系統(tǒng)上添加策略通過以上的充分分析，實際添加策略非常簡單，按照前面的分析結(jié)果，將所需添加的安全策略部署到相應(yīng)的策略中。需要說明的是，在添加和修改任何策略之前，需要對現(xiàn)有防火墻系統(tǒng)的配置進行備份，如果添加策略的過程中出現(xiàn)問題，可以將備份的配置及時上載到原有系統(tǒng)進行恢復(fù)。所添加策略的驗證將新的策略添加之后，接下來需要對所添加的策略進行驗證。首先在新添加的策略中啟用流量日志，啟動相應(yīng)的應(yīng)用，在防火墻的流量日志中查看該策略所記錄的流量信息。同時，與應(yīng)用部門聯(lián)系，配合應(yīng)用部門對其新的應(yīng)用進行驗證。通過對應(yīng)用的充分驗證之后，確定該新添加策略的合法性和正確性。 更改安全策略流程更改防火墻安全策略同樣要遵循一定的流程來確保更改防火墻策略的安全性和正確性。216。 所需更改策略的確定216。 所更改策略與現(xiàn)有策略的合理性分析216。 在防火墻系統(tǒng)上更改策略216。 所更改策略的驗證216。 實施過程歸檔所需更改策略的確定有時，需要對現(xiàn)有防火墻策略進行更改來適應(yīng)新的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用。比如由于應(yīng)用系統(tǒng)的變化，現(xiàn)有防火墻安全策略需要調(diào)整。首先應(yīng)用部門向防火墻維護部門提出申請，在申請中要提供詳細(xì)的應(yīng)用的更改信息，包括應(yīng)用系統(tǒng)主機地址，服務(wù)及帶寬的要求等。所更改策略與現(xiàn)有策略的合理性分析將所需要修改的策略與防火墻系統(tǒng)目前所使用的策略進行比較分析。原有策略中往往一條策略中包含眾多的應(yīng)用控制，在這種情況下，需要將該策略進行分解，將原有策略分解出來。之后，對比需要修改的策略，作出需要修改的部分。經(jīng)過詳細(xì)的分析比較，確定所需要修改的策略的正確性和安全性。在防火墻系統(tǒng)上更改策略在防火墻安全策略變更之前，需要進行防火墻安全策略的備份。備份之后，對需要修改的策略進行在線更改，同時詳細(xì)比較和驗證更改的內(nèi)容是否符合要求。如果在更改過程中出現(xiàn)問題，需要及時將備份的配置進行上載恢復(fù)系統(tǒng)。然后進行策略的再次分析。所更改策略的驗證將策略更改之后，接下來需要對所更改的策略進行驗證。首先在新更改的策略中啟用流量日志，然后啟動相應(yīng)的應(yīng)用，在防火墻的流量日志中查看該策略所記錄的流量信息。同時，與應(yīng)用部門聯(lián)系，配合應(yīng)用部門對其新的應(yīng)用進行驗證對應(yīng)用充分驗證之后，確定該策略更改的合理性和正確性。 刪除安全策略流程防火墻安全策略的刪除需要遵循以下流程216。 所需刪除安全策略的確定216。 所需刪除安全策略的驗證216。 實施過程歸檔所需刪除安全策略的確定防火墻管理員根據(jù)相關(guān)業(yè)務(wù)部門應(yīng)用的調(diào)整或網(wǎng)絡(luò)的調(diào)整，對現(xiàn)有防火墻安全策略進行及時的刪除來確保網(wǎng)絡(luò)的安全性。首先，在獲得充分網(wǎng)絡(luò)變更和應(yīng)用系統(tǒng)的調(diào)整的詳細(xì)信息之后，將該變化與現(xiàn)運行的安全策略進行比較分析。通常，防火墻的安全策略大多采用組元素的配置方式，單一策略代表了眾多的應(yīng)用策略，因此，針對該策略，防火墻管理員需要對現(xiàn)有策略進行分解，將所要刪除的策略分離出來，通過充分的分析比較，最終確定所要刪除的策略。所需刪除安全策略的驗證在進行策略刪除之前，首先需要進行防火墻安全策略的備份。然后將所確定和分離出來的策略啟用流量日志，通過對流量日志的分析，確定所刪除的策略的正確性。然后將該策略的動作部分由Permit改成Deny，并分析流量日志。同時對相關(guān)的應(yīng)用和網(wǎng)絡(luò)變化進行驗證，驗證之后，將該策略在防火墻的安全策略中永久刪除。 防火墻分級管理 管理員角色定義角色定義為有效的實施安全管理有必要建立完整的安全組織體系。信息系統(tǒng)安全管理組織體系應(yīng)采用統(tǒng)一組織、分級管理的方式，在集團公司成立信息系統(tǒng)安全管理機構(gòu),并在各個省公司及其下屬分公司主管數(shù)據(jù)網(wǎng)運行維護的部門設(shè)置相應(yīng)的信息系統(tǒng)安全管理機構(gòu)，負(fù)責(zé)本公司IP網(wǎng)絡(luò)的安全管理工作。為明確分工及責(zé)任，各安全管理機構(gòu)所轄安全管理人員分為：超級管理員、安全管理員、安全審計員。安全管理人員的選擇：安全管理人員(含超級管理員、安全管理員、安全審計員)由安全管理機構(gòu)在IP網(wǎng)的維護人員中選擇產(chǎn)生，安全管理人員的工作向安全管理機構(gòu)負(fù)責(zé)，并接受安全管理機構(gòu)的監(jiān)督。各安全管理機構(gòu)選用的安全管理人員應(yīng)該具備以下條件：l 對所管系統(tǒng)的運行維護人員具有足夠的調(diào)度權(quán)力。l 熟悉所管理網(wǎng)絡(luò)中采用的操作系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)服務(wù)。l 接受過網(wǎng)絡(luò)安全的相關(guān)培訓(xùn)，或已具備一定的網(wǎng)絡(luò)安全工作經(jīng)驗，能夠使用安全工具進行安全的檢測和設(shè)置，熟悉常用的網(wǎng)絡(luò)攻擊手段和防范措施。l 品質(zhì)可靠，責(zé)任心強，并且能夠長期穩(wěn)定工作。超級管理員的職責(zé)包括：l 負(fù)責(zé)本公司IP網(wǎng)絡(luò)安全管理員和安全審計員的選用和監(jiān)督，負(fù)責(zé)生成安全管理員和安全審計員的賬號及相應(yīng)權(quán)限，如安全審計員的權(quán)限應(yīng)是只讀，安全管理員可分配設(shè)備配置操作的權(quán)利。安全管理員的職責(zé)包括：l 負(fù)責(zé)職權(quán)范圍內(nèi)IP網(wǎng)絡(luò)安全防范工作的具體實施、安全配置操作和維護工作、以及相關(guān)網(wǎng)絡(luò)安全問題的處理。安全操作員對設(shè)備擁有操作配置權(quán)。l 配合安全管理機構(gòu)制訂或完善各項安全管理制度。l 在職權(quán)范圍內(nèi)，根據(jù)安全需求，提出安全整改意見。l 督導(dǎo)安全審計員、普通用戶與安全有關(guān)的工作，落實網(wǎng)絡(luò)安全維護作業(yè)計劃的執(zhí)行。l 對安全防范工作進行定期審查，保證各項安全防范措施均得到落實。l 按照網(wǎng)絡(luò)安全事件應(yīng)急處理流程的要求，負(fù)責(zé)網(wǎng)絡(luò)安全事件的處理和上報。l 在職權(quán)范圍內(nèi)，根據(jù)安全事件的處理情況和安全審查的結(jié)果，定期編制安全情況分析報告表上報安全管理機構(gòu)。l 配合安全管理機構(gòu)對安全工作的考核。l 維護涉及安全作業(yè)、安全事件處理、安全審查等各種安全工作的安全記錄文檔。安全審計員的職責(zé)包括：l 負(fù)責(zé)所管理主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全定期審查和維護工作。安全審計員僅可以對日志進行審計分析。l 當(dāng)所管理的主機系統(tǒng)及網(wǎng)絡(luò)設(shè)備發(fā)生安全問題時，必須及時向主管的安全管理員報告。l 在本公司每個IP網(wǎng)絡(luò)工程驗收后，應(yīng)按照系統(tǒng)安全配置的規(guī)范要求，對所管理的工程中涉及的主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)的安全設(shè)置，作重新的審核和調(diào)整，例如，刪除系統(tǒng)的測試賬號，按安全管理辦法的要求對需要保留的賬號口令重新進行設(shè)置等。l 負(fù)責(zé)維護所管理網(wǎng)絡(luò)資產(chǎn)的安全配置情況，當(dāng)發(fā)生變更時，應(yīng)通知主管的安全管理員，并把最新的有效配置報安全管理員備案。 用戶參數(shù)管理 認(rèn)證模式認(rèn)證的模式有本地和外部兩種方式。對于整體網(wǎng)絡(luò)來講，集中的外部認(rèn)證方式可以比較有效地節(jié)約管理成本，如果采用相應(yīng)的擴展標(biāo)準(zhǔn)，將管理用戶的權(quán)限等字段利用起來，造成安全權(quán)限分配失誤的幾率也小得多。通?？刹捎肦adius或 TACAS+的認(rèn)證的方式進行集中的認(rèn)證和授權(quán)管理。鑒于Radius方式的普遍性和靈活性，也可以考慮將LDAP/SecureID作為Radius服務(wù)的后臺數(shù)據(jù)。從用戶的角度來看，用戶的認(rèn)證模式主要采用通用的應(yīng)用程序或特殊的客戶端撥號軟件，比如：基于WEB方式的認(rèn)證、基于FTP方式的認(rèn)證、基于Telnet的認(rèn)證、和基于客戶端軟件方式的認(rèn)證。在基于WEB方式的認(rèn)證中，用戶在認(rèn)證沒有通過前，需要打開WEB頁面，輸入用戶名和密碼，通過Radius或 TACAS+的認(rèn)證后，獲得接通的授權(quán)，連接進網(wǎng)絡(luò)；基于客戶端軟件方式的認(rèn)證方式，采用特殊的客戶端撥號程序，在客戶端中輸入用戶名和密碼，通過Radius或TACAS+認(rèn)證通過后，獲得接通的授權(quán)，連接進網(wǎng)絡(luò)。防火墻設(shè)備應(yīng)該支持多種認(rèn)證的靈活組合，并支持認(rèn)證服務(wù)器的備份功能。 有效時間用戶試圖登陸設(shè)備時，認(rèn)證需要在一定的時間內(nèi)完成，如果超時將開始一個新的認(rèn)證過程。這個時間限制保證只有對賬號信息熟悉的用戶才能順利登陸。一般要求這個時間在1分鐘左右。 連續(xù)認(rèn)證失敗時間當(dāng)用戶試圖多次登陸，要求在一定的總時間內(nèi)完成，如果超時將斷開連接。這個時間限制保證只有對賬號信息熟悉的用戶才能順利登陸。一般這個時間在3分鐘左右。 連續(xù)認(rèn)證失敗次數(shù)當(dāng)用戶試圖多次登陸，需要限制其總的登陸次數(shù)。超過這個次數(shù)將斷開連接。這樣可以限制“猜”賬號的非法訪問企圖。一般限制在3次。 恢復(fù)時間一次錯誤的認(rèn)證后，需要間隔一定的時間才能出現(xiàn)新的登陸界面。這樣可以降低自動登陸進程的工作效率，使這種攻擊方式不可行。一般這個間隔在10秒左右。 口令管理管理員的口令，建議其最小長度在8位以上，及具有一定的復(fù)雜性，強制合法用戶采用較難以被攻破的口令。 閑置時間登陸成功的管理員，在沉默一定時間后系統(tǒng)將自動將其退出，以避免非法操作人員利用用戶長時間離開的機會進行操作，也可以釋放出相應(yīng)系統(tǒng)資源供后續(xù)登陸上來的管理員使用。這個時間一般在10分鐘左右。 并發(fā)用戶管理設(shè)備應(yīng)當(dāng)可以查看當(dāng)前登陸的用戶/登陸的方式/登陸IP地址信息。 日志審計及監(jiān)控 安全審計原則網(wǎng)絡(luò)安全的審計對于整個網(wǎng)絡(luò)的狀況、設(shè)備的運行狀況和網(wǎng)絡(luò)故障及攻擊事件的追溯至關(guān)重要。一旦網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，管理員要及時對問題和事件進行分析，確定出現(xiàn)了哪些問題，對目前哪些系統(tǒng)造成了影響，如何采取相應(yīng)的措施。因此，網(wǎng)絡(luò)安全系統(tǒng)管理員在進行安全審計時要遵循以下原則。216。 突發(fā)安全事件的審計要及時216。 定期安全事件的審計要高效、準(zhǔn)確、持續(xù)突發(fā)安全事件的審計要及時眾所周知，網(wǎng)絡(luò)安全事件層出不窮，任何人都無法預(yù)知即將發(fā)生的事件，因此，對于網(wǎng)絡(luò)突發(fā)事件的監(jiān)控和審計對于整個網(wǎng)絡(luò)的整體安全性舉足輕重。大家所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對網(wǎng)絡(luò)造成了巨大損失。如果網(wǎng)絡(luò)安全監(jiān)控及時，可以在類似網(wǎng)絡(luò)事件發(fā)生初期以最快的速度采取相關(guān)措施，減小事件對整個網(wǎng)絡(luò)造成的影響和損失。定期安全事件的審計要高效、準(zhǔn)確、持續(xù)安全審計工作是一個持久的工作，任何的疏忽就可能給整個網(wǎng)絡(luò)帶來安全隱患。同時，任何事件都不是孤立的，整個網(wǎng)絡(luò)安全系統(tǒng)包括路由器，交換機，主機系統(tǒng)，防火墻，以及入侵檢測系統(tǒng)都是相關(guān)連的。防火墻的安全審計要與整個網(wǎng)絡(luò)系統(tǒng)相結(jié)合，才能做到定期安全事件的審計的高效性、準(zhǔn)確性和持續(xù)性。 審計方法及過程 日志收集日志存儲方式包括本地/外部兩種方式。本地的日志存儲，一般有console顯示，內(nèi)存存儲，非易失性存儲等形式。Console顯示受其字符輸出速度的限制（一般為9600波特或稍高），只適合嚴(yán)重級別較高的日志類型；內(nèi)存存儲不受速度限制，但屬于易失性存儲，設(shè)備掉電會丟失數(shù)據(jù)，而且受內(nèi)存大小限制，只能作為臨時存儲，設(shè)備應(yīng)具備將這些數(shù)據(jù)另外保存的方法；非易失性存儲，適合對關(guān)鍵的日志類型如攻擊、管理、異常信息等的保存，便于出現(xiàn)問題時能夠保存必要的資料。常見的非易失性部件如Flash、硬盤。硬盤屬于易損性設(shè)備，成熟的防火墻設(shè)備一般不采用，即便設(shè)備中有硬盤，也不建議采納這種存儲形式，以免因小問題而導(dǎo)致系統(tǒng)運行不穩(wěn)定或故障。外部的日志存儲，常見的有syslog/SNMP等。Syslog標(biāo)準(zhǔn)適合存儲大量的信息。Syslog的局限性在于UDP協(xié)議，這種協(xié)議沒有重傳機制，很容易造成信息丟失。建議采用支持TCP方式（新的擴展標(biāo)準(zhǔn)）傳輸日志的設(shè)備。對于外部存儲而言，網(wǎng)絡(luò)的可通性是另外一個不確定因素，因此建議設(shè)備支持多個Syslog server備份的方式。Syslog 服務(wù)器一般只負(fù)責(zé)數(shù)據(jù)的收集，對數(shù)據(jù)的處理需要進一步的工具。某些專門的工具集成了數(shù)據(jù)的收集/處理/報表等功能。如果防火墻設(shè)備支持這些專用工具，可以簡化用戶的選擇和管理。SNMP是常用的監(jiān)控協(xié)議，設(shè)備應(yīng)當(dāng)支持標(biāo)準(zhǔn)的MIB和私有的MIB。對安全設(shè)備而言，日志的保密性也需要考慮。防火墻設(shè)備集成VPN功能是一個可取方案，防火墻應(yīng)當(dāng)支持從本身的VPN通道傳送日志信息。 日志分析對內(nèi)部存儲的日志信息，設(shè)備應(yīng)支持簡單的分析功能，例如按關(guān)鍵字查詢，按時間排序等?；谠O(shè)備本身的安全性、性能等方面的考慮，不建議要求防火墻提供豐富的日志再處理功能，而應(yīng)當(dāng)由專業(yè)的，安全設(shè)備之外的設(shè)備來完成。 建立安全基線對網(wǎng)絡(luò)流量行為，設(shè)備可以設(shè)定一定的安全基線，當(dāng)某一特定行為到達(dá)這一基線時，防火墻設(shè)備可以產(chǎn)生告警信息，提示用戶注意，并根據(jù)實際情況進行網(wǎng)絡(luò)配置、安全配置等的調(diào)整。常見的安全基線有資源、攻擊、帶寬、session等。 界定可疑活動對于異常的網(wǎng)絡(luò)行為，防火墻可以根據(jù)某些特征標(biāo)準(zhǔn)確定其是否為可疑的，甚至是確定的攻擊活動，繼而采取相應(yīng)的措施或提示管理員進行網(wǎng)絡(luò)調(diào)整。對于具有特定特征可以確認(rèn)的攻擊，如IP Spoofing/Land attack等，防火墻可以明確予以丟棄；對于需要“模糊”辨別的攻擊，如SYN flood/UDP flood等，防火墻有相應(yīng)的方式予以區(qū)別，阻擋大部分的攻擊。防火墻應(yīng)當(dāng)有啟用/禁止這些界定的能力，特別是對于“模糊”辨別的攻擊類型，防火墻可以修改各種參數(shù)的配置，以便根據(jù)網(wǎng)絡(luò)具體情況進行調(diào)節(jié)。防火墻能夠在一定程度上防范攻擊，但存在的攻擊必定對系統(tǒng)資源、網(wǎng)絡(luò)資源等產(chǎn)生消極影響。因此，一定要借助于防火墻發(fā)現(xiàn)攻擊，進而進行相關(guān)的必要的動作如升級操作系統(tǒng)等，徹底消除攻擊。 日志存儲設(shè)備的日志信息需要存儲，某些關(guān)鍵的事關(guān)安全的信息更需要有能力進行非易失性存儲，實施不會受系統(tǒng)掉電等突發(fā)事件的影響。 安全審計建議借助于專業(yè)的處理工具生成網(wǎng)絡(luò)安全審計報告。一般來講，用戶比較關(guān)心的是綜合排名靠前的信息，如前十名的攻擊者，前十名的被攻擊者，前十名的攻擊類型，等等。具體的數(shù)字當(dāng)然必不可少，而對同時管理很多網(wǎng)絡(luò)設(shè)備的管理員來說，圖形化的簡潔報告更能提高工作效率。 建立安全審計報告定期的安全審計報告不僅應(yīng)該形成一種制度，更應(yīng)該形成一種習(xí)慣。這樣的報告形成有周期性規(guī)律，可以有效地發(fā)現(xiàn)問題，利于及時解決問題。 安全問題應(yīng)對流程事件響應(yīng)流程目前的網(wǎng)絡(luò)安全，已經(jīng)不僅僅是某一個網(wǎng)絡(luò)的內(nèi)部問題，整體網(wǎng)絡(luò)相關(guān)性越來越明顯。因此，網(wǎng)絡(luò)的安全問題，既要微觀看局部，根據(jù)網(wǎng)絡(luò)上發(fā)生的事件，調(diào)節(jié)具體的某些相關(guān)設(shè)備的配置；又要宏觀看全局，從整體網(wǎng)絡(luò)設(shè)計上達(dá)到安全要求。 審計與整體監(jiān)控系統(tǒng)的配合網(wǎng)絡(luò)的安全監(jiān)控，應(yīng)實現(xiàn)實時監(jiān)控和定期報告制度相結(jié)合。對重要的網(wǎng)絡(luò)資源使用情況如CPU/內(nèi)存/session等，重大的攻擊發(fā)生情況如大規(guī)模的網(wǎng)絡(luò)攻擊/嚴(yán)重的系統(tǒng)故障等要做到設(shè)備實時報警