【正文】 審計(jì)與整體監(jiān)控系統(tǒng)的配合網(wǎng)絡(luò)的安全監(jiān)控，應(yīng)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控和定期報(bào)告制度相結(jié)合。 安全問(wèn)題應(yīng)對(duì)流程事件響應(yīng)流程目前的網(wǎng)絡(luò)安全，已經(jīng)不僅僅是某一個(gè)網(wǎng)絡(luò)的內(nèi)部問(wèn)題，整體網(wǎng)絡(luò)相關(guān)性越來(lái)越明顯。 建立安全審計(jì)報(bào)告定期的安全審計(jì)報(bào)告不僅應(yīng)該形成一種制度，更應(yīng)該形成一種習(xí)慣。一般來(lái)講，用戶比較關(guān)心的是綜合排名靠前的信息，如前十名的攻擊者，前十名的被攻擊者，前十名的攻擊類型，等等。 日志存儲(chǔ)設(shè)備的日志信息需要存儲(chǔ)，某些關(guān)鍵的事關(guān)安全的信息更需要有能力進(jìn)行非易失性存儲(chǔ)，實(shí)施不會(huì)受系統(tǒng)掉電等突發(fā)事件的影響。防火墻能夠在一定程度上防范攻擊，但存在的攻擊必定對(duì)系統(tǒng)資源、網(wǎng)絡(luò)資源等產(chǎn)生消極影響。對(duì)于具有特定特征可以確認(rèn)的攻擊，如IP Spoofing/Land attack等，防火墻可以明確予以丟棄；對(duì)于需要“模糊”辨別的攻擊，如SYN flood/UDP flood等，防火墻有相應(yīng)的方式予以區(qū)別，阻擋大部分的攻擊。常見(jiàn)的安全基線有資源、攻擊、帶寬、session等?；谠O(shè)備本身的安全性、性能等方面的考慮，不建議要求防火墻提供豐富的日志再處理功能，而應(yīng)當(dāng)由專業(yè)的，安全設(shè)備之外的設(shè)備來(lái)完成。防火墻設(shè)備集成VPN功能是一個(gè)可取方案，防火墻應(yīng)當(dāng)支持從本身的VPN通道傳送日志信息。SNMP是常用的監(jiān)控協(xié)議，設(shè)備應(yīng)當(dāng)支持標(biāo)準(zhǔn)的MIB和私有的MIB。某些專門的工具集成了數(shù)據(jù)的收集/處理/報(bào)表等功能。對(duì)于外部存儲(chǔ)而言，網(wǎng)絡(luò)的可通性是另外一個(gè)不確定因素，因此建議設(shè)備支持多個(gè)Syslog server備份的方式。Syslog的局限性在于UDP協(xié)議，這種協(xié)議沒(méi)有重傳機(jī)制，很容易造成信息丟失。外部的日志存儲(chǔ)，常見(jiàn)的有syslog/SNMP等。常見(jiàn)的非易失性部件如Flash、硬盤。本地的日志存儲(chǔ)，一般有console顯示，內(nèi)存存儲(chǔ)，非易失性存儲(chǔ)等形式。防火墻的安全審計(jì)要與整個(gè)網(wǎng)絡(luò)系統(tǒng)相結(jié)合，才能做到定期安全事件的審計(jì)的高效性、準(zhǔn)確性和持續(xù)性。定期安全事件的審計(jì)要高效、準(zhǔn)確、持續(xù)安全審計(jì)工作是一個(gè)持久的工作，任何的疏忽就可能給整個(gè)網(wǎng)絡(luò)帶來(lái)安全隱患。大家所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對(duì)網(wǎng)絡(luò)造成了巨大損失。 突發(fā)安全事件的審計(jì)要及時(shí)216。因此，網(wǎng)絡(luò)安全系統(tǒng)管理員在進(jìn)行安全審計(jì)時(shí)要遵循以下原則。 日志審計(jì)及監(jiān)控 安全審計(jì)原則網(wǎng)絡(luò)安全的審計(jì)對(duì)于整個(gè)網(wǎng)絡(luò)的狀況、設(shè)備的運(yùn)行狀況和網(wǎng)絡(luò)故障及攻擊事件的追溯至關(guān)重要。這個(gè)時(shí)間一般在10分鐘左右。 口令管理管理員的口令，建議其最小長(zhǎng)度在8位以上，及具有一定的復(fù)雜性，強(qiáng)制合法用戶采用較難以被攻破的口令。這樣可以降低自動(dòng)登陸進(jìn)程的工作效率，使這種攻擊方式不可行。一般限制在3次。超過(guò)這個(gè)次數(shù)將斷開連接。一般這個(gè)時(shí)間在3分鐘左右。 連續(xù)認(rèn)證失敗時(shí)間當(dāng)用戶試圖多次登陸，要求在一定的總時(shí)間內(nèi)完成，如果超時(shí)將斷開連接。這個(gè)時(shí)間限制保證只有對(duì)賬號(hào)信息熟悉的用戶才能順利登陸。防火墻設(shè)備應(yīng)該支持多種認(rèn)證的靈活組合，并支持認(rèn)證服務(wù)器的備份功能。從用戶的角度來(lái)看，用戶的認(rèn)證模式主要采用通用的應(yīng)用程序或特殊的客戶端撥號(hào)軟件，比如：基于WEB方式的認(rèn)證、基于FTP方式的認(rèn)證、基于Telnet的認(rèn)證、和基于客戶端軟件方式的認(rèn)證。通常可采用Radius或 TACAS+的認(rèn)證的方式進(jìn)行集中的認(rèn)證和授權(quán)管理。 用戶參數(shù)管理 認(rèn)證模式認(rèn)證的模式有本地和外部?jī)煞N方式。l 在本公司每個(gè)IP網(wǎng)絡(luò)工程驗(yàn)收后，應(yīng)按照系統(tǒng)安全配置的規(guī)范要求，對(duì)所管理的工程中涉及的主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)的安全設(shè)置，作重新的審核和調(diào)整，例如，刪除系統(tǒng)的測(cè)試賬號(hào)，按安全管理辦法的要求對(duì)需要保留的賬號(hào)口令重新進(jìn)行設(shè)置等。安全審計(jì)員僅可以對(duì)日志進(jìn)行審計(jì)分析。l 維護(hù)涉及安全作業(yè)、安全事件處理、安全審查等各種安全工作的安全記錄文檔。l 在職權(quán)范圍內(nèi)，根據(jù)安全事件的處理情況和安全審查的結(jié)果，定期編制安全情況分析報(bào)告表上報(bào)安全管理機(jī)構(gòu)。l 對(duì)安全防范工作進(jìn)行定期審查，保證各項(xiàng)安全防范措施均得到落實(shí)。l 在職權(quán)范圍內(nèi)，根據(jù)安全需求，提出安全整改意見(jiàn)。安全操作員對(duì)設(shè)備擁有操作配置權(quán)。超級(jí)管理員的職責(zé)包括：l 負(fù)責(zé)本公司IP網(wǎng)絡(luò)安全管理員和安全審計(jì)員的選用和監(jiān)督，負(fù)責(zé)生成安全管理員和安全審計(jì)員的賬號(hào)及相應(yīng)權(quán)限，如安全審計(jì)員的權(quán)限應(yīng)是只讀，安全管理員可分配設(shè)備配置操作的權(quán)利。l 接受過(guò)網(wǎng)絡(luò)安全的相關(guān)培訓(xùn)，或已具備一定的網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)，能夠使用安全工具進(jìn)行安全的檢測(cè)和設(shè)置，熟悉常用的網(wǎng)絡(luò)攻擊手段和防范措施。各安全管理機(jī)構(gòu)選用的安全管理人員應(yīng)該具備以下條件：l 對(duì)所管系統(tǒng)的運(yùn)行維護(hù)人員具有足夠的調(diào)度權(quán)力。為明確分工及責(zé)任，各安全管理機(jī)構(gòu)所轄安全管理人員分為：超級(jí)管理員、安全管理員、安全審計(jì)員。 防火墻分級(jí)管理 管理員角色定義角色定義為有效的實(shí)施安全管理有必要建立完整的安全組織體系。然后將該策略的動(dòng)作部分由Permit改成Deny，并分析流量日志。所需刪除安全策略的驗(yàn)證在進(jìn)行策略刪除之前，首先需要進(jìn)行防火墻安全策略的備份。首先，在獲得充分網(wǎng)絡(luò)變更和應(yīng)用系統(tǒng)的調(diào)整的詳細(xì)信息之后，將該變化與現(xiàn)運(yùn)行的安全策略進(jìn)行比較分析。 所需刪除安全策略的驗(yàn)證216。 刪除安全策略流程防火墻安全策略的刪除需要遵循以下流程216。首先在新更改的策略中啟用流量日志，然后啟動(dòng)相應(yīng)的應(yīng)用，在防火墻的流量日志中查看該策略所記錄的流量信息。然后進(jìn)行策略的再次分析。備份之后，對(duì)需要修改的策略進(jìn)行在線更改，同時(shí)詳細(xì)比較和驗(yàn)證更改的內(nèi)容是否符合要求。經(jīng)過(guò)詳細(xì)的分析比較，確定所需要修改的策略的正確性和安全性。原有策略中往往一條策略中包含眾多的應(yīng)用控制，在這種情況下，需要將該策略進(jìn)行分解，將原有策略分解出來(lái)。首先應(yīng)用部門向防火墻維護(hù)部門提出申請(qǐng)，在申請(qǐng)中要提供詳細(xì)的應(yīng)用的更改信息，包括應(yīng)用系統(tǒng)主機(jī)地址，服務(wù)及帶寬的要求等。 實(shí)施過(guò)程歸檔所需更改策略的確定有時(shí)，需要對(duì)現(xiàn)有防火墻策略進(jìn)行更改來(lái)適應(yīng)新的網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用。 在防火墻系統(tǒng)上更改策略216。 所需更改策略的確定216。 更改安全策略流程更改防火墻安全策略同樣要遵循一定的流程來(lái)確保更改防火墻策略的安全性和正確性。同時(shí)，與應(yīng)用部門聯(lián)系，配合應(yīng)用部門對(duì)其新的應(yīng)用進(jìn)行驗(yàn)證。所添加策略的驗(yàn)證將新的策略添加之后，接下來(lái)需要對(duì)所添加的策略進(jìn)行驗(yàn)證。在防火墻系統(tǒng)上添加策略通過(guò)以上的充分分析，實(shí)際添加策略非常簡(jiǎn)單，按照前面的分析結(jié)果，將所需添加的安全策略部署到相應(yīng)的策略中。如果所需添加的策略與現(xiàn)有策略有沖突，要及時(shí)對(duì)策略進(jìn)行詳細(xì)分析。所添加策略與現(xiàn)有策略的合理性分析確定了所需要添加的策略后，要對(duì)現(xiàn)有防火墻的策略進(jìn)行合理性分析。由于防火墻的策略包含以下元素，源IP地址，目的IP地址，服務(wù)，帶寬的要求等。 所添加策略的驗(yàn)證216。 所添加策略與現(xiàn)有策略的合理性分析216。增添防火墻安全策略，大致可以通過(guò)以下流程來(lái)完成：216。 增添安全策略流程由于防火墻通常被部署在網(wǎng)絡(luò)的關(guān)鍵進(jìn)出口處，防火墻安全策略的變更直接影響網(wǎng)絡(luò)上的應(yīng)用。 安全策略流程管理安全策略的變更流程如下圖所示。許多統(tǒng)計(jì)資料都顯示，來(lái)自內(nèi)部的安全威脅和攻擊占安全事件的70％以上。 整個(gè)策略的實(shí)施和監(jiān)控是在動(dòng)態(tài)變化的，是一個(gè)循環(huán)的過(guò)程。 注意來(lái)自內(nèi)部的攻擊：216。 在對(duì)外接入路由器上，如果支持包過(guò)濾功能，則合理的利用；如果可以采用多級(jí)防火墻結(jié)構(gòu)，則采用；關(guān)鍵服務(wù)器的OS可以提供安全保護(hù)功能，則采用。 采用不同的設(shè)備完成不同的功能；216。 保證設(shè)備在使用上和網(wǎng)絡(luò)設(shè)計(jì)上簡(jiǎn)單有效。 根據(jù)上述網(wǎng)絡(luò)數(shù)據(jù)流向矩陣，制定相應(yīng)的安全策略和規(guī)則一個(gè)防火墻系統(tǒng)支持的網(wǎng)絡(luò)應(yīng)用協(xié)議的多樣性決定了其實(shí)施安全策略的完善性和精確性。 解決上述應(yīng)用安全問(wèn)題的手段，需要的開銷；216。 辨別重要的、必要的網(wǎng)絡(luò)應(yīng)用；216。在制定防火墻的安全應(yīng)用策略的時(shí)候， 首先要分析清楚系統(tǒng)面臨的安全風(fēng)險(xiǎn)，然后制定有效的策略。 對(duì)企業(yè)的整個(gè)防火墻系統(tǒng)的管理，最好要有集中的管理系統(tǒng)，可以在中心管理系統(tǒng)上，下推按照企業(yè)應(yīng)用策略來(lái)設(shè)置的防火墻相應(yīng)配置和升級(jí)軟件等等；216。 對(duì)于防火墻的訪問(wèn)認(rèn)證，要有集中的基于數(shù)據(jù)庫(kù)的管理；216。 保證防火墻的物理安全性；216。通信方式非轉(zhuǎn)換通信(Transfer)此類通信防火墻不做轉(zhuǎn)換，防火墻根據(jù)IP路由原理直接將其從特定防火區(qū)發(fā)送出去；此通信方式用于應(yīng)用系統(tǒng)必須通信源IP地址信息或通信雙方均使用注冊(cè)地址情況下；NAT將通信數(shù)據(jù)包中的源IP地址轉(zhuǎn)化為防火墻的NAT對(duì)象地址再轉(zhuǎn)發(fā)出防火墻，同樣，返回的數(shù)據(jù)包是直接針對(duì)防火墻的，由防火墻再將通信數(shù)據(jù)轉(zhuǎn)發(fā)到NAT前的源通信主機(jī)；NAT隱藏了真正的通信源主機(jī)信息，同時(shí)為使用保留IP的主機(jī)與internet主機(jī)通信提供支持，實(shí)現(xiàn)了IP地址復(fù)用；MAP此通信方式將外部對(duì)防火墻接口的訪問(wèn)轉(zhuǎn)發(fā)到內(nèi)部主機(jī)上；映射可以實(shí)現(xiàn)如下目標(biāo)：IP到IP的映射；端口到端口的映射；隧道隧道方式下，通信對(duì)象間的通信進(jìn)行了加密認(rèn)證封裝；隧道通信為一種機(jī)密通信，通信信息可以避免被監(jiān)聽(tīng)和篡改。因此，地址映射時(shí)必須說(shuō)明真正的機(jī)器，如果真正的機(jī)器是一臺(tái)機(jī)器，則用網(wǎng)絡(luò)節(jié)點(diǎn)說(shuō)明，如果真正的機(jī)器是多臺(tái)機(jī)器，則用對(duì)象組說(shuō)明，且對(duì)象組中的每個(gè)成員必須是網(wǎng)絡(luò)節(jié)點(diǎn)類型。這時(shí)，目的機(jī)器只是一個(gè)虛擬的機(jī)器，實(shí)際上是不存在的，當(dāng)源機(jī)器訪問(wèn)這個(gè)虛的目的機(jī)器時(shí)，防火墻必須將他重定向到真正的機(jī)器上。如果說(shuō)明了地址池，則防火墻每次進(jìn)行NAT時(shí)動(dòng)態(tài)地選擇地址池中的地址作為源地址，如果沒(méi)有說(shuō)明地址池，則防火墻使用自己某個(gè)端口的地址作為源地址。此時(shí)可以另外說(shuō)明一個(gè)地址池（可以是網(wǎng)絡(luò)節(jié)點(diǎn)或?qū)ο蠼M，如果是對(duì)象組，則組中的每個(gè)成員必須是子網(wǎng)類型的。通信方式有這幾種通信方式：① 普通的轉(zhuǎn)發(fā)：實(shí)際上就是正常的透明或路由通信方式。通信協(xié)議使用的協(xié)議，如TCP/UDP/ICMP等。通信策略的具體對(duì)象定義方式為：名字意義目的機(jī)器一個(gè)或多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、對(duì)象組，這些對(duì)象可以來(lái)自不同的區(qū)域。在防火墻中，訪問(wèn)策略控制通信是否允許進(jìn)行，通信策略控制通信如何進(jìn)行。地址轉(zhuǎn)換通信NAT將通信數(shù)據(jù)包中的源IP地址轉(zhuǎn)化為防火墻的NAT對(duì)象地址再轉(zhuǎn)發(fā)出防火墻，相反，返回的數(shù)據(jù)包也是直接針對(duì)防火墻，防火墻再將通信數(shù)據(jù)轉(zhuǎn)發(fā)到NAT前的源通信主機(jī)；NAT隱藏了真正的通信源主機(jī)信息，同時(shí)為使用保留IP的主機(jī)與Internet主機(jī)通信提供支持，實(shí)現(xiàn)了IP地址復(fù)用。所以，防火墻的通信策略必須要求安全性， 通信方式必須支持更加安全的技術(shù)，即：SSH，或者基于vpn隧道技術(shù)等等。以下是獨(dú)立于產(chǎn)品的、符合移動(dòng)業(yè)務(wù)的一般性防火墻安全策略（policy）的配置范例，僅供參考：Source地址Source端口Destination地址Destination端口行動(dòng)注釋1防火墻自身地址AnyAnyAnyDeny(禁止)阻止防火墻自身直接與任何一端相連接2AnyAny防火墻自身地址AnyDeny(禁止)組止任何外部到防火墻的直接連接（防火墻遠(yuǎn)程管理的連接已被默許）3公司內(nèi)部地址AnyAnyHTTPHTTPSAllow(允許)允許公司內(nèi)部地址對(duì)外部網(wǎng)站的訪問(wèn)4AnyAny公司外部電子郵件服務(wù)器地址SMTPAllow(允許)允許公司外部用戶發(fā)送電子郵件到公司電子郵件服務(wù)器5AnyAnyAnyAnyDeny(禁止)最后一條，禁止所有未被允許的連接 通信策略防火墻是整個(gè)安全系統(tǒng)中的關(guān)鍵部分，其通信策略的采用對(duì)防火墻自身的安全性非常重要。6 防火墻的管理與配置 安全策略配置基本策略配置請(qǐng)參見(jiàn)第五章《防火墻的功能要求》對(duì)用戶數(shù)據(jù)保護(hù)功能、識(shí)別與鑒別功能、保密功能、可信安全功能保護(hù)和安全審計(jì)功能部分。 站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員； 216。 由于硬件或軟件失效，或防火墻遭到“拒絕服務(wù)攻擊”，而導(dǎo)致用戶不能訪問(wèn)Internet，造成的整個(gè)機(jī)構(gòu)的損失； 216。 若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失； 216。下面是選擇一個(gè)防火墻時(shí)考慮的因素： 216。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。 選擇防火墻的考慮在選擇防火墻產(chǎn)品時(shí)，除了從以上的功能特點(diǎn)考慮之外，還應(yīng)該注意好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體安全造成影響。l 帶寬管理防火墻可以針對(duì)不同IP限制用戶的最高帶寬，這樣防止某些用戶常時(shí)間占用大量帶寬，而造成其它用戶帶寬下降。l 支持集中的安全網(wǎng)管原來(lái)很多防火墻只提供WEB方式的管理，不利于大規(guī)模部署。同時(shí)可以和防火墻的規(guī)則進(jìn)行聯(lián)動(dòng)，當(dāng)發(fā)現(xiàn)攻擊時(shí)，能阻止攻擊。l 支持多種入侵監(jiān)測(cè)功能防火墻集成一定程度的入侵檢測(cè)功能將成為一種趨勢(shì)。即防火墻是SSL協(xié)議的終結(jié)者。因此，把防火墻和VPN功能集成在同一臺(tái)設(shè)備中將是一種比較好的選擇。VPN將是未來(lái)保證網(wǎng)絡(luò)安全傳輸?shù)闹饕侄?。l VPN功能越來(lái)越多的防火墻支持帶有IPSec的VPN功能。 此外新型防火墻還在網(wǎng)絡(luò)診斷，數(shù)據(jù)備份等方面具有特色。l 審計(jì)和告警 新型防火墻產(chǎn)品的審計(jì)和告警功能十分健全，日志文件包括：一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站代理、FTP代理、出站代理、郵件服務(wù)器、域名服務(wù)器等。即使現(xiàn)在的網(wǎng)關(guān)型的病毒防火墻，也并不支持對(duì)所有協(xié)議類型的數(shù)據(jù)進(jìn)行過(guò)濾，而一般只支持三種協(xié)議SMTP、HTTP、FTP。還可以對(duì)郵件過(guò)濾，丟棄假來(lái)源地址的信件，可設(shè)定傳送信件的大小，可消除內(nèi)部信件傳遞路徑信息,避免內(nèi)部主機(jī)暴露給外界，提供Email