企业及组织为确保内部网络及系统的安全,均纷纷建置不同层次的信息安全解决机制,而防火墙 (Firewall) 就是各企业及组织在建置资安控管解决方案当中最常被优先考量的安全控管机制。根据可靠的统计数据显示,几乎有 90% 甚至以上的企业组织均有建置防火墙。由于防火墙往往扮演的是为企业及组织网络安全把关的第一道防线,在考虑防火墙的安全管理时不可不慎。
防火墙发展至今,技术已相当成熟同时其概念亦为信息人员所了解。一般而言,所有进出企业的网络封包皆必须经过防火墙,由防火墙对于所有通过防火墙接口的封包提供基本的 permit/deny 动作。不过科技发展至今,虽然 Internet 所提供附加服务的增加(例如:Web、Audio、Video、VoIP 以及 Java/ActiveX),防火墙的角色并没有改变,只是防火墙的运作参数之复杂程度也相对提高。一般在讨论防火墙,也大都从防火墙的功能、特性及建置来作探讨,然而,除了这些技术层面的问题之外,在下列文章中,我们将从另一管理角度来看防火墙,当企业或组织大部分都已经建置了防火墙之后,接下来要如何更进一步做好管理工作,以强固防火墙整体的安全控管机能。
防火墙管理的重要性
在进入到防火墙的管理主题时,不妨先就防火墙的功能面,对防火墙运作功能及其限制作一简单陈述。
防火墙可以做什么?
防火墙可以集中控管所有通过与防火墙连接网络区段之网络交通 (network traffic)。
透过安全政策的制定,防火墙可以强制执行对于通过防火墙各网络区段交通 (traffic) 的安全政策。
防火墙提供纪录 (log) 网络交通 (network traffic) 信息的中央控制点。
防火墙无法做什么?
防火墙无法控管未通过这个防火墙的网络交通。
防火墙只能控管 TCP/IP 网络交通,例如:防火墙并不支持 SNA。
防火墙无法防止内部未经授权,恶意破坏的使用者。
事实上现今市面上恐怕没有任何一种防火墙系统厂商敢夸言,其产品可以提供百分之百的安全保障。新的网络威胁不断被发现,而防火墙系统的厂商亦需时时研制新的修正程序以解决问题。然而,对防火墙管理及维护的正确态度和定期的安全检核将有助于降低防火墙的安全风险。防火墙的管理者及其管理动作将直接影响防火墙安全程度的高低,过多防火墙管理者或不适当的管理行为都将引发防火墙浅在的威胁及暴露防火墙的弱点。而强化防火墙安全功能的做法,除了选择一个功能完整、适合企业及组织的防火墙产品之外,更重要的,是建置防火墙所需特别注意的安全问题以及防火墙建置完成之后的管理工作。
防火墙安全管理建议
接下来,我们将从防火墙的功能及技术,针对防火墙的建置以及安全管理提出下列建议:
关于防火墙的实作建议:
最少的特权 (Least privilege)- 减少因为职务或特权影响开放防火墙的限制条件,并将防火墙规则的预设限制动作设为 "deny",也就是任何未经特别允许的联机一律禁止。
彻底防御 (Defense in depth)- 防火墙过滤规则尽可能使用多个限制规则取代单一限制条件。
最少信息 (Minimal information)- 勿将跟企业组织或网络上定有关的信息暴露出来。
KISS (Keep It Short and Simple) - 复杂的配置设定容易造成错误并因此导致安全的漏洞,因此,让 firewall 的设定及配置尽可能的简单化。
防火墙系统只能控制有经过防火墙的网络联机,因此,防火墙应该必须为连上 Internet 的唯一网关 (gateway)。
防火墙硬件的安全配置建议:
将防火墙管理主控台分开-目前许多厂牌防火墙系统皆提供从远程透过另一平台管理 firewall 的能力,未来如有 firewall 增加的需要,也可以将 firewall 的管理工作集中控管。
防火墙实体放置地区-建议应当将 firewall 放置于安全环境的实体位置,也就是一天24小时有专人操作控管的环境。
防火墙配置建议:
身分确认及认证 (Identification and Authentication)
使用支持对于认证信息加密的任证机制来限制使用者使用存取 Internet 的服务。
配置 firewall 成可以显示某标题以便提醒使用者在存取服务之前必须先对 firewall 作他们身份的确认。例如:
" This system is for XX Company authorized user only. "
" Unauthorized users may be prosecuted."
机密性 (Confidentiality) - 强烈建议任何对于 firewall 的远程管理都必须透过加密的管道。
完整性 (Integrity) - 为维护系统的完整性,安装 firewall 机器的操作系统必须针对安全设定作进一步的强化安全性处理。
可用性 (Availability)
在完成 firewall 系统的安装及测试之后,建立一份完整的系统备份并将它存放在安全的地方。
安装新版本操作系统或防火墙系统软件,或实行维护时,防火墙系统应该终止所有的网络连结,在经完整测试确定没问题之后再恢复网络连结。
获得以及安装防火墙相关的修正程序 (Fix)。
稽核 (Audit):
Firewall 系统上具有安全性考量的机密事件必须要进行追踪 (trace),设定操作系统上的稽核功能来追踪对于操作系统以及 firewall 软件档案具有写 (write) 或执行 (execute) 的动作。
开启 firewall 系统上的纪录功能,对于被拒绝动作的稽核要以较详细的格式纪录,对于允许动作的稽核则可以以较短的格式纪录。如果纪录的数量太大量而影响正常运作时,可以选择几个规则将它们的纪录功能关闭。
防火墙系统的管理建议:
身分确认及认证 (Identification and Authentication):
系统管理者必须选择一个在其它所使用的系统上所未曾使用的密码。
每位使用者在同一系统上必须要有各自不同的帐号,不可互相共享帐号。
登录的帐号及密码不可在 LAN 或 WAN 上以明文传送。
权限管理(Privilege management):
指定给防火墙管理者不超过所需权限的帐号,例如:给没有编辑防火墙安全政策权限管理者只有 "read" 权限的帐号。
在防火墙系统上尽量不要有使用者帐号存在,最好只有系统管理者可以有帐号在防火墙系统上,End user 不允许存取防火墙系统。
防火墙安全政策 (security policy)管理:
防火墙系统的所有配置更动均需以文件记载,文件中变更的纪录要有谁在何时对防火墙做了什么变更。
再对防火墙的安全政策有变更之后,必须对防火墙作测试以却定变更可以如预期的执行。
在任何配置变更之后,对防火墙系统作备份并且储存在安全的地方。
防火墙纪录及警讯管理
系统应该将系统的稽核纪录送至一集中稽核汇整系统,防火墙的纪录档案必须保存归档在另一系统上而不是保存在防火墙本身系统上,并且应该存盘至少一年以上。
将防火墙系统的警讯机制设定成将警讯传送至真正做监控的管理工作站,至少防火墙应该透过 email 传送给防火墙管理者。基于管理技术考量,防火墙应该将警讯透过 SNMP trap 传送至网络监控工作站。
如果防火墙上设定成具有提供 SNMP 功能,必须确定有加以限制成只有内部网络的适当管理工作站才能存取。
测试防火墙
再变更或维护之后,必须对防火墙做完整的测试。测试是否你所希望允许的网络联机真的被允许通过,测试是否其它的网络联机如期望的被拒绝 (rejected) 或丢弃 (dropped),检查对于所有的变更,纪录及警讯功能是否可以正常运作。
结论
在今日分布式及开放的网络环境中,信息安全的考虑变得复杂而难以掌控,信息安全已是企业及组织必须面对及重视的重要课题,然而,完整的信息安全规划应该着重在管理层面,而不仅是单纯的信息安全产品的建置。一个完整的安全规划将会较各个安全产品的选择重要;信息安全的管理策略将比产品功能重要,故寻求建置前全面的安全规划,建置后完整且持续的管理才是最有安全效率的作法。