人工验证
在安全管理人员、防火墙管理员、网络架构设计师及直接关系到单位网络安全的管理和监控的其他人员以一种团队方式来验证防火墙时,人工验证将显得极为有效。
首要的一点是,规则库应当遵循单位的安全策略,因此笔者建议安全管理人员等应当到达规则检查现场。
在验证之前,规则库应当进行备份,以保证一旦更改防火墙之后如果出现任何的差错,便可以安装以前的规则库,并从出现问题的地方开始诊断。
在验证规则库时,要清除一些不需要的规则。要保证规则库的简易可行,符合最佳方法。如果有一条规则所有的人员都不清楚其来龙去脉,那就应当清除之。同样的规则适用于冗余规则。此外,还有一些规则可以组合到一起。
谈到最佳方法问题,笔者建议将任何的改变都存档,以备将来参考。规则的任何例外都应当备案,并要对这些例外加以解释。(这可成为未来审计的一个基准。)
最后一点,应当验证规则的正确顺序。规则顺序至关重要。多数防火墙按顺序检查数据包。在收到一个数据包时,对照第一条规则,然后是第二条、第三条,以此类推。在发现匹配某条规则时,检查就停止,规则就被运用。如果数据包遍历了每条规则而没有找到一条匹配,那么,这个数据包就会被阻止。(或者应当如此。防火墙的最后一条规则默认应当是一条丢弃或拒绝规则,但并非总是这样。)
理解下面这一点至关重要:匹配的第一条规则被运用到数据包,而不是最匹配的那条规则。基于这种理解,我们建议更特别的规则应当在前,更一般的规则应当置后。规则的这种安排可防止在匹配一条更特定的规则之前而“选中”更一般的规则,有助于防止防火墙的错误配置。
规则库的自动验证
有一些很容易得到的工具可以执行规则库的分析,它将规则库与一个标准进行匹配比较,如RAT(路由器审计工具)和Nipper。这些工具针对已知的漏洞运行规则库的每一条规则,然后提供一条报告,并建议如何更好地纠正这些发现的错误。
使用自动化的工具要比人工验证更为迅捷,作为一种额外的特性,它可以检查最新的防火墙补丁/更新是否已经安装。然而,自动化的工具也有其限制。限制之一就是其不能保证规则库遵循安全策略。在这种情况下,人工验证就显示出它的优势了。
创建自己的检查列表
管理员应当具备的最重要的一个工具是最新的系统检查列表。这种检查列表有助于决定自己的范围和检查及验证的过程。此过程的第一步应当确定一个遵循单位需要的良好信息源。
安全检查列表、单位策略与内部信任过程的整合必将造就良好的安全实践,从而形成有效的监管。
第一步是要确认与待审计系统相关的目标。一旦你确认了目标,就应当检查单位需要遵循的规范和标准。要诀是不要针对每一条标准实施审核,而是要创建一系列可保障安全系统的控制机制。构造一个安全系统,用户最终也就可保证遵循了任何规章制度。
有一些国际网站提供了大量的免费检查列表,CIS、SANS、NSA、NIST、DISA等,这对于帮助我们构造自己的防火墙审计架构是在大有裨益的。
全文总结
许多人断言,防火墙已死。笔者以为这绝非事实。事实是,防火墙正在发生变化,但它却是一个至关重要的安全设备。虽然RPC、HTTP等协议和p2p网络损害了防火墙的效力,但考虑到内部的通信,没有防火墙很难保证拥有一个安全的站点。没有防火墙很难满足一致性要求。没有防火墙的任何管理员简直是在玩火。所以我们说,防火墙的验证很重要。仅拥有一个防火墙是不够的,它必须能够发挥效力。这意味着安全人员和管理人员为此要进行审计和测试。
