安全设备-防火墙
防火墙是用来进行网络访问控制的主要手段。在《测评要求》中,有关身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范及可信验证的相关要求应当具体落实到防火墙的检查项中。本节将分为身份鉴别、访问控制、安全审计、入侵防范、可信验证五个方面描述检查过程中对防火墙的关注点。
控制点
1.
身份鉴别
为确保防火墙的安全,必须对防火墙的每个运维用户或与之相连的防火墙进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入防火墙,并在规定的权限范围内操作。
a)
安全要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
要求解读:安全起见,只有经过授权的合法用户才能访问防火墙。一般来说,用户登录防火墙的方式包括:通过浏览器以WEB方式登录、通过控制台端口以命令行方式登录、以SSH方式登录。为了方便用户,防火墙还提供了图形界面管理工具用于对设备进行维护和管理。无论采用哪种登录方式,都需要对用户身份进行鉴别。在防火墙中,不允许配置用户名相同的用户。同时,要防止多人共用一个账户,应实行分账户管理,为每名管理员设置单独的账户,以避免出现问题后无法及时追查的情况发生。为避免身份鉴别信息被冒用,应保证口令满足复杂度要求及定期更换要求。
检查方法
1. 以天融信防火墙为例,核查用户在登录时是否采用了身份鉴别措施。
-
通过浏览器以WEB方式登录。
打开IE浏览器,在地址栏中输入网络卫士防火墙的URL。按“Enter”键,进入网络卫士防火墙的登录界面,如下图所示,提示用户输入用户名和密码。
输入用户名和密码后,点击“登录”按钮,即可登录到网络卫士防火墙。登录后,用户就可通过WEB界面对网络卫士防火墙进行配置管理。
-
通过控制台端口以命令行方式登录。
通过控制台端口成功连接防火墙后,超级终端界面上会出现输入用户名的提示,如下图所示。
输入用户名后按“Enter”键,提示输入密码,如下图所示。
输入密码后按“Enter”键,即可登录网络卫士防火墙。登录后,可以使用命令行方式对网络卫士防火墙进行配置和管理。
-
以SSH方式登录。
下面以PuTTY为例介绍操作步骤。双击putty.exe程序,弹出的界面中,
在“Host Name(or IP Address)”文本框中输入网络卫士网络防火墙的IP地址,然后点击“Open”按钮,进入登录界面,如下图所示
在用户登录窗口根据提示用户输入用户名,输入用户名后按“Enter”键,提示输入密码,如下图所示。
输入密码后按“Enter”键,即可登录网络卫士防火墙。登录后,可以使用命令行方式对网络卫士防火墙进行配置和管理。
2. 核查防火墙管理员账户列表,测试用户身份标识是否具有唯一性,核查是否存在多人共用账户的情况。核查是否存在空口令用户。
3. 询问管理员对身份鉴别采取的具体措施,包括口令长度是否为8位及以上,口令是否由数字、大小写字母和特殊字符中的两种及以上组成,口令是否每季度至少更改一次。
期望结果
1. 防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别。
2. 用户身份标识具有唯一性,不存在多人共用账户的情况,不存在空口令用户。
3.口令长度为8位及以上,由数字、大小写字母和特殊字符中的两种及以上组成,口令每季度至少更改一次。
b)
安全要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。。
要求解读:对防火墙,可以通过配置结束会话、限制管理员的最大登录失败次数、设置网络连接超时自动退出等多种措施实现登录失败处理功能。例如,设置管理员最大登录失败次数,一旦该管理员的登录失败次数超过设定的数值,系统将对其进行登录锁定,从而防止非法用户通过暴力破解的方式登录防火墙。
检查方法
1. 应核查是否配置并启用了登录失败处理功能,以及是否配置并启用了非法登录达到一定次数后锁定账户的功能。
2. 核查是否配置并启用了远程登录连接超时自动退出的功能。
期望结果
以天融信防火墙为例,通过浏览器以WEB方式登录。
1)配置并启用了登录失败处理功能,以及非法登录达到一定次数后锁定账户的功能。
在登录界面输入防火墙管理员的用户名和口令,单击“登录”按钮,进入管理界面。在左侧导航栏中选择“系统管理”下的“配置”选项,激活“系统参数”标签页,如下图所示。
选中“高级属性”复选框,可以查看到“最大登录失败次数”设置框,如下图所示。
2)配置并启用了远程登录连接超时自动退出功能。
在登录界面输入防火墙管理员的用户名和口令,单击“登录”按钮,进入管理界面。在左侧导航栏中选择“系统管理”下的“配置”选项,激活“系统参数”标签页,如下图所示:
选中“高级属性”复选框,查看“WEBUI超时时间”的配置,如下图所示。
c)
安全要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
要求解读:为避免口令传输过程中被窃取,不应使用明文传送的Telnet、HTTP服务,而应当采用SSH、HTTPS等加密协议等方式进行交互式管理。
检查方法
询问系统管理员采用何种方式对防火墙进行远程管理。核查通过WEB界面进行的管理操作是否都已通过SSL协议加密处理。
期望结果
在通过WEB界面进行远程管理时,使用SSL协议进行加密处理。
d)
安全要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
要求解读:采用组合的鉴别技术对用户进行身份鉴定是防止身份欺骗的有效方法。在这里,两种或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
检查方法
以天融信防火墙为例,通过浏览器以WEB方式登录。
在登录界面输入防火墙管理员的用户名和口令,单击“登录”按钮,进入管理界面。在左侧导航栏中选择“用户认证”下的“用户管理”,激活“用户管理”标签页,如下图所示。
在界面右侧将显示用户列表信息,如下图所示。
如果需要对用户进行组合鉴别,可单击该用户条目右侧的“修改”按钮,查看该用户的认证方式(应为“本地口令+证书认证”或“外部口令+证书认证”)。例如,管理员希望对用户“doc”同时进行证书认证和外部服务器口令认证,可单击用户“doc”条目右侧的“修改”按钮,此时看到该用户的认证方式为“外部口令+证书认证”,如下图所示。
期望结果
用户的认证方式为“本地口令+证书认证”或“外部口令+证书认证”。