安全设备-防火墙
控制点
4.
入侵防范
网络访问控制在网络安全中起大门警卫的作用,负责对进出网络的数据进行规则匹配,是网络安全的第一道闸门。然而,网络访问控制有一定的局限性,它只能对进出网络的数据进行分析,对网络内部发生的事件则无能为力。如果设备自身存在多余的组件和应用程序、默认共享、高危端口、安全漏洞等,就会为病毒、黑客入侵提供机会,因此,还需要加强设备自身的安全防护。
a)
安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。
要求解读:遵循最小安装的原则,仅安装需要的组件和应用程序,能够大大降低防火墙遭受攻击的可能性。及时更新系统补丁,以避免遭受系统漏洞给防火墙带来的风险。
检查方法
此项不适用,此项一般在服务器上实现。
b)
安全要求:应关闭不需要的系统服务、默认共享和高危端口。
要求解读:关闭不需要的系统服务、默认共享和高危端口,可以有效降低系统遭受攻击的可能性。
检查方法
此项不适用。
c)
安全要求:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
要求解读:为了保证安全,避免未授权的访问,需要对远程管理防火墙的登录地址进行限制(可以是特定的IP地址,也可以是子网地址、地址范围或地址组)。
检查方法
如果网络中部署了堡垒机,则应先核查堡垒机是否限制了终端的接入范围。如果网络中没有部署堡垒机,则应登录设备进行核查。
以天融信防火墙为例,在登录界面输入防火墙管理员的用户名和密码后,单击“登录”按钮,进入管理界面。在左侧导航栏中选择“系统管理”下的“配置”选项,激活“开放服务”标签页,如下图所示。
在页面右侧,应存在名称为“webui”,“ssh”或“telnet”的服务规则。例如,只允许管理员使用IP地址为“192.168.83.234”的主机登录防火墙,并且该主机连接在area_eth0区域内,应该配置的服务规则如下图所示:
“控制地址”一列显示为“doc_server”,这是配置完成的主机地址资源名称,定义了主机地址“192.168.83.234”。可以通过单击左侧导航栏中“资源管理”下的“地址”选项来激活“主机”标签页,查看主机资源名称和实际地址的对应关系,如下图所示:
期望结果
堡垒机限制了终端的接入范围,或者在设备本地设置访问控制列表以限制终端接入范围。
d)
安全要求:应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
要求解读:应用系统应对数据的有效性进行验证,主要验证那些通过人机接口(例如程序的界面)或通信接口输入的数据格式或长度是否符合系统设定,以防止个别用户输入畸形的数据导致系统出错(例如SQL注入攻击等),进而影响系统的正常使用甚至危害系统的安全。
检查方法
此项不适用。此项一般在应用层面进行核查。
e)
安全要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
要求解读:应对系统进行漏洞扫描,及时发现系统中存在的已知漏洞,并在经过充分的测试和评估后更新系统补丁,避免由系统漏洞带来的风险。
检查方法
1. 进行漏洞扫描,核查是否存在高风险漏洞(应为不存在)。
2. 访谈系统管理员,核查是否在经过充分的测试和评估后及时修补了漏洞。
期望结果
管理员定期进行漏洞扫描。如果发现漏洞,则已在经过充分的测试和评估后及时修补漏洞。
f)
安全要求:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
要求解读:要想维护系统安全,必须进行主动监视。通常可以在网络边界、核心等重要节点处部署IDS、IPS等系统,或者在防火墙、UTM处启用入侵检测功能,以检查是否发生了入侵和攻击。
检查方法
1. 核查防火墙是否有入侵检测功能,查看入侵检测功能是否已正确启用。
2. 核查在发生严重入侵事件时是否能进行报警,报警方式一般包括短信、邮件等。
期望结果
1. 防火墙已启用入侵检测功能。
2. 在发生严重入侵事件时能通过短信、邮件等方式报警。