防火牆自我檢查表

)

　

前言

    防火牆的使用安裝、部署與管理，其實是一項需要專業的工作，不僅由於產品的多元與功能的差異，其複雜度也來自於防火牆的部署其實已經超越技術層次之上，是屬於資訊管理營運面的問題.

    從商用的防火牆產品到各類開放性原始碼（open source）應用的防火牆工具，防火牆的種類繁多，管理與設定的方式各有特色，因此一份涵蓋所有產品與檢查內容的檢查表，殊屬一個繁複的工程。以下僅以安全控管的角度製作自我評估的程序，目的僅在於提供所有連上網際網路的組織，安全管理人員可藉由本自我檢查表，於購置、安裝、運作以及管理防火牆時，可以有一個參考的依據。此外防火牆之安全與路由器（Routers）之安全與管理有相當大的連動關係，因此在注意防火牆之安控時，不可忘記路由器的重要性，惟此處並不針對路由器的安控評估進行說明。

    除此之外，防火牆也不是一個萬能的資訊安全強化工具， 理由如下：

1.    缺乏良善的管理，防火牆將無法發揮預期效益。

2.    對外連線防火牆不能保護不經過它所控管的網路連線， 因此防火牆通常保護不到數據機撥接連線。

3.    對外連線防火牆無法防範內部的破壞者。

4.    防火牆保護不到安全政策開放的服務（Data Equivalent）。

5.    防火牆對病毒防治或分散式阻斷攻擊（Distributed Denial of Services）之防禦不一定有效。

6.    防火牆的功能評比非透過獎金懸賞可決定，而是有一定的安全產品評估標準可以依循。

 本自我檢查表分為下列項目：
 A. 防火牆的購置之評估

   1. 欲購置防火牆的類型：

• 1. 管控路由方式的防火牆（包括screening與filtering的路由設備）。
  2. IP封包過濾式防火牆（IP Packet Filter）。
  3. 網路應用閘道式防火牆（Application Gateway）。
  4. 兼具上述兩種功能之防火牆。
  5. 硬體防火牆。
  6. 軟體防火牆（購置防火牆軟體，自行架構於作業系統平台之上）。
  7. 防火牆方案（供應商提供整組解決方案）。
  8. 防火牆方案建置時，供應商已先將防火牆之作業系統針對安全弱點補強，並將系統之設定調整符合安全原則。
  9. 單純的NAT（網路位址轉換）機制，與防火牆並不相同 

2. 防火牆硬體規格

a.    CPU的速度／時脈（MHz）

b.    硬碟的儲存空間（MB）

c.    記憶體（MB）

d.    支援的介面（例如 Ethernet， Token Ring， FDDI 等） 

3. 防火牆的效能與標準

a.    對外連線的頻寬所需的防火牆套數

b.    是否使用負載平衡 （load balancing）

c.    是否使用評寬管理設備

d.    防火牆是否需具備支援不同認證之功能，例如：SecurID、S/Key或Single sign-on

e.    防火牆是否需運作於不同類型之作業系統平台

4. 防火牆是否具備阻絕某些網路攻擊破壞的功能，例如：Node Spoofing、TCP SYN預測、Session Hijacking、Source Routing、DNS、ICMP 攻擊

5. 某些防火牆有先天之漏洞，當防火牆系統開機啟動，到載入防火牆過濾政策（規則）時，外部可略過防火牆之規則控管，進入內部網路，請確認防火牆無此種漏洞。

6. 當停電而導致防火牆無法運作時， 防火牆應具有中斷所有的對內對外連線之功能。

  7. 供應商是否提供適當之訓練，使內部員工有防火牆初步障礙排除能力。

  8. 防火牆是否需具備支援保護遠端撥接服務的能力。

  9.  防火牆是否需具備支援實施虛擬私有網路（VPN）之能力。

   10. 防火牆是否支援使用負載平衡之功能。

   11. 所有遭防火牆阻斷連線之連線，是否需具備留下稽核軌跡之功能。

   12. 防火牆是否需提供統計使用情形或入侵嚐試的相關功能。

   13. 防火牆是否需具備將稽核檔案自動儲存於遠端電腦系統之功能。

   14. 防火牆產生之報表是否需具備不同查詢方式之能力。

   15. 防火牆是否需具備管理介面程式。

   16. 防火牆是否需具備遠端管理能力。

   17. 防火牆是否需具備不同網路協定封包之過濾能力， 例如：FTP、HTTP、IPX、MIME、RPCs、SNMP、SMTP、TELNET、UDP。 

B.   防火牆之部署

  1.  選擇防火牆之拓樸，包括下列部署方式：

圖一. 邊界式防火牆

圖二. 非信任區主機型 

 圖三. 具備非武裝區型

圖四. 雙防火牆型 

  2.  使用防火牆所需考慮之教育訓練需求

1. TCP/IP 協定，服務與路由機制
2. 網路結構
3. 防火牆硬體須知
4. 防火牆軟體須知，包含作業系統平台
5. 防火牆軟體設定
6. 網路安全
7. 網路監控知識
8. 系統管理技術：安裝、維護、備份與復原、系統安全、稽核 記錄與監控 

     3. 部署防火牆之評估

1. 安裝防火牆作業系統平台時， 應只需安裝必要的原件 （最小安裝原則）

2. 安裝所有必要的漏洞補強程式

3. 限制使用者與主機取存防火牆，僅防火牆管理員與管理主機可取存

4. 關閉防火牆作業平台之I.P轉送功能 （I.P forwarding）

5. 製作防火牆檔案備份

6. 取得防火牆對內外連線網路界面的位址

7. 設定路由資訊 （I.P routing configuration）

8. 設定封包過濾之政策（規則）
   l一般包括: 來源位址/目的位址/協定別/服務埠/目標埠/封包長度/連線狀態等資訊

9. 製作過濾規則之書面文件

10. 安裝防火牆測試環境與規則

11. 測試防火牆規則之有效性

12. 設定稽核軌跡（logging）之環境

13. 設定警告機制（alert mechanism）

14. 製作或使用稽核分析工具，分析稽核軌跡

15. 製作防火牆測試計劃

16. 取得測試工具， 例如
    l網路流量產生工具
    l網路監控工具
    l服務埠掃描工具
    l漏洞掃描工具
    l入侵偵測系統

17. 驗證防火牆測試環境

18. 驗證防火牆上線環境

19. 驗證防火牆稽核軌跡

20. 進行弱點掃描

21. 準備防火牆上線

22. 設計防火牆持續監控計劃

23. 如有防火牆更換之需求， 應針對相關之設定進行移轉規劃

24. 防火牆移轉時若造成暫時性之連線中斷，需通知使用者 

C. 防火牆之營運管理

防火牆之作業程序

1. 1. 防火牆之實體安全管理準則
   2. 防火牆邏輯安全準則
   3. 是否有防火牆之標準安裝程序
   4. 是否有防火牆設定之變更管理程序
   5. 是否有防火牆使用權限之申請與覆核程序
   6. 是否有防火牆安控與稽核檢查程序
   7. 是否有防火牆測試程序

D. 防火牆安全控制要項

•  防火牆所在之網際網路資訊

1. 製作明確之網路拓樸（Topology）圖，並將關鍵的路由設備以及防火牆機制標示於上。

2. 針對網路拓樸中，與外部連線之區域，以及內部的特定的安全區域（Secure Area，如研發單位等）之網路連線是否考慮架設防火牆機制？

3. 經定義為需保全之網段，是否有提供數據機之撥接連線，不經防火牆之控管？如果有，有何特別之保護機制？

4. 貴單位是否已將防火牆機制之相關軟硬體設備已列入資訊資產之清冊，記錄並更新其技術支援，版本更新與維護等聯繫資訊與方法？ 

• 防火牆系統

1.  網路安全管理單位是否定期針對防火牆與系統資訊定期檢視？

1)     防火牆所在系統平台之弱點補強。

2)     防火牆本身之弱點補強。

3)     防火牆系統管理員之密碼管理。

4)     如防火牆開放認證機制（Authentication），是否定期評估所發放ID與密碼之必要性，以及密碼相關之異動管理。

5)     防火牆設定檔案備分之確認。

2.         定期評估防火牆各項設定是否有變更之需要。

3.         防火牆之供應商是否定期提供各項強化，測試與升級之資訊與補強程式之下載，或是貴單位已有防火牆維護之合約中包含這些項目？

4.          防火牆之預設密碼是否已適當變更，防火牆所在之作業系統平台之密碼是否已變更？密碼之管理是否符合資訊安全政策之規定？例如：九十天變更一次密碼，至少8位元長度等。

5.         當委外廠商或相關管理員工職務調動或離職時，相關的權限與設定變動以避免不適當或未經授權之取存。

6.         如果委外廠商進行維修或問題解決（trouble shooting）時，使用後之密碼應進行變更。

7.         是否定期檢視防火牆稽核檔案與網路位址轉換（NAT）檔之大小，並定期備份並清除，以避免檔案不斷成長，最終導致防火牆停止運作。

8.         防火牆之安全政策（規則）與設定檔案是否定期備份，並瞭解測試之有效。

9.         以上的相關備份，是否存放於安全之處所？

10.     對外提供網路服務之主機是否置於非武裝區（DMZ）？

11.     儲存有機密或客戶資料之資料庫主機是否置於內部網路， 其與對外主機之連線是否經由防火牆適當設定之？

12.     如防火牆政策之修改可經由入侵偵測系統啟動，則入侵偵測系統之管理權限應適當管制。

13.     防火牆所在之作業平台若設有開機時自動執行命令（例如：Unix的cron，NT下之at命令），應定期確認自動執行命令之適當性，並確認其未遭竄改。

14.     防火牆是否搭配電腦病毒之掃描程式，以避免如果開放之網路服務中，由外界傳送包含病毒之程式。

15.     防火牆所在之作業平台是否與其它主機設定任何信任關係（trust relationship）？

16.     保護防火牆系統中各檔案之真確性，否則一旦防火牆系統遭竄改將無法發覺。

17.     防火牆是否適用不斷電系統，以延續停電時使用之時間？ 

• 防火牆之實體安全

1. 防火牆的實體取存是否控管？

2.    防火牆設備是否置於安全處，防止未經授權人員接近？

3.    防火牆之設定是否備份？

4.    防火牆管理系統之主控台是否使用鎖定保護（如螢幕保護程式）？

5.    是否使用防火牆備援機制，防止單一防火牆失效？ 

E. 防火牆之安全政策（規則）

1.    防火牆安全政策之異動情況與單位營運之連線需求具一致性。

2.    只允許經授權的人員於特定的位址或系統經由連線進行防火牆遠端管理，由於防火牆本身均會開放特定之管理埠，供連線管理之用，因此防火牆安全政策（規則）中，需針對遠端防火牆管理的連線進行控管。

3.    如果使用遠端連線管理防火牆，是否使用強認證機制 （Strong Authentication）。

4.    注意防火牆政策異動時，規則最後一項通常是鎖定所有其它未經許可的網路服務與網路位址連線，因此需覆核是否於修正網路安全政策時遭蓄意或不經意之刪除。

5.    防火牆開放之網路服務，是否與資訊安全政策一致或相符？（此部份可參考rfc-2196對於網路服務之管制，例如： fingerd，tftpd，ping，echo等服務一般都不開放。）

6.    注意防火牆政策（規則）設定之順序，如果規則設定順序不對，將無法產生預定之控管效果。

7.    防火牆政策（規則）所阻絕之項目，應適當開啟稽核軌跡記錄之功能

8.    防火牆開放之網路服務，其服務主機之系統漏洞乃防火牆所不能預防，應定期針對防火牆政策下可對外開放服務之各項主機，定期稽核其安全相關設定與風險。

9.    如有委外管理路由設備（routers），應適當評估防火牆政策針對委外之管理需要。

10.  防火牆之非武裝區中，常裝置有對外服務之網路主機，惟其雖對外服務，若有部分安全政策設定不良，將會導致網路安全的破壞，例如：

1. 啟動SNMPD？標準的通訊埠是161。（如果使用Check Point Firewall–1 Standard，其161埠不被佔用，將使用260 埠。）

• 使用預設的SNMP密碼。
• 未關閉網域名稱查詢服務之TCP埠。
• 開放電子郵件，但SMTP主機設定不當或軟體具弱點。
• 允許NFS網路服務通過，但未加限制來源或目的位址。
• 安裝遠端傳輸或管理程式於防火牆系統，如 PC:anywhere等。
  1.  

  F. 防火牆稽核軌跡之檢視與分析

  1. 針對防火牆各項連線進行分析與評估，包含異常的連線、遭拒絕之連線、潛在網路掃描活動的分析、連線來源位址、認證人員簽入之活動分析等。

  2. 針對內部防火牆之佈建，應分析其稽核軌跡，確認無可疑之連繫企圖（應只有經核准之內部連線存在）。