防火墻是現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)體系的關(guān)鍵性組成部分，為入站、出站的網(wǎng)絡(luò)流量充當(dāng)把關(guān)員，已經(jīng)在企業(yè)網(wǎng)絡(luò)中大量應(yīng)用。然而，很多組織卻忽視了非常重要的一點(diǎn)：防火墻系統(tǒng)只有在正確的策略配置并不斷運(yùn)營優(yōu)化的前提下，才能有效應(yīng)對不斷變化發(fā)展的新威脅。否則就會形同虛設(shè)，為攻擊者非法訪問網(wǎng)絡(luò)創(chuàng)造了可乘之機(jī)。但事實(shí)上，在很多大型企業(yè)組織中，由于防火墻設(shè)備的類型和數(shù)量眾多，想要準(zhǔn)確了解所有防火墻的工作狀態(tài)并保持監(jiān)控并不容易，這時(shí)候防火墻運(yùn)營審計(jì)就有了用武之處。

對防火墻進(jìn)行運(yùn)營審計(jì)會涉及多個(gè)方面和步驟，可以幫助組織更深入了解所有防火墻設(shè)備的運(yùn)行狀態(tài)和實(shí)際工作效率。同時(shí)，開展防火墻運(yùn)營審計(jì)還可以確保企業(yè)遵守網(wǎng)絡(luò)安全相關(guān)的法律要求，幫助安全團(tuán)隊(duì)從容應(yīng)對監(jiān)管部門的各種檢查。

本文梳理總結(jié)了開展防火墻運(yùn)營審計(jì)的六個(gè)重要步驟，企業(yè)可以在此基礎(chǔ)上，結(jié)合實(shí)際防護(hù)需求增加額外的檢測項(xiàng)，從而制定完善的防火墻運(yùn)營審計(jì)計(jì)劃。

1、充分收集網(wǎng)絡(luò)系統(tǒng)的運(yùn)行信息

建立“單一真相來源”對順利開展防火墻運(yùn)營審計(jì)非常重要。因此，企業(yè)在啟動(dòng)防火墻審計(jì)工作之前，需要盡可能詳細(xì)了解企業(yè)網(wǎng)絡(luò)的整體運(yùn)行情況，包括網(wǎng)絡(luò)設(shè)備、軟件應(yīng)用、運(yùn)營策略、主要風(fēng)險(xiǎn)以及用戶交互規(guī)則等信息：

• 前期審計(jì)報(bào)告的信息，特別是涉及防火墻對象、策略修訂的文檔和報(bào)告;
• 要列出組織使用的所有互聯(lián)網(wǎng)服務(wù)提供商(ISP)和虛擬專用網(wǎng)(VPN)列表清單;
• 收集正在運(yùn)行的安全策略文檔，包括已傳達(dá)但尚未添加到正式文檔中的更新;
• 整理防火墻日志報(bào)告，審計(jì)師要能夠快速訪問各種可能需要的詳細(xì)信息;
• 防火墻廠商信息，比如操作系統(tǒng)版本、默認(rèn)配置以及遠(yuǎn)程補(bǔ)丁修補(bǔ)信息等。

在這個(gè)階段，企業(yè)應(yīng)該確保將以上信息集中到每個(gè)審計(jì)人員都可以訪問的地方。這將可以保證審計(jì)團(tuán)隊(duì)高效協(xié)同，并避免不必要的時(shí)間浪費(fèi)。

2、評估組織的運(yùn)營管理方法

防火墻運(yùn)營審計(jì)也是評估現(xiàn)有的防火墻系統(tǒng)管理措施有效性的大好機(jī)會。在更新防火墻運(yùn)行策略之前，最好確保新的管控流程記錄完備、目標(biāo)統(tǒng)一。對防火墻的運(yùn)營管理應(yīng)該始終擁有一個(gè)穩(wěn)定、可靠的管理流程。如果隨意進(jìn)行配置更改，就會出現(xiàn)無數(shù)問題。

企業(yè)在評估管理流程的變更優(yōu)化時(shí)，應(yīng)重點(diǎn)考慮以下問題：

• 由誰來負(fù)責(zé)實(shí)施變更?他是否可以對防火墻運(yùn)行的每個(gè)變更后果負(fù)責(zé)?
• 防火墻審計(jì)期間，是否可以查看有關(guān)配置升級效果評估的說明文檔?
• 誰來批準(zhǔn)所有的變更請求?當(dāng)企業(yè)對網(wǎng)絡(luò)系統(tǒng)中的任何防火墻進(jìn)行重大策略變更時(shí)，應(yīng)該有一條可靠的“命令鏈”。同時(shí)，任何對防火墻的變更都應(yīng)該受制于一個(gè)正式的、有文檔記錄的流程，才可以確保防護(hù)效果的完整性。

3、要對硬件平臺和操作系統(tǒng)進(jìn)行審計(jì)

消除網(wǎng)絡(luò)威脅需要快速的威脅響應(yīng)速度，而能否在攻擊蔓延到更廣泛的網(wǎng)絡(luò)之前快速隔離并阻止攻擊，是評價(jià)防火墻有效性的重要參考指標(biāo)。審計(jì)師應(yīng)該從物理設(shè)備和軟件應(yīng)用內(nèi)安全視角，仔細(xì)檢查并評估每個(gè)防火墻的威脅響應(yīng)狀況。以下是執(zhí)行這類評估的幾種常見方法：

• 實(shí)施受控制的訪問，為防火墻及其他相關(guān)服務(wù)器設(shè)備提供安全保障;
• 確定操作系統(tǒng)是否符合標(biāo)準(zhǔn)的安全加固檢查列表;
• 檢查設(shè)備管理程序，以確保它們足夠穩(wěn)健;
• 驗(yàn)證廠商的安全補(bǔ)丁和版本更新是否得到充分和及時(shí)的實(shí)施;
• 查看可以物理訪問防火墻服務(wù)器機(jī)房的授權(quán)用戶。

4、仔細(xì)審查防火墻的防護(hù)規(guī)則

執(zhí)行防火墻運(yùn)營審計(jì)的一個(gè)重要目標(biāo)就是清理現(xiàn)有的設(shè)備運(yùn)行環(huán)境，優(yōu)化防火墻高效運(yùn)行的規(guī)則庫。審計(jì)師在檢查防火墻運(yùn)行規(guī)則時(shí)，需要考慮以下幾個(gè)問題：

• 現(xiàn)有的規(guī)則庫中有沒有已過時(shí)的規(guī)則策略?
• 如何禁用那些長期未使用或已過時(shí)的規(guī)則和對象?
• 與運(yùn)行性能和效果有關(guān)的防火墻規(guī)則應(yīng)該優(yōu)先得到重視;
• 是否按照標(biāo)準(zhǔn)化的命名方法對規(guī)則進(jìn)行標(biāo)記?
• 規(guī)則參數(shù)表中是否有已過時(shí)或未綁定的用戶或用戶組?
• 是否可以通過防火墻日志來總結(jié)分析已有的規(guī)則被充分運(yùn)用?
• 是否存在可以合并為單個(gè)規(guī)則的類似規(guī)則?

5、執(zhí)行風(fēng)險(xiǎn)評估發(fā)現(xiàn)潛在的問題

風(fēng)險(xiǎn)評估是開展防火墻運(yùn)營審計(jì)工作中不可缺少的關(guān)鍵性要求。因?yàn)閷徲?jì)的主要目標(biāo)就是確定組織的網(wǎng)絡(luò)系統(tǒng)是否會因?yàn)榉阑饓Φ目捎眯圆蛔愣媾R風(fēng)險(xiǎn)。審計(jì)團(tuán)隊(duì)要花時(shí)間來確定防火墻規(guī)則是否真正符合不斷發(fā)展的行業(yè)法規(guī)和標(biāo)準(zhǔn)要求。企業(yè)組織一定要通過適用于貴組織的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，對防火墻的運(yùn)營風(fēng)險(xiǎn)進(jìn)行評估，并根據(jù)評估結(jié)果來決定最終可接受的風(fēng)險(xiǎn)程度。

評估規(guī)則列表時(shí)，應(yīng)考慮以下情況：

• 目前的防火墻運(yùn)行規(guī)則是否可以阻斷高風(fēng)險(xiǎn)服務(wù)從互聯(lián)網(wǎng)進(jìn)入或流出;
• 目前的防火墻運(yùn)行規(guī)則是否在任何用戶字段中都被準(zhǔn)確標(biāo)注;
• 目前的防火墻運(yùn)行規(guī)則是否和企業(yè)的整體安全策略保持一致;
• 目前的防火墻運(yùn)行規(guī)則是否未符合企業(yè)網(wǎng)絡(luò)安全策略的長期發(fā)展要求;
• 審計(jì)師根據(jù)可能適用的行業(yè)監(jiān)管標(biāo)準(zhǔn)來檢查防火墻配置和規(guī)則是一個(gè)很好的方法，具體的標(biāo)準(zhǔn)包括J-SOX、FISMA、Basel-II、ISO 27001以及PCI-DSS等。

6、制定可持續(xù)的審計(jì)計(jì)劃

當(dāng)企業(yè)組織成功地開展了第一次防火墻運(yùn)營審計(jì)時(shí)，就應(yīng)該因此為基礎(chǔ)制定可持續(xù)遵守的審計(jì)計(jì)劃和目標(biāo)，主要包括以下步驟：

• 創(chuàng)建一個(gè)可以快速復(fù)制的審計(jì)流程，確保該流程記錄完備，以便不同的審計(jì)師都可以根據(jù)這些材料進(jìn)行運(yùn)營態(tài)勢審計(jì);
• 在審計(jì)流程中充分考慮智能自動(dòng)化工具的應(yīng)用，旨在消除容易出錯(cuò)的手動(dòng)任務(wù);
• 安全運(yùn)營團(tuán)隊(duì)和審計(jì)人員之間應(yīng)該保持密切的聯(lián)系和信息同步，以便在下一次審計(jì)時(shí)，審計(jì)師可以優(yōu)先考慮對變動(dòng)的規(guī)則進(jìn)行審計(jì)。

參考鏈接：

https://www.datamation.com/security/how-to-perform-a-firewall-audit。