信息系統(tǒng)防火墻規(guī)范

......勝利石油管理局企業(yè)標(biāo)準(zhǔn)Q/SLSTA-f－2002信息系統(tǒng)防火墻規(guī)范1總則為了減少外部網(wǎng)絡(luò)對企業(yè)內(nèi)部網(wǎng)絡(luò)的干擾，為了阻擊非法用戶進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，為了企業(yè)用戶更好的利用外部網(wǎng)絡(luò)，根據(jù)《應(yīng)用級防火墻安全技術(shù)要求》，《包過濾級防火墻安全技術(shù)要求》，《中華人民共和國信息系統(tǒng)安全保護(hù)條列》等國家規(guī)定，制定本規(guī)范。2范圍本規(guī)范規(guī)定了防火墻的安全技術(shù)要求。本規(guī)范適用于防火墻安全功能的使用，測試和產(chǎn)品采購。3規(guī)范解釋權(quán)本規(guī)范的解釋權(quán)在勝利油田管理局信息安全管理中心。4引用標(biāo)準(zhǔn)GB/T17900–1999《網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求》GB/T18019–1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》GB/T18020–1999《信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求》GB9813–88《微型數(shù)字電子計算機(jī)通用技術(shù)條件》5防火墻類型應(yīng)用級別防火墻。在應(yīng)用層上根據(jù)預(yù)先設(shè)定的標(biāo)準(zhǔn)判斷是否允許對某些應(yīng)用程序的訪問的防火墻。應(yīng)用級防火墻檢查所有應(yīng)用層的信息，放行符合預(yù)先設(shè)定標(biāo)準(zhǔn)的數(shù)據(jù)包。包過濾。采用包過濾技術(shù)保護(hù)整個網(wǎng)絡(luò)不受非法入侵的防火墻。它在網(wǎng)絡(luò)層上簡單檢查所有進(jìn)入網(wǎng)絡(luò)的信息，并將不符合預(yù)先設(shè)定標(biāo)準(zhǔn)的數(shù)據(jù)丟掉。應(yīng)用代理?？刂苾蛇叺膽?yīng)用程序只能通過服務(wù)器間接通信的防火墻。此防火墻接受來自一邊的通信，檢查這一通信是否授權(quán)通過，如果是則啟動到通信目標(biāo)的連接。相反則反之?；旌闲头阑饓?。使用包過濾、應(yīng)用層控制技術(shù)和網(wǎng)絡(luò)代理的防火墻。6防火墻安全運行環(huán)境符合本規(guī)范的防火墻用于敏感但不保密的信息處理環(huán)境。防火墻應(yīng)提供訪問控制策略、身份標(biāo)識與鑒別、遠(yuǎn)程管理員會話加密、一定的審計能力以及最基本的安全保證。6.1安全使用條件防火墻的使用操作環(huán)境及運行環(huán)境符合以下條件：6.1.1連接條件單一接入：防火墻是內(nèi)外網(wǎng)絡(luò)之間的唯一連接點。6.1.2物理條件物理訪問控制。防火墻和與其直接相連的控制臺在物理上是安全的，而且僅供授權(quán)人使用。通信保護(hù)。信息傳輸?shù)谋Ｗo(hù)級別應(yīng)該與信息的敏感性一致（例如：受物理保護(hù)的傳輸媒體，加密），或者明確說明該信息可以明文傳輸。6.1.3人員條件用戶服務(wù)。應(yīng)用級防火墻提供的不是通常意義下的計算能力，對網(wǎng)絡(luò)用戶基本上是“透明”的，只有授權(quán)管理員才能直接訪問和遠(yuǎn)程訪問防火墻。授權(quán)管理員。管理員應(yīng)值得信任、無惡意，能夠正確執(zhí)行各項職責(zé)。6.2安全威脅符合本標(biāo)準(zhǔn)的防火墻應(yīng)能阻止以下威脅：6.2.1未授權(quán)邏輯訪問未經(jīng)授權(quán)的人可能在邏輯上訪問防火墻。未經(jīng)授權(quán)的人是指除防火墻的授權(quán)用戶之外，所有已經(jīng)或可能企圖訪問這個系統(tǒng)的人。6.2.2假冒網(wǎng)絡(luò)地址攻擊一個主體可能假冒成另一個主體獲得對特定信息的訪問。例如，外部網(wǎng)上的一個用戶可能利用假地址偽裝成內(nèi)部網(wǎng)上的用戶訪問內(nèi)部資源。6.2.3針對內(nèi)部網(wǎng)絡(luò)的攻擊攻擊者利用高層協(xié)議和服務(wù)，對內(nèi)部受保護(hù)網(wǎng)絡(luò)或者網(wǎng)上的主機(jī)進(jìn)行攻擊，這類攻擊可能以拒絕服務(wù)和穿透主機(jī)或網(wǎng)絡(luò)結(jié)點為目的。6.2.4審計記錄丟失或破壞攻擊者可能采取耗盡審計存儲量的方法導(dǎo)致審計記錄丟失或破壞。6.2.5對防火墻的配置和其它與安全相關(guān)數(shù)據(jù)的更改這類攻擊包括所有采用讀取或修改防火墻的內(nèi)部代碼或數(shù)據(jù)結(jié)構(gòu)、以及防火墻的配置參數(shù)和與安全相關(guān)的數(shù)據(jù)，對防火墻實施的攻擊。6.2.6繞開身份標(biāo)識和鑒別機(jī)制這類攻擊企圖繞過或欺騙身份識別和鑒別機(jī)制，假冒成另一個授權(quán)管理員侵入已建立的會話連接。例如，攔截鑒別信息（如口令字），重放有效的鑒別交換信息，以及截取會話連接等攻擊。6.3運行環(huán)境面臨的威脅下述威脅必須通過物理控制、過程措施或者管理手段來對付。6.3.1被保護(hù)網(wǎng)上的惡意用戶試圖向外部用戶提供信息這種威脅是指內(nèi)部網(wǎng)絡(luò)用戶試圖給外部網(wǎng)絡(luò)上的非授權(quán)用戶發(fā)送信息。由于防火墻主要用于保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵害，因此，它們對抵御這種威脅作用不大。6.3.2受保護(hù)網(wǎng)絡(luò)上的惡意用戶攻擊同一網(wǎng)絡(luò)上的計算機(jī)防火墻的主要目的是保護(hù)防火墻內(nèi)部的網(wǎng)絡(luò)用戶免受外部用戶的侵害。因此，它無法控制不經(jīng)過防火墻的通信業(yè)務(wù)流。屬于此范疇的攻擊是指來自受保護(hù)網(wǎng)絡(luò)內(nèi)的對本網(wǎng)絡(luò)服務(wù)功能的攻擊，以及對同一網(wǎng)段上的計算機(jī)的攻擊。6.3.3攻擊高層協(xié)議和服務(wù)此類威脅針對傳輸層以上的協(xié)議層（和利用這些協(xié)議的服務(wù)，如超文本傳輸協(xié)議HTTP）中的漏洞。符合本標(biāo)準(zhǔn)的防火墻可以完全拒絕對特定主機(jī)或主機(jī)群的訪問，但是，如果允許數(shù)據(jù)包通過的話，那么，仍有可能攻擊上述的這些服務(wù)。6.3.4截取傳輸信息攻擊者可能截取通過防火墻傳輸?shù)拿舾行畔ⅰ?防火墻基本原則7.1過濾不安全服務(wù)基于這個準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對希望提供的安全服務(wù)逐項開放，對不安全的服務(wù)或可能有安全隱患的服務(wù)一律扼殺在萌芽之中。這是一種非常有效實用的方法，可以造成一種十分安全的環(huán)境，因為只有經(jīng)過仔細(xì)挑選的服務(wù)才能允許用戶使用。7.2過濾非法用戶和訪問特殊站點基于這個準(zhǔn)則，防火墻應(yīng)先允許所有的用戶和站點對內(nèi)部網(wǎng)絡(luò)的訪問，然后網(wǎng)絡(luò)管理員按照ＩＰ地址對未授權(quán)的用戶或不信任的站點進(jìn)行逐項屏蔽。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，網(wǎng)絡(luò)管理員可以針對不同的服務(wù)面向不同的用戶開放，也就是能自由地設(shè)置各個用戶的不同訪問權(quán)限。8防火墻自身安全保護(hù)措施設(shè)置特殊密碼，密碼長度盡可能長。系統(tǒng)未設(shè)置完成不要連入公共網(wǎng)。不使用系統(tǒng)默認(rèn)（缺省）值。注意調(diào)整安全級別。設(shè)置讀寫權(quán)限。9防火墻功能設(shè)置及安全策略9.1外網(wǎng)對DMZ內(nèi)服務(wù)訪問控制將外部對內(nèi)部、DMZ內(nèi)服務(wù)訪問明確限制，防止非法對內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問。利用DMZ的隔離效果，盡量將對外服務(wù)的部分服務(wù)器放置在DMZ區(qū)域，通過NAT方式，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因為這些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風(fēng)險。對內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫的訪問做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。9.2內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問也要進(jìn)行嚴(yán)格的限制。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。對內(nèi)部員工對外訪問采用NAT方式訪問。同時內(nèi)部員工對DMZ區(qū)域服務(wù)器訪問也必須做限制。內(nèi)部員工對外網(wǎng)WWW訪問采用代理方式。9.3DMZ訪問通常情況下DMZ對外部和內(nèi)部都不能主動進(jìn)行訪問，除非特殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開放部分服務(wù)。借助防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。9.4NAT地址轉(zhuǎn)換將單位內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過NAT方式轉(zhuǎn)換，隱藏真實IP地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對外單位只有一個地址。而借助防火墻的多映射功能，可以將對外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和DM