干货 | 防火墙安全管理策略及风险评估路径研究

互联网不仅改变着我们的生活方式，还为全球连通性、无限可能性和现代便利性打开了一扇“仰望星空、触摸世界”的大门。近年来，网络威胁已发生新的变化，恶意软件威胁变得日益严重，例如特洛伊木马和勒索软件等恶意病毒软件，通过欺诈性电子邮件附件和欺骗性网站进行广泛传播，目的是获取和破坏敏感信息和勒索钱财等。为满足安全域间的防护以及安全访问控制措施，设置防火墙成为人们网络安全防护的“第一道防线”。 

防火墙既可以是软件工具，也可以是软件和硬件组成的系统。它是处于安全的网络（通常是内部局域网）和不安全的网络之间的屏障，可以根据系统管理员设置的访问控制规则，通过既定规则过滤传入和传出的网络流量，进行实时监视安全设备系统保护内部网络安全。防火墙通常内置于操作系统中，可以根据多个条件筛选网络流量，包括源和目标IP地址、IP协议或源和目标端口令等。“源”指的是“尝试建立的连接来自哪里”。“目标”指的是“尝试建立的连接到哪里”。它们实质上就是监视网络流量并检测潜在威胁的安全设备或程序，目的是将恶意文件和病毒在公共网络上传播的风险降至最低。

根据设置，防火墙可以保护单台计算机或整个计算机网络。设备根据预定义规则检查传入和传出流量。防火墙对数据流有三种处理方式：允许数据流通过、拒绝数据流通过和将这些数据流丢弃。设置防火墙有三个基本要求：所有进出网络的数据流都必须经过防火墙；只允许经过授权的数据流通过防火墙；防火墙自身对入侵是免疫的。互联网的通信主要通过从发送方请求数据并将其传输到接收方。由于无法整体发送数据，因此将其分解为组成初始传输实体的可管理数据包，防火墙的作用是检查往返主机的数据包，每个数据包均包含一个标头（控制信息）和有效负载（实际数据），标头提供有关发送方和接收方的信息。在数据包可以通过定义的端口进入内部网络之前，它必须经过防火墙。这种转移取决于它携带的信息以及它与预定义规则的对应关系。例如，防火墙可以具有排除来自指定IP地址的流量的规则。如果防火墙接收到标头中具有该IP地址的数据包，则防火墙拒绝访问。同样，防火墙可以拒绝对除已定义的受信人员之外的任何人的访问。有多种方法可以配置安全设备，对现有系统保护程度取决于防火墙的类型。

尽管各类型防火墙都可以防止未经授权的访问，防火墙结构不同，操作方法可能就有很大差异。根据防火墙的结构，可以将防火墙分为三种类型：一是软件防火墙类型；二是硬件防火墙类型；三是其它防火墙类型，可以将它概述为软件或硬件的防火墙技术。

软件防火墙直接安装在主机设备上，这种类型的防火墙也称为主机防火墙。由于它连接到特定设备，因此必须利用其资源来工作。软件防火墙的优势在于可以在过滤传入和传出流量的同时区分程序。因此，它们可以拒绝访问一个程序，同时又允许访问另一个程序。软件防火墙保护也存在局限性，它们必须安装在网络中的每台计算机上。因此，它不可避免地要占用系统的某些RAM和CPU，会消耗关键的算力和内存。如果有多个设备，则需要在每个设备上安装软件。由于它需要与主机兼容，因此需要对每个主机进行单独配置，从而影响用户体验。 

硬件防火墙是安全设备，是放置在内部和外部互联网间的单独硬件。此类型也称为设备防火墙。与软件防火墙不同，硬件防火墙具有其资源，并且不会占用主机设备的任何CPU或RAM。它是一种物理设备，充当用于进出内部网络的流量的网关，拥有在同一网络中运行多台计算机的中型和大型组织都使用它们。在这种情况下，使用硬件防火墙比在每个设备上安装单独的软件更为实际。配置和管理硬件防火墙，需要专业知识和技能。

其它防火墙可以概述为软件或硬件的防火墙技术。

2.3.1　包过滤防火墙

根据防火墙的操作方法划分防火墙类型时，其最基本的类型是数据包或包过滤防火墙。包过滤防火墙是我们所谓的“在线防御”，它用作连接到路由器或交换机的内联安全检查点。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。它通过传入数据包携带的信息过滤来监视网络流量。每个数据包包括一个标头和它发送的数据。此类防火墙根据标头信息决定是允许还是拒绝访问数据包。为此，它将检查协议、源IP地址、目标IP、源端口和目标端口。根据数字与访问控制列表的匹配方式（定义所需/不需要的流量的规则），数据包将继续传递或丢弃。如果数据包不符合所有必需的规则，则将不允许它到达系统。数据包过滤防火墙是一种快速解决方案，不需要大量资源。关于包过滤防火墙优缺点、保护等级详见表1。

表1 包过滤防火墙优缺点、保护等级

2.3.2　电路级网关（防火墙）

电路级网关是一种在OSI模型的会话层工作的防火墙，它遵守TCP（传输控制协议）连接和会话，主要功能是确保已建立的连接是安全的。在大多数情况下，电路级网关防火墙内置于某种类型的软件或已经存在的防火墙中。像包过滤防火墙一样，它不检查实际数据，只检查有关交易的信息。电路级网关非常实用，易于设置，并且不需要单独的代理服务器。关于电路级网关（防火墙）优缺点、保护等级详见表2。

表2 电路级网关（防火墙）优缺点、保护等级

2.3.3　状态检查防火墙

由于整个恶意软件行业都专注于创建避开检测网格的变体，因此需要一种能够检查每个软件包内容的防火墙。状态检查防火墙或多或少地相当于海关官员的IT部门，负责检查每个包裹和手提箱，然后所有者才能将其取回并开展业务。状态检查防火墙通过监视TCP3跟踪连接状态，可以跟踪整个连接-从头到尾-仅允许预期的返回流量入站。启动连接并请求数据时，状态检查将建立数据库（状态表）并存储连接信息。在状态表中，它记下每个连接的源IP、源端口、目标IP和目标端口。使用状态检查方法，可以动态创建防火墙规则以允许预期的流量。此类防火墙用作附加安全性。与无状态过滤器相比，它执行更多检查，并且更安全。但是，与无状态或数据包筛选不同，有状态防火墙检查跨多个数据包而不只是标头传输的实际数据。因此，它们还需要更多的系统资源。关于状态检查防火墙优缺点、保护等级详见表3。

表3 状态检查防火墙优缺点、保护等级

2.3.4　代理防火墙

代理防火墙可视为包过滤防火墙和电路级网关的最爱，用技术术语说，此数据包检查技术在客户端（您的计算机）与互联网的其余部分之间插入了启用防火墙的代理服务器，充当通过互联网通信的内部和外部系统之间的中间设备，通过转发来自原始客户端的请求并将其掩盖为自己的网络来保护网络。代理的意思是充当替代者，因此，代理就发挥了作用。它代替了发送请求的客户端。当客户端发送访问网页的请求时，代理服务器将与该消息相交。代理将消息转发到Web服务器，假装是客户端。这样做可以隐藏客户端的标识和地理位置，从而保护其不受任何限制和潜在的攻击。然后，Web服务器做出响应，并将请求的信息提供给代理，该信息将传递给客户端。关于代理防火墙优缺点、保护等级详见表4。 

表4 代理防火墙优缺点、保护等级

2.3.5　下一代防火墙

下一代防火墙（Next Generation Firewall，NGFW），是一款可以全面应对应用层威胁的高性能防火墙，它将传统防火墙与其他网络设备过滤功能相结合，例如使用在线深度包检查（DPI）的应用防火墙，入侵防御系统（IPS）；也可以采用其他技术，例如TLS/SSL加密的流量检查、网站过滤、QoS/带宽管理、防病毒检查和第三方身份管理集成（即LDAP，RADIUS，Active Directory）。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。它结合了许多其他防火墙功能的安全设备，合并了数据包、状态和深度数据包检查。简而言之，NGFW会检查数据包的实际有效负载，而不是仅关注标头信息。它与传统防火墙不同，下一代防火墙检查数据的整个事务，包括TCP握手、表面级别和深度包检查。使用NGFW可以充分防御恶意软件攻击、外部威胁和入侵。这些设备非常灵活，并且没有明确定义它们提供的功能。关于下一代防火墙优缺点、保护等级详见表5。

表5 下一代防火墙优缺点、保护等级

2.3.6　云防火墙

集中管理互联网与移动云VPC间的访问控制，可自定义防火墙规则，提供对用户内部网络的整体安全防护。云防火墙分布式部署在每一个计算节点上，消除集中化部署，避免单点故障和性能瓶颈，为用户提供分层次、全方位、可扩展的安全隔离和安全防护，以及互联网访问VPC的安全防护。通过管理界面可轻松创建云防火墙和防护规则，虚拟机迁移后防火墙规则自动跟随，无需调整。云防火墙采用先进的SDN技术，可对传统防火墙功能进行安全性、可靠性、稳定性优化，具备极高可靠性。关于云防火墙优缺点、保护等级详见表6。

表6 云防火墙优缺点、保护等级

2.3.7　混合防火墙

又称“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软件、硬件组件组成，分布于内部、外部网络边界和内部各主机之间，既对内部、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。混合防火墙是防火墙技术的缩影，它结合了先进的数据包扫描技术（如深层数据包检查）和防病毒反恶意软件。混合防火墙将检查Web浏览会话的各个方面，一直到每个传输数据包的内容，并具有执行深度数据包分析的能力。

防火墙虽不能完全保护计算机免受高级持续性威胁侵害，但可以有效防止暴力攻击之类的“复杂”恶意连接网络的企图。在决定选择哪种防火墙虽没有统一明确的标准，但使用不止一种防火墙类型可提供多层保护。防火墙管理优化就是通过全面分析和调整防火墙的配置策略，以提升设备运行性能和安全防护效果的过程。防火墙主要功能就是提供一定程度的保护，防止恶意者连接网络企图。

3.1.1　组织规模

内部网络有多大？是在每台设备上管理防火墙，还是仅需要监视内部网络的防火墙？决定选择软件防火墙还是硬件防火墙？搞清楚这些问题很重要。在这两者之间做决择很大程度上取决于指派管理设置的技术团队的能力。

3.1.2　可用资源

是将防火墙放置在单独的硬件还是云上？是否需要将防火墙与内部网络隔离开？这都是需要考虑的问题。因为防火墙需要过滤的流量负载以及流量负载是否保持一致起着重要作用。

3.1.3　所需保护级别

防火墙的数量和类型应符合内部网络所需的安全措施。处理敏感客户端信息的企业，应通过加强防火墙保护来确保数据免受黑客攻击。

3.2.1　漏洞防范和高等级安全

首先，防止攻击并在恶意软件进入内部时快速检测。防火墙的首要任务应该是防止违规行为并保证组织安全。预防性的措施永远不会是100%有效的，设置的防火墙就应该具有现代化能力，以快速检测先进的恶意软件，防止它逃避你的前沿防御。投资具有以下功能的防火墙将非常必要：在攻击进入内部之前进行预防；内置一流的下一代IPS，可快速发现隐形威胁并阻止它们；URL过滤，以在数亿个URL上实施策略；内置沙盒和先进的恶意软件保护。

3.2.2　用最新情报阻止新出现的威胁

人们不能保护看不见的东西。这就需要时刻监控网络上发生了什么，随时发现不良行为并迅速制止。所设置的防火墙应该能提供活动的整体视图以及前后动态的变化，主要包括：跨用户、主机、网络和设备的威胁活动；威胁起源于何地和何时，以及它现在在做什么；活跃的应用程序和网站；虚拟机之间的通信、文件传输等。 

3.2.3　灵活的管理和部署选项

定制以满足每个组织的独特需求。无论是中小型企业还是大型企业，设置的防火墙应该满足其独特要求：对每个用例进行管理-从on box中选择管理器或所有设备集中管理；通过虚拟防火墙部署在本地或云中；使用满足个性化需求的功能进行定制。 

3.2.4　最快检测时间

加速恶意软件检测以降低风险。目前的行业标准时间检测威胁一般是在100天到200天之间。下一代防火墙应该能够在几秒钟内检测到威胁；在数小时或数分钟内检测到成功的违规行为；区分警报的优先级，以便能够迅速、准确地采取行动消除威胁；通过部署易于维护的一致策略，在组织内部实现自动执行。

 3.2.5　建立集成的安全体系

集成的安全体系实现了自动化，降低了复杂性。下一代防火墙不应该是孤立的工具。它应该与组织的安全架构的其它部分进行通信和协作。选择一个防火墙：能与同一供应商的其他工具无缝集成；自动共享威胁信息、事件数据、策略和上下文电子邮件、web、端点和网络安全工具的信息；自动化安全任务，如影响评估、策略调整和用户标识。

防火墙安全风险评估也称为防火墙规则集审查，旨在发现设备配置、防火墙规则、管理和合规性中的不足，以确保其正常运行并保护你的网络免受网络威胁。除做好防火墙管理优化策略外，鉴于防火墙自身存在的内在风险和威胁，应定期进行防火墙安全风险评估，这对确保和维护组织网络安全非常关键和至关重要。

保护防火墙的第一步首先是要了解它们可能面临的风险和威胁。 

4.1.1　防火墙安全常见的风险

（1）不安全的配置：固件版本、管理协议配置、文件传输/远程管理协议是防火墙审核期间的常见问题。（2）不安全的日志记录和监视控制：审查日志记录和监视控制措施，以识别事件收集、存储、分析和威胁识别中的缺陷。（3）大攻击面：随着组织越来越多地采用云服务以及混合工作模式（到公司上班/在家工作），其网络和相关攻击面变得越来越大，越来越复杂。尤其是防火墙服务提供商或客户的IT团队的变动，由此带来的第三方风险扩大了攻击面几率。（4）规则集/防火墙规则审查：防火墙规则的审核通常显示存在噪声（不必要的广播协议）、重复规则、临时规则、注释、使用ANY/大型规则。防火墙使用定义的规则来评估通过防火墙传递的所有流量，以确定流量是否与允许或拒绝条件匹配。如果没有允许流量的规则，则默认情况下拒绝流量。（5）加密缺陷：配置和使用HTTPS、SSH、VPN转换（如果是VPN）、静态数据和传输中的数据的加密方法。（6）管理限制：对内部（内部网络/DMZ）和外部（通过互联网）的管理和管理接口的限制通常在渗透测试和PCI防火墙审查期间（必须进行分段）发现。（7）身份验证和授权：负责用户身份验证、内部集成（RADIUS/AD/等）、接口限制以及授权的身份验证和授权机制。 

4.1.2　防火墙安全面临的主要威胁

（1）内部攻击：一些最危险的防火墙来自组织内部，具有过多权限的用户无需任何防火墙干预即可突破外围防御。当他们获得内部网络资源的访问权限时，就可以窃取数据或破坏数字基础设施。（2）DDoS攻击：DDoS攻击涉及恶意入侵者的大量访问请求或数据包注入。如果没有适当的过滤器，大量流量可能会占用网络资源，这会导致停机或数据丢失等。（3）防火墙漏洞：防火墙漏洞有多种形式。例如，某些漏洞可能是由防火墙配置或维护中的错误引起的，而其他漏洞可能是由于防火墙操作方法中的特定缺陷引起的。

防火墙安全风险评估具有识别并限制内部系统暴露，以应对不断变化的威胁；识别配置和管理过程中的弱点以提高网络性能；服务质量是安全工作的基础；验证你的变更管理或控制流程；符合PCI DSS、ISO27001、GDPR合规性要求等优势。通过实施全面防火墙安全风险评估的最佳路径，可以显著降低数据泄露、网络停机和其他安全事件的风险，从而帮助维护客户、合作伙伴和利益相关者的声誉和信任。

4.2.1　定义评估的范围和目标

防火墙风险评估首先涉及确定要审核的防火墙和关联的网络设备，并确定审核持续时间。为了确保审查和评估所有关键领域，审核范围必须遵守法律要求和行业标准，不仅可以降低处罚和罚款的风险，还可以提高企业在客户和利益相关者中的声誉。通过定义审核范围，可以清楚地了解将要审核的领域和要实现的目标。

4.2.2　收集相关信息

从以前的审核中收集所有相关的安全策略、防火墙日志和报告。审查和汇总相关的防火墙供应商信息，并在可靠的系统中更新它们，因为每年可能会进行多次审核。收集所有这些信息将帮助制定有效的审计计划，通过识别需要解决的漏洞和风险来增强网络安全。

4.2.3　查看防火墙配置

查看防火墙设置和配置，确保它们符合组织的安全策略。还应查看访问控制策略、安全规则和日志文件等关键区域。同时，必须验证最近对防火墙所做的更改是否经过授权和记录。所有这些审查和验证将有助于识别潜在的安全漏洞，并提供增强网络安全的解决方案。

4.2.4　查看防火墙日志

防火墙日志包含网络流量的来源和目标以及防火墙对该流量的响应等信息。通过查看这些日志，你可以识别潜在的安全风险，例如开放端口或不安全的网络服务，这些风险可能使网络容易受到攻击。它还有助于识别任何未经授权的访问尝试或成功的防火墙违规。如果发现任何可疑活动，应进一步调查它们以确定其根本原因，并提供有关改进网络安全状况的建议。

4.2.5　清理和优化防火墙规则

优化防火墙规则可以对工作效率和性能产生积极影响，同时可简化审核过程。删除任何无用、过期和不活动的规则和对象，并评估其余规则的有效性和顺序。未使用的链接和过度宽松的规则可以根据策略和实际使用场景进行识别和调整。

4.2.6　测试防火墙是否存在漏洞

对防火墙进行漏洞测试将使组织能够更好地了解其网络的安全风险。通过漏洞测试，你可以识别攻击者可能试图利用的潜在弱点，并采取措施缓解这些弱点。漏洞测试可以采取多种形式，包括试图穿透防火墙防御的模拟攻击。然后，可以使用此类测试的结果为改进防火墙的安全状况提供建议。通过定期进行漏洞测试，你可以对新出现的安全威胁保持警惕，并领先于潜在攻击者。

 4.2.7　记录结果

运行测试后，可以创建一个全面的报告，其中包括审核结果的摘要以及对任何已识别的漏洞或安全风险的详细分析。此报告应包括对任何发现的漏洞的详细说明，以及改进防火墙安全状况的具体建议。这些建议可能包括实施新的安全策略、重新配置防火墙设置或更新安全软件以解决已识别的漏洞。

4.2.8　提出实施建议

完成彻底的防火墙审核并收到改进建议后，下一步是实施建议的更改。对审核期间确定的防火墙规则、配置设置或其他安全措施进行所有必要的调整。请务必测试这些更改，以确保它们不会给系统带来任何新的漏洞或风险。这些测试应包括漏洞扫描或渗透测试，以确保更改不会损害防火墙的安全状况。 

4.2.9　监视防火墙，循环重复上述步骤

成功实施和测试更改后，需要持续监控和维护，以确保防火墙在保护网络免受潜在威胁方面保持安全有效。定期监控防火墙，以发现可能出现的任何新安全风险。定期进行防火墙评估，以确保防火墙保持安全并符合组织的安全策略和标准。

“网络安全为人民，网络安全靠人民”。共筑网络安全防线，维护网络安全是全社会公民共同的责任。IT基础设施发展和复杂网络攻击威胁出现，刺激并推动了防火墙技术不断发展。防火墙不仅是监视某些端口、IP地址或地址之间的数据包活动和做出解决及拒绝决策的手段，在流量检查和管理方面提供了组织可以激活包括URL、过滤、防病毒、垃圾邮件和机器人保护、数据泄露防护、移动设备的访问控制等额外功能，添加和部署这些功能从而增强网络安全并在出现新问题时得到及时解决。目前，防火墙正处于鼎盛时期，维护良好的防火墙是网络安全的“第一道防线”，花费少量时间和资源，正确设置防火墙安全策略，执行全面防火墙风险评估，采取主动措施保护网络免受潜在攻击，将更有助于企业各项业务开展并确保数据安全。

参考文献略。

 end 

如需合作或咨询，请联系工业安全产业联盟小秘书微信号：ICSISIA20140417

往期荐读