防火墙安全评估准则.ppt

1 第12章防火墙安全评估准则 本章重点 安全评估的基本思想安全等级的划分安全等级的适用安全评估安全审计与测试 2 防火墙安全评估准则 防火墙产品作为对网络访问进行有效控制的信息安全设备 在对用户的网络访问进行控制的时候 要使用有效的用户认证技术来区分不同的用户身份 以适应不同访问级别的用户对网络访问的不同权限 3 目前市场上销售的防火墙都具备用户认证功能 但传统的防火墙的用户认证技术尚存在如下不足 在应用代理 网关 一级的认证技术必须与应用服务相关 也就是必须针对不同的应用 如HTTP FTP等 进行定制 如果用户有一种新的应用服务需要进行认证 则必须开发相对应的认证模块嵌进去 此外 当用户使用不同的网络服务时 需要分别进行认证 即存在多次认证的问题 使用户使用不便 因此 当存在大量的应用时 防火墙具有较大的局限性 包过滤功能与应用代理功能的网络性能相差非常大 当用户需要用户认证模块 而用户认证模块必须在应用代理基础上实现时 会极大地影响网络性能 因此 当用户在强调网络性能的情况下需要用户认证功能时 防火墙受到较大的限制 在对用户做计费统计时 如果在应用网关一级做统计 往往只能对某些特定的网络服务类型来做统计 而不能统计该用户使用的所有服务的流量以及时间 这样 统计的准确性和有效性将大打折扣 针对上述用户认证技术存在的不足 防火墙新增了网络层用户认证功能 以解决用户应用上存在的问题 防火墙的网络层用户认证系统 解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能 包处理的效率低和计费 流量或时间 的局限性 它采用在链路层和网络层的用户认证技术 则可以为任何网络协议 服务提供认证功能 变为与应用服务无关的用户认证 同时大大提高了处理效率 尤其在做计费时 可以精确地统计某用户发出 接收到每一个IP包以及用户使用网络的总时间 12 1防火墙都具备用户认证功能 4 目前的网络层用户认证系统的主要功能有 认证功能支持本地认证或RADIUS认证用户管理功能系统管理员管理功能时间和流量的控制和统计防火墙系统在线检测 5 认证功能 用户通过联想网御定制的客户端软件 可以使用电子钥匙自动认证方式或用户手动认证方式 向服务器防火墙证明自己的身份 只有当登录用户成功证明自己的身份 该用户才可以成为防火墙系统认可的认证用户 从而可以使用认证用户才能使用的网络服务 6 支持本地认证或RADIUS认证 可以使用本地认证服务器 防火墙上自带的 支持1000个用户 或者第三方的标准RADIUS认证服务器 使用RADIUS时 支持RADIUS的审计功能 用户管理功能 用户可以通过客户端软件修改自己的密码 7 系统管理员管理功能 系统管理员可以通过Web浏览器管理认证服务器 包括 认证服务器参数的设置 增加 删除 修改本地组和用户 锁定 解除锁定特定的组或用户 设定需要认证的包过滤或透明代理规则 设置用户可使用的总的时间量和总的流量 具体说明见下文 8 时间和流量的控制和统计 每个认证用户每次连接使用的时间和流量均被记录在系统日志中 以便对用户的访问时间和流量进行统计 可以限定用户能使用的网络流量 当用户当前已经使用的流量超过该值时 用户将无法登录 可以限定用户能使用网络的时间 当用户当前已经使用的时间总量超过该值时 用户将无法登录 9 防火墙系统在线检测 防火墙系统对认证通过的用户且正在使用网络服务的用户还要进行在线检测 当发现在线用户不是刚才的认证用户时 系统会自动断开网络服务的连接 10 目前 防火墙具有多个认证方案 支持PAP和高安全强度的一次性口令 S Key 认证协议 并支持标准的RADIUS 数字证书等 支持软件方式与iKey等硬件方式认证 支持用户和组管理 防火墙的网络层用户认证系统很好地解决了传统防火墙在用户认证应用上的局限性和性能问题 同时极大地丰富了防火墙固有的用户管理和控制功能 使防火墙更好地实现了对网络服务的认证与授权的有效监控 1 必须考量本身需求与环境评估 目前防火墙基本功能差异不大 但价格差异却不小 原因在于产品的品牌 效能 稳定度 扩充性与授权人数 软件防火墙 等 2 由于防火墙提供多种附加功能或工具来符合各种企业需求 虚拟企业网络 VPN 记录分析工具 LogAnalyzer 频宽管理 BandwidthManagement 等 这些工具基本上都价格不蜚 企业可以针对目前的需求加以选择 3 防火墙可否CentralizeManagement 防火墙是否容易管理也是相当重要的考量点 不管公司是否设置网络专业人员 总之 应避免选择功能繁杂难以设定的防火墙 4 评估公司预算 考虑防火墙的价格及效能的成本价值 选购防火墙虽然不一定要选择知名的品牌 但也能贪图便宜选择不适用的低阶防火墙 5 选购合适的功能 6 选择良好的售后服务 除了选择防火墙本身的品质外 厂商的售后服务也是选择防火墙时所必须考虑的 11 12 2中华人民共和国公共安全行业标准GA372 2001 防火墙产品的安全功能检测 Testforsecurityfunctionsoffirewall 2001 12 24发布 2002 05 01实施 12 12 3GB T20010 2005 信息安全技术包防火墙评估准则 本标准从信息技术方面规定了按照GB17859 1999的5个安全保护等级对采用 传输控制协议 网间协议 TCP IP 的包过滤防火墙产品安全保护等级划分所需要的评估内容 本标准适用于包过滤防火墙安全保护等级的评估 对于包过滤防火墙的研制 开发 测试和产品采购也可参照使用 本标准对安全环境方面的规定如下 13 12 4新技术让防火墙成为网络防御的主要力量 在IT行业中 很多时候那些被进一步提升到网络堆栈的防御被认为是最好的防御 至少 这是一些销售商和分析专家们对下一代网络防火墙的预测 防火墙是网络安全基础设施的一部分 负责监控进出网络的每一个框架 它是对这些网络应用提供可视性和可控性的完美的地方 DaveStevens 位于加利福尼亚卡里夫的PaloAltoNetworks公司CEO说 14 Gartner的分析师GregYoung说 供应商越来越多地转向整合IPS 入侵预防系统 和防火墙 但目前真正综合的 功能完整的产品还是供应不求 他以其所在公司的研究成果为例 表明威胁已经变得更加复杂 而且正逐渐转向网络堆栈的更高层 这迫使防火墙超越仅提供状态协议分析的阶段 进而具备日益丰富的管理和配置工具 15 ForresterResearch的分析员RobertWhiteley先生也认为 在未来 防火墙将更加紧密地集成所有的网络安全功能 他说 我们已经看到了融合防火墙 VPN IPS 反恶意程序和内容过滤的UTM产品 我认为 思科 Cisco 公司的ASA和Juniper公司的SSG就是不错的例子 不过 这些都不是真正的一体化 当网络应用攻击防火墙时 及时地扫描相关的网络应用的能力将至关重要 Whiteley继续说 一旦认为传统的防火墙可以将网络保护周全 那么这个机构的安全体系就会出现漏洞 我们看到诸如Web2 0 Web服务 SOA以及软件与服务等这些趋势正在极大地改变公司的应用架构 这也意味着 更具有关键使命的数据流正使用着标准的网络端口 XML Java Flash及其他许多新的网络协议将使用新的 创新性的应用类型 但这也带来了数目不详的弱点 公司将不得不将注意力转移到应用层的保护 以阻止演变得日益复杂和具有针对性的程序开发带来的对网络安全的威胁 这对新一代的防火墙技术是至关重要地 因为它可以提供更好的可见性 以便更好地处理当今的威胁 16 今天的企业用户安装一些为了逃避遗产网络防火墙侦查而设计出的个人或商用的应用程序 于是就要有一种新的方案来满足现代企业公司的需要 此方案要能够利用网络防火墙的应用程序控制 IP信誉 IPreputation 技术和网关反病毒过滤等特性 PaloAltoNetworks公司官方人员说 现代应用程序 正开始采用一种通信模式 通过由一个端口到另一个端口的跳跃或隧道加密链接或仅伪装成80端口等方式相当有效地绕过现有的安全基础设施 结果 企业已大幅度的失去对这些连接的控制 而且在某些商业活动中产生了信息泄漏等问题 为了帮助企业解决这一局面 PaloAltoNetworks公司已在其最近发布了防火墙装置PA 4000Series 因为加入了申请分类技术 所以可识别穿越端口的应用信息流 防火墙 杀毒如果有必要识别应用 我们还可以打开SSL链接 此外 PA 4000装置进行深度包检测 应用过滤器并执行基于应用的对策 例如 一个组织可能选择允许基于Web的邮件 但又扫描传送文件是否含有病毒 Stemvens说 17 思科 Cisco 与Ironport的合并已经完成 思科官员表示 他们会考虑将Ironport的IP信誉技术植入防火墙 武装上了Ironport的SenderBase网站的信誉数据 思科公司的防火墙将可以知道它所连接的服务器的信誉 这样的防火墙将在2008年上半年首次发布 它将允许你为这些连接提供可见性 这样你可以看到你的网络中有多少客户在连接那些被称为botnet控制节点的服务器 用户将能够阻止 扼杀或拒绝那些可疑的连接 位于加利福尼亚州的SanJose的Cisco sIronPort事业部的副营销主管TomGillis如是说