安全區域邊界-（二）訪問控制

安全區域邊界

 

控制點

2.訪問控制

訪問控制技術是指通過技術措施防止對網絡資源進行未授權的訪問，從而使計算機系統在合法的范圍內使用。在基礎網絡層面，訪問控制主要是通過在網絡邊界及各網絡區域間部署訪問控制設備，如網閘、防火牆等。

 

訪問控制設備中，應啟用有效的訪問控制策略，且應采用白名單機制，僅授權的用戶能夠訪問網絡資源；應根據業務訪問的需要對源地址、目的地址、源端口、目的端口和協議等進行管控；能夠根據業務會話的狀態信息為進出網絡的數據流提供明確的允許/拒絕訪問的能力；同時，訪問控制應能夠對進出網絡的數據量所包含的內容及協議進行管控。

a)**

安全要求：應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。

要求解讀：應在網絡邊界或區域之間部署網閘、防火牆、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件，根據訪問控制策略設置有效的訪問控制規則，訪問控制規則采用白名單機制。

檢查方法

1.應檢查在網絡邊界或區域之間是否部署訪問控制設備，是否啟用訪問控制策略。

2.應檢查設備的訪問控制策略是否為白名單機制，僅允許授權的用戶訪問網絡資源，禁止其他所有的網絡訪問行為。

3.應該檢查配置的訪問控制策略是否實際應用到相應的接口的進或出方向。

以CiscoIOS為例，輸入命令“show runninge6onfig”，檢查配置文件中訪問控制策略。

測評對象

訪問控制設備/策略

期望結果

設備訪問控制策略具體如下：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.11 eq 3389

access-list 100 deny ip any any interface GigabitEthernet1/1

ip access-group 100 in

高風險判定

滿足以下條件即可判定為高風險且無補償因素：

重要網絡區域與其他網絡區域之間（包括內部區域邊界和外部區域邊界）訪問控制設備不當或控制措施失效，存在較大安全隱患。例如辦公網絡任意網絡終端均可訪問核心生產服務器和網絡設備；無線網絡接入區終端可直接訪問生產網絡設備等。

b)*

安全要求：應刪除多余或無效的訪問控制規則，優化訪問控制列表，並保證訪問控制規則數量最小化。

要求解讀：根據實際業務需求配置訪問控制策略，僅開放業務必須的端口，禁止配置全通策略，保證邊界訪問控制設備安全策略的有效性。不同訪問控制策略之間的邏輯關系應合理，訪問控制策略之間不存在相互沖突，重疊或包含的情況；同時，應保障訪問控制規則數量最小化。

檢查方法

1.應訪談安全管理員訪問控制策略配置情況，核查相關安全設備的訪問控制策略與業務及管理需求的一致性，結合策略命中數分析策略是否有效。

2.應檢查訪問控制策略中是否包禁止了全通策略或端口、地址限制范圍過大的策略。

3.應核查設備的不同訪問控制策略之間的邏輯關系是否合理。

以Cisco IOS為例，輸入命令show running-config，檢查配置文件中訪問控制列表配置項。

測評對象

1.安全管理員
2.訪問控制策略

期望結果

1.訪問控制需求與策略保持一致。

2.應合理配置訪問控制策略的優先級，如：

access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.10

上述訪問控制策略排列順序不合理，第二條策略應在前面，否則不能被命中。

3.應禁用全通策略，如access-list 100 permit tcp any host any eq any

4.應合並互相包含的策略，如：

access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10

access-list 100 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10

第二條策略不起作用，可直接刪除。

c)*

安全要求：應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出。

要求解讀：應對網絡中網閘、防火牆、路由器、交換機和無線接入網關等提供訪問控制功能的設備或相關組件進行檢查，訪問控制策略應明確源地址、目的地址、源端口、目的端口和協議，以允許/拒絕數據包進出。

檢查方法

應核查設備中訪問控制策略是否明確設定了源地址、目的地址、源端口、目的端口和協議等相關配置參數。

以Cisco IOS為例，拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過F0/0接口，輸入命令：show running-config，檢查配置文件中訪問控制列表配置項。

測評對象

訪問控制策略中的配置文件

期望結果

檢查配置文件中是否存在類似如下配置項：

access-list101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255eq 21

access-list101 permit ip any any

interface fastethernet0/0

ip access-group101 out

d)

安全要求：應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力。

要求解讀：防火牆能夠根據數據包的源地址、目標地址、協議類型、源端口、目標端口等對數據包進行控制，而且能夠記錄通過防火牆的連接狀態，直接對包里的數據進行處理。防火牆還應具有完備的狀態檢測表來追蹤連接會話狀態，並結合前后數據包的關系進行綜合判斷，然后決定是否允許該數據包通過，通過連接狀態進行更迅速更安全地過濾。

檢查方法

應檢查狀態檢測防火牆訪問控制策略中是否明確設定了源地址、目的地址、源端口、目的端口和協議。

以Cisco IOS為例，輸入命令：show running-config。

測評對象

防火牆訪問控制策略中的配置文件

期望結果

檢查配置文件中應當存在類似如下配置項：

access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 21

access-list 101 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10 eq 80

access-list 101 deny ipgany any

e)*

安全要求：應對進出網絡的數據流實現基於應用協議和應用內容的訪問控制。

要求解讀：在網絡邊界采用下一代防火牆或相關安全組件，實現基於應用協議和應用內容的訪問控制。

檢查方法

1.應檢查在關鍵網絡節點處是否部署訪問控制設備。

2.應檢查訪問控制設備是否配置了相關策略，對應用協議、應用內容進行訪問控制，並對策略有效性進行測試。

測評對象

1.關鍵網絡節點

2.訪問控制設備相關策略

期望結果

防火牆配置應用訪問控制策略，從應用協議、應用內容進行訪問控制，對QQ聊天工具、優酷視頻以及Web服務、FTP服務等進行管控。