安全設備-防火牆
防火牆是用來進行網絡訪問控制的主要手段。在《測評要求》中,有關身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范及可信驗證的相關要求應當具體落實到防火牆的檢查項中。本節將分為身份鑒別、訪問控制、安全審計、入侵防范、可信驗證五個方面描述檢查過程中對防火牆的關注點。
控制點
1.
身份鑒別
為確保防火牆的安全,必須對防火牆的每個運維用戶或與之相連的防火牆進行有效的標識與鑒別。只有通過鑒別的用戶,才能被賦予相應的權限,進入防火牆,並在規定的權限范圍內操作。
a)
安全要求:應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換。
要求解讀:安全起見,只有經過授權的合法用戶才能訪問防火牆。一般來說,用戶登錄防火牆的方式包括:通過瀏覽器以WEB方式登錄、通過控制台端口以命令行方式登錄、以SSH方式登錄。為了方便用戶,防火牆還提供了圖形界面管理工具用於對設備進行維護和管理。無論采用哪種登錄方式,都需要對用戶身份進行鑒別。在防火牆中,不允許配置用戶名相同的用戶。同時,要防止多人共用一個賬戶,應實行分賬戶管理,為每名管理員設置單獨的賬戶,以避免出現問題后無法及時追查的情況發生。為避免身份鑒別信息被冒用,應保證口令滿足復雜度要求及定期更換要求。
檢查方法
1. 以天融信防火牆為例,核查用戶在登錄時是否采用了身份鑒別措施。
-
通過瀏覽器以WEB方式登錄。
打開IE瀏覽器,在地址欄中輸入網絡衛士防火牆的URL。按“Enter”鍵,進入網絡衛士防火牆的登錄界面,如下圖所示,提示用戶輸入用戶名和密碼。
輸入用戶名和密碼后,點擊“登錄”按鈕,即可登錄到網絡衛士防火牆。登錄后,用戶就可通過WEB界面對網絡衛士防火牆進行配置管理。
-
通過控制台端口以命令行方式登錄。
通過控制台端口成功連接防火牆后,超級終端界面上會出現輸入用戶名的提示,如下圖所示。
輸入用戶名后按“Enter”鍵,提示輸入密碼,如下圖所示。
輸入密碼后按“Enter”鍵,即可登錄網絡衛士防火牆。登錄后,可以使用命令行方式對網絡衛士防火牆進行配置和管理。
-
以SSH方式登錄。
下面以PuTTY為例介紹操作步驟。雙擊putty.exe程序,彈出的界面中,
在“Host Name(or IP Address)”文本框中輸入網絡衛士網絡防火牆的IP地址,然后點擊“Open”按鈕,進入登錄界面,如下圖所示
在用戶登錄窗口根據提示用戶輸入用戶名,輸入用戶名后按“Enter”鍵,提示輸入密碼,如下圖所示。
輸入密碼后按“Enter”鍵,即可登錄網絡衛士防火牆。登錄后,可以使用命令行方式對網絡衛士防火牆進行配置和管理。
2. 核查防火牆管理員賬戶列表,測試用戶身份標識是否具有唯一性,核查是否存在多人共用賬戶的情況。核查是否存在空口令用戶。
3. 詢問管理員對身份鑒別采取的具體措施,包括口令長度是否為8位及以上,口令是否由數字、大小寫字母和特殊字符中的兩種及以上組成,口令是否每季度至少更改一次。
期望結果
1. 防火牆使用口令鑒別機制對登錄用戶進行身份標識和鑒別。
2. 用戶身份標識具有唯一性,不存在多人共用賬戶的情況,不存在空口令用戶。
3.口令長度為8位及以上,由數字、大小寫字母和特殊字符中的兩種及以上組成,口令每季度至少更改一次。
b)
安全要求:應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。。
要求解讀:對防火牆,可以通過配置結束會話、限制管理員的最大登錄失敗次數、設置網絡連接超時自動退出等多種措施實現登錄失敗處理功能。例如,設置管理員最大登錄失敗次數,一旦該管理員的登錄失敗次數超過設定的數值,系統將對其進行登錄鎖定,從而防止非法用戶通過暴力破解的方式登錄防火牆。
檢查方法
1. 應核查是否配置並啟用了登錄失敗處理功能,以及是否配置並啟用了非法登錄達到一定次數后鎖定賬戶的功能。
2. 核查是否配置並啟用了遠程登錄連接超時自動退出的功能。
期望結果
以天融信防火牆為例,通過瀏覽器以WEB方式登錄。
1)配置並啟用了登錄失敗處理功能,以及非法登錄達到一定次數后鎖定賬戶的功能。
在登錄界面輸入防火牆管理員的用戶名和口令,單擊“登錄”按鈕,進入管理界面。在左側導航欄中選擇“系統管理”下的“配置”選項,激活“系統參數”標簽頁,如下圖所示。
選中“高級屬性”復選框,可以查看到“最大登錄失敗次數”設置框,如下圖所示。
2)配置並啟用了遠程登錄連接超時自動退出功能。
在登錄界面輸入防火牆管理員的用戶名和口令,單擊“登錄”按鈕,進入管理界面。在左側導航欄中選擇“系統管理”下的“配置”選項,激活“系統參數”標簽頁,如下圖所示:
選中“高級屬性”復選框,查看“WEBUI超時時間”的配置,如下圖所示。
c)
安全要求:當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
要求解讀:為避免口令傳輸過程中被竊取,不應使用明文傳送的Telnet、HTTP服務,而應當采用SSH、HTTPS等加密協議等方式進行交互式管理。
檢查方法
詢問系統管理員采用何種方式對防火牆進行遠程管理。核查通過WEB界面進行的管理操作是否都已通過SSL協議加密處理。
期望結果
在通過WEB界面進行遠程管理時,使用SSL協議進行加密處理。
d)
安全要求:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
要求解讀:采用組合的鑒別技術對用戶進行身份鑒定是防止身份欺騙的有效方法。在這里,兩種或兩種以上組合的鑒別技術是指同時使用不同種類的(至少兩種)鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
檢查方法
以天融信防火牆為例,通過瀏覽器以WEB方式登錄。
在登錄界面輸入防火牆管理員的用戶名和口令,單擊“登錄”按鈕,進入管理界面。在左側導航欄中選擇“用戶認證”下的“用戶管理”,激活“用戶管理”標簽頁,如下圖所示。
在界面右側將顯示用戶列表信息,如下圖所示。
如果需要對用戶進行組合鑒別,可單擊該用戶條目右側的“修改”按鈕,查看該用戶的認證方式(應為“本地口令+證書認證”或“外部口令+證書認證”)。例如,管理員希望對用戶“doc”同時進行證書認證和外部服務器口令認證,可單擊用戶“doc”條目右側的“修改”按鈕,此時看到該用戶的認證方式為“外部口令+證書認證”,如下圖所示。
期望結果
用戶的認證方式為“本地口令+證書認證”或“外部口令+證書認證”。