防火墻的審計(jì)是近一、兩年在美國各企業(yè)和公立部門逐漸開始的一項(xiàng)安全業(yè)務(wù)。美國在二零零零年就基本上普及了防火墻。但由于缺乏經(jīng)驗(yàn)豐富的專業(yè)人員，以及管理上的疏忽與混亂，很多防火墻基本上形同虛設(shè)，并沒有真正有效地發(fā)揮作用。網(wǎng)絡(luò)入侵的事件仍然頻頻發(fā)生。絕大多數(shù)公司對于網(wǎng)絡(luò)入侵或者根本就沒有察覺，或者察覺后保持沉默，能瞞就瞞，盡量避免影響公司的形象。但是在暗地里，這些公司吃一塹長一智，重金聘請高手，查找安全漏洞。結(jié)果發(fā)現(xiàn)很多漏洞就來自于防火墻本身。事實(shí)使他們認(rèn)識到，如果不好好管理防火墻，不但防不了“火”，有時(shí)甚至還會引火燒身。要解決這個(gè)問題，有效的辦法之一就是對防火墻進(jìn)行定期的審計(jì)，搶在問題發(fā)生之前去發(fā)現(xiàn)問題。這樣一來，一個(gè)新的安全業(yè)務(wù)-防火墻審計(jì)，就在戰(zhàn)火中悄然誕生了。如今對防火墻審計(jì)已漸漸成為安全審計(jì)的一個(gè)重要的環(huán)節(jié)。本文力圖用有限的篇幅，對防火墻審計(jì)做一個(gè)簡單的介紹。這里說的防火墻審計(jì)，并不是簡單地指對防火墻日志的審計(jì)，而是對整個(gè)防火墻的功能、設(shè)置、管理、環(huán)境、弱點(diǎn)、漏洞等進(jìn)行全面的審計(jì)。

　　1.為什么要審計(jì)防火墻？

　　審計(jì)防火墻就是要查找防火墻的問題。導(dǎo)致防火墻出問題的因素很多。歸結(jié)起來，主要有以下四個(gè)方面的因素：

　　第一，人為的疏忽。

　　智者千慮，必有一失。防火墻雖然已有了十多年的歷史，但直到今天，還沒有一個(gè)廠家可以向客戶提供簡單明了的管理界面。即使一個(gè)經(jīng)驗(yàn)豐富的防火墻管理員，面對幾十條上百條防火墻規(guī)則（FirewallRules），也有搞糊涂的時(shí)候。一個(gè)生手就更不必說了。有時(shí)規(guī)則之間互相沖突。有的洞開得太大，不能夠起到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。有的規(guī)則根本就違反公司的安全政策（SecurityPolicy），就不該存在。有的單位讓多人擁有防火墻管理員的帳戶。誰高興了就來設(shè)置一條新的規(guī)則，防火墻被搞得亂七八糟。防火墻是不會提醒操作員這些問題的。這些問題使防火墻的有效性大打折扣。糾正這一類問題的辦法，就是靠定期的審計(jì)。

　　第二，管理的松懈。

　　這是最普遍的情況。對于一個(gè)小公司來說，也許有一座防火墻就足夠可以應(yīng)付守衛(wèi)網(wǎng)絡(luò)的需求。不過，這樣一個(gè)小公司，往往雇不起一個(gè)防火墻專家，就只好把這一職責(zé)外包。那個(gè)承接外包的安全公司，也許就只有那么兩、三個(gè)防火墻專家在唱空城計(jì)。他們每人至少要看管好幾十個(gè)公司的防火墻，人員經(jīng)常處于超負(fù)荷運(yùn)行狀態(tài)。為了盡力滿足客戶的需要，他們基本上是有求必應(yīng)。如果對客戶說“不”，以后的合同就不好拿到了。很多安全漏洞就出在這里。因?yàn)榭蛻魝兊陌踩R有限，他們提出的要求有不少是違反安全原則的。隨便答應(yīng)了他們，就在防火墻留下了一個(gè)個(gè)安全隱患。有的公司連把防火墻外包的錢都不想花，就賭自己公司不會有霉運(yùn)，隨便讓公司內(nèi)部某個(gè)未經(jīng)防火墻培訓(xùn)的網(wǎng)管兼任墻管的重任。錢是省了，可是，一場大禍，這省的錢就會加倍地賠出去。大點(diǎn)的公司，情況似乎好一些。防火墻有專人負(fù)責(zé)?？墒?，公司一大，防火墻的數(shù)目也跟著增長（筆者就職的公司有四百多座防火墻，還有很多嵌入式防火墻裝在3G的微波塔內(nèi)）。尤其是，公司內(nèi)部也互設(shè)防火墻，以達(dá)到分級保護(hù)的目的。這就使情況極為復(fù)雜。墻越多，管理的難度就越高。一個(gè)數(shù)據(jù)在公司內(nèi)部從網(wǎng)絡(luò)的一端走到另一端，可能要通過好幾道防火墻。如何讓各種數(shù)據(jù)暢通無阻又不在安全方面妥協(xié)退讓，就成為一個(gè)十分復(fù)雜的問題。當(dāng)然，最偷懶省事的辦法就是打開閘門，讓魚蝦螃蟹一律通過。這種情況尤其是在緊急狀態(tài)下常出現(xiàn)。很多臨時(shí)加上去的應(yīng)急策略往往變成永久策略。這就種下一個(gè)個(gè)禍根。防火墻一多，正確地做變更日志就困難得多。沒有精確地做好變更日志，加上人員的流動，久而久之整個(gè)防火墻系統(tǒng)就成為一團(tuán)理不清的亂線，該擋的不去擋，該放行的不放行。另外一個(gè)十分常見的防火墻管理方面的問題，就是忽略了對防火墻日志的定期審計(jì)。以至于墻內(nèi)外風(fēng)聲四起，雷鳴電閃，防火墻管理員也照常睡大覺。對付以上這一類的問題，只有加強(qiáng)管理。和財(cái)務(wù)管理一樣，防火墻的管理不能沒有定期的審計(jì)。定期的審計(jì)可以協(xié)助防火墻管理人員理清亂線，發(fā)現(xiàn)潛在的危機(jī)，消除隱患。對于客戶來說，這是負(fù)責(zé)任的做法。

　　第三，防火墻自身存在的漏洞或缺陷。

　　一個(gè)防火墻今天是密不透風(fēng)，如銅墻鐵壁，過些天就有可能是漏洞百出，有如一團(tuán)豆腐渣。這種情況是如何產(chǎn)生的呢？迄今為止，還沒有哪個(gè)廠家生產(chǎn)的防火墻不存在任何安全漏洞。只不過那些漏洞須經(jīng)時(shí)日才能被逐漸發(fā)現(xiàn)。每當(dāng)這種情況發(fā)生，生產(chǎn)廠家就要拿出修補(bǔ)的軟件包，供用戶安裝。有時(shí)甚至要推出新的版本才能堵住漏洞。問題在于，能懶就懶的防火墻管理員不乏其人。天長日久，欠的補(bǔ)釘太多了，問題就越來越大。有時(shí)，防火墻本身并不存在什么大問題，但問題出在防火墻軟件基于的操作系統(tǒng)軟件上。目前大部分在線的防火墻仍然是軟件防火墻。一般地說，每個(gè)防火墻至少有一個(gè)網(wǎng)絡(luò)界面可以進(jìn)入防火墻的操作系統(tǒng)操，還有一個(gè)界面可以用來管理防火墻。我們叫它管理界面（ManagementInterface）。它們應(yīng)該是被設(shè)置在特殊的孤立網(wǎng)絡(luò)環(huán)境里。但在現(xiàn)實(shí)中往往并不是這樣。通過攻擊防火墻操作系統(tǒng)和管理界面的漏洞，可以一舉攻破防火墻，起到出其不意的效果。要堵住操作系統(tǒng)的漏洞，也基本上是靠生產(chǎn)廠家提供修補(bǔ)程序。只要嚴(yán)格按照廠家的信息，及時(shí)修補(bǔ)操作系統(tǒng)的漏洞，嚴(yán)格控制進(jìn)入管理界面的渠道，這一問題就不會存在。還有的防火墻，由于價(jià)格過于低廉，功能太差，比如說不能檢測和阻擋拒絕服務(wù)類的攻擊，無法滿足日益增長的安全需要，就只好更新?lián)Q代。對防火墻的定期審計(jì)，可以查出這一方面的問題，及時(shí)采取明智的措施。

　　第四，防火墻的運(yùn)行及環(huán)境狀況。

　　對于很多企業(yè)來說，防火墻是數(shù)據(jù)進(jìn)出口的重要關(guān)卡。防火墻一旦停止運(yùn)行，或者出現(xiàn)阻滯的狀態(tài)，企業(yè)的運(yùn)營就會受影響。一個(gè)正常情況下運(yùn)行的防火墻，應(yīng)該有足夠的內(nèi)存和外存空間來周轉(zhuǎn)和儲存數(shù)據(jù)，在大多數(shù)的時(shí)間處理器不是處于滿負(fù)荷狀態(tài)，防火墻有高質(zhì)量的穩(wěn)壓電源及斷電保護(hù)，周圍溫度和濕度有嚴(yán)格的控制，以及物理安全有保障。當(dāng)然，最好所有的防火墻都能夠有failover的設(shè)置。這樣在主墻倒塌的情況下，預(yù)備墻可以自動接替。這些條件，并不是所有單位都有做到。這方面的問題，往往最容易受到忽略。有的公司把防火墻與服務(wù)器，網(wǎng)絡(luò)開關(guān)，路由器等同堆在一層架子上。網(wǎng)絡(luò)管理員一不小心就可將防火墻的電纜碰掉，造成網(wǎng)絡(luò)中斷。這一類的問題看起來并不難解決，但并不是所有單位都解決好了。審計(jì)防火墻，可以發(fā)現(xiàn)這方面的問題。

　　現(xiàn)在，我們對為什么要定期審計(jì)防火墻，以及主要從哪幾個(gè)方面去查問題，應(yīng)該有個(gè)較清楚的輪廓了。

　　2.由什么人來審計(jì)防火墻？

　　就像有財(cái)務(wù)知識和經(jīng)驗(yàn)的專業(yè)人員原則上都可以搞財(cái)務(wù)審計(jì)一樣，大凡精通網(wǎng)絡(luò)安全審計(jì)及防火墻管理的專業(yè)人員，原則上都可以審計(jì)防火墻。但是，這里還是有一些規(guī)矩的。

　　一般來說，防火墻管理員本人不應(yīng)被聘請來審計(jì)自己管理的防火墻。這和財(cái)務(wù)上把審計(jì)和財(cái)會人員職責(zé)分開有些類似。鮮有防火墻管理員會承認(rèn)自己管理的防火強(qiáng)存在重大問題。別人從另外一個(gè)角度來看問題，就比較容易發(fā)現(xiàn)毛病之所在。當(dāng)然，有師徒關(guān)系的防火墻管理員最好也不要互查防火墻。尤其在國內(nèi)，礙面子的話總說不出口。另外，如果一家單位是把防火墻管理工作外包的話，那么就最好不要請同一外包公司審計(jì)自己的防火墻。但是如果那家外包公司主動經(jīng)常地審計(jì)客戶的防火墻，那倒是件好事。大公司可以讓不管理防火墻的網(wǎng)絡(luò)安全管理人員來審防火墻，或者干脆把這一工作外包。

　　有人會提出，既然審計(jì)防火墻有一定的規(guī)矩去遵循，為什么不寫一個(gè)軟件去把這項(xiàng)業(yè)務(wù)自動化？到目前為止，審計(jì)防火墻日志的軟件倒是有不少，也有人寫出軟件來審計(jì)防火墻的規(guī)則。但對防火墻進(jìn)行全面的審計(jì)，和財(cái)務(wù)審計(jì)那樣，牽涉到的因素太多，不能全用軟件來執(zhí)行。尤其是上市公司的安全審計(jì)結(jié)果會影響公司的聲譽(yù)及股票持有人的信心。稍一出錯(cuò)就有可能牽扯到法律訴訟。在這類情況下，人的經(jīng)驗(yàn)還是最可靠的。目前審計(jì)防火墻最快捷的辦法，就是事先開列詳細(xì)的審計(jì)步驟，一步一個(gè)腳印地執(zhí)行，把審計(jì)結(jié)果一一填寫在事先準(zhǔn)備好的一堆（電子）表格上（AuditChecklist）。表填滿了，剩下的任務(wù)就是t填表寫報(bào)告。

　　本文的作用，就是為審計(jì)防火墻的基本步驟提供一個(gè)大致的輪廓。有了這個(gè)輪廓后，根據(jù)各單位的具體情況搞出審計(jì)防火墻的具體步驟，應(yīng)該是輕而易舉的。

　　3.防火墻審計(jì)的基本方法和步驟

　　（1）在開始審計(jì)防火墻前，要把防火墻的周圍網(wǎng)絡(luò)環(huán)境，保護(hù)對象，安全要求搞清楚。還要搜集一些必要的資料為后面的步驟做準(zhǔn)保。至少要得到最新的以下方面的情報(bào)：

　　防火墻周圍區(qū)域網(wǎng)絡(luò)的流程圖（包括內(nèi)部和外部）

　　路由器的設(shè)置

　　防火墻及周圍設(shè)備在網(wǎng)絡(luò)上的名字和IP地址

　　防火墻網(wǎng)絡(luò)連接情況（防火墻每個(gè)網(wǎng)絡(luò)界面的IP和鄰近設(shè)備）

　　有關(guān)防火墻的最基本信息，比如生產(chǎn)廠家，版本，質(zhì)量保障合同，管理員的姓名，24小時(shí)技術(shù)支持的電話號碼，等等。

　　防火墻使用單位的安全政策（SecurityPolicy）。在國內(nèi)還必須搞清楚國家政策和法律要求。

　　防火墻的管理制度（書面）。要仔細(xì)檢查責(zé)任制，變更控制過程（changecontrolprocess），維修和廠家銷后支持的途徑及過程，等等。

　　防火墻的安裝、使用、升級、維護(hù)、及日常管理記錄。

　　這一步實(shí)際上是為整個(gè)審計(jì)工作做準(zhǔn)備。如果缺少以上任何一個(gè)方面的情報(bào)，必須在審計(jì)報(bào)告中建議有關(guān)人員補(bǔ)上。最難補(bǔ)的是安全政策。可是一個(gè)單位如果沒有一個(gè)哪怕是很簡單的安全政策，信息安全就只能是兒戲，充其量是某種權(quán)宜之計(jì)。如果缺失防火墻記錄，能補(bǔ)的盡量補(bǔ)上，補(bǔ)不上的就從現(xiàn)在開始嚴(yán)格地做記錄。根據(jù)筆者的經(jīng)驗(yàn)，很多單位在這第一步就出問題。比如，根本沒有任何的防火墻管理制度或維護(hù)日志。即使有，也是基本空白。防火墻的管理界面放到高危險(xiǎn)區(qū)，防火墻的Internet端口接入的網(wǎng)絡(luò)開關(guān)（NetworkSwitch）上接入了幾個(gè)未登記的機(jī)器，等等。但如果這第一步?jīng)]有問題，后邊的問題也不會太多。

　　（2）下一步就是查看防火墻的配置、環(huán)境、和運(yùn)行情況。這其中包括邏輯的和物理的狀況　　要調(diào)查的至少應(yīng)包括以下幾個(gè)方面：

　　防火墻的硬件設(shè)置（這主要是查處理器的數(shù)目及速度，硬件防火墻免查這一項(xiàng)）。

　　防火墻的操作系統(tǒng)及版本（硬件防火墻免查操作系統(tǒng)及版本）。

　　防火墻的網(wǎng)卡設(shè)置速度。是不是halfduplex？是不是10Base-T？其速度跟網(wǎng)絡(luò)開關(guān)的速度是否嚴(yán)格匹配？

　　防火墻的日志是存在哪里的（存在自身的硬驅(qū)還是另一計(jì)算機(jī)的硬驅(qū)）？如果存在另外一臺計(jì)算機(jī)上，那么是如何保護(hù)日志的（是否加密）？保存多長時(shí)間？有沒有把日志備份到磁帶上？

　　如果防火墻的日志是存到自己的硬驅(qū)里，那么硬驅(qū)總共有多大存儲空間？還剩多少存儲空間？如果只剩有很少的空間，那么要趕快想辦法。

　　看一看防火墻的內(nèi)存（RAM）使用情況?？纯词欠窠?jīng)常處于滿負(fù)荷狀態(tài)。如果是，就要在審計(jì)報(bào)告中建議考慮增加內(nèi)存。

　　看一看防火墻的中央處理器使用情況?？纯词欠窠?jīng)常處于滿負(fù)荷狀態(tài)。如果是，就要在審計(jì)報(bào)告中建議更換機(jī)器。

　　對于軟件防火墻，是不是定期將所有數(shù)據(jù)（包括操作系統(tǒng)）備份到磁帶上？

　　防火墻有沒有failover設(shè)置？如果有，怎么測試它是否真的管用？

　　有沒有緊急情況應(yīng)急方案？對方案有沒有進(jìn)行定期的實(shí)戰(zhàn)訓(xùn)練？

　　有關(guān)防火墻的文件是不是胡亂堆在哪個(gè)桌子上任人翻看？防火墻是放在哪里的？機(jī)房溫度是否太高？防火墻的散熱風(fēng)扇是否在轉(zhuǎn)？摸摸防火墻是不是燙手？機(jī)房的門是不是大敞開歡迎各方游客？機(jī)房有沒有防火報(bào)警器？防火墻是不是隨便堆在另一臺計(jì)算機(jī)上面一碰就倒？所有的電纜是否用標(biāo)簽明確地說明網(wǎng)絡(luò)界面及IP？電纜是不是吊在空中一不小心就會把人絆倒？電源是不是穩(wěn)壓的？有沒有斷電保護(hù)？機(jī)房地面是不是防靜電的？機(jī)房的垃圾桶里面是不是有防火墻的示意圖、半截?zé)燁^、香蕉皮、色情圖文？一個(gè)隨便亂丟機(jī)密文件、在機(jī)房吸煙、飽開口福、想入非非的防火墻管理員是難以勝任的。

　　上面除第一個(gè)環(huán)節(jié)外，其它任何一個(gè)環(huán)節(jié)出問題，都有可能導(dǎo)致嚴(yán)重的后果。像防火墻操作系統(tǒng)的版本，如果還是SunSolaris2.6，就是個(gè)大問題。因?yàn)镾un（升陽公司）早就停止支持Solaris2.6，并不再為其寫任何補(bǔ)釘了。這就是說，如果某黑客發(fā)現(xiàn)了一個(gè)新的SunSolaris2.6的漏洞，SunSolaris2.6的用戶將毫無舉措。

　　（3）下一步就是了解防火墻的自身安全狀況。防火墻是用來保護(hù)網(wǎng)絡(luò)的，當(dāng)然首先要有能力保護(hù)自己。自身不保的防火墻等于是放火墻。在這方面至少要把以下幾點(diǎn)搞清楚：

　　對于軟件防火墻，查看防火墻的操作系統(tǒng)究竟有沒有按照生產(chǎn)廠家的規(guī)定，安裝足夠的安全補(bǔ)釘。如果沒有，那么將缺少的補(bǔ)釘一一列出來。

　　查看防火墻本身的補(bǔ)釘–是否有按照生產(chǎn)廠家的規(guī)定，把安全補(bǔ)釘裝夠。如果沒有，那么將缺少的補(bǔ)釘一一列出來。如果是硬件防火墻，那么就要查看防火墻的Firmware版本。然后核對生產(chǎn)廠家的最新版本。如果防火墻的Firmware確版本不是最新的，那么就要在審計(jì)報(bào)告中把這個(gè)問題寫上去。

　　有多少人被授權(quán)進(jìn)行防火墻的管理？他們是使用各自的用戶名進(jìn)入防火墻管理界面，還是否共享一個(gè)用戶名？有沒有一張示意圖表明這些人的權(quán)限？他們是否被要求定期更換口令？是否允許使用脆弱口令？防火墻日志是否記詳細(xì)記錄每個(gè)管理員的進(jìn)入系統(tǒng)的時(shí)間、輸錯(cuò)口令的次數(shù)、被拒絕進(jìn)入的次數(shù)，退出系統(tǒng)的時(shí)間，等等。

　　有沒有“后門”可以避開種種安全控制，進(jìn)入防火墻。這是比較困難的。因?yàn)榉阑饓芾韱T一般不會說出這一類秘密。要做些研究，包括向生產(chǎn)廠家詢問。特別是要向生產(chǎn)廠家打聽系統(tǒng)安裝時(shí)第一個(gè)使用的用戶名及口令。然后看看那個(gè)用戶名和口令是不是在系統(tǒng)安裝好后已更改。

　　防火墻管理是從哪臺計(jì)算機(jī)進(jìn)行操作的？那臺計(jì)算機(jī)是不是有屏幕保護(hù)以防止外人隨意操作？是不是誰都可以躲在后面偷看一把？翻開鍵盤底下，是不是寫了一行口令？

　　一般地說，防火墻的管理是遠(yuǎn)程操作的。那么，我們要了解這一遠(yuǎn)程操作過程是否自始至終加密?？梢栽囋囉肨elnet遠(yuǎn)程登錄。還要搞清楚是不是任何IP都可以允許進(jìn)行遠(yuǎn)程管理。如果是，一定要在審計(jì)報(bào)告中要求對IP加嚴(yán)格的限制。

　　對于軟件防火墻，還要仔細(xì)檢查操作系統(tǒng)的設(shè)置。是不是有任何多余的系統(tǒng)過程（services）在運(yùn)行？各用戶口令是否定期改變？是否允許使用脆弱口令？是否有完備的操作系統(tǒng)安全日志？等等。

　?。?）現(xiàn)在我們要進(jìn)入審計(jì)的核心部分：檢查防火墻的規(guī)則（ruleset）。這是防火墻審計(jì)過程中最困難、最復(fù)雜，最費(fèi)時(shí)的一步。

　　每一條防火墻的規(guī)則的產(chǎn)生或更改，都需要有詳細(xì)的注釋，寫清楚是誰要求添加和修改的，原因何在，添加或更改的日期，以及時(shí)限等。我們首先要把全部的規(guī)則從防火墻調(diào)出（幾乎所有品牌的防火墻都有這項(xiàng)功能），然后打印出來。下面就要一條一條地去查看是否有注釋……如果任何一條規(guī)則后面沒有加注釋，那么就要在審計(jì)報(bào)告中建議防火墻管理員補(bǔ)上。

　　然后，我們要檢查防火墻的第一條規(guī)則。防火墻的第一條規(guī)則就是拒絕一切數(shù)據(jù)流進(jìn)入（“blockall”）。這一步極少出問題。

　　下面的工作，就是要把所有時(shí)限并過時(shí)了的規(guī)則列在一起。這一步的目的就是防止那些應(yīng)急策略變成永久策略。如果防火墻管理員對于每一條規(guī)則都做了詳細(xì)的注釋，這一步就很快可以完成。完成這一步可以為下一步減少許多工作量。找出了所有的過時(shí)了的規(guī)則后，最終目的是要把它們刪除，或者把它們變成永久性的（在不違反安全政策的前提下）。如果防火墻管理員不能提供很好的注釋，這一步就無法完成。下一步就要多一些工作量。要把這個(gè)問題寫在審計(jì)報(bào)告上，以防再次出現(xiàn)。

　　然后我們要一條一條地去核實(shí)防火墻規(guī)則的有效性。所謂有效性，是指兩個(gè)方面。其一是指每一條規(guī)則是否需要存在。最簡單的做法，就是核實(shí)每一條規(guī)則的起點(diǎn)和終點(diǎn)是否還存在。比如說一條規(guī)則要從內(nèi)部IP192.168.24.20到外部IP201.30.33.11打開TCP端口3105，使公司某人可以參加某個(gè)網(wǎng)上會議。但是仔細(xì)一檢查，IP201.30.33.11已關(guān)閉多時(shí)。也就是說這一條規(guī)則無效，必須刪除，或者改到正確的IP上。有效性又是指每一條規(guī)則是否能夠做要做的事情。還以上面的例子，假如兩個(gè)IP都處于工作狀態(tài)，但是公司里這個(gè)參加網(wǎng)上會議的人老是抱怨不能觀看對方的實(shí)況樣品電視解說。只可以看靜態(tài)的圖象。檢查原因，TCP端口3105是打開了，但是對方的系統(tǒng)要求把UDP端口也打開，才能看到電視。這條規(guī)則須經(jīng)修改，加開UDP端口3105.

　　防火墻規(guī)則安全性的涵義較廣。接受過專門培訓(xùn)的防火墻管理員一般是知道如何避免使用不安全的規(guī)則。但是現(xiàn)實(shí)中有很多復(fù)雜的情況，稍不留心就會使一條規(guī)則成為一個(gè)安全隱患。安全性方面大多數(shù)問題都是把“洞”開得太大，或開在不該開的地方。舉個(gè)例子，假設(shè)在DMZ上有幾十臺互聯(lián)網(wǎng)服務(wù)器（WebServer）在日夜運(yùn)行。日常管理和監(jiān)視這些服務(wù)器是通過一臺設(shè)在內(nèi)部網(wǎng)的Tivoli服務(wù)器來執(zhí)行的?？墒荰ivoli服務(wù)器和DMZ上的幾十臺互聯(lián)網(wǎng)服務(wù)器之間有一層防火墻擋著。根據(jù)IBM的技術(shù)文獻(xiàn)，這就要在這一層防火墻開許多端口才行。有些還必需是雙向的（bi-directional）。如果真聽了IBM的話，那防火墻的安全性就大打折扣。因?yàn)楣テ艱MZ是相對來說較容易的事。攻破了DMZ，又有這么多端口大門敞開，攻入內(nèi)部網(wǎng)絡(luò)就不太費(fèi)事了。解決這個(gè)問題的辦法，是關(guān)掉這些端口，在DMZ上安裝一個(gè)Tivoli數(shù)據(jù)中轉(zhuǎn)服務(wù)器，然后只要在防火墻上開兩個(gè)單向端口就行了。安全性還反映在是否執(zhí)行單位的安全政策方面。比如說，某單位的安全政策規(guī)定不準(zhǔn)隨便安裝SMTP服務(wù)器。但是某部門異想天開，要試驗(yàn)一下讓客戶能夠自己開啟用自己注冊域名的Email帳戶發(fā)送電子郵件的可行性。由于大家深知SMTP的危險(xiǎn)性，就決定把它裝在DMZ上，內(nèi)外各有一層防火墻作屏障。可是由于SMTP端口在防火墻上已打開，而且由于是試驗(yàn)的緣故，對四面八方的郵件轉(zhuǎn)發(fā)（MailRelay）的申請一概不拒。這一端口一開，立即被世界上眾多的垃圾郵件發(fā)送裝置自動掃描到。幾小時(shí)后成千上萬的垃圾郵件就潮水般地涌過來，尋找免費(fèi)服務(wù)?？墒悄莻€(gè)防火墻后面的SMTP服務(wù)器卻說不行，因?yàn)槟銈兌疾荒芡ㄟ^我的身份鑒別。但那成千上萬的垃圾郵件發(fā)送裝置不管這一套。這個(gè)失敗了，那個(gè)又來碰碰運(yùn)氣。這樣一來，這臺SMTP服務(wù)器一天到晚在被狂轟濫炸。炸幾下并不會導(dǎo)致任何嚴(yán)重后果。問題是網(wǎng)絡(luò)被阻塞。事實(shí)上，這個(gè)問題在國內(nèi)比較嚴(yán)重。很多SMTP服務(wù)器根本沒有任何防范垃圾郵件功能。它們深受國際垃圾郵件大佬們的青睞。解決這個(gè)問題很簡單：在審計(jì)報(bào)告中建議：嚴(yán)格按照單位的安全政策辦事，取消這類的不安全的SMTP服務(wù)器。中國的具體國情是，國家有嚴(yán)格規(guī)定阻擋特定的IP流通。那么這也是要查的一項(xiàng)。

　　最后，我們要確保防火墻規(guī)則的合理性。合理的防火墻規(guī)則應(yīng)沒有重復(fù)，沒有交疊，它們之間也不互相沖突。這方面的問題在多人管理的防火墻上較多。要把重復(fù)的，相互交疊的，還有互相沖突的規(guī)則列出來，在審計(jì)報(bào)告中建議修改它們。

　　上面幾件事做好了，防火墻的一團(tuán)亂線就理清了，人為造成的漏洞堵住了。在美國很多單位有人僅憑做好這件事情，就會得到上面的嘉獎(jiǎng)。因?yàn)樗鉀Q了很多實(shí)際問題。

　?。?）上面幾個(gè)環(huán)節(jié)，都是由經(jīng)驗(yàn)豐富的人去做的?，F(xiàn)在我們可以輕松一點(diǎn)了：讓傻瓜機(jī)器去幫點(diǎn)忙。這就是對防火墻進(jìn)行漏洞掃描（VulnerabilityScan）。這一類時(shí)髦的安全軟件工具市場上至少已有一打。有些確實(shí)很好。要注意的是，對防火墻的每一個(gè)網(wǎng)絡(luò)界面都要掃描一番，不要漏掉任何一個(gè)。如果你有更時(shí)髦的穿透試驗(yàn)（PenetrationTest）軟件，當(dāng)然也無妨拿過來用用。你手中的百般武藝盡可以拿來大顯身手。筆者還建議，對用來做防火墻管理的計(jì)算機(jī)也不妨掃描一番，比如說看看是否有人已送了一個(gè)特洛伊木馬去常駐。如果把存放防火墻日志的那臺計(jì)算機(jī)也掃描一番，也不算過分。把所有掃描結(jié)果寫到審計(jì)報(bào)告上。有一點(diǎn)要注意的是，不管你用何種方法對防火墻進(jìn)行掃描，一定要把時(shí)間，掃描工具或人使用的IP都準(zhǔn)確地記下來。在下一步的審計(jì)防火墻的日志時(shí)，一定要看看防火墻日志有沒有把受到的攻擊如實(shí)記錄下來。有的防火墻設(shè)置有警報(bào)。要看看警報(bào)系統(tǒng)是否正常工作。

　　（6）然后，我們來審計(jì)防火墻的日志。國內(nèi)對這方面已有不少介紹。這里就不打算重復(fù)了。這方面的軟件也不少。我想提醒兩點(diǎn)：第一，對于軟件防火墻，別忘了也審計(jì)防火墻操作系統(tǒng)的日志。如果一臺防火墻也用來做VPN，那么也要注意有關(guān)VPN上各項(xiàng)活動的日志（一般來說這類VPN沒有獨(dú)立的日志）。如果一臺防火墻也用來做代理服務(wù)器（Proxy），那么也要審計(jì)代理服務(wù)器的日志。審計(jì)代理服務(wù)器的日志耗費(fèi)時(shí)間，用軟件工具可以大大提高效率。第二，審計(jì)防火墻的日志，并不單單是一個(gè)技術(shù)問題，有時(shí)也可能會引出人事，法律，隱私等問題。它在某種程度上可以監(jiān)視跟蹤員工上班時(shí)的網(wǎng)上行為。它可能導(dǎo)致員工丟飯碗，也可能暴露員工的工作效率，癖好，情緒，乃至性傾向。筆者在1996年某次查看防火墻員工瀏攬互聯(lián)網(wǎng)日志，發(fā)現(xiàn)某部門的一個(gè)挺不錯(cuò)的員工的“性”趣全是同性。在跟同事聊天時(shí)不慎說漏了嘴，很快這消息就長了翅膀。不久那個(gè)員工就在風(fēng)言風(fēng)雨中辭職了。這是筆者的一個(gè)永遠(yuǎn)的沉痛教訓(xùn)。審計(jì)防火墻的日志，最好由兩人查看同一日志，以防任何一人隱瞞任何問題。但對于審計(jì)的結(jié)果，要嚴(yán)加保密。如果審計(jì)兵結(jié)果牽涉到人事、法律方面的問題，要把原始證據(jù)妥善保存好，以便復(fù)核。只有原始日志才能用于法律證據(jù)。在防火墻的審計(jì)報(bào)告中要隱去涉嫌人名。

　?。?）最后的一步，就是對防火墻實(shí)施攻擊測驗(yàn)（PenetrationTesting），以測驗(yàn)防火墻的真實(shí)安全性。這需要最謹(jǐn)慎從事。這是只有專家才能做的事情。不同的專家由于經(jīng)驗(yàn)和手段不同，會得出不同的結(jié)果。稱職的這類專家人數(shù)極少。如果沒有條件，這一步可以省略。

　　對防火墻的審計(jì)工作本身，大致就是這些步驟。但要把工作善始善終，還有一件大事要做，這就是要把審計(jì)報(bào)告寫出來。這是可以自動化的。把上述講的所有結(jié)果列在一張表格上。然后給每一方面進(jìn)行打分。打好分后把分?jǐn)?shù)最低和最高的那幾條寫到總結(jié)里去。對需要改正的地方，提出相對的建議。然后再把幾個(gè)大方面的結(jié)果畫幾張五顏六色的大餅圖。最后再搞幾個(gè)附錄之類的。報(bào)告就做出來了。國內(nèi)有些有關(guān)網(wǎng)絡(luò)安全的文章，寫的充滿玄機(jī)，深不可測，把簡單的事情搞復(fù)雜了。但是防火墻的審計(jì)報(bào)告，卻要以簡單明了的方式和格式，讓客戶看得懂，知道怎樣去改正錯(cuò)誤，避免再犯錯(cuò)誤。這就要把復(fù)雜的事情弄簡單一些。