防火牆安全管理
作者：陈长荣/叶良伟

防火墙安全管理建议
接下来，我们将从防火墙的功能及技术，针对防火墙的建置以及安全管理提出下列建议：

关于防火墙的实作建议：

• 最少的特权 (Least privilege)－ 减少因为职务或特权影响开放防火墙的限制条件，并将防火墙规则的预设限制动作设为 "deny"，也就是任何未经特别允许的联机一律禁止。
• 彻底防御 (Defense in depth)－ 防火墙过滤规则尽可能使用多个限制规则取代单一限制条件。
• 最少信息 (Minimal information)－ 勿将跟企业组织或网络上定有关的信息暴露出来。
• KISS (Keep It Short and Simple) － 复杂的配置设定容易造成错误并因此导致安全的漏洞，因此，让 firewall 的设定及配置尽可能的简单化。
• 防火墙系统只能控制有经过防火墙的网络联机，因此，防火墙应该必须为连上 Internet 的唯一网关 (gateway)。

防火墙硬件的安全配置建议：

• 将防火墙管理主控台分开－目前许多厂牌防火墙系统皆提供从远程透过另一平台管理 firewall 的能力，未来如有 firewall 增加的需要，也可以将 firewall 的管理工作集中控管。
• 防火墙实体放置地区－建议应当将 firewall 放置于安全环境的实体位置，也就是一天24小时有专人操作控管的环境。

防火墙配置建议：

• 身分确认及认证 (Identification and Authentication)
  • 使用支持对于认证信息加密的任证机制来限制使用者使用存取 Internet 的服务。
  • 配置 firewall 成可以显示某标题以便提醒使用者在存取服务之前必须先对 firewall 作他们身份的确认。例如：
    " This system is for XX Company authorized user only. "
    " Unauthorized users may be prosecuted."
• 机密性 (Confidentiality) － 强烈建议任何对于 firewall 的远程管理都必须透过加密的管道。
• 完整性 (Integrity) － 为维护系统的完整性，安装 firewall 机器的操作系统必须针对安全设定作进一步的强化安全性处理。
• 可用性 (Availability)
  • 在完成 firewall 系统的安装及测试之后，建立一份完整的系统备份并将它存放在安全的地方。
  • 安装新版本操作系统或防火墙系统软件，或实行维护时，防火墙系统应该终止所有的网络连结，在经完整测试确定没问题之后再恢复网络连结。
  • 获得以及安装防火墙相关的修正程序 (Fix)。
• 稽核 (Audit)：
  • Firewall 系统上具有安全性考量的机密事件必须要进行追踪 (trace)，设定操作系统上的稽核功能来追踪对于操作系统以及 firewall 软件档案具有写 (write) 或执行 (execute) 的动作。
  • 开启 firewall 系统上的纪录功能，对于被拒绝动作的稽核要以较详细的格式纪录，对于允许动作的稽核则可以以较短的格式纪录。如果纪录的数量太大量而影响正常运作时，可以选择几个规则将它们的纪录功能关闭。

防火墙系统的管理建议：

• 身分确认及认证 (Identification and Authentication)：
  • 系统管理者必须选择一个在其它所使用的系统上所未曾使用的密码。
  • 每位使用者在同一系统上必须要有各自不同的帐号，不可互相共享帐号。
  • 登录的帐号及密码不可在 LAN 或 WAN 上以明文传送。
• 权限管理(Privilege management)：
  • 指定给防火墙管理者不超过所需权限的帐号，例如：给没有编辑防火墙安全政策权限管理者只有 "read" 权限的帐号。
  • 在防火墙系统上尽量不要有使用者帐号存在，最好只有系统管理者可以有帐号在防火墙系统上，End user 不允许存取防火墙系统。
• 防火墙安全政策 (security policy)管理：
  • 防火墙系统的所有配置更动均需以文件记载，文件中变更的纪录要有谁在何时对防火墙做了什么变更。
  • 再对防火墙的安全政策有变更之后，必须对防火墙作测试以却定变更可以如预期的执行。
  • 在任何配置变更之后，对防火墙系统作备份并且储存在安全的地方。
• 防火墙纪录及警讯管理
  • 系统应该将系统的稽核纪录送至一集中稽核汇整系统，防火墙的纪录档案必须保存归档在另一系统上而不是保存在防火墙本身系统上，并且应该存盘至少一年以上。
  • 将防火墙系统的警讯机制设定成将警讯传送至真正做监控的管理工作站，至少防火墙应该透过 email 传送给防火墙管理者。基于管理技术考量，防火墙应该将警讯透过 SNMP trap 传送至网络监控工作站。
  • 如果防火墙上设定成具有提供 SNMP 功能，必须确定有加以限制成只有内部网络的适当管理工作站才能存取。
• 测试防火墙
  • 再变更或维护之后，必须对防火墙做完整的测试。测试是否你所希望允许的网络联机真的被允许通过，测试是否其它的网络联机如期望的被拒绝 (rejected) 或丢弃 (dropped)，检查对于所有的变更，纪录及警讯功能是否可以正常运作。

结论
在今日分布式及开放的网络环境中，信息安全的考虑变得复杂而难以掌控，信息安全已是企业及组织必须面对及重视的重要课题，然而，完整的信息安全规划应该着重在管理层面，而不仅是单纯的信息安全产品的建置。一个完整的安全规划将会较各个安全产品的选择重要；信息安全的管理策略将比产品功能重要，故寻求建置前全面的安全规划，建置后完整且持续的管理才是最有安全效率的作法。