信息系统防火墙规范.doc
《信息系统防火墙规范.doc》由会员分享,可在线阅读,更多相关《信息系统防火墙规范.doc(6页珍藏版)》请在冰点文库上搜索。
胜利石油管理局企业标准
Q/SLSTA-f-2002
信息系统防火墙规范
1总则
为了减少外部网络对企业内部网络的干扰,为了阻击非法用户进入企业内部网络,为了企业用户更好的利用外部网络,根据《应用级防火墙安全技术要求》,《包过滤级防火墙安全技术要求》,《中华人民共和国信息系统安全保护条列》等国家规定,制定本规范。
2范围
本规范规定了防火墙的安全技术要求。
本规范适用于防火墙安全功能的使用,测试和产品采购。
3规范解释权
本规范的解释权在胜利油田管理局信息安全管理中心。
4引用标准
GB/T17900–1999《网络代理服务器的安全技术要求》
GB/T18019–1999《信息技术包过滤防火墙安全技术要求》
GB/T18020–1999《信息技术应用级防火墙安全技术要求》
GB9813–88《微型数字电子计算机通用技术条件》
5防火墙类型
5.1应用级别防火墙。
5.2在应用层上根据预先设定的标准判断是否允许对某些应用程序的访问的防火墙。
应用级防火墙检查所有应用层的信息,放行符合预先设定标准的数据包。
5.3包过滤。
5.4采用包过滤技术保护整个网络不受非法入侵的防火墙。
它在网络层上简单检查所有进入网络的信息,并将不符合预先设定标准的数据丢掉。
5.5应用代理。
5.6控制两边的应用程序只能通过服务器间接通信的防火墙。
此防火墙接受来自一边的通信,检查这一通信是否授权通过,如果是则启动到通信目标的连接。
相反则反之。
5.7混合型防火墙。
5.8使用包过滤、应用层控制技术和网络代理的防火墙。
6防火墙安全运行环境
符合本规范的防火墙用于敏感但不保密的信息处理环境。
防火墙应提供访问控制策略、身份标识与鉴别、远程管理员会话加密、一定的审计能力以及最基本的安全保证。
6.1安全使用条件
防火墙的使用操作环境及运行环境符合以下条件:
6.1.1连接条件
单一接入:
防火墙是内外网络之间的唯一连接点。
6.1.2物理条件
Ø物理访问控制。
Ø防火墙和与其直接相连的控制台在物理上是安全的,而且仅供授权人使用。
Ø通信保护。
Ø信息传输的保护级别应该与信息的敏感性一致(例如:
受物理保护的传输媒体,加密),或者明确说明该信息可以明文传输。
6.1.3人员条件
Ø用户服务。
Ø应用级防火墙提供的不是通常意义下的计算能力,对网络用户基本上是“透明”的,只有授权管理员才能直接访问和远程访问防火墙。
Ø授权管理员。
Ø管理员应值得信任、无恶意,能够正确执行各项职责。
6.2安全威胁
符合本标准的防火墙应能阻止以下威胁:
6.2.1未授权逻辑访问
未经授权的人可能在逻辑上访问防火墙。
未经授权的人是指除防火墙的授权用户之外,所有已经或可能企图访问这个系统的人。
6.2.2假冒网络地址攻击
一个主体可能假冒成另一个主体获得对特定信息的访问。
例如,外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源。
6.2.3针对内部网络的攻击
攻击者利用高层协议和服务,对内部受保护网络或者网上的主机进行攻击,这类攻击可能以拒绝服务和穿透主机或网络结点为目的。
6.2.4审计记录丢失或破坏
攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏。
6.2.5对防火墙的配置和其它与安全相关数据的更改
这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构、以及防火墙的配置参数和与安全相关的数据,对防火墙实施的攻击。
6.2.6绕开身份标识和鉴别机制
这类攻击企图绕过或欺骗身份识别和鉴别机制,假冒成另一个授权管理员侵入已建立的会话连接。
例如,拦截鉴别信息(如口令字),重放有效的鉴别交换信息,以及截取会话连接等攻击。
6.3运行环境面临的威胁
下述威胁必须通过物理控制、过程措施或者管理手段来对付。
6.3.1被保护网上的恶意用户试图向外部用户提供信息
这种威胁是指内部网络用户试图给外部网络上的非授权用户发送信息。
由于防火墙主要用于保护内部网络免受外部网络的侵害,因此,它们对抵御这种威胁作用不大。
6.3.2受保护网络上的恶意用户攻击同一网络上的计算机
防火墙的主要目的是保护防火墙内部的网络用户免受外部用户的侵害。
因此,它无法控制不经过防火墙的通信业务流。
属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击,以及对同一网段上的计算机的攻击。
6.3.3攻击高层协议和服务
此类威胁针对传输层以上的协议层(和利用这些协议的服务,如超文本传输协议HTTP)中的漏洞。
符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问,但是,如果允许数据包通过的话,那么,仍有可能攻击上述的这些服务。
6.3.4截取传输信息
攻击者可能截取通过防火墙传输的敏感信息。
7防火墙基本原则
7.1过滤不安全服务
基于这个准则,防火墙应封锁所有信息流,然后对希望提供的安全服务逐项开放,对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。
这是一种非常有效实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才能允许用户使用。
7.2过滤非法用户和访问特殊站点
基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。
这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。
8防火墙自身安全保护措施
8.1设置特殊密码,密码长度尽可能长。
8.2系统未设置完成不要连入公共网。
8.3不使用系统默认(缺省)值。
8.4注意调整安全级别。
8.5设置读写权限。
9防火墙功能设置及安全策略
9.1外网对DMZ内服务访问控制
将外部对内部、DMZ内服务访问明确限制,防止非法对内部重要系统,特别是业务系统的访问。
利用DMZ的隔离效果,尽量将对外服务的部分服务器放置在DMZ区域,通过NAT方式,保护内部网络免受攻击。
关闭操作系统提供的除需要以外的所有服务和应用,防止因为这些服务和应用自身的漏洞给系统带来的风险。
对内部E-mail、FTP、WWW、数据库的访问做严格的规划和限制,防止恶意攻击行为发生。
9.2内部网络
内部网络对外部网络的访问也要进行严格的限制。
防止内部员工对外网资源的非法访问。
对内部员工对外访问采用NAT方式访问。
同时内部员工对DMZ区域服务器访问也必须做限制。
内部员工对外网WWW访问采用代理方式。
9.3DMZ访问
通常情况下DMZ对外部和内部都不能主动进行访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部分服务。
借助防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略,制定严格完善的访问控制策略保证从IP到传输层的数据安全。
9.4NAT地址转换
将单位内部网络和DMZ区域网络地址通过NAT方式转换,隐藏真实IP地址,防止内部网络受到攻击。
具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址,对外单位只有一个地址。
而借助防火墙的多映射功能,可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。
根据企业内部实际情况,防火墙安全管理源根据风险制定内部网与外部网络之间的安全访问策略,考虑效率与安全之间的平衡;在有单独内部网络的单位也需要安装防火墙时,该防火墙的策略制定绝对不能影响上一级防火墙的访问策略,同时,信息中心管理员必须拥有下一级防火墙的管理员权限。
10生效日期
5
升级会员 