4 安全计算环境 4.2安全设备

4.2.1防火墙

防火墙是被用来进行网络访问控制的主要手段。在《测评要求》中，有关身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范及可信验证的相关要求应当具体落实到防火墙的检查项中。本节将分为身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范及可信验证六个方面描述防火墙在检查过程中的关注点。

4.2.1.1身份鉴别

为确保防火墙的安全，必须对防火墙中的每一运维用户或与之相连的防火墙进行有效的标识与鉴别，只有通过鉴别的用户才能被赋予相应的权限，进入防火墙并在规定的权限内操作。

【安全要求】 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

【要求解读】 为安全起见，防火墙只有经过授权的合法用户才能访问。一般来说，用户登录防火墙方式包括：通过浏览器以WEB方式登录，通过Console口以命令行方式登录，通过SSH方式登录。防火墙为了便于用户管理，还提供了图形界面管理工具便于用户对设备进行维护和管理。无论是采用哪一种登录方式，都需要对用户身份进行鉴别。 防火墙不允许配置用户名相同的用户，同时要防止多人共用一个账户，实行分账户管理，每名管理员设置一个单独的账户，避免出现问题后不能及时进行追查。同时为避免身份鉴别信息被冒用，应保证口令满足复杂度要求及定期更换要求。 【测评方法】 1）以天融信防火墙为例，核查用户在登录时是否采用了身份鉴别措施。 通过浏览器以WEB方式登录: 打开IE浏览器，在地址输入框中输入网络卫士防火墙的UL地址，如https://192.168.83.240。回车后进入网络卫士防火墙的登录界面，如下图所示，提示用户输入用户名和密码。 输入用户名和密码后，点击“登录”按钮，即可登录到网络卫士防火墙。登录后，用户就可通过WEB界面对网络卫士防火墙进行配置管理。 通过console口以命令行方式登录： 通过console口成功连接到防火墙后，超级终端界面会出现输入用户名的提示，如下图所示。 输入用户名后回车，提示用户输入密码，如下图所示。 输入密码后，回车，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 通过SSH方式登录： 通过SSH方式登录，需要SSH软件，下面以PUTTY为例介绍操作步骤。 双击putty.exe程序，弹出界面如下所示。 在“Host Name（or IP Address）”下方的文本框中输入网络卫士网络防火墙的IP地址，然后点击“Open”按钮，进入登录面，如下图所示。 进入用户登录窗口，提示用户输入用户名，如下图所示。 输入用户名，然后回车后，提示用户输入密码，如下图所示。 输入密码后，回车，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2）应核查防火墙管理员账户列表，测试用户身份标识是否具有唯一性，核查是否存在多人共用账户的情况，核查是否存在空口令用户。 3）应询问管理员对身份鉴别所采取的具体措施，确认口令长度是否8位以上，是否由数字、大小写字母和特殊字符中的两种以上组成，口令是否每季度至少更改一次。 【预期结果或主要证据】 1）防火墙使用口令鉴别机制对登录用户进行身份标识和鉴别； 2）用户身份标识具有唯一性，不存在多人共用账户的情况，不存在空口令用户。 3）口令长度8位以上，由数字、大小写字母和特殊字符中的两种以上组成，口令每季度至少更改一次。

【安全要求】 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

【要求解读】 可以通过配置结束会话、限制管理员的最大登录失败次数、网络连接超时自动退出等多种措施实现登录失败处理功能。例如，设置管理员最大登录失败次数，一旦该管理员的登录失败次数超过设定数值，系统将对其进行登录锁定，从而防止非法用户通过暴力破解的方式登录到防火墙。 【测评方法】 1）应核查是否配置并启用了登录失败处理功能，核查是否配置并启用了限制非法登录达到一定次数后实现账户锁定功能。 2）应核查是否配置并启用了远程登录连接超时并自动退出功能。 【预期结果或主要证据】 以天融信防火墙为例，通过浏览器以WEB方式登录。 1）配置并启用了登录失败处理功能，配置并启用了限制非法登录达到一定次数后实现账户锁定功能。 在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择系统管理〉〉配置，激活“系统参数”页签，如下图所示。 选中“高级属性”左侧的复选框，可以查看到“最大登录失败次数”的配置，如下图所示。 2）配置并启用了远程登录连接超时并自动退出功能。 在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择系统管理〉〉配置，激活“系统参数”页签，如下图所示： 选中“高级属性”左侧的复选框，查看“远程登录连接超时”的配置，如下图所示。

【安全要求】 当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

【要求解读】 为避免口令传输过程中被窃取，不应当使用明文传送的Telnet、HTTP服务，而应当采用SSH、HTTPS等加密协议等方式进行交互式管理。 【测评方法】 应询问系统管理员采用何种方式对防火墙进行远程管理，核查通过WEB界面管理是否都通过SSL协议进行加密处理。 【预期结果或主要证据】 通过WEB界面进行远程管理时，通过SSL协议进行加密处理。

【安全要求】 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

【要求解读】 采用双因子鉴别是防止欺骗的有效方法，双因子鉴别不仅要求访问者知道一些鉴别信息，还需要访问者拥有鉴别特征，例如采用令牌、智能卡等。目前主流防火墙多采用“本地口令+证书认证”的方式进行认证。“本地口令+证书认证”认证时，用户既要通过防火墙内部认证服务器的口令认证，也要通过证书认证才能够成功登录防火墙。 【测评方法】 以天融信防火墙为例，通过浏览器以WEB方式登录。 1）在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择用户认证>>用户管理，激活“用户管理”页签，如下图所示。 2）右侧显示用户列表信息，如下图所示。 3）如果需要对用户进行两种或两种以上组合的鉴别技术，点击该用户条目右侧的“修改”图标，查看该用户的认证方式应该为“本地口令+证书认证”或者“外部口令+证书认证”。 例如，管理员希望对用户“doc”同时进行证书认证和外部服务器的口令认证，则点击用户“doc”条目右侧的“修改”图标后，用户属性的“认证方式”应该为“外部口令+证书认证”，如下图所示。 【预期结果或主要证据】 以天融信防火墙为例，通过浏览器以WEB方式登录。查看该用户的认证方式为“本地口令+证书认证”或者“外部口令+证书认证”。 例如，管理员希望对用户doc”同时进行证书认证和外部服务器的口令认证，则点击用户“doc”条目右侧的“修改”图标后，用户属性的“认证方式”应该为“外部口令+证书认证”，如下图所示。

4.2.1.2访问控制

在系统中实施访问控制是为了保证系统资源受控合法地使用。用户只能根据自己的权限大小来访问系统资源，不得越权访问。

【安全要求】 应对登录的用户分配账户和权限。

【要求解读】 为了确保防火墙的安全，需要对登录的用户分配账户，并合理配置账户权限。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择用户认证〉〉用户管理，激活“用户管理”页签，右侧显示用户列表信息，如下图所示。 1）应针对每一个用户账，核查用户账户和权限设置情况是否合理，如账户管理员和配置管理员不应具有审计员权限。 2）应核查是否已禁用或限制匿名、默认账户的访问权限。 【预期结果或主要证据】 1）相关管理人员具有与职位相对应的账户和权限； 2）禁用或限制匿名、默认账户的访问权限。

【安全要求】 应重命名或删除默认账户，修改默认账户的默认口令。

【要求解读】 对于防火墙的默认账户，由于他们的某些权限与实际要求可能存在差异，从而造成安全隐患，因此这些默认账户应被禁用。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择用户认证〉〉用户管理，激活“用户管理”页签，右侧显示用户列表信息，如下图所示。 1）应核查是否重命名默认账户或删除这些默认账户。 2）应核查是否已修改默认账户的默认口令。 【预期结果或主要证据】 防火墙重命名默认账户或删除这些默认账户，已修改默认账户的默认口令。

【安全要求】 应及时删除或停用多余的、过期的账户，避免共享账户的存在。

【要求解读】 防火墙中如果存在多余的、过期的账户，可能会被攻击者利用其进行非法操作的风险，因此应及时清理防火墙中的账户，删除或停用多余的、过期的账户，避免共享账户的存在。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择用户认证〉〉用户管理，激活“用户管理”页签，右侧显示用户列表信息，如下图所示。 1）应核查防火墙用户账户列表，询问管理员各账户的具体用途，分析是否存在多余或过期账户，并核查管理员用户与账户之间是否一一对应。 2）如果因为种种原因导致某些多余的、过期的账户无法被删除，则应测试是否已经停用了这些多余的、过期的账户。 【预期结果或主要证据】 防火墙用户账户列表不存在多余或过期账户，不存在共享用户。

【安全要求】 应授予管理用户所需的最小权限，实现管理用户的权限分离。

【要求解读】 根据管理用户的角色对权限进行细致的划分，有利于各岗位细致协调工作，同时仅授予管理用户所需的最小权限，避免出现权限的漏洞使得一些高级用户拥有过大的权限。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/口令后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择用户认证〉〉用户管理，激活“用户管理”页签，右侧显示用户列表信息，如下图所示。 1）应核查是否进行角色划分，系统中的账户分为系统管理员、安全管理员和审计管理员三类。其中，安全管理员可以制定安全策略，系统管理员可以配置安全策略，审计管理员可以查看日志。 2）应查看管理用户的权限是否已进行分离，是否为其工作任务所需的最小权限，如禁止对管理用户同时赋予配置管理员和审计管理员权限。 【预期结果或主要证据】 1）系统用户进行角色划分，系统中的账户分为系统管理员、安全管理员和审计管理员三类。其中，安全管理员可以制定安全策略，系统管理员可以配置安全策略，审计管理员可以查看日志。 2）管理用户的权限进行了分离，并为其工作任务所需的最小权限，如禁止对管理用户同时赋予配置管理员和审计管理员权限。

【安全要求】 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

【要求解读】 访问控制策略由授权主体进行配置，它规定了主体可以对客体进行的操作，访问控制粒度要求体为用户级或进程级，客体为文件、数据库表级。 【测评方法】 此项不适合，条款主要对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。 【预期结果或主要证据】 此项不适合，条款主要针对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。

【安全要求】 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级。

【要求解读】 访问控制策略由授权主体进行配置，它规定了主体可以对客体进行的操作，访问控制粒度要求主体为用户级或进程级，客体为文件、数据库表级。 【测评方法】 此项不适合，条款主要针对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。 【预期结果或主要证据】 此项不适合，条款主要针对主机和数据库的测评，网络设备主要用户为运维管理人员，无其他用户。

【安全要求】 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

【要求解读】 安全标记是强制访问控制的依据，主客体都有，它存在的形式无所谓，可能是整形的数字，也可能是字母，总之它表示主客体的安全级别。敏感标记由安全管理员进行设置，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。 【测评方法】 此项不适合，该项要求一般在服务器上实现。 【预期结果或主要证据】 此项不适合，该项要求一般在服务器上实现。

4.2.1.3安全审计

如果将安全审计仅仅理解为“日志记录”功能，那么目前大多数的操作系统、网络设备都有不同程度的日志功能。但是实际上仅这些日志根本不能保障系统的安全，也无法满足事后的追踪取证。安全审计并非日志功能的简单改进，也并非等同于入侵检测。

网络安全审计重点包括的方面：对网络流量监测以及对异常流量的识别和报警、网络设备运行情况的监测等。通过对以上方面的记录分析，形成报表，并在一定情况下发出报警、阻断等动作。其次，对安全审计记录的管理也是其中的一方面。由于各个网络产品产生的安全事件记录格式也不统一，难以进行综合分析，因此，集中审计已成为网络安全审计发展的必然趋势。

【安全要求】 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

【要求解读】 为了对防火墙的运行状况、网络流量、管理记录等进行检测和记录，需要启用系统日志功能。系统日志中的每个信息都被分配了一个严重级别，并伴随一些指示性问题或事件的描述信息。 防火墙的系统日志信息通常输出至各种管理端口（如控制台端口）、内部缓存或者日志服务器。在缺省情况下，控制台端口上的日志功能处于启用状态。 【测评方法】 以天融信防火墙为，在登录界面中输入防火墙管理员的用户名/密码后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择日志与报警>>日志设置，如下图所示： 在右侧显示“日志设置”页面，设置正确的服务器地址、端口、以及日志级别和日志类型等信息。例如，如果希望记录0-3级的阻断策略日志，则“日志级别”右侧的下拉框中应该设置为“3”，并且勾选了“阻断策略”的日志类型，如下图所示。 【预期结果或主要证据】 防火墙设置正确的服务器地址、端口、以及日志级别和日志类型等信息。

【安全要求】 审计记录应包括事件的日期和时间、用户、事件类型事件是否成功及其他与审计相关的信息。

【要求解读】 对于防火墙来说，审计内容应包括日期和时间、用户、事件类型、事件是否成功等相关信息。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/密码后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择日志与报警>>日志设置，查看日志服务器地址，如下图所示： 登录日志服务器，并选择管理策略>>日志收集源，进入日志源配置界面，查看所有日志收集源。确保日志源列表中包含了该防火墙的IP。 在日志服务器上，选择功能>>日志查询并选择“审计域”页签。根据IP地址选择防火墙后，便可对该防火墙的日志进行核查，确认是否包括日期和时间、用户、事件类型、事件是否成功等相关信息。 【预期结果或主要证据】 审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

【安全要求】 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

【要求解读】 审计记录能够帮助管理人员及时发现系统运行状况和网络攻击行为，因此需要对审计记录实施技术上和管理上的保护，防止未授权修改、删除和破坏。 【测评方法】 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/密码后，点击“登录”按钮，进入管理界面。然后在左侧导航树中选择日志与报警>〉日志设置，设置日志服务器地址，如下图所示。 登录日志服务器，并选择管理策略>>日志收集源，进入日志源配置界面，查看所有日志收集源，确保日志源列表中包含了该防火墙的IP。 收集到的日志数据会保存在日志系统的数据库中，通过对数据库进行备份操作，便可实现防火墙数据的备份和保护。 在日志服务器上，选择管理策略>>任务调度策略，然后在左侧“本地配置”分页中点击“任务调度策略”；确保存在类型为“备份数据库任务”的计划任务。这些任务会定时执行数据库的备份任务，进而达到备份防火墙日志信息的目的。 【预期结果或主要证据】 防火墙的日志信息定期转发至日志服务器，日志服务器上可查看到半年前的审计记录。

【安全要求】 应对审计进程进行保护，防止未经授权的中断。

【要求解读】 保护好审计进程，当安全事件发生时能够及时记录事件发生的详细内容。 【测评方法】 应测试通过非审计员的其他账户来中断审计进程，验证审计进程是否受到保护。 【预期结果或主要证据】 非审计员的其他账户不能中断审计进程，验证审计进程是否受到保护。

4.2.1.4 入侵防范

网络访问控制在网络安全中起到大门警卫的作用，对进出的数据进行规则匹配，是网络安全的第一道闸门。但其也有局限性，它只能对进出网络的数据进行分析，对网络内部发生的事件则无能为力。基于网络的入侵检测，被认为是防火墙之后的第二道安全闸门，它主要是监视所在网段内的各种数据包，对每一个数据包或可疑数据包进行分析，如果数据包与内置的规则吻合，入侵检测系统就会记录事件的各种信息，并发出警报。

【安全要求】 应遵循最小安装的原则，仅安装需要的组件和应用程序。

【要求解读】 遵循最小安装原则，仅安装需要的组件和应用程序，能够极大的降低遭受攻击的可能性。及时更新系统补丁，避免遭受由于系统漏洞带来的风险。 【测评方法字】 此项不适合，该项要求一般在服务器上实现。 【预期结果或主要证据】 此项不适合，该项要求一般在服务器上实现。

【安全要求】 应关闭不需要的系统服务、默认共享和高危端口。

【要求解读】 关闭不需要的系统服务、默认共享和高危端口，可以有效降低系统遭受攻击的可能性。 【测评方法】 此项不适合，该项要求一般在服务器上实现。 【预期结果或主要证据】 此项不适合，该项要求一般在服务器上实现。

【安全要求】 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

【要求解读】 为了保证安全，避免未授权的访问，需要对远程管理防火墙的登录地址进行限制，可以是某一特定的IP地址，也可以来自某一子网、地址范围或地址组。 【测评方法】 如果网络中部署堡垒机的，先核查堡垒机是否限制终端接入范围进行限制，如果没有，登录设备进行核查。 以天融信防火墙为例，在登录界面中输入防火墙管理员的用户名/密码后，点击“登录”按钮，进入管理界面。然后左侧导航树中选择系统管理〉〉配置，然后激活“开放服务”页签，如下图所示。 在右侧页面中，应该存在“服务名称”为“webui”，“ssh”或“telnet”的服务规则。例如，只允许管理员使用IP地址为“192.168.83.234”的主机登录防火墙，并且该主机连接在area_eth0区域，则应该配置的服务规则如下图所示： 图中，“控制地址”一列显示为“doc_server”，是已经配置完成的主机地址资源名称，定义了主机地址“192.168.83.234”。可以通过点击左侧导航树中选择资源管理〉〉地址，然后激活“主机”页签，查看主机资源名称和实际地址的对应关系，如下图所示： 【预期结果或主要证据】 堡垒机限制终端接入范围或在设备本地设置访问控制列表限制终端接入范围。

【安全要求】 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

【要求解读】 本条款要求应用系统应对数据的有效性进行验证，主要验证那些通过人机接口（如程序的界面）输入或通过通信接口输入的数据格式或长度是否符合系统设定要求，防止个别用户输入畸形数据而导致系统出错（如SQL注入攻击等），从而影响系统的正常使用甚至危害系统的安全。 【测评方法】 此项不适合，该项要求一般在应用层面上核查。 【预期结果或主要证据】 此项不适合，该项要求一般在应用层面上核查。

【安全要求】 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

【要求解读】 应对系统进行漏洞扫描，及时发现系统中存在的已知漏洞，并在经过充分测试评估后更新系统补丁，避免遭受由系统漏洞带来的风险。 【测评方法】 1）应进行漏洞扫描，核查是否不存在高风险漏洞。 2）应访谈系统管理员，核查是否在经过充分测试评估后及时修补漏洞，查看系统版本及补升级日期。 【预期结果或主要证据】 管理员定期进行漏洞扫描，发现漏洞在经过充分测试评估后及时修补漏洞。

【安全要求】 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

【要求解读】 要维护系统安全，必须进行主动监视，一般是在网络边界、核心等重要节点处部署IDS、IPS等系统，或在防火墙、UTM启用入侵检测功能，以检查是否发生了入侵和攻击。 【测评方法】 1）应核查防火墙是否有入侵检测功能，查看入侵检测功能是否正确启用。 2）应核查在发生严重入侵事件时是否提供报警，报警方式一般包括短信、邮件等。 【预期结果或主要证据】 1）防火墙启用入侵检测功能。 2）在发生严重入侵事件时提供短信、邮件等方式报警。

4.2.1.5恶意代码防范

目前，对恶意代码的防范已是全方位、立体防护的概念。根据对恶意代码引入的源头进行分析，可以得出，随着互联网的不断发展，从网络上引入到本地的恶意代码占绝大多数。因此，在网络边界处对恶意代码进行防范是整个防范工作的重点。部署了相应的网络防病毒产品后，并不代表“万事大吉”了，根据统计，平均每个月有300种新的病毒被发现，如果产品恶意代码库跟不上这一速度，其实际检测效率可能会大大降低，因此，必须及时地、自动更新产品中的恶意代码定义。这种更新必须非常频繁，且对用户透明。

主动免疫可信机制提供执行程序可信度量，阻止非授权及不符合预期的执行程序运行，实现对已知/未知恶意代码的主动防御，可以做到免补丁升级，免病毒、木马查杀。

【安全要求】 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

【要求解读】 无论是Windows主机还是Linux主机，都面临木马、蠕虫等病毒的破坏。因此一般的主机为防范病毒，均会安装反病毒软件，或者采用可信验证机制对系统程序、应用程序等进行可信执行验证。 【测评方法】 此项不适合，该项要求一般在服务器上实现。 【预期结果或主要证据】 此项不适合，该项要求一般在服务器上实现。

4.2.1.6可信验证

【安全要求】 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

【要求解读】 设备应作为通信设备或边界设备对待。 【测评方法】 参见2.3和3.6可信验证。 【预期结果或主要证据】 参见2.3和3.6可信验证。

本文始发于微信公众号（网络安全等保测评）：4 安全计算环境 4.2安全设备