1.為什麼要審計防火牆?
審計防火牆就是要查詢防火牆的題目。導致防火牆出題目的因素很多。回結起來,主要有以下四個方面的因素:
第一,人為的疏忽。
智者千慮,必有一失。防火牆固然已有了十多年的,但直到今天,還沒有一個廠家可以向客戶提供簡單明瞭的治理介面。即使一個經驗豐富的防火牆治理員,面對幾十條上百條防火牆規則(FirewallRules),也有搞糊塗的時候。一個生手就更不必說了。有時規則之間互相沖突。有的洞開得太大,不能夠起到保護內部網路的作用。有的規則根本就違反公司的安全政策(SecurityPolicy),就不該存在。有的單位讓多人擁有防火牆治理員的帳戶。誰興奮了就來設定一條新的規則,防火牆被搞得亂七八糟。防火牆是不會提醒操縱員這些題目的。這些題目使防火牆的有效性大打折扣。糾正這一類題目的辦法,就是靠定期的審計。
第二,治理的鬆懈。
這是最普遍的情況。對於一個小公司來說,也許有一座防火牆就足夠可以應付守衛網路的需求。不過,這樣一個小公司,往往僱不起一個防火牆專家,就只好把這一職責外包。那個承接外包的安全公司,也許就只有那麼兩、三個防火牆專家在唱空城計。他們每人至少要看管好幾十個公司的防火牆,職員經常處於超負荷執行狀態。為了盡力滿足客戶的需要,他們基本上是有求必應。假如對客戶說“不”,以後的合同就不好拿到了。很多安全漏洞就出在這裡。由於客戶們的安全知識有限,他們提出的要求有不少是違反安全原則的。隨便答應了他們,就在防火牆留下了一個個安全隱患。有的公司連把防火牆外包的錢都不想花,就賭自己公司不會有黴運,隨便讓公司內部某個未經防火牆培訓的網管兼任牆管的重任。錢是省了,可是,一場大禍,這省的錢就會加倍地賠出往。大點的公司,情況似乎好一些。防火牆有專人負責。可是,公司一大,防火牆的數目也隨著增長(筆者就職的公司有四百多座防火牆,還有很多嵌進式防火牆裝在3G的微波塔內)。尤其是,公司內部也互設防火牆,以達到分級保護的目的。這就使情況極為複雜。牆越多,治理的難度就越高。一個數據在公司內部從網路的一端走到另一端,可能要通過好幾道防火牆。如何讓各種資料暢通無阻又不在安全方面妥協退讓,就成為一個十分複雜的題目。當然,最偷懶省事的辦法就是開啟閘門,讓魚蝦螃蟹一律通過。這種情況尤其是在緊急狀態下常出現。很多臨時加上往的應急策略往往變成永久策略。這就種下一個個禍根。防火牆一多,正確地做變更日誌就困難得多。沒有精確地做好變更日誌,加上職員的活動,久而久之整個防火牆系統就成為一團理不清的亂線,該擋的不往擋,該放行的不放行。另外一個十分常見的防火牆治理方面的題目,就是忽略了對防火牆日誌的定期審計。以至於牆內外風聲四起,雷叫電閃,防火牆治理員也照常睡大覺。對付以上這一類的題目,只有加強治理。和財務治理一樣,防火牆的治理不能沒有定期的審計。定期的審計可以協助防火牆治理職員理清亂線,發現潛伏的危機,消除隱患。對於客戶來說,這是負責任的做法。