信息系统防火墙规范.doc

1、胜利石油管理局企业标准Q/SL STA-f2002信息系统防火墙规范1总则 为了减少外部网络对企业内部网络的干扰，为了阻击非法用户进入企业内部网络，为了企业用户更好的利用外部网络，根据应用级防火墙安全技术要求，包过滤级防火墙安全技术要求，中华人民共和国信息系统安全保护条列等国家规定，制定本规范。2范围本规范规定了防火墙的安全技术要求。本规范适用于防火墙安全功能的使用，测试和产品采购。3规范解释权本规范的解释权在胜利油田管理局信息安全管理中心。4引用标准GB/T 17900 1999 网络代理服务器的安全技术要求GB/T 18019 1999 信息技术 包过滤防火墙安全技术要求GB/T 1802

2、0 1999 信息技术 应用级防火墙安全技术要求GB 9813 88 微型数字电子计算机通用技术条件5防火墙类型5.1 应用级别防火墙。5.2 在应用层上根据预先设定的标准判断是否允许对某些应用程序的访问的防 火墙。应用级防火墙检查所有应用层的信息，放行符合预先设定标准的数据包。5.3 包过滤。5.4 采用包过滤技术保护整个网络不受非法入侵的防火墙。它在网络层上简单检查所有进入网络的信息，并将不符合预先设定标准的数据丢掉。5.5 应用代理。5.6 控制两边的应用程序只能通过服务器间接通信的防火墙。此防火墙接受来自一边的通信，检查这一通信是否授权通过，如果是则启动到通信目标的连接。相反则反之。5

3、.7 混合型防火墙。5.8 使用包过滤、应用层控制技术和网络代理的防火墙。6防火墙安全运行环境符合本规范的防火墙用于敏感但不保密的信息处理环境。防火墙应提供访问控制策略、身份标识与鉴别、远程管理员会话加密、一定的审计能力以及最基本的安全保证。6.1安全使用条件防火墙的使用操作环境及运行环境符合以下条件：6.1.1连接条件单一接入：防火墙是内外网络之间的唯一连接点。6.1.2物理条件 物理访问控制。 防火墙和与其直接相连的控制台在物理上是安全的，而且仅供授权人使用。 通信保护。 信息传输的保护级别应该与信息的敏感性一致（例如：受物理保护的传输媒体，加密），或者明确说明该信息可以明文传输。6.1.

4、3人员条件 用户服务。 应用级防火墙提供的不是通常意义下的计算能力，对网络用户基本上是“透明”的，只有授权管理员才能直接访问和远程访问防火墙。 授权管理员。 管理员应值得信任、无恶意，能够正确执行各项职责。 6.2安全威胁符合本标准的防火墙应能阻止以下威胁：6.2.1未授权逻辑访问 未经授权的人可能在逻辑上访问防火墙。未经授权的人是指除防火墙的授权用户之外，所有已经或可能企图访问这个系统的人。6.2.2假冒网络地址攻击 一个主体可能假冒成另一个主体获得对特定信息的访问。例如，外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源。6.2.3针对内部网络的攻击攻击者利用高层协议和服务，

5、对内部受保护网络或者网上的主机进行攻击，这类攻击可能以拒绝服务和穿透主机或网络结点为目的。6.2.4审计记录丢失或破坏攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏。6.2.5对防火墙的配置和其它与安全相关数据的更改这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构、以及防火墙的配置参数和与安全相关的数据，对防火墙实施的攻击。6.2.6绕开身份标识和鉴别机制这类攻击企图绕过或欺骗身份识别和鉴别机制，假冒成另一个授权管理员侵入已建立的会话连接。例如，拦截鉴别信息（如口令字），重放有效的鉴别交换信息，以及截取会话连接等攻击。6.3运行环境面临的威胁下述威胁必须通过物理控制、过程措施

6、或者管理手段来对付。6.3.1被保护网上的恶意用户试图向外部用户提供信息这种威胁是指内部网络用户试图给外部网络上的非授权用户发送信息。由于防火墙主要用于保护内部网络免受外部网络的侵害，因此，它们对抵御这种威胁作用不大。6.3.2受保护网络上的恶意用户攻击同一网络上的计算机防火墙的主要目的是保护防火墙内部的网络用户免受外部用户的侵害。因此，它无法控制不经过防火墙的通信业务流。属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击，以及对同一网段上的计算机的攻击。6.3.3攻击高层协议和服务此类威胁针对传输层以上的协议层（和利用这些协议的服务，如超文本传输协议HTTP）中的漏洞。符合本标准的

7、防火墙可以完全拒绝对特定主机或主机群的访问，但是，如果允许数据包通过的话，那么，仍有可能攻击上述的这些服务。6.3.4截取传输信息攻击者可能截取通过防火墙传输的敏感信息。7防火墙基本原则 7.1过滤不安全服务 基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安 全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用。 7.2 过滤非法用户和访问特殊站点基于这个准则，防火墙应先允许所有的用户和站点对内部网络的访问，然后网络管理员按照地址对未授权的用户或不信任的站点进行逐项屏蔽

8、。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限。8防火墙自身安全保护措施8.1 设置特殊密码，密码长度尽可能长。8.2 系统未设置完成不要连入公共网。8.3 不使用系统默认（缺省）值。8.4 注意调整安全级别。8.5 设置读写权限。9防火墙功能设置及安全策略9.1 外网对DMZ内服务访问控制将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。利用DMZ的隔离效果，尽量将对外服务的部分服务器放置在DMZ区域，通过NAT方式，保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服

9、务和应用，防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制，防止恶意攻击行为发生。 9.2 内部网络内部网络对外部网络的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT方式访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员工对外网WWW访问采用代理方式。9.3 DMZ访问通常情况下DMZ对外部和内部都不能主动进行访问，除非特殊的应用需要到内部网络采集数据，可以有限地开放部分服务。借助防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略，制定严格完善的访问控制策

10、略保证从IP到传输层的数据安全。9.4 NAT地址转换将单位内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址，对外单位只有一个地址。而借助防火墙的多映射功能，可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。根据企业内部实际情况，防火墙安全管理源根据风险制定内部网与外部网络之间的安全访问策略，考虑效率与安全之间的平衡；在有单独内部网络的单位也需要安装防火墙时，该防火墙的策略制定绝对不能影响上一级防火墙的访问策略，同时，信息中心管理员必须拥有下一级防火墙的管理员权限。10生效日期5