信息系统防火墙规范

胜利石油管理局企业标准Q/SL STA-f-2002战斗机信息系统防火墙规范一总则根据诸如应用级防火墙安全技术要求、包过滤级防火墙安全技术要求、中华人民共和国信息系统安全保护条列之类的国家规定来制定该规范，以便阻止未授权的用户接入企业内部网络，以减少外部网络对企业内部网络造成的干扰。2的范围本规范规定了防火墙的安全技术要求。此规格适用于防火墙安全功能的使用、测试和产品采购。3规范解释权本规范解释权在胜利油田管理局信息安全管理中心。4引用标准GB/T 17900 - 1999 网络代理服务器的安全技术要求GB/t 180191999信息技术 包过滤防火墙安全技术要求GB/t 180201999信息技术 应用级防火墙安全技术要求GB 981388微型数字电子计算机通用技术条件5防火墙类型应用5.1级防火墙。5.2基于在应用层预设的标准来确定允许访问特定应用程序的防火墙。 应用程序级防火墙检查所有应用程序层的信息，并发布满足预设标准的包。5.3包过滤。采用5.4包过滤技术保护整个网络免受非法入侵的防火墙。 轻松检查网络层中进入网络的所有信息，丢弃不符合预先设定标准的数据。5.5应用程序代理。5.6只有服务器间通信防火墙才能控制两侧的应用程序。 此防火墙接受来自一侧的通信，检查是否允许此通信，如果允许，则启动到目标的连接。 相反。5.7混合式防火墙。使用5.8包过滤、应用层控制技术和网络代理防火墙。6防火墙的安全操作环境符合此规范的防火墙用于敏感但不敏感的信息处理环境。 防火墙必须提供访问控制策略、身份和身份验证、远程管理员会话加密、特定审计功能和基本安全保证。6.1安全使用条件防火墙的使用环境和运行环境满足以下条件6.1.1连接条件单次访问：防火墙是内外网络之间的唯一连接点。6.1.2物理条件物理访问控制。防火墙及其直接连接的控制台在物理上是安全的，仅供认证人使用。通讯保护。信息传输的保护级别必须与信息的机密性(物理保护的传输介质、加密等)相匹配。 或者，信息必须明确表示可以用明文传输。6.1.3人员条件用户服务。应用程序级防火墙不提供正常的计算能力，而是对网络用户“透明”，只有经认证的管理员才能直接访问和远程访问防火墙。委任的管理员。管理者信任，无恶意，值得正确执行各职责。6.2安全威胁符合此标准的防火墙可防止下列威胁：6.2.1非法逻辑访问不正当的人可能逻辑上访问防火墙。 未经授权的用户是指试图访问此系统或尝试访问此系统的任何人，除了具有防火墙授权的用户之外。6.2.2假网络地址攻击冒称为另一代理的代理能够访问某些信息。 例如，外部网络上的用户可能会利用假地址来伪装内部网络上的用户访问内部资源。6.2.3攻击内部网络攻击者利用顶层协议和服务攻击内部受保护的网络和网络上的主机。 此类攻击可能旨在拒绝服务或穿透主机或网络节点。6.2.4审计记录的丢失或破坏攻击者可能会采取耗尽审计存储的方法来丢失或销毁审计记录。6.2.5修改防火墙配置和其他与安全相关的数据这些攻击包括通过读取和修改防火墙的内部代码和数据结构、防火墙配置参数以及与安全相关的数据来攻击防火墙。绕过6.2.6和认证机制这样的攻击试图绕过或欺骗身份和认证机制，并且假设另一认证管理员闯入了建立的会话连接。 例如，进行攻击，监听认证信息(口令语等)，再生有效的认证交换信息，监听会话连接等。6.3执行环境面临的威胁以下威胁必须通过物理控制、过程措施或管理手段处理。6.3.1受保护网络上的恶意用户尝试向外部用户提供信息此威胁是内部网络用户试图向外部网络上的非法用户发送信息。 由于防火墙主要用于保护内部网络不受外部网络的影响，因此防火墙对此威胁的保护效果不大。6.3.2受保护网络上的恶意用户攻击同一网络上的计算机防火墙的主要目的是保护防火墙内部的网络用户不受外部用户影响。 因此，无法控制不通过防火墙的通信流量。 所谓属于该类别的攻击，是指对受保护网络内的本网络服务功能的攻击和对同一网段上的计算机的攻击。6.3.3攻击高级别磋商和服务这样的威胁以传输层以上的协议层(以及利用超文本传输协议HTTP等协议的服务)的脆弱性为对象。 符合此标准的防火墙可以完全拒绝对特定主机或主机组的访问，但如果允许数据包通过，则可能会攻击上述服务。6.3.4监听传输信息攻击者可能会拦截通过防火墙发送的机密信息。7防火墙的基本原则7.1过滤不安全的服务基于此规范，防火墙应阻止所有信息流动，逐渐开放希望提供的安全服务，包括一切不安全和安全危险服务。 这是非常有效和实用的方法，可以创造非常安全的环境。 这是因为用户只能使用仔细选择的服务。7.2筛选未经授权的用户并访问特殊站点根据此准则，防火墙要求所有用户和站点都可以访问内部网络，然后网络管理员必须根据IP地址阻止不正确的用户或不受信任的站点。 此方法构成了更灵活的应用环境，网络管理员对于每个服务可以对不同用户开放，即对于每个用户可以自由设定不同的访问权限。8防火墙本身的安全措施8.1设定特殊密码，尽量延长密码长度。8.2系统未安装，请勿连接公共网络。8.3不使用系统的默认(默认)值。8.4注意安全水平的调整。8.5设置读写权限。9防火墙功能设置和安全策略9.1dmz内服务的外部网络访问控制明确限制从外部访问内部和DMZ中的服务，以防止未经授权访问内部关键系统，尤其是业务系统。 利用DMZ隔离功能，部分外部服务服务器位于DMZ区域中，并使用NAT方法保护内部网络免受攻击。 关闭操作系统提供的所有服务和应用程序，以防止这些服务和应用程序本身的漏洞给系统带来风险。 严格规划对内部电子邮件、FTP、WWW和数据库的访问，以防止恶意攻击行为。9.2内部网络内部网络对外部网络的接入也要有严格的限制。 防止内部人员非法访问对外网络资源。 以NAT方式访问内部员工。 您还必须限制内部人员访问DMZ区域服务器。 公司员工对外因特网WWW接入采用代理方式。9.3 DMZ存取DMZ通常不能同时主动访问外部和内部。 只要特殊的应用程序不需要在内部网络中收集数据，就可以释放部分有限的服务。 利用防火墙提供的有状态包过滤技术，在数据的各个方向采用全面安全的技术策略，制定严格完整的访问控制策略，确保从IP到传输层的数据安全。9.4 NAT地址转换用NAT方式转换单元内部网络和DMZ区域网络的地址，隐藏实际的IP地址，防止内部网络受到攻击。 具体的转换方式是将内部网络和DMZ区域机器的地址全部转换为防火墙外的网卡的地址，外部单元只有一个地址。 防火墙多重对映功能可让您将外部相同的位址对映至内部网路与DMZ区域中不同服务的不同连接埠。根据企业内部