防火墻是現代網絡安全架構體系的關鍵性組成部分，為入站、出站的網絡流量充當把關員，已經在企業網絡中大量應用。然而，很多組織卻忽視了非常重要的一點：防火墻系統只有在正確的策略配置并不斷運營優化的前提下，才能有效應對不斷變化發展的新威脅。否則就會形同虛設，為攻擊者非法訪問網絡創造了可乘之機。但事實上，在很多大型企業組織中，由于防火墻設備的類型和數量眾多，想要準確了解所有防火墻的工作狀態并保持監控并不容易，這時候防火墻運營審計就有了用武之處。

對防火墻進行運營審計會涉及多個方面和步驟，可以幫助組織更深入了解所有防火墻設備的運行狀態和實際工作效率。同時，開展防火墻運營審計還可以確保企業遵守網絡安全相關的法律要求，幫助安全團隊從容應對監管部門的各種檢查。

本文梳理總結了開展防火墻運營審計的六個重要步驟，企業可以在此基礎上，結合實際防護需求增加額外的檢測項，從而制定完善的防火墻運營審計計劃。

1、充分收集網絡系統的運行信息

建立“單一真相來源”對順利開展防火墻運營審計非常重要。因此，企業在啟動防火墻審計工作之前，需要盡可能詳細了解企業網絡的整體運行情況，包括網絡設備、軟件應用、運營策略、主要風險以及用戶交互規則等信息：

• 前期審計報告的信息，特別是涉及防火墻對象、策略修訂的文檔和報告;
• 要列出組織使用的所有互聯網服務提供商(ISP)和虛擬專用網(VPN)列表清單;
• 收集正在運行的安全策略文檔，包括已傳達但尚未添加到正式文檔中的更新;
• 整理防火墻日志報告，審計師要能夠快速訪問各種可能需要的詳細信息;
• 防火墻廠商信息，比如操作系統版本、默認配置以及遠程補丁修補信息等。

在這個階段，企業應該確保將以上信息集中到每個審計人員都可以訪問的地方。這將可以保證審計團隊高效協同，并避免不必要的時間浪費。

2、評估組織的運營管理方法

防火墻運營審計也是評估現有的防火墻系統管理措施有效性的大好機會。在更新防火墻運行策略之前，最好確保新的管控流程記錄完備、目標統一。對防火墻的運營管理應該始終擁有一個穩定、可靠的管理流程。如果隨意進行配置更改，就會出現無數問題。

企業在評估管理流程的變更優化時，應重點考慮以下問題：

• 由誰來負責實施變更?他是否可以對防火墻運行的每個變更后果負責?
• 防火墻審計期間，是否可以查看有關配置升級效果評估的說明文檔?
• 誰來批準所有的變更請求?當企業對網絡系統中的任何防火墻進行重大策略變更時，應該有一條可靠的“命令鏈”。同時，任何對防火墻的變更都應該受制于一個正式的、有文檔記錄的流程，才可以確保防護效果的完整性。

3、要對硬件平臺和操作系統進行審計

消除網絡威脅需要快速的威脅響應速度，而能否在攻擊蔓延到更廣泛的網絡之前快速隔離并阻止攻擊，是評價防火墻有效性的重要參考指標。審計師應該從物理設備和軟件應用內安全視角，仔細檢查并評估每個防火墻的威脅響應狀況。以下是執行這類評估的幾種常見方法：

• 實施受控制的訪問，為防火墻及其他相關服務器設備提供安全保障;
• 確定操作系統是否符合標準的安全加固檢查列表;
• 檢查設備管理程序，以確保它們足夠穩健;
• 驗證廠商的安全補丁和版本更新是否得到充分和及時的實施;
• 查看可以物理訪問防火墻服務器機房的授權用戶。

4、仔細審查防火墻的防護規則

執行防火墻運營審計的一個重要目標就是清理現有的設備運行環境，優化防火墻高效運行的規則庫。審計師在檢查防火墻運行規則時，需要考慮以下幾個問題：

• 現有的規則庫中有沒有已過時的規則策略?
• 如何禁用那些長期未使用或已過時的規則和對象?
• 與運行性能和效果有關的防火墻規則應該優先得到重視;
• 是否按照標準化的命名方法對規則進行標記?
• 規則參數表中是否有已過時或未綁定的用戶或用戶組?
• 是否可以通過防火墻日志來總結分析已有的規則被充分運用?
• 是否存在可以合并為單個規則的類似規則?

5、執行風險評估發現潛在的問題

風險評估是開展防火墻運營審計工作中不可缺少的關鍵性要求。因為審計的主要目標就是確定組織的網絡系統是否會因為防火墻的可用性不足而面臨風險。審計團隊要花時間來確定防火墻規則是否真正符合不斷發展的行業法規和標準要求。企業組織一定要通過適用于貴組織的行業標準和最佳實踐，對防火墻的運營風險進行評估，并根據評估結果來決定最終可接受的風險程度。

評估規則列表時，應考慮以下情況：

• 目前的防火墻運行規則是否可以阻斷高風險服務從互聯網進入或流出;
• 目前的防火墻運行規則是否在任何用戶字段中都被準確標注;
• 目前的防火墻運行規則是否和企業的整體安全策略保持一致;
• 目前的防火墻運行規則是否未符合企業網絡安全策略的長期發展要求;
• 審計師根據可能適用的行業監管標準來檢查防火墻配置和規則是一個很好的方法，具體的標準包括J-SOX、FISMA、Basel-II、ISO 27001以及PCI-DSS等。

6、制定可持續的審計計劃

當企業組織成功地開展了第一次防火墻運營審計時，就應該因此為基礎制定可持續遵守的審計計劃和目標，主要包括以下步驟：

• 創建一個可以快速復制的審計流程，確保該流程記錄完備，以便不同的審計師都可以根據這些材料進行運營態勢審計;
• 在審計流程中充分考慮智能自動化工具的應用，旨在消除容易出錯的手動任務;
• 安全運營團隊和審計人員之間應該保持密切的聯系和信息同步，以便在下一次審計時，審計師可以優先考慮對變動的規則進行審計。

參考鏈接：

https://www.datamation.com/security/how-to-perform-a-firewall-audit。