等保2.0安全区域边界访问控制测评安全控制点
在等保2.0安全区域边界的访问控制安全控制点有条测评条款,其中:
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化;
c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
关键测评点讲解
个人觉得a、c、d两条都比较容易检查,而b条款检查起来相对其他条款还是比较费劲,b条款检查点包含:1)检查是否存在多余的访问控制策略;2)访问控制策略是否是无效的。
本文着重针对a、b条款进行分析:
防火墙控制网络流量的实现主要依赖于安全区域和安全策略,防火墙通过安全区域识别不同的网络,防火墙的各接口划分到不同的安全区域,把接口连接的网络划分不同的安全级别,防火墙上的接口必须加入安全区域才能处理流量,划分了安全区域后,只有配置相对应的访问控制策略,流量才能在安全区域之间进行数据交互。
防火墙不存在相同安全级别的安全区域,不同的接口可以属于同一个安全区域。将防火墙上的接口加入某个区域是将接口所连的区域加入该区域,而不是将这个接口加入这个区域,接口永远属于local区域,一个接口只能属于同一个安全区域。没有加入到安全区域的接口永远无法和加入到安全区域的接口互访。默认情况下,不同的安全区域双向隔离(域间流量),同一个安全区域的接口双向放行(域内流量)。
防火墙缺省时存在trust、dmz、untrust和local四个安全区域,管理员可以自定义安全区域实现更细粒度的控制。
1)检查访问控制策略是否是无效的:
新添加的安全策略默认位于访问控制列表底部,缺省策略之前。防火墙接收到流量之后,按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理流量。如果所有新添加的安全策略都未命中,则按照缺省策略处理。如果新增安全策略,注意和已有安全策略的顺序,否则就会出现未命中的访问控制策略,导致无效的访问控制策略出现。
举例说明:假设一台日志服务器地址为10.1.1.1,允许IP网段为10.2.1.0/24的办公区访问日志服务器,配置了安全策略Policy1。临时要求禁止两台管理终端(10.2.1.2、10.2.1.3)访问日志服务器。
此时新配置的安全区策略Policy2位于Policy1的下方。因为Policy1的地址范围覆盖了Policy2的地址范围,Policy2永远无法被命中,也就是在等保2.0中说的无效的访问控制策略,如下图:
序号 | 名称 | 源地址 | 目的地址 | 动作 |
1 | Policy1 | 10.2.1.0/24 | 10.1.1.1 | Permit |
2 | Policy2 | 10.2.1.2 10.2.1.3 | 10.1.1.1 | Deny |
3 | Policy3 | Any | Any | Deny |
需要调整policy2到policy1的上方,调整后的策略才能够匹配,如下图:
序号 | 名称 | 源地址 | 目的地址 | 动作 |
1 | Policy1 | 10.2.1.2 10.2.1.3 | 10.1.1.1 | Deny |
2 | Policy2 | 10.2.1.0/24 | 10.1.1.1 | Permit |
3 | Policy3 | Any | Any | Deny |
2)检查是否存在多余的访问控制策略:
此测评点需要检查访问控制策略中长期未命中的访问控制,并询问管理员策略未命中的原因,然后再去判断策略是否属于多余的访问控制。
3)检查防火墙是否默认除允许通信的访问控制策略外,拒绝其他所有通信:
一般情况防火墙存在一条缺省安全策略Policy3,默认禁止所有的域间流量。缺省策略永远位于访问控制列表的最底端,默认是无法删除。
总结
所以防火墙在配置安全策略时,一定要先精确后宽泛。防火墙的访问控制策略粒度越细,网络也相对越安全,控制粒度尽可能达到端口级别,另外安全区域边界中访问控制控制点的检查不仅仅只是查看防火墙,所有区域边界具有访问控制功能的设备都在检查范围内,在实际测评过程中往往发现防火墙或者其他访问控制设备的访问控制策略可能成百上千条,认真梳理所有策略可能不是一两天能做完成的,这就需要测评人员抓住和被测系统相关的访问控制策略去分析。
参考资料:
GB∕T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
