完善網路防火牆管理政策與設定規則
個案公司針對網路防火牆的控制重點主要分為三部份,分別是(一)網路防火牆過濾規則(Rules)增修控制;(二)落實網路防火牆過濾規則;(三)定期覆核網路防火牆設定與紀錄。個案公司的網路防火牆規則是以存取控制清單(Access Control List:ACL)進行設置,藉此判斷是否接受連線的來源位址與目的位址之IP封包流量通過【即動作(接受Accept)封包通過/(拒絕Reject)不讓封包通過】。以下針對個案公司在網路防火牆過濾規則制定規範、落實網路防火牆過濾規則、網路防火牆設定與紀錄之覆核,以及網路防火牆之檔案備份、程式版本、人員及帳密、稽核紀錄管理機制,分別加以介紹:
嚴格防火牆過濾規則 保障網路安全
個案公司針對防火牆過濾規則已制定明確的書面規範,規定應設置網路防火牆機制,區隔內部網路(INTRANET)、非軍事區(De-Military Zone,以下稱DMZ)與外部網路(網際網路INTERNET、企業網路EXTRANET之連線),並明確規範將提供公開服務之主機(如:網站主機、郵件主機等)建置於DMZ;除特殊因素外,來自於外部網路僅允許連接至網站主機、郵件主機或其他提供對外服務之主機,並且任何來自於外部網路欲連接與進入中心內部網路之連線必須經過身分認證。網路防火牆與服務主機應開啟適當稽核功能,記錄連線狀況。針對過濾規則管理,主要規範內容如下:
1. 除特殊狀況與業務需求外,須指定來自外部網路連線之網路位置(IP),方可連線至位於非戰區(DMZ)提供檔案傳輸(FTP)服務之主機。
2. 除提供對外服務之通訊埠外(例如: 25、53、80、110、443),網路防火牆應限制位於DMZ之主機與外部網路的其他服務通訊,並拒絕DMZ主機主動連線至網際網路。
3. 除業務需求外,須限制自DMZ主機主動連線至內部網路(INTRANET),以有效隔離來自DMZ之入侵行為。
4. 自內部網路對網際網路之連線與存取應以業務需求為考量,分別予以適當限制;並且應限制一般使用者端可連外之服務通訊埠(例如: 23、135、139、445及其它大於1023之等TCP服務通訊埠,均應停止使用),以杜絕內部使用者因中毒或對位於網際網路之主機進行惡意破壞之行為。
落實過濾規則:網路防火牆操作實務
個案公司針對網路防火牆過濾規則設定要求規定,應盡量避免以「任何位址(ANY)」設定來源或目標位址及通訊協定,且應於網路防火牆過濾規則最後端,設置拒絕(Reject)全部服務的規則(Implicit Denied All),以預防因前述規則的疏漏,導致來自網際網路之入侵與非法連線。在建置完成網路防火牆初期,應檢查、修改或移除不適用之預設規則;除網路防火牆管理員得經由指定之網路位址及特定的連接埠經由加密方式(如SSL)登入管理外,網路防火牆應以鎖定規則,限制來自任何網路對網路防火牆的連線,並以此做為網路防火牆之基本過濾原則。在一般情況下丟棄(DROP)不符合規則的封包,且應該丟棄(DROP)所有不能與任何規則相符的封包。另外,個案公司也要求須詳細審查與檢視網路防火牆過濾規則,並考慮效能以及邏輯重複問題。
