安全区域边界-(⼆)访问控制
安全区域边界
控制点
2.访问控制
访问控制技术是指通过技术措施防⽌对⽹络资源进⾏未授权的访问,从⽽使计算机系统在合法的范围内使⽤。在基础⽹络层⾯,访问控制主要是通过在⽹络边界及各⽹络区域间部署访问控制设备,如⽹闸、防⽕墙等。
访问控制设备中,应启⽤有效的访问控制策略,且应采⽤⽩名单机制,仅授权的⽤户能够访问⽹络资源;应根据业务访问的需要对源地址、⽬的地址、源端⼝、⽬的端⼝和协议等进⾏管控;能够根据业务会话的状态信息为进出⽹络的数据流提供明确的允许/拒绝访问的能⼒;同时,访问控制应能够对进出⽹络的数据量所包含的内容及协议进⾏管控。
a)**
安全要求:应在⽹络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接⼝拒绝所有通信。
要求解读:应在⽹络边界或区域之间部署⽹闸、防⽕墙、路由器、交换机和⽆线接⼊⽹关等提供访问控制功能的设备或相关组件,根据访问控制策略设置有效的访问控制规则,访问控制规则采⽤⽩名单机制。
检查⽅法
1.应检查在⽹络边界或区域之间是否部署访问控制设备,是否启⽤访问控制策略。
2.应检查设备的访问控制策略是否为⽩名单机制,仅允许授权的⽤户访问⽹络资源,禁⽌其他所有的⽹络访问⾏为。
3.应该检查配置的访问控制策略是否实际应⽤到相应的接⼝的进或出⽅向。
以CiscoIOS为例,输⼊命令“show runninge6onfig”,检查配置⽂件中访问控制策略。
测评对象
访问控制设备/策略
期望结果
设备访问控制策略具体如下:
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389
access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.11 eq 3389
access-list 100 deny ip any any interface GigabitEthernet1/1
ip access-group 100 in
⾼风险判定
满⾜以下条件即可判定为⾼风险且⽆补偿因素:
重要⽹络区域与其他⽹络区域之间(包括内部区域边界和外部区域边界)访问控制设备不当或控制措施失效,存在较⼤安全隐患。例如办公⽹络任意⽹络终端均可访问核⼼⽣产服务器和⽹络设备;⽆线⽹络接⼊区终端可直接访问⽣产⽹络设备等。
b)*
安全要求:应删除多余或⽆效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最⼩化。
要求解读:根据实际业务需求配置访问控制策略,仅开放业务必须的端⼝,禁⽌配置全通策略,保证边界访问控制设备安全策略的有效性。不同访问控制策略之间的逻辑关系应合理,访问控制策略之间不存在相互冲突,重叠或包含的情况;同时,应保障访问控制规则数量最⼩化。
检查⽅法
1.应访谈安全管理员访问控制策略配置情况,核查相关安全设备的访问控制策略与业务及管理需求的⼀致性,结合策略命中数分析策略是否有效。
2.应检查访问控制策略中是否包禁⽌了全通策略或端⼝、地址限制范围过⼤的策略。
3.应核查设备的不同访问控制策略之间的逻辑关系是否合理。
以Cisco IOS为例,输⼊命令show running-config,检查配置⽂件中访问控制列表配置项。
测评对象
1.安全管理员
2.访问控制策略
期望结果
1.访问控制需求与策略保持⼀致。
2.应合理配置访问控制策略的优先级,如:
access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10
access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.10
上述访问控制策略排列顺序不合理,第⼆条策略应在前⾯,否则不能被命中。
无线网络受限制或无连接3.应禁⽤全通策略,如access-list 100 permit tcp any host any eq any
4.应合并互相包含的策略,如:
access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10
access-list 100 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10
第⼆条策略不起作⽤,可直接删除。
c)*
安全要求:应对源地址、⽬的地址、源端⼝、⽬的端⼝和协议等进⾏检查,以允许/拒绝数据包进出。
要求解读:应对⽹络中⽹闸、防⽕墙、路由器、交换机和⽆线接⼊⽹关等提供访问控制功能的设备或相关组件进⾏检查,访问控制策略应明确源地址、⽬的地址、源端⼝、⽬的端⼝和协议,以允许/拒绝数据包进出。
检查⽅法
应核查设备中访问控制策略是否明确设定了源地址、⽬的地址、源端⼝、⽬的端⼝和协议等相关配置参数。
以Cisco IOS为例,拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过F0/0接⼝,输⼊命令:show running-config,检查配置⽂件中访问控制列表配置项。
测评对象
访问控制策略中的配置⽂件
期望结果
检查配置⽂件中是否存在类似如下配置项:
access-list101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255eq 21
access-list101 permit ip any any
interface fastethernet0/0
ip access-group101 out
d)
安全要求:应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能⼒。
要求解读:防⽕墙能够根据数据包的源地址、⽬标地址、协议类型、源端⼝、⽬标端⼝等对数据包进⾏控制,⽽且能够记录通过防⽕墙的连接状态,直接对包⾥的数据进⾏处理。防⽕墙还应具有完备的状态检测表来追踪连接会话状态,并结合前后数据包的关系进⾏综合判断,然后决定是否允许该数据包通过,通过连接状态进⾏更迅速更安全地过滤。
检查⽅法
应检查状态检测防⽕墙访问控制策略中是否明确设定了源地址、⽬的地址、源端⼝、⽬的端⼝和协议。
以Cisco IOS为例,输⼊命令:show running-config。
测评对象
防⽕墙访问控制策略中的配置⽂件
期望结果
检查配置⽂件中应当存在类似如下配置项:
access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 21
access-list 101 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10 eq 80
access-list 101 deny ipgany any
e)*
安全要求:应对进出⽹络的数据流实现基于应⽤协议和应⽤内容的访问控制。
要求解读:在⽹络边界采⽤下⼀代防⽕墙或相关安全组件,实现基于应⽤协议和应⽤内容的访问控制。
检查⽅法
1.应检查在关键⽹络节点处是否部署访问控制设备。
2.应检查访问控制设备是否配置了相关策略,对应⽤协议、应⽤内容进⾏访问控制,并对策略有效性进⾏测试。
测评对象
1.关键⽹络节点
2.访问控制设备相关策略
期望结果
防⽕墙配置应⽤访问控制策略,从应⽤协议、应⽤内容进⾏访问控制,对QQ聊天⼯具、优酷视频以及Web服务、FTP服务等进⾏管控。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论