网络信息安全: 防火墙和安全审计是基础

即使从最专业安全咨询的角度来讲，大家都在强调安全策略的重要性。单纯网络安全设备的部署，仅仅是安全的一个开端，只是添加了安全大厦的砖瓦，构筑了骨架而已。因为对于硬件设备的一味依赖和迷信，反而会造成安全审计上的松懈，甚至有人讲“一个具有部分安全的网络甚至还不如一个完全没有安全措施的网络”。安全审计如果不能说是网络策略中最重要的一部分的话，至少是必不可少的。

　　对于网络安全的核心设备——防火墙，目前的形式已经要求它提供更为强大和完善的审计功能，不能满足于以往那种单纯的日志记录了。现在要求防火墙系统，不仅提供对于正常业务的审计，比如数据流的审计，而且需要对于负载的审计，就是说需要对于应用层数据的审计提供更全面的解决方案;同时防火墙系统应该提供对于自身系统的审计，支持必要的审计分析软件或者自带审计分析软件，绝大多数的防火墙只是提供干巴巴的日志记录而没有任何分析的余地，这样的审计系统更像是“鸡肋”，对于用户而言，他并不关心防火墙让什么样的数据流经过，而只关心有什么样的不符合安全策略的数据在试图进/出网络。

　　说了半天的安全审计，那么究竟什么是审计呢?这是一个非常大的概念，很难下一个具体的定义，这样讲吧，凡是对于网络的脆弱性进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计。

　　(至于防火墙对自身系统的审计，我们在这里不做过多的赘述，因为作为一个完善的体系，对于自身业务处理进行日志，我们认为是必不可少却理所当然的功能。)

对于来自内部攻击的审计

　　对于来自内部的攻击防火墙能作的工作很少，特别是内部那些不经过防火墙的攻击。不过防火墙可以有效阻止从内部发出的攻击，这样起码可以保证自己的服务器不会成为DDOS攻击的傀儡机。

　　然而，遗憾的是，大部分的安全策略设定是对于内部的数据不进行审计，而大部分的防火墙的审计系统是与访问的方向相联系的。因此目前的情况是，对于来自内部的攻击许多防火墙都无法审计，如果我们把类似Nimda、Melissa的病毒或蠕虫也当作一种攻击的话，基本上所有单独的防火墙系统最多能做的也就是按照策略进行日志记录。

　　防火墙的审计系统，日志是其重要组件，随着访问量的不断增大，审计数据库的管理也成为一个突出的问题。一些硬件防火墙采用Flash memory的形式，那么就会产生空间问题，因此网络日志已经成为一个趋势。

　　另外，由于大部分的防火墙自身不带有日志分析系统，因此是否能和专业的日志分析软件支持也将会是未来防火墙审计系统需要解决的一个问题。

　　因为国内的大部分的防火墙是基于linux系统的，我们建议防火墙审计系统对于Syslog的支持，这样也更有利于防火墙审计系统对于类似于WebTrends Log Analyzer这样的日志分析软件协同工作。

　　网络安全是一个庞大而复杂的体系，防火墙提供了基本的安全保障，但是一个不断完善的系统却需要借助于审计系统，这样才能找到一种动态的平衡。