即使從最專業安全咨詢的角度來講，大家都在強調安全策略的重要性。單純網絡安全設備的部署，僅僅是安全的一個開端，只是添加了安全大廈的磚瓦，構筑了骨架而已。因為對于硬件設備的一味依賴和迷信，反而會造成安全審計上的松懈，甚至有人講“一個具有部分安全的網絡甚至還不如一個完全沒有安全措施的網絡”。安全審計如果不能說是網絡策略中最重要的一部分的話，至少是必不可少的。

對于網絡安全的核心設備——防火墻，目前的形式已經要求它提供更為強大和完善的審計功能，不能滿足于以往那種單純的日志記錄了。現在要求防火墻系統，不僅提供對于正常業務的審計，比如數據流的審計，而且需要對于負載的審計，就是說需要對于應用層數據的審計提供更全面的解決方案；同時防火墻系統應該提供對于自身系統的審計，支持必要的審計分析軟件或者自帶審計分析軟件，絕大多數的防火墻只是提供干巴巴的日志記錄而沒有任何分析的余地，這樣的審計系統更像是“雞肋”，對于用戶而言，他并不關心防火墻讓什么樣的數據流經過，而只關心有什么樣的不符合安全策略的數據在試圖進/出網絡。

說了半天的安全審計，那么究竟什么是審計呢？這是一個非常大的概念，很難下一個具體的定義，這樣講吧，凡是對于網絡的脆弱性進行測試、評估和分析，以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段，都可以叫做安全審計。

對于安全審計，有許多現成的模式，更有林林總總的標準和模型， 什么比如ISO7498-2，BS7799，CC和P2DR模型等，但是結合防火墻來講，我們并不想把事情弄得如此復雜。作為一個網絡邊界設備和通信的中介，我們試圖從一個黑客攻擊網絡的角度來考慮，在這整個過程中防火墻的審計功能應當如何發揮作用。

（至于防火墻對自身系統的審計，我們在這里不做過多的贅述，因為作為一個完善的體系，對于自身業務處理進行日志，我們認為是必不可少卻理所當然的功能。）

對于來自外部攻擊的審計

黑客通過防火墻攻擊內部服務器的一般步驟：

1.黑客選定受害者目標階段的防火墻審計

大部分的黑客是在網絡中盲目尋求目標的，因此任何系統都不能心存僥幸。防火墻系統應該能夠記錄所有外來的訪問，并且能夠安全地將時間、協議、訪問源和訪問目標以及流量等進行分類。

同時，防火墻的審計系統能夠按照安全策略，對于特定的訪問請求進行詳細的記錄。（如圖）

2，黑客隱蔽真實地址階段的防火墻審計

為了隱藏自己的真實IP，高級的黑客會找一個跳板，比如代理服務器。對此防火墻是無能為力的，一般的情況下，就是防火墻系統對于已知的代理服務器IP采用“黑名單”的方式進行阻斷。

3， 黑客探測階段的防火墻審計

內網對外提供公開的服務，因此不可避免地會受到黑客對于目標端口和系統漏洞的掃描。目前有許多優秀的掃描工具，比如Windows平臺的ISS Internet Scanner，Retina和SSS，以及國內的Fluxay等，而Unix平臺的Nmap和Satan也是功能強大的掃描工具。對于防火墻而言，可以進行嚴格的策略設置，從而有效避免大部分的掃描。但是對于特定模式的掃描，比如fin掃描（如nmap -sF）等隱蔽方式的掃描，許多防火墻是無法識別的。

防火墻的審計系統目前還不能做到像IDS那樣的模式識別，但是應該具備起碼的診斷功能，能夠從頻率來判斷掃描事件。對于ping scan, tcp scan和udp scan等，防火墻需要內置識別模塊并且采取有效措施。

優秀的防火墻審計系統，應該能夠自動識別或者通過策略設置來判斷掃描事件，并且采取相應的措施，比如報警、阻斷或者日志記錄等。

即使這樣，對于開放的端口，黑客還是可以根據其特定的服務進行漏洞掃描，一般情況下，對于漏洞掃描防火墻也是無法判斷的，只能在日志里面如實地記錄，而無法進行進一步的分析。

不過，一般的端口掃描，會伴隨著對于端口的洪水攻擊，比如syn flooding,udp flooding等，對于這些DOS攻擊，雖然無法從根本上防備，但是防火墻的審計系統是有足夠能力進行自動識別并丟棄攻擊包的。

4， 黑客滲透階段的防火墻審計

黑客一旦鎖定攻擊目標，那么就會嘗試使用各種攻擊手段進行滲透。非法入侵的方法多不勝數，我們只就常見的方式來介紹防火墻的安全審計策略。

最常見的服務器攻擊是針對web和ftp的，因此，針對這兩項服務，防火墻的審計系統都應該有應用層數據的審計能力。

Web服務器的安全漏洞基本上集中于服務器自身的安全漏洞，無論是java,activeX控件，還是CGI腳本都是容易被攻擊的對象。雖然目前大部分的防火墻都能通過應用層的內容過濾規則來設置一些對策，但是我們建議防火墻審計系統應該是自動識別一些知名的攻擊的。舉個例子，許多腳本小子喜歡利用IIS的Unicode漏洞，那么防火墻的審計系統就應該自動識別類似于/scripts/..%c1%1c../winnt/system32/cmd.exe?/這種格式的非法http請求，而自動將之丟棄。

另外一種可行的審計方式是，防火墻支持和IDS的聯動，這樣就可以對于更多的攻擊類型進行有效的分析和判斷。

對于ftp服務器的攻擊，一個重要的部分就是密碼的嗅探和暴力破解，而且ftp采用了雙端口的服務模式，更為攻擊提供了方便。防火墻的審計系統對于各個ftp命令能夠進行有效審計，并且能夠按照策略做到命令級的控制。

就攻擊類型來講，防火墻審計系統應該具備至少判斷如下類型攻擊的能力：欺騙攻擊，會話劫持，DOS攻擊。

DOS攻擊的審計我們前面提過，對于欺騙攻擊和會話劫持攻擊而言，基于連接的狀態包過濾防火墻容易審計，簡單包過濾的防火墻在處理起來就有相當的難度。因為基于連接的話，就可以在一定程度上保證完整性和信任關系。

對于黑客滲透階段的防火墻審計工作，情況是最為復雜的，一般防火墻可辨識的攻擊類型很少，而對于那些針對系統漏洞進行的攻擊，防火墻基本無法識別。此時防火墻審計所帶來的安全性，更多地依賴于整體安全策略的設定。

5， 黑客控制階段的防火墻審計

一旦黑客的攻擊得逞，那么防火墻的審計工作就顯得尤為重要。因為只有通過有效的審計，才能知道黑客是通過什么途徑來入侵并成功的。這時候防火墻的日志分析就是最關鍵的工作，高級的黑客一般都會從入侵系統中將自己的入侵記錄刪除，所以應用系統的日志一旦破壞，那么就只有依賴防火墻的記錄了。

通過日志分析，獲取時間、地址、協議和流量等信息，就可以有效判斷網絡是否開放了不必要的服務和端口，黑客是否可能利用了系統漏洞等等。

這樣就有助于增強整個網絡的安全性，并且有助于制定更為嚴格的安全策略。

對于來自內部攻擊的審計

對于來自內部的攻擊防火墻能作的工作很少，特別是內部那些不經過防火墻的攻擊。不過防火墻可以有效阻止從內部發出的攻擊，這樣起碼可以保證自己的服務器不會成為DDOS攻擊的傀儡機。

然而，遺憾的是，大部分的安全策略設定是對于內部的數據不進行審計，而大部分的防火墻的審計系統是與訪問的方向相聯系的。因此目前的情況是，對于來自內部的攻擊許多防火墻都無法審計，如果我們把類似Nimda、Melissa的病毒或蠕蟲也當作一種攻擊的話，基本上所有單獨的防火墻系統最多能做的也就是按照策略進行日志記錄。

防火墻的審計系統，日志是其重要組件，隨著訪問量的不斷增大，審計數據庫的管理也成為一個突出的問題。一些硬件防火墻采用Flash memory的形式，那么就會產生空間問題，因此網絡日志已經成為一個趨勢。

另外，由于大部分的防火墻自身不帶有日志分析系統，因此是否能和專業的日志分析軟件支持也將會是未來防火墻審計系統需要解決的一個問題。

因為國內的大部分的防火墻是基于linux系統的，我們建議防火墻審計系統對于Syslog的支持，這樣也更有利于防火墻審計系統對于類似于WebTrends Log Analyzer這樣的日志分析軟件協同工作。

網絡安全是一個龐大而復雜的體系，防火墻提供了基本的安全保障，但是一個不斷完善的系統卻需要借助于審計系統，這樣才能找到一種動態的平衡。