防火墙是现代网络安全架构体系的关键性组成部分，为入站、出站的网络流量充当把关员，已经在企业网络中大量应用。然而，很多组织却忽视了非常重要的一点：防火墙系统只有在正确的策略配置并不断运营优化的前提下，才能有效应对不断变化发展的新威胁。否则就会形同虚设，为攻击者非法访问网络创造了可乘之机。但事实上，在很多大型企业组织中，由于防火墙设备的类型和数量众多，想要准确了解所有防火墙的工作状态并保持监控并不容易，这时候防火墙运营审计就有了用武之处。

对防火墙进行运营审计会涉及多个方面和步骤，可以帮助组织更深入了解所有防火墙设备的运行状态和实际工作效率。同时，开展防火墙运营审计还可以确保企业遵守网络安全相关的法律要求，帮助安全团队从容应对监管部门的各种检查。

本文梳理总结了开展防火墙运营审计的六个重要步骤，企业可以在此基础上，结合实际防护需求增加额外的检测项，从而制定完善的防火墙运营审计计划。

01

充分收集网络系统的运行信息

建立“单一真相来源”对顺利开展防火墙运营审计非常重要。因此，企业在启动防火墙审计工作之前，需要尽可能详细了解企业网络的整体运行情况，包括网络设备、软件应用、运营策略、主要风险以及用户交互规则等信息：

• 前期审计报告的信息，特别是涉及防火墙对象、策略修订的文档和报告；
• 要列出组织使用的所有互联网服务提供商（ISP）和虚拟专用网（VPN）列表清单；
• 收集正在运行的安全策略文档，包括已传达但尚未添加到正式文档中的更新；
• 整理防火墙日志报告，审计师要能够快速访问各种可能需要的详细信息；
• 防火墙厂商信息，比如操作系统版本、默认配置以及远程补丁修补信息等。

在这个阶段，企业应该确保将以上信息集中到每个审计人员都可以访问的地方。这将可以保证审计团队高效协同，并避免不必要的时间浪费。

02

评估组织的运营管理方法

防火墙运营审计也是评估现有的防火墙系统管理措施有效性的大好机会。在更新防火墙运行策略之前，最好确保新的管控流程记录完备、目标统一。对防火墙的运营管理应该始终拥有一个稳定、可靠的管理流程。如果随意进行配置更改，就会出现无数问题。

企业在评估管理流程的变更优化时，应重点考虑以下问题：

• 由谁来负责实施变更？他是否可以对防火墙运行的每个变更后果负责？
• 防火墙审计期间，是否可以查看有关配置升级效果评估的说明文档？
• 谁来批准所有的变更请求？当企业对网络系统中的任何防火墙进行重大策略变更时，应该有一条可靠的“命令链”。同时，任何对防火墙的变更都应该受制于一个正式的、有文档记录的流程，才可以确保防护效果的完整性。

03

要对硬件平台和操作系统进行审计

消除网络威胁需要快速的威胁响应速度，而能否在攻击蔓延到更广泛的网络之前快速隔离并阻止攻击，是评价防火墙有效性的重要参考指标。审计师应该从物理设备和软件应用内安全视角，仔细检查并评估每个防火墙的威胁响应状况。以下是执行这类评估的几种常见方法：

• 实施受控制的访问，为防火墙及其他相关服务器设备提供安全保障；
• 确定操作系统是否符合标准的安全加固检查列表；
• 检查设备管理程序，以确保它们足够稳健；
• 验证厂商的安全补丁和版本更新是否得到充分和及时的实施；
• 查看可以物理访问防火墙服务器机房的授权用户。

04

仔细审查防火墙的防护规则

执行防火墙运营审计的一个重要目标就是清理现有的设备运行环境，优化防火墙高效运行的规则库。审计师在检查防火墙运行规则时，需要考虑以下几个问题：

• 现有的规则库中有没有已过时的规则策略？
• 如何禁用那些长期未使用或已过时的规则和对象？
• 与运行性能和效果有关的防火墙规则应该优先得到重视；
• 是否按照标准化的命名方法对规则进行标记？
• 规则参数表中是否有已过时或未绑定的用户或用户组?
• 是否可以通过防火墙日志来总结分析已有的规则被充分运用？
• 是否存在可以合并为单个规则的类似规则？

05

执行风险评估发现潜在的问题

风险评估是开展防火墙运营审计工作中不可缺少的关键性要求。因为审计的主要目标就是确定组织的网络系统是否会因为防火墙的可用性不足而面临风险。审计团队要花时间来确定防火墙规则是否真正符合不断发展的行业法规和标准要求。企业组织一定要通过适用于贵组织的行业标准和最佳实践，对防火墙的运营风险进行评估，并根据评估结果来决定最终可接受的风险程度。

评估规则列表时，应考虑以下情况：

• 目前的防火墙运行规则是否可以阻断高风险服务从互联网进入或流出；
• 目前的防火墙运行规则是否在任何用户字段中都被准确标注；
• 目前的防火墙运行规则是否和企业的整体安全策略保持一致；
• 目前的防火墙运行规则是否未符合企业网络安全策略的长期发展要求；
• 审计师根据可能适用的行业监管标准来检查防火墙配置和规则是一个很好的方法，具体的标准包括J-SOX、FISMA、Basel-II、ISO 27001以及PCI-DSS等。

06

制定可持续的审计计划

当企业组织成功地开展了第一次防火墙运营审计时，就应该因此为基础制定可持续遵守的审计计划和目标，主要包括以下步骤：

• 创建一个可以快速复制的审计流程，确保该流程记录完备，以便不同的审计师都可以根据这些材料进行运营态势审计；
• 在审计流程中充分考虑智能自动化工具的应用，旨在消除容易出错的手动任务；
• 安全运营团队和审计人员之间应该保持密切的联系和信息同步，以便在下一次审计时，审计师可以优先考虑对变动的规则进行审计。

参考链接：

https://www.datamation.com/security/how-to-perform-a-firewall-audit