安全区域边界（二）访问控制

安全区域边界

控制点

2.访问控制

访问控制技术是指通过技术措施防止对网络资源进行未授权的访问，从而使计算机系统在合法的范围内使用。在基础网络层面，访问控制主要是通过在网络边界及各网络区域间部署访问控制设备，如网闸、防火墙等。

访问控制设备中，应启用有效的访问控制策略，且应采用白名单机制，仅授权的用户能够访问网络资源；应根据业务访问的需要对源地址、目的地址、源端口、目的端口和协议等进行管控；能够根据业务会话的状态信息为进出网络的数据流提供明确的允许/拒绝访问的能力；同时，访问控制应能够对进出网络的数据量所包含的内容及协议进行管控。

a)**

安全要求：应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。

要求解读：应在网络边界或区域之间部署网闸、防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件，根据访问控制策略设置有效的访问控制规则，访问控制规则采用白名单机制。

检查方法

1.应检查在网络边界或区域之间是否部署访问控制设备，是否启用访问控制策略。

2.应检查设备的访问控制策略是否为白名单机制，仅允许授权的用户访问网络资源，禁止其他所有的网络访问行为。

3.应该检查配置的访问控制策略是否实际应用到相应的接口的进或出方向。

以CiscoIOS为例，输入命令“show runninge6onfig”，检查配置文件中访问控制策略。

测评对象

访问控制设备/策略

期望结果

设备访问控制策略具体如下：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.10 eq 3389

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.11 eq 3389

access-list 100 deny ip any any interface GigabitEthernet1/1

ip access-group 100 in

高风险判定

满足以下条件即可判定为高风险且无补偿因素：

重要网络区域与其他网络区域之间（包括内部区域边界和外部区域边界）访问控制设备不当或控制措施失效，存在较大安全隐患。例如办公网络任意网络终端均可访问核心生产服务器和网络设备；无线网络接入区终端可直接访问生产网络设备等。

b)*

安全要求：应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。

要求解读：根据实际业务需求配置访问控制策略，仅开放业务必须的端口，禁止配置全通策略，保证边界访问控制设备安全策略的有效性。不同访问控制策略之间的逻辑关系应合理，访问控制策略之间不存在相互冲突，重叠或包含的情况；同时，应保障访问控制规则数量最小化。

检查方法

1.应访谈安全管理员访问控制策略配置情况，核查相关安全设备的访问控制策略与业务及管理需求的一致性，结合策略命中数分析策略是否有效。

2.应检查访问控制策略中是否包禁止了全通策略或端口、地址限制范围过大的策略。

3.应核查设备的不同访问控制策略之间的逻辑关系是否合理。

以Cisco IOS为例，输入命令show running-config，检查配置文件中访问控制列表配置项。

测评对象

1.安全管理员
2.访问控制策略

期望结果

1.访问控制需求与策略保持一致。

2.应合理配置访问控制策略的优先级，如：

access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.3.10

上述访问控制策略排列顺序不合理，第二条策略应在前面，否则不能被命中。

3.应禁用全通策略，如access-list 100 permit tcp any host any eq any

4.应合并互相包含的策略，如：

access-list 100 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.10

access-list 100 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10

第二条策略不起作用，可直接删除。

c)*

安全要求：应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出。

要求解读：应对网络中网闸、防火墙、路由器、交换机和无线接入网关等提供访问控制功能的设备或相关组件进行检查，访问控制策略应明确源地址、目的地址、源端口、目的端口和协议，以允许/拒绝数据包进出。

检查方法

应核查设备中访问控制策略是否明确设定了源地址、目的地址、源端口、目的端口和协议等相关配置参数。

以Cisco IOS为例，拒绝所有从172.16.4.0到172.16.3.0的ftp通信流量通过F0/0接口，输入命令：show running-config，检查配置文件中访问控制列表配置项。

测评对象

访问控制策略中的配置文件

期望结果

检查配置文件中是否存在类似如下配置项：

access-list101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255eq 21

access-list101 permit ip any any

interface fastethernet0/0

ip access-group101 out

d)

安全要求：应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力。

要求解读：防火墙能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数据包进行控制，而且能够记录通过防火墙的连接状态，直接对包里的数据进行处理。防火墙还应具有完备的状态检测表来追踪连接会话状态，并结合前后数据包的关系进行综合判断，然后决定是否允许该数据包通过，通过连接状态进行更迅速更安全地过滤。

检查方法

应检查状态检测防火墙访问控制策略中是否明确设定了源地址、目的地址、源端口、目的端口和协议。

以Cisco IOS为例，输入命令：show running-config。

测评对象

防火墙访问控制策略中的配置文件

期望结果

检查配置文件中应当存在类似如下配置项：

access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.168.3.100 eq 21

access-list 101 permit tcp 192.168.1.00.0.0.255 host 192.168.3.10 eq 80

access-list 101 deny ipgany any

e)*

安全要求：应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

要求解读：在网络边界采用下一代防火墙或相关安全组件，实现基于应用协议和应用内容的访问控制。

检查方法

1.应检查在关键网络节点处是否部署访问控制设备。

2.应检查访问控制设备是否配置了相关策略，对应用协议、应用内容进行访问控制，并对策略有效性进行测试。

测评对象

1.关键网络节点

2.访问控制设备相关策略

期望结果

防火墙配置应用访问控制策略，从应用协议、应用内容进行访问控制，对QQ聊天工具、优酷视频以及Web服务、FTP服务等进行管控。