網路環境最基本的保障，即為防火牆的設置。主要目的為防止外界未經授權的使用者不當之侵入、存取企業資源或者竊取機密資料。防火牆妥善的設定，可以大幅增加企業存取網路的安全性。

稽核重點：是否設置防火牆？防火牆的設定是否有規範信任區與非信任區之定義，以及其控制的設定。

提供資料：防火牆 Policy 設定畫面，網路存取設定開放申請單
資訊單位應隨時檢討網路安全措施及修正防火牆的設定，以防禦網路的入侵與攻擊。當防護網被突破時，資訊人員應迅速防止入侵者的存取動作，防止災害繼續擴大;或入侵者己被嚴密監控，在不危害內部網路安全的前提下，得適度允許入侵者存取動作，以利追查入侵者。同時防火牆之設定應定期檢查，並經適當核准後評估更新防火牆軟體。

通常公司在 IT 服務業務中，會規劃網路管理的項目，並設置專人管理，隨時監測網路的狀況。連外網路須安裝安全防護措施，注意可能的漏洞；提供給內部人員使用的網路服務，與開放業務有關人員從遠端登入內部網路系統的網路服務（VPN），應執行嚴謹的身分辨識作業，或使用防火牆進行安全控管。

一般防火牆最常使用的管控方式是以限制 TCP Port 的存取（需要什麼樣的對外服務，再開放對外存取的 Port），藉由通訊協定的監控，來達到防護的措施。但這樣並不是萬無一失，很多侵入的方式或許無法主動，但是藉由如 http 的存取（總不能連 80 Port 都關掉吧？這就好像把大門封住，別人進不來，你也出不去），可以誘使使用者在不知覺的狀況被植入木馬或後門程式，這樣即使有防火牆也等於無用武之地。所以除了防火牆的設置外，同時可能需搭配弱點偵測、病毒防護以及資訊安全教育訓練等機制，後面我們要討論的防範機制中，再來說明。

資訊查核在這一部分，就要看審計人員的功力了（通常會計顧問公司對於這部份並沒有著力很深），一般僅能就防火牆的設定來查核，以及檢核是否公司有訂定防火牆政策及開放網路存取的申請作業（一般最常看到的就是使用者申請開放客戶 FTP 的存取）。

由於我們公司防火牆設定開發的申請是涵蓋在資訊系統需求申請單中，就沒有另外在設計一個申請表單來執行防火牆設定申請的作業了。

全系列文章列表