防火墻配置錯(cuò)誤可能與沒(méi)有防火墻一樣危險(xiǎn)。人們需要了解五個(gè)常見(jiàn)的防火墻配置錯(cuò)誤，這些錯(cuò)誤將讓任何組織都容易受到攻擊。

防火墻是抵御所有類型網(wǎng)絡(luò)入侵者的主要防線，但即使具有多年的實(shí)踐和豐富的經(jīng)驗(yàn)，許多組織仍然會(huì)犯配置錯(cuò)誤，使其網(wǎng)絡(luò)容易受到數(shù)據(jù)竊取、丟失以及其他類型的破壞。

[[275368]]

以下是組織應(yīng)該不惜一切代價(jià)需要避免的五種防火墻錯(cuò)誤配置：

1.未能正確配置和協(xié)調(diào)防火墻，并使用越來(lái)越多基于云計(jì)算的安全基礎(chǔ)設(shè)施

網(wǎng)絡(luò)安全和存儲(chǔ)產(chǎn)品供應(yīng)商Barracuda Networks公司高級(jí)咨詢工程師Stefan Schachinger表示，網(wǎng)絡(luò)邊界幾乎已經(jīng)消失，如今防火墻只是分布式安全生態(tài)系統(tǒng)的一個(gè)組成部分。

將數(shù)據(jù)中心與分支機(jī)構(gòu)、移動(dòng)工作者和維護(hù)人員連接的組織需要連續(xù)的遠(yuǎn)程訪問(wèn)。與此同時(shí)，應(yīng)用程序和數(shù)據(jù)資源正迅速轉(zhuǎn)向IaaS和SaaS平臺(tái)。Schachinger指出，“大多數(shù)公司正在向混合云環(huán)境過(guò)渡。保護(hù)這樣的基礎(chǔ)設(shè)施不僅僅需要防火墻。當(dāng)今不斷發(fā)展并且更加分散的環(huán)境需要一種分層的縱深防御方法，在這種方法中，防火墻需要與安全生態(tài)系統(tǒng)的其余部分協(xié)同工作。”

2.誤用端口轉(zhuǎn)發(fā)規(guī)則進(jìn)行遠(yuǎn)程訪問(wèn)

在不限制端口或源IP地址的情況下，使用端口轉(zhuǎn)發(fā)規(guī)則來(lái)完成對(duì)LAN端機(jī)的遠(yuǎn)程訪問(wèn)并不是一個(gè)好主意。Mushroom網(wǎng)絡(luò)公司首席執(zhí)行官Jay Akin說(shuō)，“這是一個(gè)常見(jiàn)的錯(cuò)誤，因?yàn)樗窃O(shè)置遠(yuǎn)程訪問(wèn)的最簡(jiǎn)單方法。”該公司是一家結(jié)合防火墻和其他安全屬性的高級(jí)SD-WAN設(shè)備開(kāi)發(fā)商。

而粗心大意的端口轉(zhuǎn)發(fā)進(jìn)行遠(yuǎn)程訪問(wèn)會(huì)顯著增加安全漏洞的風(fēng)險(xiǎn)。“如果本地可信設(shè)備通過(guò)這個(gè)安全漏洞被未經(jīng)授權(quán)的組織和個(gè)人實(shí)施訪問(wèn)和攻擊，則黑客可以進(jìn)一步利用網(wǎng)絡(luò)LAN部分中的可信設(shè)備來(lái)攻擊其他設(shè)備或資產(chǎn)。”Akin解釋說(shuō)。

3.忽視特定庫(kù)存的合法訪問(wèn)需求

為了確保最小的服務(wù)中斷，許多組織使用廣泛的許可策略啟動(dòng)防火墻配置。然后，隨著時(shí)間的推移和需求的出現(xiàn)，逐漸收緊他們的訪問(wèn)策略。網(wǎng)絡(luò)安全提供商N(yùn)etsurion公司信息安全和支持高級(jí)副總裁Lenny Mansilla警告說(shuō)，“這是個(gè)壞主意，組織從一開(kāi)始就沒(méi)有仔細(xì)定義訪問(wèn)需求，則很容易受到長(zhǎng)時(shí)間的惡意攻擊。”

Mansilla建議，組織需要采取相反的做法，不能從一個(gè)緩慢收緊的政策開(kāi)始，而是檢查需要的關(guān)鍵應(yīng)用程序和服務(wù)，以支持可靠的日常操作，然后采用防火墻策略以適應(yīng)特定站點(diǎn)，盡可能使用源IP、目標(biāo)IP和端口地址。

4.沒(méi)有配置防火墻以對(duì)出站流量進(jìn)行出口過(guò)濾

大多數(shù)管理人員對(duì)防火墻如何通過(guò)入口過(guò)濾提高安全性有著基本的了解。這種方法防止基于Internet的連接到達(dá)內(nèi)部網(wǎng)絡(luò)服務(wù)，未經(jīng)授權(quán)的外部用戶不能訪問(wèn)這些服務(wù)，網(wǎng)絡(luò)安全軟件和服務(wù)提供商Watchguard科技公司首席技術(shù)官Corey Nachreener解釋說(shuō)，“管理人員很少會(huì)利用出口過(guò)濾規(guī)則提供安全優(yōu)勢(shì)，這限制了內(nèi)部用戶可以連接到Internet的網(wǎng)絡(luò)類型。”

他指出，他所看到的大多數(shù)防火墻配置都有一個(gè)輸出策略，基本上允許內(nèi)部用戶在網(wǎng)上做任何他們想做的事情。如果用戶沒(méi)有使用出口過(guò)濾規(guī)則，那么就錯(cuò)過(guò)了防火墻可以提供的一系列安全優(yōu)勢(shì)，從而使其整體安全狀況處于劣勢(shì)。

5.相信配置良好的防火墻可以確保網(wǎng)絡(luò)安全所需的全部?jī)?nèi)容

隨著攻擊者越來(lái)越狡猾，邊緣計(jì)算保護(hù)正在被推向極限。網(wǎng)絡(luò)攻擊者如今針對(duì)企業(yè)Wi-Fi網(wǎng)絡(luò)進(jìn)行攻擊，破壞路由器，發(fā)起網(wǎng)絡(luò)釣魚活動(dòng)，甚至構(gòu)建API網(wǎng)關(guān)請(qǐng)求，將腳本攻擊傳遞給后端。一旦進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)攻擊者就可以擴(kuò)展其范圍，以利用用戶使用邊緣計(jì)算的安全心態(tài)構(gòu)建的內(nèi)部系統(tǒng)。

網(wǎng)絡(luò)安全平臺(tái)提供商42Crunch公司云平臺(tái)副總裁Dmitry Sotnikov建議采用零信任方法。他說(shuō)，“組織的一切事物都可能受到損害：移動(dòng)應(yīng)用程序、消費(fèi)者和員工的設(shè)備，以及內(nèi)部網(wǎng)絡(luò)。需要分層設(shè)計(jì)網(wǎng)絡(luò)安全，防火墻并不是唯一的保護(hù)，要將每一層鎖定到所需的最低通信級(jí)別。”

Sotnikov建議說(shuō)，“組織內(nèi)部開(kāi)發(fā)的安全措施應(yīng)遵循DevSecOps方法。企業(yè)的API、應(yīng)用程序、集成項(xiàng)目，以及系統(tǒng)的安全性需要從設(shè)計(jì)階段開(kāi)始。在生命周期的每個(gè)階段，設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)行時(shí)的安全檢查都需要自動(dòng)運(yùn)行，以確保任何組件或系統(tǒng)都是安全的，即使它們不斷發(fā)展和變化。”