本來是個防盜窗卻用來做防盜門，窗比門小，小偷自然會從門沒設(shè)防的空隙鉆入，而一些企業(yè)會則在網(wǎng)絡(luò)防火墻配置上不時犯下同樣錯誤，反而導(dǎo)致網(wǎng)絡(luò)容易遭受攻擊、數(shù)據(jù)盜竊與破壞。這是因為他們并未意識到，防火墻配置錯誤可能讓這道“防護之門”形同虛設(shè)。

如今網(wǎng)絡(luò)邊界逐步消失，應(yīng)用程序和數(shù)據(jù)資源正迅速向IaaS和SaaS平臺轉(zhuǎn)移，大量企業(yè)開始向混合云環(huán)境過渡。防火墻卻仍舊是分布式安全生態(tài)系統(tǒng)中的一個組成部分。這時保護云化的基礎(chǔ)設(shè)施顯然不僅僅需要一個簡單的防火墻了。

不斷發(fā)展和分布式的基礎(chǔ)設(shè)施環(huán)境，需要一種分層的縱深防御的架構(gòu)與方法，在這其中，防火墻必須要與其他安全生態(tài)系統(tǒng)、云平臺一起協(xié)同聯(lián)動才行。而一旦忽略了與云設(shè)施的協(xié)同，配置防火墻將是片面的，容易為攻擊者留下入侵“間隙”。

錯誤應(yīng)用端口轉(zhuǎn)發(fā)規(guī)則

作為一種常見的配置錯誤，在不限制端口或源IP地址的情況下，使用端口轉(zhuǎn)發(fā)規(guī)則來遠(yuǎn)程訪問LAN端計算機絕對不是一個好主意，即便這是設(shè)置遠(yuǎn)程訪問的最簡單方式。

通過隨意端口轉(zhuǎn)發(fā)進行遠(yuǎn)程訪問，會大幅增加安全漏洞的風(fēng)險。如果本地“受信任”設(shè)備可以被未經(jīng)授權(quán)的流量通過，惡意攻擊者將可進一步利用網(wǎng)絡(luò)局域網(wǎng)段中的所謂受信任設(shè)備，攻擊網(wǎng)絡(luò)中的其他受信任設(shè)備，甚至訪問其他數(shù)字資產(chǎn)。

無視特定站點訪問需求

為了避免出現(xiàn)業(yè)務(wù)中斷，許多企業(yè)往往針對防火墻配置使用廣泛的“允許”策略放行?？墒请S著時間推移，需求不斷增加，網(wǎng)管們又會逐漸收緊各種訪問策略。而這無疑是一個壞主意。因為從一開始如果沒有仔細(xì)定義訪問需求的話，企業(yè)將在較長時間里受到惡意攻擊的困擾。

所以建議企業(yè)應(yīng)該采取先緊后松的策略，而不是從開放策略慢慢收緊。尤其是關(guān)鍵應(yīng)用程序和服務(wù)對于那些有特定站點訪問需求的，更應(yīng)該提前進行保障，然后盡可能使用源IP、目標(biāo)IP和端口地址來應(yīng)用防火墻策略，進而滿足特定站點需要。

配置流量出口過濾失敗

大多數(shù)網(wǎng)管都對防火墻通過端口過濾來提高安全性有基本了解，這種方法會阻止從外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)服務(wù)的任意訪問。比如入口過濾，就是阻止選定的外部流量進入網(wǎng)絡(luò)。一般來說，未經(jīng)授權(quán)的外部用戶不應(yīng)該訪問這些服務(wù)。然而，很少有管理員會費心利用出口過濾器對內(nèi)部流量進行監(jiān)測，因為那樣會限制內(nèi)部用戶對外網(wǎng)的連接。

可是如果不使用出口過濾，防火墻便無法對內(nèi)網(wǎng)流量進行監(jiān)測，白白浪費一項重要防護功能。因為出口過濾是將數(shù)據(jù)傳輸?shù)搅硪粋€網(wǎng)絡(luò)之前，使用防火墻過濾出站數(shù)據(jù)，防止所有未經(jīng)授權(quán)的流量離開網(wǎng)絡(luò)。如果數(shù)據(jù)包不能滿足防火墻設(shè)置的安全要求，它將被阻止離開網(wǎng)絡(luò)。這通?？稍诰哂邪舾谢驒C密信息的私有TCP/IP計算機的高度私有網(wǎng)絡(luò)中使用。

過于相信防火墻=安全

現(xiàn)在攻擊者變得越來越狡猾，邊緣保護被推到了極限。攻擊者可以瞄準(zhǔn)企業(yè)Wi-Fi網(wǎng)絡(luò)，侵入路由器，發(fā)起網(wǎng)絡(luò)釣魚活動，甚至構(gòu)建API網(wǎng)關(guān)請求，將腳本攻擊傳遞到后端。而一旦進入網(wǎng)絡(luò)，攻擊者便可以擴大訪問范圍，進一步深入內(nèi)部系統(tǒng)。

雖然防火墻是一個關(guān)鍵的網(wǎng)絡(luò)安全設(shè)備，但并不是企業(yè)網(wǎng)絡(luò)的唯一“保護神”。過度高估防火墻的作用，往往會招致更多的攻擊威脅。因為對于企業(yè)內(nèi)網(wǎng)安全來說，應(yīng)該遵循DevSecOps(開發(fā)、運維及安全團隊)的整體防護思路，將所涉及的API、應(yīng)用程序、集成項目和系統(tǒng)安全性從設(shè)計階段開始，在其生命周期的每個階段，如設(shè)計、開發(fā)、測試、運行時都自動運行安全檢查，確保任何組件或系統(tǒng)都是安全的才行。

結(jié)語

由此可見，一旦配置防火墻失誤，或無法兼顧整體系統(tǒng)的防護聯(lián)動，都會引發(fā)網(wǎng)絡(luò)威脅更大的失誤，說配錯防火墻能讓網(wǎng)絡(luò)防護形同虛設(shè)不夠，甚至比不設(shè)防火墻更危險。