中軟國際哈爾濱ETC：配錯防火牆將形同虛設

本來是個防盜窗卻用來做防盜門，窗比門小，小偷自然會從門沒設防的空隙鑽入，而一些企業會則在網路防火牆配置上不時犯下同樣錯誤，反而導致網路容易遭受攻擊、數據盜竊與破壞。這是因為他們並未意識到，防火牆配置錯誤可能讓這道「防護之門」形同虛設。

忽略與雲設施協同聯動

如今網路邊界逐步消失，應用程序和數據資源正迅速向IaaS和SaaS平台轉移，大量企業開始向混合雲環境過渡。防火牆卻仍舊是分散式安全生態系統中的一個組成部分。這時保護雲化的基礎設施顯然不僅僅需要一個簡單的防火牆了。

不斷發展和分散式的基礎設施環境，需要一種分層的縱深防禦的架構與方法，在這其中，防火牆必須要與其他安全生態系統、雲平台一起協同聯動才行。而一旦忽略了與雲設施的協同，配置防火牆將是片面的，容易為攻擊者留下入侵「間隙」。

錯誤應用埠轉發規則

作為一種常見的配置錯誤，在不限制埠或源IP地址的情況下，使用埠轉發規則來遠程訪問LAN端計算機絕對不是一個好主意，即便這是設置遠程訪問的最簡單方式。

通過隨意埠轉發進行遠程訪問，會大幅增加安全漏洞的風險。如果本地「受信任」設備可以被未經授權的流量通過，惡意攻擊者將可進一步利用網路區域網段中的所謂受信任設備，攻擊網路中的其他受信任設備，甚至訪問其他數字資產。

無視特定站點訪問需求

為了避免出現業務中斷，許多企業往往針對防火牆配置使用廣泛的「允許」策略放行。可是隨著時間推移，需求不斷增加，網管們又會逐漸收緊各種訪問策略。而這無疑是一個壞主意。因為從一開始如果沒有仔細定義訪問需求的話，企業將在較長時間裡受到惡意攻擊的困擾。

所以建議企業應該採取先緊後松的策略，而不是從開放策略慢慢收緊。尤其是關鍵應用程序和服務對於那些有特定站點訪問需求的，更應該提前進行保障，然後儘可能使用源IP、目標IP和埠地址來應用防火牆策略，進而滿足特定站點需要。

配置流量出口過濾失敗

大多數網管都對防火牆通過埠過濾來提高安全性有基本了解，這種方法會阻止從外部網路對內部網路服務的任意訪問。比如入口過濾，就是阻止選定的外部流量進入網路。一般來說，未經授權的外部用戶不應該訪問這些服務。然而，很少有管理員會費心利用出口過濾器對內部流量進行監測，因為那樣會限制內部用戶對外網的連接。

可是如果不使用出口過濾，防火牆便無法對內網流量進行監測，白白浪費一項重要防護功能。因為出口過濾是將數據傳輸到另一個網路之前，使用防火牆過濾出站數據，防止所有未經授權的流量離開網路。如果數據包不能滿足防火牆設置的安全要求，它將被阻止離開網路。這通常可在具有包含敏感或機密信息的私有TCP/IP計算機的高度私有網路中使用。

過於相信防火牆=安全

現在攻擊者變得越來越狡猾，邊緣保護被推到了極限。攻擊者可以瞄準企業Wi-Fi網路，侵入路由器，發起網路釣魚活動，甚至構建API網關請求，將腳本攻擊傳遞到後端。而一旦進入網路，攻擊者便可以擴大訪問範圍，進一步深入內部系統。

雖然防火牆是一個關鍵的網路安全設備，但並不是企業網路的唯一「保護神」。過度高估防火牆的作用，往往會招致更多的攻擊威脅。因為對於企業內網安全來說，應該遵循DevSecOps(開發、運維及安全團隊)的整體防護思路，將所涉及的API、應用程序、集成項目和系統安全性從設計階段開始，在其生命周期的每個階段，如設計、開發、測試、運行時都自動運行安全檢查，確保任何組件或系統都是安全的才行。

結語

由此可見，一旦配置防火牆失誤，或無法兼顧整體系統的防護聯動，都會引發網路威脅更大的失誤，說配錯防火牆能讓網路防護形同虛設不夠，甚至比不設防火牆更危險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！