需要避免的五個防火牆配置錯誤

防火牆配置錯誤可能與沒有防火牆一樣危險。人們需要了解五個常見的防火牆配置錯誤，這些錯誤將讓任何組織都容易受到攻擊。

防火牆是抵禦所有類型網路入侵者的主要防線，但即使具有多年的實踐和豐富的經驗，許多組織仍然會犯配置錯誤，使其網路容易受到數據竊取、丟失以及其他類型的破壞。

以下是組織應該不惜一切代價需要避免的五種防火牆錯誤配置：

1.未能正確配置和協調防火牆，並使用越來越多基於雲計算的安全基礎設施

網路安全和存儲產品供應商Barracuda Networks公司高級咨詢工程師Stefan Schachinger表示，網路邊界幾乎已經消失，如今防火牆只是分布式安全生態系統的一個組成部分。

將數據中心與分支機構、移動工作者和維護人員連接的組織需要連續的遠程訪問。與此同時，應用程序和數據資源正迅速轉向IaaS和SaaS平台。Schachinger指出，「大多數公司正在向混合雲環境過渡。保護這樣的基礎設施不僅僅需要防火牆。當今不斷發展並且更加分散的環境需要一種分層的縱深防禦方法，在這種方法中，防火牆需要與安全生態系統的其餘部分協同工作。」

2.誤用端口轉發規則進行遠程訪問

在不限制端口或源IP地址的情況下，使用端口轉發規則來完成對LAN端機的遠程訪問並不是一個好主意。Mushroom網路公司首席執行官Jay Akin說，「這是一個常見的錯誤，因為它是設置遠程訪問的最簡單方法。」該公司是一家結合防火牆和其他安全屬性的高級SD-WAN設備開發商。

而粗心大意的端口轉發進行遠程訪問會顯著增加安全漏洞的風險。「如果本地可信設備通過這個安全漏洞被未經授權的組織和個人實施訪問和攻擊，則黑客可以進一步利用網路LAN部分中的可信設備來攻擊其他設備或資產。」Akin解釋說。

3.忽視特定庫存的合法訪問需求

為了確保最小的服務中斷，許多組織使用廣泛的許可策略啟動防火牆配置。然後，隨著時間的推移和需求的出現，逐漸收緊他們的訪問策略。網路安全提供商Netsurion公司信息安全和支持高級副總裁Lenny Mansilla警告說，「這是個壞主意，組織從一開始就沒有仔細定義訪問需求，則很容易受到長時間的惡意攻擊。」

Mansilla建議，組織需要採取相反的做法，不能從一個緩慢收緊的政策開始，而是檢查需要的關鍵應用程序和服務，以支持可靠的日常操作，然後採用防火牆策略以適應特定站點，盡可能使用源IP、目標IP和端口地址。

4.沒有配置防火牆以對出站流量進行出口過濾

大多數管理人員對防火牆如何通過入口過濾提高安全性有著基本的了解。這種方法防止基於Internet的連接到達內部網路服務，未經授權的外部用戶不能訪問這些服務，網路安全軟件和服務提供商Watchguard科技公司首席技術官Corey Nachreener解釋說，「管理人員很少會利用出口過濾規則提供安全優勢，這限制了內部用戶可以連接到Internet的網路類型。」

他指出，他所看到的大多數防火牆配置都有一個輸出策略，基本上允許內部用戶在網上做任何他們想做的事情。如果用戶沒有使用出口過濾規則，那麼就錯過了防火牆可以提供的一系列安全優勢，從而使其整體安全狀況處於劣勢。

5.相信配置良好的防火牆可以確保網路安全所需的全部內容

隨著攻擊者越來越狡猾，邊緣計算保護正在被推向極限。網路攻擊者如今針對企業Wi-Fi網路進行攻擊，破壞路由器，發起網路釣魚活動，甚至構建API網關請求，將腳本攻擊傳遞給後端。一旦進入網路，網路攻擊者就可以擴展其範圍，以利用用戶使用邊緣計算的安全心態構建的內部系統。

網路安全平台提供商42Crunch公司雲平台副總裁Dmitry Sotnikov建議採用零信任方法。他說，「組織的一切事物都可能受到損害：移動應用程序、消費者和員工的設備，以及內部網路。需要分層設計網路安全，防火牆並不是唯一的保護，要將每一層鎖定到所需的最低通信級別。」

Sotnikov建議說，「組織內部開發的安全措施應遵循DevSecOps方法。企業的API、應用程序、集成項目，以及系統的安全性需要從設計階段開始。在生命周期的每個階段，設計、開發、測試、運行時的安全檢查都需要自動運行，以確保任何組件或系統都是安全的，即使它們不斷發展和變化。」

(來源：企業網D1Net)

如果您在企業IT、網路、通信行業的某一領域工作，並希望分享觀點，歡迎給企業網D1Net投稿

投稿郵箱：[email protected]

點擊藍色字體

關注

您還可以搜尋公眾號「D1net」選擇關注D1net旗下的各領域（雲計算，數據中心，大數據，CIO， 企業通信 ，企業應用軟件，網路數通，信息安全，服務器，存儲，AI人工智能，物聯網智慧城市等）的子公眾號。

企業網D1net已推出企業應用商店（www.enappstore.com），面向企業級軟件，SaaS等提供商，提供陳列，點評功能，不參與交易和交付。現可免費入駐，入駐後，可獲得在企業網D1net 相應公眾號推薦的機會。歡迎入駐。

掃描下方「二維碼」即可註冊，註冊後讀者可以點評，廠商可以免費入駐。