本来是防盗窗,现在当防盗门用了。窗户比门小,小偷自然会从门不设防的缝隙溜进来,有些公司在网络防火墙配置上也会时不时地犯同样的错误。相反,错误会使网络容易受到攻击、数据窃取和破坏。那是因为他们没有意识到错误配置的防火墙会使这个“保护门”失效。忽视与云设施的协同在网络边界逐渐消失,应用和数据资源快速向IaaS和SaaS平台转移的今天,大量企业开始向混合云环境过渡。防火墙仍然是分布式安全生态系统不可或缺的一部分。此时,显然需要的不仅仅是一个简单的防火墙来保护云基础设施。不断增长和分布式的基础设施环境需要分层的纵深防御架构和方法,其中防火墙必须与其他安全生态系统和云平台合作。一旦忽视了与云设施的配合,防火墙的配置就会片面,很容易给攻击者留下“缺口”。错误应用端口转发规则作为一种常见的错误配置,在不限制端口或源IP地址的情况下使用端口转发规则远程访问LAN端的计算机绝不是一个好主意,即使这是设置远程访问的最简单方法。通过随意的端口转发进行远程访问大大增加了安全漏洞的风险。如果本地“可信”设备可以被未授权流量通过,恶意攻击者将能够进一步利用网络局域网段中所谓的可信设备,攻击网络中的其他可信设备,甚至访问其他数字资产。忽略特定站点访问要求为避免业务中断,许多企业通常对防火墙配置使用宽泛的“允许”策略。但是,随着时间的推移和需求的不断增加,网络管理员会逐渐收紧各种访问策略。这绝对是个坏主意。因为如果一开始就没有仔细定义访问需求,企业将长期受到恶意攻击的困扰。因此,建议企业采取先紧后松的策略,而不是从开放策略开始慢慢收紧。尤其是对于有特定站点访问需求的关键应用和服务,更应该提前保证,然后尽可能使用源IP、目的IP和端口地址应用防火墙策略,以满足特定站点的需求。配置流量出口过滤失败大多数网络管理员都对防火墙如何通过端口过滤来提高安全性有基本的了解,端口过滤可以防止外部网络任意访问内部网络服务。例如,入口过滤是为了防止选定的外部流量进入网络。通常,未经授权的外部用户不应访问这些服务。然而,很少有管理员愿意使用出口过滤器来监控内部流量,因为这会限制内部用户与外部网络的连接。但是,如果不使用出口过滤,防火墙就无法监控内网流量,白白浪费了一个重要的防护功能。因为出口过滤是使用防火墙在数据传输到另一个网络之前过滤出站数据,防止所有未经授权的流量离开网络。如果数据包不符合防火墙设置的安全要求,它将被阻止离开网络。这通常用于具有包含敏感或机密信息的专用TCP/IP计算机的高度专用网络。过于相信防火墙=安全现在攻击者变得越来越老练,边缘保护也被推到了极限。攻击者可以瞄准企业Wi-Fi网络、侵入路由器、发起网络钓鱼活动,甚至构建API网关请求以向后端提供脚本攻击。一旦进入网络,攻击者就可以扩大他们的访问范围,进一步渗透内部系统。防火墙虽然是关键的网络安全设备,但它并不是企业网络的唯一“保护神”。过分高估防火墙的作用往往会导致更多的攻击威胁。因为对于企业内网的安全,应该遵循DevSecOps(开发、运维和安全团队)的整体防护思路,涉及到的API、应用、集成项目和系统的安全应该从设计开始阶段并在其生命周期中实施。安全检查在设计、开发、测试和运行时的每个阶段自动运行,以确保任何组件或系统都是安全的。结论可见,一旦防火墙配置错误,或者不能考虑整个系统的防护联动,都会造成更大的网络威胁。据说错误的防火墙会使网络保护失效,甚至比没有防火墙还要危险。
