配錯防火墻將形同虛設
本來是個防盜窗卻用來做防盜門,窗比門小,小偷自然會從門沒設防的空隙鉆入,而一些企業會則在網絡防火墻配置上不時犯下同樣錯誤,反而導致網絡容易遭受攻擊、數據盜竊與破壞。這是因為他們并未意識到,防火墻配置錯誤可能讓這道“防護之門”形同虛設。
忽略與云設施協同聯動
如今網絡邊界逐步消失,應用程序和數據資源正迅速向IaaS和SaaS平臺轉移,大量企業開始向混合云環境過渡。防火墻卻仍舊是分布式安全生態系統中的一個組成部分。這時保護云化的基礎設施顯然不僅僅需要一個簡單的防火墻了。
不斷發展和分布式的基礎設施環境,需要一種分層的縱深防御的架構與方法,在這其中,防火墻必須要與其他安全生態系統、云平臺一起協同聯動才行。而一旦忽略了與云設施的協同,配置防火墻將是片面的,容易為攻擊者留下入侵“間隙”。
錯誤應用端口轉發規則
作為一種常見的配置錯誤,在不限制端口或源IP地址的情況下,使用端口轉發規則來遠程訪問LAN端計算機絕對不是一個好主意,即便這是設置遠程訪問的最簡單方式。
通過隨意端口轉發進行遠程訪問,會大幅增加安全漏洞的風險。如果本地“受信任”設備可以被未經授權的流量通過,惡意攻擊者將可進一步利用網絡局域網段中的所謂受信任設備,攻擊網絡中的其他受信任設備,甚至訪問其他數字資產。
無視特定站點訪問需求
為了避免出現業務中斷,許多企業往往針對防火墻配置使用廣泛的“允許”策略放行。可是隨著時間推移,需求不斷增加,網管們又會逐漸收緊各種訪問策略。而這無疑是一個壞主意。因為從一開始如果沒有仔細定義訪問需求的話,企業將在較長時間里受到惡意攻擊的困擾。
所以建議企業應該采取先緊后松的策略,而不是從開放策略慢慢收緊。尤其是關鍵應用程序和服務對于那些有特定站點訪問需求的,更應該提前進行保障,然后盡可能使用源IP、目標IP和端口地址來應用防火墻策略,進而滿足特定站點需要。
配置流量出口過濾失敗
大多數網管都對防火墻通過端口過濾來提高安全性有基本了解,這種方法會阻止從外部網絡對內部網絡服務的任意訪問。比如入口過濾,就是阻止選定的外部流量進入網絡。一般來說,未經授權的外部用戶不應該訪問這些服務。然而,很少有管理員會費心利用出口過濾器對內部流量進行監測,因為那樣會限制內部用戶對外網的連接。
可是如果不使用出口過濾,防火墻便無法對內網流量進行監測,白白浪費一項重要防護功能。因為出口過濾是將數據傳輸到另一個網絡之前,使用防火墻過濾出站數據,防止所有未經授權的流量離開網絡。如果數據包不能滿足防火墻設置的安全要求,它將被阻止離開網絡。這通常可在具有包含敏感或機密信息的私有TCP/IP計算機的高度私有網絡中使用。
過于相信防火墻=安全
現在攻擊者變得越來越狡猾,邊緣保護被推到了極限。攻擊者可以瞄準企業Wi-Fi網絡,侵入路由器,發起網絡釣魚活動,甚至構建API網關請求,將腳本攻擊傳遞到后端。而一旦進入網絡,攻擊者便可以擴大訪問范圍,進一步深入內部系統。
雖然防火墻是一個關鍵的網絡安全設備,但并不是企業網絡的唯一“保護神”。過度高估防火墻的作用,往往會招致更多的攻擊威脅。因為對于企業內網安全來說,應該遵循DevSecOps(開發、運維及安全團隊)的整體防護思路,將所涉及的API、應用程序、集成項目和系統安全性從設計階段開始,在其生命周期的每個階段,如設計、開發、測試、運行時都自動運行安全檢查,確保任何組件或系統都是安全的才行。
結語
由此可見,一旦配置防火墻失誤,或無法兼顧整體系統的防護聯動,都會引發網絡威脅更大的失誤,說配錯防火墻能讓網絡防護形同虛設不夠,甚至比不設防火墻更危險。
