配錯防火墻將形同虛設
2019年08月06日
本來是個防盜窗卻用來做防盜門���,窗比門小����,小偷自然會從門沒設防的空隙鉆入����,而一些企業會則在網絡防火墻配置上不時犯下同樣錯誤,反而導致網絡容易遭受攻擊�����、數據盜竊與破壞���。這是因為他們并未意識到���,防火墻配置錯誤可能讓這道“防護之門”形同虛設�����。
忽略與云設施協同聯動
如今網絡邊界逐步消失��,應用程序和數據資源正迅速向IaaS和SaaS平臺轉移�,大量企業開始向混合云環境過渡。防火墻卻仍舊是分布式安全生態系統中的一個組成部分。這時保護云化的基礎設施顯然不僅僅需要一個簡單的防火墻了�。
不斷發展和分布式的基礎設施環境�����,需要一種分層的縱深防御的架構與方法,在這其中,防火墻必須要與其他安全生態系統、云平臺一起協同聯動才行��。而一旦忽略了與云設施的協同����,配置防火墻將是片面的,容易為攻擊者留下入侵“間隙”。
錯誤應用端口轉發規則
作為一種常見的配置錯誤,在不限制端口或源IP地址的情況下,使用端口轉發規則來遠程訪問LAN端計算機絕對不是一個好主意����,即便這是設置遠程訪問的最簡單方式��。
通過隨意端口轉發進行遠程訪問,會大幅增加安全漏洞的風險。如果本地“受信任”設備可以被未經授權的流量通過,惡意攻擊者將可進一步利用網絡局域網段中的所謂受信任設備���,攻擊網絡中的其他受信任設備,甚至訪問其他數字資產。
無視特定站點訪問需求
為了避免出現業務中斷����,許多企業往往針對防火墻配置使用廣泛的“允許”策略放行���?�?墒请S著時間推移,需求不斷增加,網管們又會逐漸收緊各種訪問策略�。而這無疑是一個壞主意����。因為從一開始如果沒有仔細定義訪問需求的話���,企業將在較長時間里受到惡意攻擊的困擾���。
所以建議企業應該采取先緊后松的策略����,而不是從開放策略慢慢收緊。尤其是關鍵應用程序和服務對于那些有特定站點訪問需求的,更應該提前進行保障,然后盡可能使用源IP��、目標IP和端口地址來應用防火墻策略�,進而滿足特定站點需要。
配置流量出口過濾失敗
大多數網管都對防火墻通過端口過濾來提高安全性有基本了解,這種方法會阻止從外部網絡對內部網絡服務的任意訪問�����。比如入口過濾��,就是阻止選定的外部流量進入網絡�����。一般來說,未經授權的外部用戶不應該訪問這些服務。然而����,很少有管理員會費心利用出口過濾器對內部流量進行監測�����,因為那樣會限制內部用戶對外網的連接。
可是如果不使用出口過濾���,防火墻便無法對內網流量進行監測,白白浪費一項重要防護功能����。因為出口過濾是將數據傳輸到另一個網絡之前����,使用防火墻過濾出站數據�,防止所有未經授權的流量離開網絡��。如果數據包不能滿足防火墻設置的安全要求���,它將被阻止離開網絡����。這通?�?稍诰哂邪舾谢驒C密信息的私有TCP/IP計算機的高度私有網絡中使用�����。
過于相信防火墻=安全
現在攻擊者變得越來越狡猾,邊緣保護被推到了極限���。攻擊者可以瞄準企業Wi-Fi網絡,侵入路由器���,發起網絡釣魚活動,甚至構建API網關請求�,將腳本攻擊傳遞到后端�。而一旦進入網絡����,攻擊者便可以擴大訪問范圍,進一步深入內部系統�����。
雖然防火墻是一個關鍵的網絡安全設備�����,但并不是企業網絡的唯一“保護神”。過度高估防火墻的作用����,往往會招致更多的攻擊威脅��。因為對于企業內網安全來說,應該遵循DevSecOps(開發、運維及安全團隊)的整體防護思路�����,將所涉及的API、應用程序����、集成項目和系統安全性從設計階段開始�����,在其生命周期的每個階段,如設計����、開發�、測試���、運行時都自動運行安全檢查�,確保任何組件或系統都是安全的才行。
結語
由此可見�����,一旦配置防火墻失誤����,或無法兼顧整體系統的防護聯動�,都會引發網絡威脅更大的失誤,說配錯防火墻能讓網絡防護形同虛設不夠,甚至比不設防火墻更危險���。
江蘇國駿為您提供全面可信的信息安全服務
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
