本來是個防盜窗卻用來做防盜門,窗比門小,小偷自然會從門沒設防的空隙鑽入,而一些企業會則在網絡防火牆配置上不時犯下同樣錯誤,反而導致網絡容易遭受攻擊、數據盜竊與破壞。這是因為他們並未意識到,防火牆配置錯誤可能讓這道“防護之門”形同虛設。
本來是個防盜窗卻用來做防盜門,窗比門小,小偷自然會從門沒設防的空隙鑽入,而一些企業會則在網絡防火牆配置上不時犯下同樣錯誤,反而導致網絡容易遭受攻擊、數據盜竊與破壞。這是因為他們並未意識到,防火牆配置錯誤可能讓這道“防護之門”形同虛設。
忽略與雲設施協同聯動
如今網絡邊界逐步消失,應用程序和數據資源正迅速向IaaS和SaaS平臺轉移,大量企業開始向混合雲環境過渡。防火牆卻仍舊是分佈式安全生態系統中的一個組成部分。這時保護雲化的基礎設施顯然不僅僅需要一個簡單的防火牆了。
不斷髮展和分佈式的基礎設施環境,需要一種分層的縱深防禦的架構與方法,在這其中,防火牆必須要與其他安全生態系統、雲平臺一起協同聯動才行。而一旦忽略了與雲設施的協同,配置防火牆將是片面的,容易為攻擊者留下入侵“間隙”。
錯誤應用端口轉發規則
作為一種常見的配置錯誤,在不限制端口或源IP地址的情況下,使用端口轉發規則來遠程訪問LAN端計算機絕對不是一個好主意,即便這是設置遠程訪問的最簡單方式。
通過隨意端口轉發進行遠程訪問,會大幅增加安全漏洞的風險。如果本地“受信任”設備可以被未經授權的流量通過,惡意攻擊者將可進一步利用網絡局域網段中的所謂受信任設備,攻擊網絡中的其他受信任設備,甚至訪問其他數字資產。
無視特定站點訪問需求
為了避免出現業務中斷,許多企業往往針對防火牆配置使用廣泛的“允許”策略放行。可是隨著時間推移,需求不斷增加,網管們又會逐漸收緊各種訪問策略。而這無疑是一個壞主意。因為從一開始如果沒有仔細定義訪問需求的話,企業將在較長時間裡受到惡意攻擊的困擾。
所以建議企業應該採取先緊後鬆的策略,而不是從開放策略慢慢收緊。尤其是關鍵應用程序和服務對於那些有特定站點訪問需求的,更應該提前進行保障,然後儘可能使用源IP、目標IP和端口地址來應用防火牆策略,進而滿足特定站點需要。
配置流量出口過濾失敗
大多數網管都對防火牆通過端口過濾來提高安全性有基本瞭解,這種方法會阻止從外部網絡對內部網絡服務的任意訪問。比如入口過濾,就是阻止選定的外部流量進入網絡。一般來說,未經授權的外部用戶不應該訪問這些服務。然而,很少有管理員會費心利用出口過濾器對內部流量進行監測,因為那樣會限制內部用戶對外網的連接。
可是如果不使用出口過濾,防火牆便無法對內網流量進行監測,白白浪費一項重要防護功能。因為出口過濾是將數據傳輸到另一個網絡之前,使用防火牆過濾出站數據,防止所有未經授權的流量離開網絡。如果數據包不能滿足防火牆設置的安全要求,它將被阻止離開網絡。這通常可在具有包含敏感或機密信息的私有TCP/IP計算機的高度私有網絡中使用。
過於相信防火牆=安全
現在攻擊者變得越來越狡猾,邊緣保護被推到了極限。攻擊者可以瞄準企業Wi-Fi網絡,侵入路由器,發起網絡釣魚活動,甚至構建API網關請求,將腳本攻擊傳遞到後端。而一旦進入網絡,攻擊者便可以擴大訪問範圍,進一步深入內部系統。
雖然防火牆是一個關鍵的網絡安全設備,但並不是企業網絡的唯一“保護神”。過度高估防火牆的作用,往往會招致更多的攻擊威脅。因為對於企業內網安全來說,應該遵循DevSecOps(開發、運維及安全團隊)的整體防護思路,將所涉及的API、應用程序、集成項目和系統安全性從設計階段開始,在其生命週期的每個階段,如設計、開發、測試、運行時都自動運行安全檢查,確保任何組件或系統都是安全的才行。
結語
由此可見,一旦配置防火牆失誤,或無法兼顧整體系統的防護聯動,都會引發網絡威脅更大的失誤,說配錯防火牆能讓網絡防護形同虛設不夠,甚至比不設防火牆更危險。
天下數據最新推出的Web應用防火牆雲WAF服務是一款專業應用安全防護系統,有效防禦SQL注入、XSS跨站腳本、後門上傳、非授權訪問等各種常見Web攻擊。