配錯(cuò)防火墻將形同虛設(shè)
2019年08月06日
本來(lái)是個(gè)防盜窗卻用來(lái)做防盜門��,窗比門小��,小偷自然會(huì)從門沒(méi)設(shè)防的空隙鉆入��,而一些企業(yè)會(huì)則在網(wǎng)絡(luò)防火墻配置上不時(shí)犯下同樣錯(cuò)誤�,反而導(dǎo)致網(wǎng)絡(luò)容易遭受攻擊、數(shù)據(jù)盜竊與破壞���。這是因?yàn)樗麄儾⑽匆庾R(shí)到����,防火墻配置錯(cuò)誤可能讓這道“防護(hù)之門”形同虛設(shè)。
忽略與云設(shè)施協(xié)同聯(lián)動(dòng)
如今網(wǎng)絡(luò)邊界逐步消失�,應(yīng)用程序和數(shù)據(jù)資源正迅速向IaaS和SaaS平臺(tái)轉(zhuǎn)移,大量企業(yè)開(kāi)始向混合云環(huán)境過(guò)渡����。防火墻卻仍舊是分布式安全生態(tài)系統(tǒng)中的一個(gè)組成部分。這時(shí)保護(hù)云化的基礎(chǔ)設(shè)施顯然不僅僅需要一個(gè)簡(jiǎn)單的防火墻了��。
不斷發(fā)展和分布式的基礎(chǔ)設(shè)施環(huán)境�����,需要一種分層的縱深防御的架構(gòu)與方法����,在這其中,防火墻必須要與其他安全生態(tài)系統(tǒng)�、云平臺(tái)一起協(xié)同聯(lián)動(dòng)才行。而一旦忽略了與云設(shè)施的協(xié)同�����,配置防火墻將是片面的�����,容易為攻擊者留下入侵“間隙”。
錯(cuò)誤應(yīng)用端口轉(zhuǎn)發(fā)規(guī)則
作為一種常見(jiàn)的配置錯(cuò)誤���,在不限制端口或源IP地址的情況下�,使用端口轉(zhuǎn)發(fā)規(guī)則來(lái)遠(yuǎn)程訪問(wèn)LAN端計(jì)算機(jī)絕對(duì)不是一個(gè)好主意�����,即便這是設(shè)置遠(yuǎn)程訪問(wèn)的最簡(jiǎn)單方式����。
通過(guò)隨意端口轉(zhuǎn)發(fā)進(jìn)行遠(yuǎn)程訪問(wèn),會(huì)大幅增加安全漏洞的風(fēng)險(xiǎn)���。如果本地“受信任”設(shè)備可以被未經(jīng)授權(quán)的流量通過(guò),惡意攻擊者將可進(jìn)一步利用網(wǎng)絡(luò)局域網(wǎng)段中的所謂受信任設(shè)備����,攻擊網(wǎng)絡(luò)中的其他受信任設(shè)備,甚至訪問(wèn)其他數(shù)字資產(chǎn)���。
無(wú)視特定站點(diǎn)訪問(wèn)需求
為了避免出現(xiàn)業(yè)務(wù)中斷�����,許多企業(yè)往往針對(duì)防火墻配置使用廣泛的“允許”策略放行�。可是隨著時(shí)間推移����,需求不斷增加,網(wǎng)管們又會(huì)逐漸收緊各種訪問(wèn)策略�。而這無(wú)疑是一個(gè)壞主意。因?yàn)閺囊婚_(kāi)始如果沒(méi)有仔細(xì)定義訪問(wèn)需求的話���,企業(yè)將在較長(zhǎng)時(shí)間里受到惡意攻擊的困擾��。
所以建議企業(yè)應(yīng)該采取先緊后松的策略��,而不是從開(kāi)放策略慢慢收緊��。尤其是關(guān)鍵應(yīng)用程序和服務(wù)對(duì)于那些有特定站點(diǎn)訪問(wèn)需求的��,更應(yīng)該提前進(jìn)行保障�����,然后盡可能使用源IP��、目標(biāo)IP和端口地址來(lái)應(yīng)用防火墻策略�����,進(jìn)而滿足特定站點(diǎn)需要��。
配置流量出口過(guò)濾失敗
大多數(shù)網(wǎng)管都對(duì)防火墻通過(guò)端口過(guò)濾來(lái)提高安全性有基本了解���,這種方法會(huì)阻止從外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)服務(wù)的任意訪問(wèn)�。比如入口過(guò)濾�����,就是阻止選定的外部流量進(jìn)入網(wǎng)絡(luò)��。一般來(lái)說(shuō)�����,未經(jīng)授權(quán)的外部用戶不應(yīng)該訪問(wèn)這些服務(wù)���。然而,很少有管理員會(huì)費(fèi)心利用出口過(guò)濾器對(duì)內(nèi)部流量進(jìn)行監(jiān)測(cè)����,因?yàn)槟菢訒?huì)限制內(nèi)部用戶對(duì)外網(wǎng)的連接�����。
可是如果不使用出口過(guò)濾�,防火墻便無(wú)法對(duì)內(nèi)網(wǎng)流量進(jìn)行監(jiān)測(cè)��,白白浪費(fèi)一項(xiàng)重要防護(hù)功能����。因?yàn)槌隹谶^(guò)濾是將數(shù)據(jù)傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)之前,使用防火墻過(guò)濾出站數(shù)據(jù)���,防止所有未經(jīng)授權(quán)的流量離開(kāi)網(wǎng)絡(luò)��。如果數(shù)據(jù)包不能滿足防火墻設(shè)置的安全要求����,它將被阻止離開(kāi)網(wǎng)絡(luò)����。這通常可在具有包含敏感或機(jī)密信息的私有TCP/IP計(jì)算機(jī)的高度私有網(wǎng)絡(luò)中使用�����。
過(guò)于相信防火墻=安全
現(xiàn)在攻擊者變得越來(lái)越狡猾,邊緣保護(hù)被推到了極限����。攻擊者可以瞄準(zhǔn)企業(yè)Wi-Fi網(wǎng)絡(luò),侵入路由器�����,發(fā)起網(wǎng)絡(luò)釣魚活動(dòng)�,甚至構(gòu)建API網(wǎng)關(guān)請(qǐng)求,將腳本攻擊傳遞到后端�����。而一旦進(jìn)入網(wǎng)絡(luò)��,攻擊者便可以擴(kuò)大訪問(wèn)范圍����,進(jìn)一步深入內(nèi)部系統(tǒng)。
雖然防火墻是一個(gè)關(guān)鍵的網(wǎng)絡(luò)安全設(shè)備��,但并不是企業(yè)網(wǎng)絡(luò)的唯一“保護(hù)神”���。過(guò)度高估防火墻的作用���,往往會(huì)招致更多的攻擊威脅。因?yàn)閷?duì)于企業(yè)內(nèi)網(wǎng)安全來(lái)說(shuō)��,應(yīng)該遵循DevSecOps(開(kāi)發(fā)�、運(yùn)維及安全團(tuán)隊(duì))的整體防護(hù)思路,將所涉及的API����、應(yīng)用程序、集成項(xiàng)目和系統(tǒng)安全性從設(shè)計(jì)階段開(kāi)始�,在其生命周期的每個(gè)階段,如設(shè)計(jì)���、開(kāi)發(fā)�、測(cè)試�����、運(yùn)行時(shí)都自動(dòng)運(yùn)行安全檢查����,確保任何組件或系統(tǒng)都是安全的才行�����。
結(jié)語(yǔ)
由此可見(jiàn)�����,一旦配置防火墻失誤�����,或無(wú)法兼顧整體系統(tǒng)的防護(hù)聯(lián)動(dòng)��,都會(huì)引發(fā)網(wǎng)絡(luò)威脅更大的失誤����,說(shuō)配錯(cuò)防火墻能讓網(wǎng)絡(luò)防護(hù)形同虛設(shè)不夠�,甚至比不設(shè)防火墻更危險(xiǎn)。
江蘇國(guó)駿為您提供全面可信的信息安全服務(wù)
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
長(zhǎng)按二維碼關(guān)注我們
