需要避免的五個防火牆配置錯誤

2022-07-11 15:18:11 字數 1896 閱讀 4257

防火牆配置錯誤可能與沒有防火牆一樣危險。人們需要了解五個常見的防火牆配置錯誤,這些錯誤將讓任何組織都容易受到攻擊。

防火牆是抵禦所有型別網路入侵者的主要防線,但即使具有多年的實踐和豐富的經驗,許多組織仍然會犯配置錯誤,使其網路容易受到資料竊取、丟失以及其他型別的破壞。

以下是組織應該不惜一切代價需要避免的五種防火牆錯誤配置:

1.未能正確配置和協調防火牆,並使用越來越多基於雲計算的安全基礎設施

網路安全和儲存產品**商barracuda networks公司高階諮詢工程師stefan schachinger表示,網路邊界幾乎已經消失,如今防火牆只是分布式安全生態系統的乙個組成部分。

將資料中心與分支機構、移動工作者和維護人員連線的組織需要連續的遠端訪問。與此同時,應用程式和資料資源正迅速轉向iaas和saas平台。schachinger指出,「大多數公司正在向混合雲環境過渡。保護這樣的基礎設施不僅僅需要防火牆。當今不斷發展並且更加分散的環境需要一種分層的縱深防禦方法,在這種方法中,防火牆需要與安全生態系統的其餘部分協同工作。」

2.誤用埠**規則進行遠端訪問

在不限制埠或源ip位址的情況下,使用埠**規則來完成對lan端機的遠端訪問並不是乙個好主意。mushroom網路公司首席執行官jay akin說,「這是乙個常見的錯誤,因為它是設定遠端訪問的最簡單方法。」該公司是一家結合防火牆和其他安全屬性的高階sd-wan裝置開發商。

而粗心大意的埠**進行遠端訪問會顯著增加安全漏洞的風險。「如果本地可信裝置通過這個安全漏洞被未經授權的組織和個人實施訪問和攻擊,則黑客可以進一步利用網路lan部分中的可信裝置來攻擊其他裝置或資產。」akin解釋說。

3.忽視特定庫存的合法訪問需求

為了確保最小的服務中斷,許多組織使用廣泛的許可策略啟動防火牆配置。然後,隨著時間的推移和需求的出現,逐漸收緊他們的訪問策略。網路安全提供商netsurion公司資訊保安和支援高階副總裁lenny mansilla警告說,「這是個壞主意,組織從一開始就沒有仔細定義訪問需求,則很容易受到長時間的惡意攻擊。」

mansilla建議,組織需要採取相反的做法,不能從乙個緩慢收緊的政策開始,而是檢查需要的關鍵應用程式和服務,以支援可靠的日常操作,然後採用防火牆策略以適應特定站點,盡可能使用源ip、目標ip和埠位址。

廣州vi設計公司

4.沒有配置防火牆以對出站流量進行出口過濾

大多數管理人員對防火牆如何通過入口過濾提高安全性有著基本的了解。這種方法防止基於internet的連線到達內部網路服務,未經授權的外部使用者不能訪問這些服務,網路安全軟體和服務提供商watchguard科技公司首席技術官corey nachreener解釋說,「管理人員很少會利用出口過濾規則提供安全優勢,這限制了內部使用者可以連線到internet的網路型別。」

他指出,他所看到的大多數防火牆配置都有乙個輸出策略,基本上允許內部使用者在網上做任何他們想做的事情。如果使用者沒有使用出口過濾規則,那麼就錯過了防火牆可以提供的一系列安全優勢,從而使其整體安全狀況處於劣勢。

5.相信配置良好的防火牆可以確保網路安全所需的全部內容

隨著攻擊者越來越狡猾,邊緣計算保護正在被推向極限。網路攻擊者如今針對企業wi-fi網路進行攻擊,破壞路由器,發起網路釣魚活動,甚至構建api閘道器請求,將指令碼攻擊傳遞給後端。一旦進入網路,網路攻擊者就可以擴充套件其範圍,以利用使用者使用邊緣計算的安全心態構建的內部系統。

網路安全平台提供商42crunch公司雲平台副總裁dmitry sotnikov建議採用零信任方法。他說,「組織的一切事物都可能受到損害:移動應用程式、消費者和員工的裝置,以及內部網路。需要分層設計網路安全,防火牆並不是唯一的保護,要將每一層鎖定到所需的最低通訊級別。」

sotnikov建議說,「組織內部開發的安全措施應遵循devsecops方法。企業的api、應用程式、整合專案,以及系統的安全性需要從設計階段開始。在生命週期的每個階段,設計、開發、測試、執行時的安全檢查都需要自動執行,以確保任何元件或系統都是安全的,即使它們不斷發展和變化。」

防火牆的配置

配置與管理iptables防火牆 1 實訓目的 能熟練完成利用iptables架設企業nat伺服器。2 專案背景 假如某公司需要internet接入,由isp分配ip位址202.112.113.112。採用iptables作為nat伺服器接入網路,內部採用192.168.1.0 24位址,外部採用2...

linux關閉防火牆或者修改防火牆配置的命令

開啟 chkconfig iptables on 關閉 chkconfig iptables off 開啟 service iptables start 關閉 service iptables stop vi etc sysconfig iptables a rh firewall 1 input ...

Exadata需要的防火牆埠

今年做了一些exadata的專案,目前來看,exadata的安裝,公升級,刷機 刷到出場狀態,或者任意版本,一般刷到最高,直到小版本 備份,tuning,poc,災備。都親手玩過了,一路下來,感覺很好,簡單流暢,易於使用,只是還需要更多的時間做維護工作,以增加dba on exadata的經驗 從最...