网站安全需要注意的五个防火墙配置错误

2019年9月3日

今年来，保护网站数据安全，避免用户信息被泄露成为企业网站优先考虑的问题。如何保护网站安全，有些网站可能会选择安装SSL证书，有些网站可能会选择配置防火墙，但是配置防火墙需要注意五个配置错误，这些错误将让任何组织都容易受到攻击。接下来，我们一起去了解一下这五个防火墙配置错误。

防火墙

（1）未能正确配置和协调防火墙，并使用越来越多基于云计算的安全基础设施

网络安全和存储产品供应商Barracuda Networks公司高级咨询工程师Stefan Schachinger表示，网络边界几乎已经消失，如今防火墙只是分布式安全生态系统的一个组成部分。

将数据中心与分支机构、移动工作者和维护人员连接的组织需要连续的远程访问。与此同时，应用程序和数据资源正迅速转向IaaS和SaaS平台。Schachinger指出，“大多数公司正在向混合云环境过渡。保护这样的基础设施不仅仅需要防火墙。当今不断发展并且更加分散的环境需要一种分层的纵深防御方法，在这种方法中，防火墙需要与安全生态系统的其余部分协同工作。”

（2）误用端口转发规则进行远程访问

在不限制端口或源IP地址的情况下，使用端口转发规则来完成对LAN端机的远程访问并不是一个好主意。Mushroom网络公司首席执行官Jay Akin说，“这是一个常见的错误，因为它是设置远程访问的最简单方法。”该公司是一家结合防火墙和其他安全属性的高级SD-WAN设备开发商。

而粗心大意的端口转发进行远程访问会显著增加安全漏洞的风险。“如果本地可信设备通过这个安全漏洞被未经授权的组织和个人实施访问和攻击，则黑客可以进一步利用网络LAN部分中的可信设备来攻击其他设备或资产。”Akin解释说。

（3）忽视特定库存的合法访问需求

为了确保最小的服务中断，许多组织使用广泛的许可策略启动防火墙配置。然后，随着时间的推移和需求的出现，逐渐收紧他们的访问策略。网络安全提供商Netsurion公司信息安全和支持高级副总裁Lenny Mansilla警告说，“这是个坏主意，组织从一开始就没有仔细定义访问需求，则很容易受到长时间的恶意攻击。”

Mansilla建议，组织需要采取相反的做法，不能从一个缓慢收紧的政策开始，而是检查需要的关键应用程序和服务，以支持可靠的日常操作，然后采用防火墙策略以适应特定站点，尽可能使用源IP、目标IP和端口地址。

（4）没有配置防火墙以对出站流量进行出口过滤

大多数管理人员对防火墙如何通过入口过滤提高安全性有着基本的了解。这种方法防止基于Internet的连接到达内部网络服务，未经授权的外部用户不能访问这些服务，网络安全软件和服务提供商Watchguard科技公司首席技术官Corey Nachreener解释说，“管理人员很少会利用出口过滤规则提供安全优势，这限制了内部用户可以连接到Internet的网络类型。”

他指出，他所看到的大多数防火墙配置都有一个输出策略，基本上允许内部用户在网上做任何他们想做的事情。如果用户没有使用出口过滤规则，那么就错过了防火墙可以提供的一系列安全优势，从而使其整体安全状况处于劣势。

（5）相信配置良好的防火墙可以确保网络安全所需的全部内容

随着攻击者越来越狡猾，边缘计算保护正在被推向极限。网络攻击者如今针对企业Wi-Fi网络进行攻击，破坏路由器，发起网络钓鱼活动，甚至构建API网关请求，将脚本攻击传递给后端。一旦进入网络，网络攻击者就可以扩展其范围，以利用用户使用边缘计算的安全心态构建的内部系统。

虽然防火墙可以有效的防止黑客的攻击，但是为了进一步保护网站安全，我们还可以选择去安装SSL证书进行https加密协议。SSL 证书就是遵守 SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。