防火牆管理常犯失誤有哪些

　　下文是小編精心為你提供的，歡迎大家閱讀，喜歡請繼續關注。

　　在網路安全一線，防火牆管理是這樣一個行當——對規則和配置檔案進行更改時，一個小小的錯誤可能給你帶來巨大的後患。以下是一些常犯的失誤：

　　一、建立毫無意義的防火牆組

　　一名防火牆管理員在把裝置加入到網路中時，擁有超過一半的規則許可權。後來這便用一個球星的名字來命名，我們稱之為Joe_Montana.出論任何時候，管理員需要某臺裝置加入到網路中，他們就把這臺裝置的IP地址新增到他們常用的、擁有許多授權的規則當中去，新增到這樣的組裡。最後，這些規則庫讓審計員看起來可能是沒問題的，因為這裡面沒有“任意”這樣的規則，但是事實上卻埋下了許多的防火牆漏洞。防火牆規則變得毫無意義，如果一旦被審計整改，清理這些規則庫的活是費力不討好的任務，需要很多個月的時間來解決規則庫問題，以安全、適當地對映到業務需求。

　　二、從不升級你的防火牆軟體

　　有數量驚人的組織使用過時的防火牆軟體。當被問及原因時，得到的往往是非常類似的幾個回覆“我們要保持版本的穩定性”或者“防火牆不能撤下進行升級”…等等。事實上，防火牆廠商升級自己的軟體是有原因的。你不需要安裝最新發布的防火牆版本，但如果您正在執行一個已經過時15或20個版本的軟體，或者已經7、8年沒有更新版本，那麼請立即停止抱怨，開始更新!

　　三、使用錯誤的技術

　　我們都聽過的把方形釘砸進圓洞的說法，在防火牆行業裡也有這麼一說。一個網路安全管理員激烈的和他們的審計員爭論，因為他們有一個防火牆佈置在安全 WEB伺服器的前面，這樣就構成了一個雙重身份驗證：一個密碼和一個防火牆。這傢伙的創造力可以打A，但是防火牆本身不是一個雙重身份驗證解決方案。雙重身份認證需要您的使用者有一個令牌和密碼。

　　四、意外宕機事件

　　我聽過這樣一個意外宕機事件，防火牆管理員正在收集一些防火牆資料。管理員無意中碰到桌子上的滑鼠，而此時的滑鼠正懸停在開始選單上。如同命中註定一樣，滑鼠令人難以置信的激活了開始選單，並且恰好懸停在“關閉”選單項上。是的，就這樣那個金融公司的人看著他們的防火牆就這樣被關閉了。

　　五、建立糟糕的防火牆配置文件

　　你經常會聽到有些防火牆管理員忙的焦頭爛額，試圖瞭解到底他們之前所做的防火牆規則是用來幹什麼的。圖得一時省事馬虎建立防火牆文件讓自己以後變得繁忙，還是花時間來建立合理的防火牆文件?馬虎對待防火牆文件等於給自己建立一個定時炸彈。調查一些參與管理防火牆的管理員，常常會聽到這樣的抱怨“現在我害怕調整我的防火牆，所有的高階管理人員已經離開，而我們不知道那些防火牆文件，裡面那些大多數的名字的意思，或這些規則是用來做什麼的。”

　　六、請勿使用路由作為您的安全策略

　　我見到很多這樣的防火牆，他們的規則庫在做出修正時，需要路由器相應做出改變，以適應新的防火牆規則。或許這是可以理解的——當處在防火牆之內的網路，需要重新組建時，但事實往往是網路並沒有發生變化，只是防火牆需要作出變化。有兩種類似這種“綁架”路由器的錯誤，在工作中經常發生。

　　第一種情況，是防火牆沒有預設路由。每條路由線路都被手動新增到防火牆，而且，往往使用最小的子網掩碼，許多不在計劃之內的裝置，在將來如果不設定防火牆策略就會受到阻礙，無法通過路由。這聽起來很棒，貌似更加安全，但它是完全不必要的——如果你刪除這條防火牆策略，那麼該策略將會恢復成“忽略所有”。

　　這個設計將會使防火牆變得難以管理，之後的防火牆團隊將會害怕做出改變，因為這將會牽扯到很多東西。每個策略更改都需要一個工程師來檢查路由，因此每一個防火牆策略更改花費的時間太長，大大影響了網路維修任務，所以，這是沒有實際價值的增加安全性。

　　這種錯誤看法還有一種情況，在思科裝置管理員群體中最常出現，比方說管理員需要建立一個訪問控制列表，這個控制列表包括兩個裝置之間的任何源地址或目標地址。他們的本意實際上是指兩個裝置之間中的所有地址，而並非在任何的時候。但是管理員太懶了，他們不想花力氣輸入地址。這樣，只有知道連線防火牆的路由表，才能知道這條防火牆策略實際的內涵。這些是需要管理員記在腦子裡的，對一個初級防火牆管理員來說，這太難接管這個防火牆了。

　　七、使用路由器DNS物件作為防火牆策略物件

　　很多防火牆提供這麼一個功能選項，允許管理員插入一個DNS物件作為源或目標地址，比方說wwwxuexila.這聽起來不錯，因為 google可以作用於這麼多的IP地址，這樣即使google的ip地址發生改變的時候，我的防火牆，也還是可以作用於該域名下的地址。這種錯誤做法，會導致許多風險，大多陣列織應該考慮不要使用這種做法。

　　首先防火牆現在很容易受到拒絕服務攻擊，你能想象防火牆不能解析google域名時會發生什麼嗎?第二個，在為所有的資料包做DNS解析時，防火牆需要查詢每個資料包，以試圖決定該資料包是否屬於google時，會極大的浪費CPU、記憶體和網路IO.第三，如果你的DNS伺服器中毒，你的防火牆將允許所有的殭屍網路命令通過，並記錄它作為正常域名。