需要避免的五个防火墙配置错误

时间: 2019-08-31阅读: 472标签: 攻击

防火墙配置错误可能与没有防火墙一样危险。人们需要了解五个常见的防火墙配置错误,这些错误将让任何组织都容易受到攻击。

防火墙是抵御所有类型网络入侵者的主要防线,但即使具有多年的实践和丰富的经验,许多组织仍然会犯配置错误,使其网络容易受到数据窃取、丢失以及其他类型的破坏。

以下是组织应该不惜一切代价需要避免的五种防火墙错误配置:


1.未能正确配置和协调防火墙,并使用越来越多基于云计算的安全基础设施

网络安全和存储产品供应商Barracuda Networks公司高级咨询工程师Stefan Schachinger表示,网络边界几乎已经消失,如今防火墙只是分布式安全生态系统的一个组成部分。

将数据中心与分支机构、移动工作者和维护人员连接的组织需要连续的远程访问。与此同时,应用程序和数据资源正迅速转向IaaS和SaaS平台。Schachinger指出,“大多数公司正在向混合云环境过渡。保护这样的基础设施不仅仅需要防火墙。当今不断发展并且更加分散的环境需要一种分层的纵深防御方法,在这种方法中,防火墙需要与安全生态系统的其余部分协同工作。”


2.误用端口转发规则进行远程访问

在不限制端口或源IP地址的情况下,使用端口转发规则来完成对LAN端机的远程访问并不是一个好主意。Mushroom网络公司首席执行官Jay Akin说,“这是一个常见的错误,因为它是设置远程访问的最简单方法。”该公司是一家结合防火墙和其他安全属性的高级SD-WAN设备开发商。

而粗心大意的端口转发进行远程访问会显著增加安全漏洞的风险。“如果本地可信设备通过这个安全漏洞被未经授权的组织和个人实施访问和攻击,则黑客可以进一步利用网络LAN部分中的可信设备来攻击其他设备或资产。”Akin解释说。


3.忽视特定库存的合法访问需求

为了确保最小的服务中断,许多组织使用广泛的许可策略启动防火墙配置。然后,随着时间的推移和需求的出现,逐渐收紧他们的访问策略。网络安全提供商Netsurion公司信息安全和支持高级副总裁Lenny Mansilla警告说,“这是个坏主意,组织从一开始就没有仔细定义访问需求,则很容易受到长时间的恶意攻击。”

Mansilla建议,组织需要采取相反的做法,不能从一个缓慢收紧的政策开始,而是检查需要的关键应用程序和服务,以支持可靠的日常操作,然后采用防火墙策略以适应特定站点,尽可能使用源IP、目标IP和端口地址。


4.没有配置防火墙以对出站流量进行出口过滤

大多数管理人员对防火墙如何通过入口过滤提高安全性有着基本的了解。这种方法防止基于Internet的连接到达内部网络服务,未经授权的外部用户不能访问这些服务,网络安全软件和服务提供商Watchguard科技公司首席技术官Corey Nachreener解释说,“管理人员很少会利用出口过滤规则提供安全优势,这限制了内部用户可以连接到Internet的网络类型。”

他指出,他所看到的大多数防火墙配置都有一个输出策略,基本上允许内部用户在网上做任何他们想做的事情。如果用户没有使用出口过滤规则,那么就错过了防火墙可以提供的一系列安全优势,从而使其整体安全状况处于劣势。


5.相信配置良好的防火墙可以确保网络安全所需的全部内容

随着攻击者越来越狡猾,边缘计算保护正在被推向极限。网络攻击者如今针对企业Wi-Fi网络进行攻击,破坏路由器,发起网络钓鱼活动,甚至构建API网关请求,将脚本攻击传递给后端。一旦进入网络,网络攻击者就可以扩展其范围,以利用用户使用边缘计算的安全心态构建的内部系统。

网络安全平台提供商42Crunch公司云平台副总裁Dmitry Sotnikov建议采用零信任方法。他说,“组织的一切事物都可能受到损害:移动应用程序、消费者和员工的设备,以及内部网络。需要分层设计网络安全,防火墙并不是唯一的保护,要将每一层锁定到所需的最低通信级别。”

Sotnikov建议说,“组织内部开发的安全措施应遵循DevSecOps方法。企业的API、应用程序、集成项目,以及系统的安全性需要从设计阶段开始。在生命周期的每个阶段,设计、开发、测试、运行时的安全检查都需要自动运行,以确保任何组件或系统都是安全的,即使它们不断发展和变化。”

原文 http://network.51cto.com/art/201908/602212.htm

站长推荐

1.阿里云: 本站目前使用的是阿里云主机,安全/可靠/稳定。点击领取2000元代金券、了解最新阿里云产品的各种优惠活动点击进入

2.腾讯云: 提供云服务器、云数据库、云存储、视频与CDN、域名等服务。腾讯云各类产品的最新活动,优惠券领取点击进入

3.广告联盟: 整理了目前主流的广告联盟平台,如果你有流量,可以作为参考选择适合你的平台点击进入

链接: http://www.fly63.com/article/detial/5049

CSRF 与 XSS

CSRF:需要用户先登录网站A,获取 cookie。XSS:不需要登录。CSRF:是利用网站A本身的漏洞,去请求网站A的api。XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

CSRF的几种防御方法的利弊分析

以上说的几种防护方式各有利弊,需要注意的是,如果网站还存在着其他安全漏洞,比如XSS,那么攻击者还是能够通过JS取到Token进行攻击的。

通过代码重用攻击绕过现代XSS防御

XSS已有近二十年的历史了,但它仍然是Web上最常见的漏洞之一。因此,已经发展了许多机制来减轻漏洞的影响。我经常会误以为这些机制可以作为针对XSS的保护。今天,我们将了解为什么情况并非如此。我们将在代码重用攻击领域探索一种相对较新的技术

DOM-XSS攻击原理与防御

XSS的中文名称叫跨站脚本,是WEB漏洞中比较常见的一种,特点就是可以将恶意HTML/JavaScript代码注入到受害用户浏览的网页上,从而达到劫持用户会话的目的。XSS根据恶意脚本的传递方式可以分为3种

一次 Linux 系统被攻击的分析过程

IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务

拒绝服务(DoS)攻击:成也矿工,败也矿工

我们发现了一种针对类似比特币区块链的拒绝服务攻击,这种攻击模式比之前的攻击模式成本要低得多(只需全网20%算力)。区块链依赖于激励机制来保证系统安全。我们展示了攻击者如何破坏这些激励机制

HTTP慢速攻击

HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求

DDoS攻击与CC攻击的区别是什么?

随着互联网的兴起,各种网络攻击也随之日益频繁,各种恶意网络攻击给许多企业带来口碑、以及财务的巨大损失。近几年,最常见的网络攻击手段主要是DDoS攻击与CC攻击。

XSS攻击

在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。

常见web攻击手段总结

XSS 就是攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的。XSS 的特点就是想尽一切办法在目标网站上执行第三方脚本。

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!

文章投稿关于web前端网站点搜索站长推荐网站地图站长QQ:522607023

小程序专栏: 土味情话心理测试脑筋急转弯幽默笑话段子句子语录成语大全运营推广