防火墙不是摆设,得会用
公司刚换了新办公区,网络一通,员工手机连上Wi-Fi就开始刷视频。结果没两天,财务发现邮箱被自动转发到一个陌生地址。查来查去,问题出在边界防火墙上——默认策略是放行,只拦了几个已知恶意IP。这种“宽松模式”跟没锁门差不多。
真正的边界防护,第一条就是“默认拒绝”。所有进出流量,除非明确允许,一律挡在外面。比如只开放80、443端口给Web服务,其他如22、3389这类管理端口,限制源IP访问范围。小公司也别觉得没人盯你,自动化扫描工具全天候爬公网IP,漏一个端口就可能被盯上。
别让NAT掩护了内鬼
很多单位用NAT把内网藏起来,觉得外人看不见就安全。可一旦有设备中毒反向连接出去,或者员工私自搭了公网映射,边界就形同虚设。曾有个客户,销售为了远程看文件,在路由器上做了端口映射,结果RDP暴露在公网,三天后服务器就被勒索软件加密。
建议定期做外部扫描,用Shodan或Censys查自己公网资产。看到不该出现的服务,立刻下线。内部系统尽量走VPN,而不是直接映射端口。
日志不是出了事才翻
防火墙开着,日志却只存本地,硬盘满了自动覆盖。等真出问题,想查攻击源头,发现记录只留了一周。更糟的是,日志格式混乱,没有统一时间戳,跨设备对不上时间线。
把防火墙、IDS、代理服务器的日志集中推送到SIEM系统,哪怕只是开源的Graylog或Elastic Stack。设置关键事件告警,比如多次登录失败、异常外联行为。有家公司发现每晚两点有固定IP尝试SSH爆破,顺藤摸瓜抓到了内部测试机被当跳板。
规则要精简,别堆成“面条墙”
用过几年的防火墙,规则列表越来越长。删条旧规则怕影响业务,新人也不敢动,最后变成上百条策略混杂。有人申请开个端口,管理员直接加一条“any to any”的临时规则,写着“用完删除”,结果三年都没人关。
建议每季度做一次规则审计。用工具分析命中频率,长期零命中的规则先禁用观察。合并重复项,比如多个IP访问同一服务,改成地址组统一管理。规则顺序也要注意,高频策略放前面,避免每次匹配都遍历到底。
代码示例:基础ACL配置模板
以下是一个Cisco ASA风格的基础访问控制列表,仅允许必要流量:
access-list OUTSIDE_IN extended deny ip any any log disable\naccess-list OUTSIDE_IN extended permit tcp any host <公网Web服务器IP> eq 443\naccess-list OUTSIDE_IN extended permit tcp any host <公网Web服务器IP> eq 80\naccess-list OUTSIDE_IN extended permit tcp host <运维IP> host <管理接口IP> eq 22 log\naccess-list OUTSIDE_IN extended deny ip any any log informational\naccess-group OUTSIDE_IN in interface outside多一层验证,少十分风险
边界设备本身的登录安全常被忽视。一台防火墙用admin/123456当密码,还开着HTTP管理界面。有次扫到某地教育局的Fortigate,用默认凭据直接登进去,能看到全部策略和在线用户。
管理接口必须关闭公网暴露,改用带MFA的VPN接入。启用双因素认证,哪怕是短信验证码也好过纯密码。设备配置定期备份,变更走审批流程,别让运维随手改完就走。
别忘了物理边界
有次去客户现场,发现他们机房的交换机端口全裸露在外,访客区网线随便插就能接到内网。再高级的防火墙也防不住一根乱接的网线。确保非授权区域使用隔离VLAN,核心交换机端口启用MAC绑定或802.1X认证。
网络边界不只是IP层面,从墙外到机柜,每个接入点都得设防。安全是个链条,最弱一环决定整体强度。