防火墙真的“防火”了吗？

作者简介：山人笑笑生是位资深网络安全行业大咖，从业十多年，职业项目经理，高级讲师，CISSP、CISP、PMP、CCIE证书持有者
原文链接：https://mp.weixin.qq.com/s/MhVEZKuDXJCcyiIqHU2HBw

前几天在某单位IDC机房碰见一个安装硬件网络防火墙的工程师，他把防火墙部署上架后，调试了一个全放行策略，然后就收拾家伙准备离去。

在网络安全层面，防火墙全放行策略意味着无防护。我问他你不打算配置详细安全策略吗？他说不用，我们一直都是这么做的，客户也不会去检查。

从事网络安全行业多年，听到这种答案在我意料之中。多年工作经历中，我检查过上百家单位的数千台防火墙，有60%防火墙配置的安全策略都是全放行，另外有30%表面上配置的是详细安全策略，但是从第一条安全策略读到最后一条，发现还是全放行策略，只不过写的看似复杂了些。只有大约10%的防火墙是配置的勉强算是严格安全策略，一旦安全策略配置成功，却从不变动。能够做到配置了严格安全策略的防火墙，并且有专人不断检查并更新安全策略的用户更是少之又少。使其绝大多数的防火墙最终放置在网络中，却不能真正的“防火”，做了类似网关、交换机等普通的功能。

近几年国家非常重视网络安全，甚至将其提升到了国家安全的高度。国内网络安全市场上主流的硬件安全设备也是种类繁多，各安全厂家都是根据市场的需求定制化开发。从防火墙、IDS/IPS、防病毒网关、统一威胁管理到现在炒得火热的态势感知平台，功能更是五花八门。就连最为基础的防火墙都是能够与IDS、流量清洗等设备联动，增强各种安全功能。但是防火墙最基本的访问控制功能，我认为是最有用的，最实在的，也是最需要做好的。

我问过许多防火墙实施工程师，为什么防火墙不上最严格的策略？回答无非是以下几种：

• 用户自己都不知道需要开哪些端口

• 用户系统开发部门、业务部门、财务部门和运维部门等各部门之间协调难度大，很难屡清策略需求

• 如果配置了严格策略，用户改动端口就需要我们到现场调试，人力成本太大

• 用户根本不懂防火墙，对防火墙无任何要求，上架能通就可以，策略上不上无所谓

其实总体看来貌似原因有两个，要么是用户不能提供，要么是实施人员自己懒得做。但是真正的原因只有一个，偷懒！不负责任！没有用户是希望自己的网络不安全，任恶意访问者非法出入，毫无隐私。

配置一台常见的防火墙严格安全策略方法其实并不难，只要理清思路，稍微下功夫就很容易做到，总体来说只要做好三步：

1. 策略调查。可以使用策略调查表，请相关用户填写并签字，根据策略调查表去配置防火墙策略；或者采用强势乙方的方式，先让防火墙拒绝所有流量，任何IP地址和端口如果想通过防火墙，就去签字授权然后找我来开放IP地址和端口；或者采用主动抓包分析的方式，防火墙开启全放行策略，抓取工作时间段的所有数据包，进行汇总分析后找相关人员确认，以此来得到策略需求；

2. 策略实施。常见的防火墙策略的调用有三种，一种是配置完成后调用在接口上，二是配置完成后调用在虚拟区域（类似VLAN）上，三是配置完成后用在通道中，对所有的接口和虚拟区域均生效。策略实施完成后为了验证正确性，应该根据情况观察一段时间，如果有新出现的问题，则要加以分析并调整策略；

3. 安全培训。应该根据用户的情况对用户技术人员做使用培训，即便用户有驻场等外包服务，也应该对服务者做运行维护培训。
   
   以上三步每一步都应该尽量请用户全程参与，以此来提高使用者的技术水平和责任感。

防火墙策略的配置技巧也有很多种，多是根据数据包的流向采取相应的技巧来配置，但是并不见得每种方式都能足够安全。比如为了重点控制数据包的由外向内访问，则将从外到内方向的策略配置的非常严格，而从内到外的方向配置为全放行。很多黑客攻击都采用了反向穿墙技术，由内向外主动发起连接，所以这种配置方法虽然省力却并不见得安全。还有相对安全的正向策略配置技巧，原则是允许所有该允许的，拒绝其他所有。与其正向策略配置技巧相对应的则是反向策略，原则是拒绝该拒绝的，允许其他所有。

网络安全不是一个靠一个人、一台设备、一个制度来维护，是整个团队、整个组织、甚至整个国家所有人共同来维护。许多人认为安全设备部署了、纵深防护体系建立了、安全管理制度执行了，从此高枕无忧了。其实安全从来都只是相对的，而不是绝对的，单从防火墙体系来说，严格的安全策略只是万里长征的第一步，随着使用时间的推移，安全策略的优化更新是必不可少的。同时也应该遵循PDCA原则，每天改进一点点，并且常常反问自己，我的防火墙真的“防火”了吗？

喜欢我们的朋友们，欢迎关注我们的公众号：昆仑山论剑。
希望留言、与作者交流，请您加入我们的微信群：shareteclc