两大常见防火墙配置错误

在处理电子邮件安全和邮件服务器配置的过程中，我遇到过许多管理员无意中犯下基础错误的情况，这些错误导致了数小时甚至数天的延迟。没有人是完美的，但有些错误的代价更高，特别是当多个关键系统的正常运行依赖于正确配置的元素时。最终用户通常是第一个抱怨的人，往往在你意识到问题存在之前——在某些情况下，甚至是CEO拉响警报，增加了快速修复问题的压力。

在审查防火墙配置时，我经常遇到的两个主要错误是：

1. 创建"任意到任意"访问规则

如果设置了"任意到任意"规则，你实际上使用的防火墙就没有提供有意义的保护。我曾见过这条规则被放在列表顶部，使其下方更具体的规则失效。我也曾与一些客户合作，他们相信自己拥有安全的环境，结果却发现防火墙策略底部埋藏着一个"任意到任意"规则。在其他情况下，我排查过新规则无法正常工作的问题，几乎每次都是由于目标规则上方列有"任意到任意"规则。在创建新规则之前，我总是使用现有的防火墙配置测试预期结果。然后实施规则并再次测试，确认其按计划工作。检查规则顺序至关重要，因为防火墙一旦找到匹配项就会停止评估——跳过所有后续规则。这样的失误不仅会削弱整体网络安全，还可能使系统面临网络安全威胁，并增加恶意软件防护缺口的可能性。

2. 错误配置的邮件服务器和防火墙设置

这是另一个常见问题，特别是对于使用电子邮件服务提供商(ESP)进行过滤的组织。用户经常报告ESP未能有效过滤垃圾邮件，而真正的问题在于防火墙设置。对域运行nslookup通常会显示残留的MX记录仍然直接指向内部邮件服务器。垃圾邮件发送者利用这一点来绕过ESP。我还见过防火墙被配置为接受来自任何源的端口25上的SMTP流量——而理想情况下，只应允许ESP传递电子邮件。这些疏忽为网络钓鱼攻击、电子邮件欺骗和电子邮件冒充创造了机会，特别是在尚未完全实施DMARC、OnDMARC或Proofpoint Essentials等电子邮件身份验证工具的环境中。没有这些保护措施，威胁可以不受阻碍地通过——即使在部署了Office 365电子邮件安全的环境中也会增加风险。

这些是我在审查防火墙设置时遇到的一些最常见——也是最可预防——的问题。请记住：配置错误的防火墙与根本没有防火墙没有什么区别。