2个最常见的防火墙配置错误

在我处理电子邮件安全和邮件服务器配置的经验中，我遇到过许多管理员无意中犯下基本错误的情况，这些错误导致数小时甚至数天的延迟。没有人是完美的，但有些错误的代价更高，特别是当几个关键系统的正常运行依赖于正确配置的元素时。最终用户通常是第一个抱怨的人，往往在你意识到问题之前——在某些情况下，甚至是CEO拉响警报，增加了快速修复问题的压力。

在审查防火墙配置时，我经常遇到的两个主要错误是：

1. 创建"任意到任意"访问规则

设置了"任意到任意"规则后，你基本上在使用一个没有提供有意义的保护的防火墙。我见过这个规则被放在列表顶部，使其下方更具体的规则无效。我也与一些客户合作过，他们相信自己拥有安全的环境，结果发现一个"任意到任意"规则埋藏在防火墙策略的底部。在其他情况下，我排查过新规则无法正常工作的问题，几乎每次都是因为预期的规则上方列有一个"任意到任意"规则。在创建新规则之前，我总是使用现有的防火墙配置测试预期结果。然后我实施规则并再次测试以确认其按计划工作。检查规则顺序至关重要，因为防火墙一旦找到匹配项就会停止评估——跳过所有后续规则。这样的失误不仅削弱了整体网络安全，还可能使系统暴露于网络安全威胁，并增加恶意软件保护缺口的可能性。

2. 邮件服务器和防火墙设置配置不当

这是另一个常见问题，特别是对于使用电子邮件服务提供商（ESP）进行过滤的组织。用户经常报告ESP未能有效过滤垃圾邮件，而真正的问题在于防火墙设置。对域运行nslookup通常会显示一个遗留的MX记录仍然直接指向内部邮件服务器。垃圾邮件发送者利用这一点绕过ESP。我还见过防火墙配置为接受来自任何来源的端口25上的SMTP流量——而理想情况下，只应允许ESP传递电子邮件。这些疏忽为网络钓鱼攻击、电子邮件欺骗和电子邮件冒充创造了机会，特别是在尚未完全实施DMARC、OnDMARC或Proofpoint Essentials等电子邮件认证工具的环境中。没有这些保护措施，威胁可能会未经检查地通过——即使在部署了Office 365电子邮件安全的环境中也会增加风险。

这些是我在审查防火墙设置时遇到的一些最常见——也是最可预防——的问题。记住：配置错误的防火墙与根本没有防火墙一样糟糕。