2种最常见的防火墙配置错误

在我处理电子邮件安全和邮件服务器配置的经验中，遇到过许多管理员无意中犯下的基础错误，导致数小时甚至数天的延误。没有人是完美的，但有些错误的代价更高，尤其是当多个关键系统的正常运行依赖于正确配置的元素时。最终用户通常是第一个抱怨的，往往在你意识到问题之前——在某些情况下，甚至是CEO拉响警报，增加了快速修复的压力。

在审查防火墙配置时，我经常遇到的两个主要错误是：

1. 创建“任意到任意”访问规则

如果设置了“任意到任意”规则，你基本上在使用一个没有提供有意义的保护的防火墙。我曾见过这个规则被放在列表顶部，使得下面更具体的规则无效。我也曾与一些客户合作，他们以为自己拥有安全的环境，结果却发现一个“任意到任意”规则埋藏在防火墙策略的底部。在其他情况下，我排查过新规则无法正常工作的问题，几乎每次都是由于在目标规则之上列出了一个“任意到任意”规则。在创建新规则之前，我总是使用现有的防火墙配置测试预期结果。然后我实施规则并再次测试，以确认其按计划工作。检查规则顺序至关重要，因为防火墙一旦找到匹配项就会停止评估——跳过所有后续规则。这样的失误不仅削弱整体网络安全，还可能使系统暴露于网络安全威胁，并增加恶意软件防护漏洞的可能性。

2. 邮件服务器和防火墙设置配置不当

这是另一个常见问题，特别是对于使用电子邮件服务提供商（ESP）进行过滤的组织。用户经常报告ESP未能有效过滤垃圾邮件，而真正的问题在于防火墙设置。对域运行nslookup通常会发现一个残留的MX记录仍然直接指向内部邮件服务器。垃圾邮件发送者利用这一点绕过ESP。我还见过防火墙配置为接受来自任何源的端口25上的SMTP流量——而理想情况下，只应允许ESP传递电子邮件。这些疏忽为电子邮件钓鱼攻击、电子邮件欺骗和电子邮件冒充创造了机会，特别是在尚未完全实施电子邮件认证工具（如DMARC、OnDMARC或Proofpoint Essentials等解决方案）的环境中。没有这些保护措施，威胁可以未经检查地通过——即使在部署了Office 365电子邮件安全的环境中也会增加风险。

这些是我在审查防火墙设置时遇到的一些最常见——也是最可预防——的问题。记住：配置错误的防火墙比根本没有防火墙好不了多少。