我们每个人在职业生涯中都犯过错误。这里所说的错误，是那种会使你马上丢掉工作的错误。举例来说，曾经有过一个学校的网络管理员犯过这样的错误，直接导致了校园里的所有路由器同时重启，而不是一个接一个。这个管理员本来是写了个脚本，对路由器进行安全升级，计划中是打算一个一个的升级并重启的，但是结果却是同时重启了。他经过重新检查脚本，才发现错误出在没有等待路由器重启，就直接命令下一个路由器进行升级。

像出现这种情况几乎肯定要被学校开除了，但很幸运，学校并没有这样做。不过，对于任何涉及到一场大灾难的人来说，都应该从灾难中学到些什么。我们都学过一些危机管理的知识，在网络重新恢复后，我们有必要花上几个小时来学习该如何检查网络是否工作正常。

所幸是大多数时候，大家所面对的错误并不是那么严峻。而不幸的是我们犯的错误不见得马上会被发现，这意味着这个错误可能潜伏数周，数月，甚至数年时间，直到有一天造成严重的后果，或者监管部门发现问题后把我们叫去盘问。在网络安全阵地的前沿，防火墙管理是一个很重要的区域，任何简单的错误规则或配置，都可能给我们带来无尽的后患。下面就让我们大家一起来了解一些最常见的错误：

建立毫无意义的防火墙组

一个防火墙管理员可能在超过半数的规则中都包含有一个特定的网络对象。我们假定这个对象名字叫“Joe_Montana”。每次当这个对象需要访问网络时，管理员就为这个对象添加一个IP地址，而这个地址是很多许可规则里列出的被许可的地址。这看上去没什么问题，因为没有任何一个规则里包含了ANY 范围，但实际上这是个大漏洞。它使得防火墙规则变得毫无意义，而彻底梳理防火墙规则库来解决这个问题，可能需要耗时几个月。

从不升级防火墙软件

很多公司的防火墙设备所采用的软件都是过时的。在问到为什么会出现这种情况时，大部分企业的防火墙管理员都会说是为了保证防火墙的稳定，或者不允许防火墙因为升级而出现暂时关闭现象。而实际上，防火墙产品厂商决定升级防火墙软件都是有一定原因的。即使企业不一定必须更新到最新版的软件，但如果还是运行着五六年前的旧版软件，或者是距离最新版本老15-20个版本旧软件，那么就应该考虑立刻开始升级了。

使用错误的技术

之前，有个网络安全管理员与监管人员发生了争执，因为该管理员在公司的安全web服务器前端放置了一个防火墙，作为第二层防护屏障。按照他的想法，这就构成了一个双重验证机制：一个用户密码加一个防火墙。可以说这个管理员在创新性上可以得满分，但是防火墙本身并不算是一个双重验证的解决方案。双重验证需要你的用户拥有两件可验证对象，即所知的和所拥有的两个对象。比如知道密码，并拥有令牌。

偶然停电

曾经发生过这样一件事，有个防火墙管理员为某个项目而在防火墙服务器上进行数据收集。这个管理员在调整网线的时候不小心碰了几下鼠标，这时候鼠标指针正好在“开始”的位置，然后，鬼使神差的鼠标指针又指到了屏幕中央弹出来的关机确认窗口，并且点到了中间的关机按钮。于是这个财务公司的防火墙就在这种情况下突然关闭了。

不良的文档

大家肯定经常听说防火墙管理员抱怨无法理解全部的防火墙规则。如果管理员在建立防火墙规则时图省事，没有进行详细的文档说明，看似节省下来的时间和精力，以后必然会花费到去理解这些规则上。因此肯定有人听过这样的话“恐怕我们要重新修改防火墙设置了，以前的管理员设置的那些防火墙规则没有注释，所以我们很难搞清楚它们的作用。”

过度使用丢弃Drop规则

一般来说，如果时间比较紧迫，我们都会建立一些属于过度访问的规则，然后再在这些规则的基础上，建立丢弃规则，将不允