在网络安全阵地的前沿，防火墙管理是一个很重要的区域，任何简单的错误规则或配置，都可能给我们带来无尽的后患。下面就让我们大家一起来了解一些最常见的错误：

建立毫无意义的防火墙组

一个防火墙管理员可能在超过半数的规则中都包含有一个特定的网络对象。我们假定这个对象名字叫“Joe_Montana”。每次当这个对象需要访问网络时，管理员就为这个对象添加一个IP地址，而这个地址是很多许可规则里列出的被许可的地址。这看上去没什么问题，因为没有任何一个规则里包含了ANY范围，但实际上这是个大漏洞。它使得防火墙规则变得毫无意义，而彻底梳理防火墙规则库来解决这个问题，可能需要耗时几个月。

　　从不升级防火墙软件

很多公司的防火墙设备所采用的软件都是过时的。在问到为什么会出现这种情况时，大部分企业的防火墙管理员都会说是为了保证防火墙的稳定，或者不允许防火墙因为升级而出现暂时关闭现象。而实际上，防火墙产品厂商决定升级防火墙软件都是有一定原因的。即使企业不一定必须更新到最新版的软件，但如果还是运行着五六年前的旧版软件，或者是距离最新版本老15-20个版本旧软件，那么就应该考虑立刻开始升级了。

使用错误的技术

之前，有个网络安全管理员与监管人员发生了争执，因为该管理员在公司的安全web服务器前端放置了一个防火墙，作为第二层防护屏障。按照他的想法，这就构成了一个双重验证机制：一个用户密码加一个防火墙。可以说这个管理员在创新性上可以得满分，但是防火墙本身并不算是一个双重验证的解决方案。双重验证需要你的用户拥有两件可验证对象，即所知的和所拥有的两个对象。比如知道密码，并拥有令牌。

　 偶然停电

曾经发生过这样一件事，有个防火墙管理员为某个项目而在防火墙服务器上进行数据收集。这个管理员在调整网线的时候不小心碰了几下鼠标，这时候鼠标指针正好在“开始”的位置，然后，鬼使神差的鼠标指针又指到了屏幕中央弹出来的关机确认窗口，并且点到了中间的关机按钮。于是这个财务公司的防火墙就在这种情况下突然关闭了。

　　不良的文档

大家肯定经常听说防火墙管理员抱怨无法理解全部的防火墙规则。如果管理员在建立防火墙规则时图省事，没有进行详细的文档说明，看似节省下来的时间和精力，以后必然会花费到去理解这些规则上。因此肯定有人听过这样的话“恐怕我们要重新修改防火墙设置了，以前的管理员设置的那些防火墙规则没有注释，所以我们很难搞清楚它们的作用。”