Анти-шаблони брандмауера?

Які є найпоширеніші та неправильні способи налаштування брандмауера? Я розпочну список із наступного:

Сліпо блокуючи ICMP . Це було звичайною практикою в 1998 році, коли напади смертерів були все гнівом. Сьогодні ви ризикуєте створити чорну діру PMTU і ускладнити діагностику проблем. Якщо вам потрібно заблокувати ICMP, принаймні дозвольте фрагментацію, яка потрібна, та пройдіть запит / відповіді.

Сталі правила . Дуже погано, що ми не можемо встановити дату закінчення терміну дії. Під час перенесення послуги я часто забуваю видалити правила для старого сервісу.

Відкриваючи його, щоб він працював ... потім ніколи не повертався і нічого не замикав.

Наступний приклад Джона - не використовувати коментарі проти правил, якщо ваш брандмауер підтримує їх.

Немає нічого гіршого, ніж побачити брандмауер вперше і побачити всілякі дивні правила, які не мають сенсу неозброєним оком, а коментарі - порожні, а документації немає.

Що стосується правил застарілих, як на вашому прикладі - належна документація та процедури ВІДКРИТИ подібні проблеми. Я вважаю, що ваша проблема зовсім не в брандмауері.

Особисто я вважаю поділ вхідних та вихідних правил на дві основні групи антидіаграмою. Доводиться стикатися з двома величезними групами - це кошмар. Я вважаю за краще групувати правила вхідного та вихідного трафіку, які пов'язані з певним протоколом / додатком. Цим способом набагато простіше керувати ними.

Перенесіть проблему в інше місце.

напр. Брандмауер локальних ПК перестає працювати якусь службу чи додаток, тому вимкніть її повністю та скажіть, що "брандмауер на крайовому маршрутизаторі буде нормальним, щоб захистити всі ПК".

Ручне виготовлення та утримання їх.

Старовинні сторонні сценарії, які "працюють досить добре, щоб ми не заважали замінити їх", вимагають вручну редагувати замість файлів конфігурації та абсолютно незрозумілі для людей, які не читали тезу, що описують, як вони працюють.