Якщо вони блокують мішанину портів, пропускають якісь речі і блокують якісь інші речі навмання (я люблю сумну розповідь Пола Томбліна про людей, які блокують SSH і дозволяють Telnet), то вони або мають дуже дивний крайній випадок, як вони Подумайте про безпеку периметру мережі, або їх політика безпеки, принаймні, зовні, мабуть, погано продумана. Ви не можете зрозуміти подібні ситуації, тому просто стягуйте їх з курсом людей, які болять і продовжують свій день.
Якщо вони блокують ВСІ порти, якщо немає конкретного ділового випадку дозволу трафіку через цей порт, і в цей момент його ретельно керують, вони роблять це, оскільки вони компетентні на своїх роботах.
Коли ви намагаєтесь написати захищену програму, чи спрощуєте ви інші процеси читати та записувати інформацію до неї так, як їм подобається, чи у вас є кілька ретельно задокументованих API, які ви очікуєте, що люди дзвонять і які ви ретельно саніруєте?
Управління ризиками - якщо ви вважаєте, що трафік до вашої мережі або через мережу Інтернет є ризиком, то ви намагаєтеся звести до мінімуму кількість шляхів проникнення трафіку в Інтернет як за кількістю маршрутів, так і за кількістю методів. Потім ви можете відстежувати та фільтрувати вибрані «благословенні» шлюзи та порти, щоб спробувати переконатися, що трафік, який подорожує ними, - це те, що ви очікуєте.
Це політика брандмауера "заперечувати за замовчуванням" і зазвичай вважається гарною ідеєю, з якою я прийду. Це означає, що все заблоковано, якщо немає конкретної причини для його розблокування, а переваги причини переважують ризики.
Редагувати: Я мушу уточнити, я не просто говорю про ризики дозволу одного протоколу, а іншого заблокованого, я кажу про можливі ризики для бізнесу, який може дозволити надходити в мережу або виходити з неї неконтрольовано шлях.
Тепер про застереження та, можливо, план звільнення речей:
Це може бути прикро, коли вас щось заблокує - це позиція, з якою ви опинитесь у когось із своїх клієнтів. Занадто часто люди, які відповідають за брандмауер, думають, що їхня робота сказати "Ні", а не "Ось ризики. Тепер, які переваги, давайте подивимося, що ми можемо зробити".
Якщо ви розмовляєте з тим, хто керує мережевою безпекою для ваших клієнтів, вони можуть піддати налаштування чогось для вас. Якщо ви можете ідентифікувати декілька конкретних систем у їх кінці, вам потрібен доступ та / або гарантуєте, що ви підключитесь лише з певної IP-адреси, вони можуть бути набагато щасливішими, щоб створити виключення брандмауера для з'єднань SSH для тих конкретних умов, ніж вони було б просто відкрити зв’язки з усім Інтернетом. Або у них може бути VPN-центр, який ви можете використовувати для тунелю через брандмауер.