Какие из наиболее распространенных и неправильно способы настроить фаервол? Я начну список со следующего:
Слепая блокировка ICMP. Это было обычным делом в 1998 году, когда атаки смурфов были в моде. Сегодня вы рискуете создать черную дыру PMTU и затруднить диагностику проблем. Если вы должны заблокировать ICMP, по крайней мере разрешите необходимую фрагментацию и отправьте эхо-запрос / ответы.
Устаревшие правила. Очень жаль, что мы не можем установить срок действия правил. При миграции службы я часто забываю удалить правила для старой службы.
Открытие его к заставить это работать... затем никогда не возвращаться и ничего не блокировать.
После Пример Джона - не использовать комментарии к правилам, если ваш брандмауэр их поддерживает.
Нет ничего хуже, чем впервые увидеть брандмауэр и увидеть всевозможные странные правила, которые не имеют смысла невооруженным глазом, а все комментарии пусты, а документации нет.
Что касается устаревших правил, в соответствии с вашим примером - Надлежащая документация и процедуры БУДУТ устранять такие проблемы. Я предполагаю, что ваша проблема вовсе не в брандмауэре.
Лично я считаю, что разделение правил для входящего и исходящего трафика на две основные группы является анти-шаблоном. Приходиться иметь дело с двумя огромными группами - это кошмар. Я предпочитаю группировать правила для входящего и исходящего трафика, относящегося к определенному протоколу / приложению. Так управлять ими намного проще.
Переместите проблему в другое место.
например. брандмауэр локального ПК останавливает работу какой-либо службы или приложения, поэтому полностью отключите его и скажите: «Брандмауэр на граничном маршрутизаторе будет в порядке для защиты всех ПК».
Изготовление и уход за ними вручную.
Древние сторонние скрипты, которые «работают достаточно хорошо, поэтому мы не будем их заменять», требуют ручного редактирования вместо использования файлов конфигурации и совершенно непонятны людям, которые не читали диссертацию, описывающую, как они работают.