Назад | Перейти на главную страницу

Антишаблоны межсетевого экрана?

Какие из наиболее распространенных и неправильно способы настроить фаервол? Я начну список со следующего:

Слепая блокировка ICMP. Это было обычным делом в 1998 году, когда атаки смурфов были в моде. Сегодня вы рискуете создать черную дыру PMTU и затруднить диагностику проблем. Если вы должны заблокировать ICMP, по крайней мере разрешите необходимую фрагментацию и отправьте эхо-запрос / ответы.

Устаревшие правила. Очень жаль, что мы не можем установить срок действия правил. При миграции службы я часто забываю удалить правила для старой службы.

Открытие его к заставить это работать... затем никогда не возвращаться и ничего не блокировать.

После Пример Джона - не использовать комментарии к правилам, если ваш брандмауэр их поддерживает.

Нет ничего хуже, чем впервые увидеть брандмауэр и увидеть всевозможные странные правила, которые не имеют смысла невооруженным глазом, а все комментарии пусты, а документации нет.

Что касается устаревших правил, в соответствии с вашим примером - Надлежащая документация и процедуры БУДУТ устранять такие проблемы. Я предполагаю, что ваша проблема вовсе не в брандмауэре.

Лично я считаю, что разделение правил для входящего и исходящего трафика на две основные группы является анти-шаблоном. Приходиться иметь дело с двумя огромными группами - это кошмар. Я предпочитаю группировать правила для входящего и исходящего трафика, относящегося к определенному протоколу / приложению. Так управлять ими намного проще.

Переместите проблему в другое место.

например. брандмауэр локального ПК останавливает работу какой-либо службы или приложения, поэтому полностью отключите его и скажите: «Брандмауэр на граничном маршрутизаторе будет в порядке для защиты всех ПК».

Изготовление и уход за ними вручную.

Древние сторонние скрипты, которые «работают достаточно хорошо, поэтому мы не будем их заменять», требуют ручного редактирования вместо использования файлов конфигурации и совершенно непонятны людям, которые не читали диссертацию, описывающую, как они работают.