Güvenlik duvarı anti-desenleri?

Güvenlik duvarını yapılandırmanın en yaygın ve yanlış yollarından bazıları nelerdir ? Listeye aşağıdakilerle başlayacağım:

ICMP'yi körü körüne engelliyor . Bu, 1998 yılında şirin saldırıların çok yaygın olduğu yaygın bir uygulamadır. Bugün PMTU kara deliği oluşturma ve sorunları teşhis etmeyi zorlaştırma riskiyle karşı karşıyasınız. ICMP'yi engellemeniz gerekiyorsa, en azından gerekli parçalanmaya izin verin ve isteği / yanıtları yankılayın.

Eski Kurallar . Kurallar için bir son kullanma tarihi ayarlayamayacağımız çok kötü. Bir hizmeti taşıdığımda eski hizmetin kurallarını kaldırmayı unuturum.

O kadar açılması için Çalıştırmak sonra asla geri gelmeyecek ve bir şey aşağı kilitleme ....

John örneğinin ardından - güvenlik duvarınız bunları destekliyorsa kurallara karşı yorumları kullanmamak.

Bir güvenlik duvarını ilk kez görmekten ve çıplak gözle mantıklı olmayan her türlü garip kuralları görmekten daha kötü bir şey yoktur ve yorumların hepsi boştur ve hiçbir belge yoktur.

Eski kurallar konusunda, örneğinize göre - Uygun dokümantasyon ve prosedürler bu tür sorunları ortadan kaldıracaktır. Sorununuzun güvenlik duvarında olmadığını öneririm.

Şahsen ben gelen ve giden kuralları bir anti-desen olarak iki ana gruba ayırmayı düşünüyorum. İki büyük grupla uğraşmak bir kabustur. Belirli bir protokol / uygulama ile ilgili gelen ve giden trafik için kuralları gruplamayı tercih ederim. Bu şekilde onları yönetmek çok daha kolaydır.

Sorunu başka bir yere taşıyın.

Örneğin. Yerel PC'ler güvenlik duvarı bazı hizmet veya uygulamaların çalışmasını durduruyor, bu yüzden tamamen devre dışı bırakın ve "kenar yönlendiricideki güvenlik duvarı tüm PC'leri korumak için uygun olacaktır" deyin.

El işi ve bakımı.

"Yeterince iyi çalıştığımızdan, onları değiştirmekten rahatsız olmayacağız", yapılandırma dosyalarını kullanmak yerine manuel düzenleme gerektiren ve nasıl çalıştıklarını açıklayan tezi okumamış kişiler için tamamen anlaşılmaz olan eski 3. taraf komut dosyaları.