รูปแบบการต่อต้านไฟร์วอลล์?

วิธีกำหนดค่าไฟร์วอลล์ที่ใช้กันทั่วไปและผิดวิธีใดบ้าง ฉันจะเริ่มต้นรายการดังต่อไปนี้:

บล็อก ICMPอย่างสุ่มสี่สุ่มห้า นี่คือการปฏิบัติทั่วไปในปี 1998 เมื่อการโจมตี smurf เป็นความโกรธทั้งหมด วันนี้คุณเสี่ยงต่อการสร้างหลุมดำ PMTU และทำให้ยากต่อการวินิจฉัยปัญหา หากคุณต้องบล็อก ICMP อย่างน้อยต้องมีการแยกส่วนที่จำเป็นและสะท้อนการร้องขอ / ตอบกลับ

กฎเก่า มันแย่มากที่เราไม่สามารถกำหนดวันหมดอายุตามกฎได้ เมื่อฉันย้ายบริการฉันมักจะลืมลบกฎสำหรับบริการเก่า

เปิดขึ้นเพื่อให้ทำงานได้ ... จากนั้นไม่ต้องย้อนกลับมาและล็อคสิ่งใดลง

ตัวอย่างที่ตามมาของจอห์น - ไม่ใช้ความคิดเห็นกับกฎถ้าไฟร์วอลล์ของคุณสนับสนุนพวกเขา

ไม่มีอะไรจะเลวร้ายไปกว่าการได้เห็นไฟร์วอลล์เป็นครั้งแรกและเห็นกฎแปลก ๆ ทุกประเภทที่ไม่มีความรู้สึกด้วยตาเปล่าและความคิดเห็นทั้งหมดนั้นว่างเปล่าและไม่มีเอกสารประกอบ

ในเรื่องของกฎค้างตามตัวอย่างของคุณ - เอกสารและขั้นตอนที่เหมาะสมจะขจัดปัญหาดังกล่าว ฉันขอแนะนำว่าปัญหาของคุณไม่ได้อยู่ที่ไฟร์วอลล์เลย

โดยส่วนตัวฉันพิจารณาแบ่งกฎขาเข้าและขาออกเป็นสองกลุ่มหลักว่าเป็นรูปแบบการต่อต้าน ต้องรับมือกับสองกลุ่มใหญ่เป็นฝันร้าย ฉันชอบที่จะจัดกลุ่มกฎสำหรับทราฟฟิกขาเข้าและขาออกที่เกี่ยวข้องกับโปรโตคอล / แอปพลิเคชันบางอย่าง วิธีนี้จัดการได้ง่ายกว่ามาก

ย้ายปัญหาไปที่อื่น

เช่น. ไฟร์วอลล์ของพีซีในพื้นที่กำลังหยุดบริการหรือแอปทำงานอยู่ดังนั้นปิดใช้งานอย่างสมบูรณ์และพูดว่า "ไฟร์วอลล์บนเราเตอร์ขอบจะโอเคเพื่อปกป้องพีซีทั้งหมด"

การประดิษฐ์และบำรุงรักษาด้วยมือ

สคริปต์ของบุคคลที่สามโบราณที่ "ทำงานได้ดีพอดังนั้นเราจะไม่รบกวนการแทนที่" ต้องแก้ไขด้วยตนเองแทนที่จะใช้ไฟล์กำหนดค่าและไม่สามารถเข้าใจได้อย่างสมบูรณ์สำหรับผู้ที่ไม่ได้อ่านวิทยานิพนธ์ที่อธิบายวิธีการทำงานของมัน