หากพวกเขากำลังบล็อกพอร์ตที่ผิดพลาดปล่อยให้บางสิ่งบางอย่างผ่านไปและปิดกั้นบางสิ่งบางอย่างโดยการสุ่ม (ฉันชอบเรื่องราวที่น่าเศร้าของ Paul Tomblin ของผู้คนที่ปิดกั้น SSH และอนุญาต Telnet) จากนั้นพวกเขามีกรณีแปลก ๆ ไปเกี่ยวกับการรักษาความปลอดภัยปริมณฑลเครือข่ายของพวกเขาหรือตำรวจรักษาความปลอดภัยของพวกเขาจากภายนอกอย่างน้อยก็คิดออกมาไม่ดีอย่างเห็นได้ชัด คุณไม่สามารถทำความเข้าใจกับสถานการณ์เช่นนั้นดังนั้นเพียงแค่คิดอัตราการไปสำหรับคนที่เจ็บปวดและดำเนินการกับวันของคุณ
หากพวกเขากำลังปิดกั้นพอร์ตทั้งหมดเว้นแต่จะมีกรณีธุรกิจเฉพาะสำหรับการอนุญาตการรับส่งข้อมูลผ่านพอร์ตนั้น ณ จุดที่จัดการอย่างระมัดระวังแล้วพวกเขากำลังทำมันเพราะพวกเขามีความสามารถในงานของพวกเขา
เมื่อคุณพยายามที่จะเขียนแอปพลิเคชันที่ปลอดภัยคุณทำให้เป็นเรื่องง่ายสำหรับกระบวนการอื่นในการอ่านและเขียนข้อมูลตามที่พวกเขาต้องการหรือคุณมี API ที่ทำเป็นเอกสารอย่างรอบคอบสองสามข้อที่คุณคาดหวังให้ผู้อื่นโทรหา
การจัดการความเสี่ยง - หากคุณรู้สึกว่าการรับส่งข้อมูลไปยังหรือจากเครือข่ายของคุณไปสู่อินเทอร์เน็ตนั้นมีความเสี่ยงคุณจึงต้องพยายามลดปริมาณการรับส่งข้อมูลที่สามารถเข้าถึงอินเทอร์เน็ตได้ทั้งในแง่ของจำนวนเส้นทางและจำนวนวิธี จากนั้นคุณสามารถตรวจสอบและกรองเกตเวย์และพอร์ต "ความจำเริญ" ที่เลือกเหล่านี้เพื่อลองและรับรองว่าทราฟฟิกที่เดินทางมานั้นเป็นสิ่งที่คุณคาดหวัง
นี่เป็นนโยบายไฟร์วอลล์ "เริ่มต้นปฏิเสธ" และมักถือเป็นความคิดที่ดีโดยมีข้อควรระวังสองประการที่ฉันจะได้รับ หมายความว่าทุกอย่างถูกบล็อกเว้นแต่มีเหตุผลเฉพาะในการปลดบล็อกและประโยชน์ของเหตุผลนั้นมีมากกว่าความเสี่ยง
แก้ไข: ฉันควรชี้แจงฉันไม่ได้แค่พูดถึงความเสี่ยงของโปรโตคอลหนึ่งที่ได้รับอนุญาตและอีกบล็อกฉันกำลังพูดถึงความเสี่ยงที่อาจเกิดขึ้นกับธุรกิจของข้อมูลที่ได้รับอนุญาตให้ไหลเข้าหรือออกจากเครือข่ายในการควบคุม ทาง
ตอนนี้สำหรับ caveats และอาจมีแผนจะเพิ่มสิ่งต่าง ๆ :
อาจเป็นเรื่องที่น่ารำคาญเมื่อคุณถูกบล็อกจากบางสิ่งซึ่งเป็นตำแหน่งที่คุณพบว่ามีลูกค้าของคุณอยู่บ้าง บ่อยครั้งที่ผู้รับผิดชอบไฟร์วอลล์คิดว่าหน้าที่ของพวกเขาที่จะพูดว่า "ไม่" แทนที่จะเป็น "นี่คือความเสี่ยงตอนนี้สิ่งที่เป็นประโยชน์ให้ดูว่าเราสามารถทำอะไรได้บ้าง"
หากคุณพูดคุยกับใครก็ตามที่จัดการความปลอดภัยเครือข่ายให้กับลูกค้าของคุณพวกเขาอาจคล้อยตามการตั้งค่าบางอย่างสำหรับคุณ หากคุณสามารถระบุระบบบางอย่างได้ในตอนท้ายคุณจำเป็นต้องเข้าถึงและ / หรือรับประกันว่าคุณจะเชื่อมต่อจากที่อยู่ IP ที่ระบุเท่านั้นพวกเขาอาจมีความสุขมากที่จะสร้างข้อยกเว้นไฟร์วอลล์สำหรับการเชื่อมต่อ SSH สำหรับเงื่อนไขเฉพาะเหล่านั้น จะเป็นการเปิดการเชื่อมต่อกับอินเทอร์เน็ตทั้งหมด หรือพวกเขาอาจมีสิ่งอำนวยความสะดวก VPN ที่คุณสามารถใช้เพื่ออุโมงค์ผ่านไฟร์วอลล์