防火墙反模式?

防火墙反模式?

哪些是最常见的,错误的配置防火墙的方法有哪些?我将从以下方法开始:

盲目阻止 ICMP。这是 1998 年 smurf 攻击盛行时的常见做法。如今,您面临着创建 PMTU 黑洞的风险,并且很难诊断问题。如果您必须阻止 ICMP,至少要允许所需的碎片并回显请求/回复。

过时的规则。很遗憾我们无法设置规则的到期日期。当我迁移服务时,我经常忘记删除旧服务的规则。

答案1

打开它让它工作...然后再也不回来并锁定任何东西。

答案2

接下来约翰的例子- 如果您的防火墙支持,则不要使用违反规则的评论。

没有什么比第一次看到防火墙时看到各种各样肉眼无法理解的奇怪规则更糟糕的了,而且注释都是空白的,没有任何文档。

答案3

关于陈旧规则的问题,按照您的示例 - 适当的文档和程序将消除此类问题。我认为您的问题根本不是防火墙。

答案4

把问题转移到别处。

例如,本地 PC 的防火墙正在阻止某些服务或应用程序的运行,因此请完全禁用它并说“边缘路由器上的防火墙可以保护所有 PC”。

相关内容