फ़ायरवॉल विरोधी पैटर्न?

फ़ायरवॉल को कॉन्फ़िगर करने के सबसे सामान्य और गलत तरीकों में से कुछ क्या हैं ? मैं निम्नलिखित के साथ सूची शुरू करूँगा:

नेत्रहीन अवरुद्ध ICMP । यह 1998 में आम बात थी जब स्मर्फ हमलों में सभी क्रोध थे। आज आप पीएमटीयू ब्लैक होल बनाने और समस्याओं का निदान करने के लिए इसे कठिन बनाते हैं। यदि आप ICMP को ब्लॉक करना चाहते हैं, तो कम से कम विखंडन की अनुमति दें और प्रतिध्वनि अनुरोध / उत्तर दें।

बासी नियम । यह बहुत बुरा है हम नियमों पर एक समाप्ति तिथि निर्धारित नहीं कर सकते। जब मैं किसी सेवा को स्थानांतरित करता हूं तो मैं अक्सर पुरानी सेवा के नियमों को हटाना भूल जाता हूं।

इसे काम करने के लिए खोलना ... फिर कभी वापस नहीं आना और कुछ भी बंद करना।

जॉन के उदाहरण के बाद - नियमों के खिलाफ टिप्पणियों का उपयोग नहीं करना अगर आपका फ़ायरवॉल उनका समर्थन करता है।

पहली बार किसी फ़ायरवॉल को देखने और सभी प्रकार के अजीब नियमों को देखने से बुरा कुछ नहीं है जो नग्न आंखों के लिए कोई मतलब नहीं है, और टिप्पणियां सभी खाली हैं और कोई दस्तावेज नहीं है।

आपके नियमों के अनुसार, बासी नियमों के विषय पर - उचित प्रलेखन और प्रक्रियाएं ऐसे मुद्दों को समाप्त कर देंगी। मेरा सुझाव है कि आपकी समस्या फ़ायरवॉल में बिल्कुल भी नहीं है।

व्यक्तिगत रूप से मैं दो मुख्य समूहों में एक विरोधी पैटर्न होने के लिए इनबाउंड और आउटबाउंड नियमों को विभाजित करने पर विचार करता हूं। दो विशाल समूहों से निपटना एक बुरा सपना है। मैं आने वाले और बाहर जाने वाले ट्रैफ़िक के लिए समूह नियमों को प्राथमिकता देता हूं जो एक निश्चित प्रोटोकॉल / एप्लिकेशन से संबंधित है। इस तरह से ज्यादा उन्हें प्रबंधित करने में आसान है।

समस्या को कहीं और ले जाएं।

जैसे। स्थानीय पीसी फ़ायरवॉल कुछ सेवा या ऐप को काम करना बंद कर रहा है, इसलिए इसे पूरी तरह से अक्षम करें और कहें कि "सभी पीसी की सुरक्षा के लिए किनारे पर फायरवॉल ठीक रहेगा"।

हाथ से तैयार करना और उन्हें बनाए रखना।

प्राचीन तृतीय-पक्ष लिपियाँ जो "अच्छी तरह से काम करती हैं, इसलिए हम उन्हें प्रतिस्थापित करने में परेशान नहीं करेंगे", कॉन्फिग फाइलों का उपयोग करने के बजाय मैन्युअल संपादन की आवश्यकता होती है, और उन लोगों के लिए पूरी तरह से समझ में नहीं आता है जो इस बात का विवरण नहीं पढ़ते हैं कि वे कैसे काम करते हैं।