방화벽 안티 패턴?

방화벽을 구성하는 가장 일반적이고 잘못된 방법 은 무엇입니까 ? 다음과 같이 목록을 시작하겠습니다.

맹목적으로 ICMP 차단 . 이것은 스머프 공격이 모든 분노였던 1998 년의 일반적인 관행이었습니다. 오늘날 PMTU 블랙홀을 생성하고 문제를 진단하기 어렵게 할 위험이 있습니다. ICMP를 차단해야하는 경우 최소한 조각화가 필요하고 요청 / 응답을 에코합니다.

부실 규칙 . 규칙에 만료 날짜를 설정할 수 없습니다. 서비스를 마이그레이션 할 때 종종 이전 서비스에 대한 규칙을 제거하는 것을 잊어 버립니다.

작동 시키기 위해 열면 ... 돌아 오지 않고 아무것도 잠그지 않습니다.

이후 존의 예 - 만약 방화벽 지원 그 규칙에 대해 의견을 사용하지.

처음으로 방화벽을보고 육안으로 이해할 수없는 모든 종류의 이상한 규칙을 보는 것보다 나쁜 것은 없습니다. 주석은 모두 비어 있으며 문서는 없습니다.

부실 규칙의 주제에 따라 귀하의 예에 따라-적절한 문서 및 절차는 그러한 문제를 제거합니다. 문제가 방화벽에 전혀없는 것 같습니다.

개인적으로 인바운드 및 아웃 바운드 규칙을 반 패턴 인 두 개의 주요 그룹으로 나누는 것이 좋습니다. 두 개의 거대한 그룹을 다루는 것은 악몽입니다. 특정 프로토콜 / 응용 프로그램과 관련된 들어오고 나가는 트래픽에 대한 규칙을 그룹화하는 것을 선호합니다. 이 방법은 관리하기가 훨씬 쉽습니다.

문제를 다른 곳으로 옮기십시오.

예. 로컬 PC 방화벽이 일부 서비스 또는 앱 작동을 중지하고 있으므로 완전히 비활성화하고 "가장자리 라우터의 방화벽이 모든 PC를 보호 할 수 있습니다"라고 말합니다.

수공예 및 유지 관리.

"충분히 작동하여 교체 할 필요가없는"고대 타사 스크립트는 구성 파일을 사용하는 대신 수동 편집이 필요하며 작동 방식을 설명하는 논문을 읽지 않은 사람들에게는 완전히 이해할 수 없습니다.