포트의 엉망을 막고 일부 물건을 무작위로 차단하고 다른 물건을 임의로 차단하는 경우 (SSH를 차단하고 Telnet을 허용 한 사람들에 대한 Paul Tomblin의 슬픈 이야기를 좋아합니다.) 외부에서 네트워크 경계를 확보하거나 보안 정책을 제대로 파악하지 못하는 것 같습니다. 당신은 그런 상황을 이해할 수 없으므로 고통을 겪고 하루 종일 계속하는 사람들에게 요금을 부과하십시오.
포트를 통한 트래픽을 허용하는 특정 비즈니스 사례가없는 한 모든 포트를 차단 하는 경우 신중하게 관리되는 시점 에서 업무 수행 능력이 뛰어나므로 수행중인 것입니다.
보안 응용 프로그램을 작성하려고 할 때 다른 프로세스가 정보를 쉽게 읽고 쓸 수있게하거나 사람들이 전화를 걸고 조심스럽게 위생 처리 할 수 있도록주의 깊게 문서화 된 API가 있습니까?
위험 관리-네트워크를 통한 인터넷 트래픽이 위험하다고 생각되면 경로 수와 방법 수 측면에서 트래픽이 인터넷에 도달 할 수있는 방법의 양을 최소화하려고합니다. 그런 다음 선택된 "복수"게이트웨이 및 포트를 모니터링하고 필터링하여 해당 트래픽이 예상되는 트래픽인지 확인하십시오.
이것은 "기본 거부"방화벽 정책이며 일반적으로 몇 가지 경고 사항이 있습니다. 의미하는 것은 차단을 해제해야 할 특별한 이유가없는 한 모든 것이 차단되고 그 이유의 이점이 위험보다 중요하다는 것입니다.
편집 : 나는 분명히 하나의 프로토콜이 허용되고 다른 프로토콜의 위험에 대해 이야기하는 것이 아니라 통제되지 않은 상태에서 네트워크로 들어 오거나 정보가 유출되는 정보 비즈니스에 대한 잠재적 위험에 대해 이야기하고 있습니다. 방법.
이제주의 사항과 가능한 것들을 자유롭게 계획하십시오.
당신이 무언가에서 차단되면 성 가실 수 있습니다. 방화벽을 담당하는 사람들은 "여기 위험이 있습니다. 이제 어떤 이점이 있습니까? 우리가 할 수있는 일을 보도록하십시오"대신 "아니오"라고 자신의 일을 생각합니다.
클라이언트의 네트워크 보안을 관리하는 사람과 대화 할 경우 고객을 위해 무언가를 설정해야 할 수 있습니다. 마지막에 액세스해야하는 특정 시스템을 식별하고 특정 IP 주소에서만 연결을 보장 할 수있는 경우 특정 조건에 대한 SSH 연결에 대한 방화벽 예외를 생성하는 것보다 훨씬 더 좋을 수 있습니다 인터넷 전체에 연결하는 것입니다. 또는 방화벽을 통해 터널링하는 데 사용할 수있는 VPN 기능이있을 수 있습니다.