什么是configuration防火墙的一些最常见和错误的方法? 我将从以下列表开始:
盲目阻止ICMP 。 这是1998年普遍的做法,当时smurf袭击事件全是愤怒。 今天,您将面临创buildPMTU黑洞的风险,并且很难诊断问题。 如果您必须阻止ICMP,则至less允许使用碎片并回显请求/回复。
陈旧的规则 。 这太糟糕了,我们不能在规则上设置到期date。 当我迁移服务时,我经常忘记删除旧服务的规则。
打开它, 让它工作 …然后永远不会回来,locking任何东西。
在John的例子之后 – 如果你的防火墙支持它们,不要使用注释来对付规则。
没有什么比第一次看到防火墙更糟糕了,看到各种肉眼无法理解的奇怪规则,评论都是空白的,没有文档。
关于陈旧的规则,按照你的例子 – 适当的文件和程序将消除这些问题。 我build议你的问题根本不在防火墙上。
就我个人而言,我认为将入站和出站规则分成两个主要组是反模式。 不得不面对两个庞大的群体是一场噩梦。 我更愿意将与某个协议/应用程序相关的传入和传出通信的规则组合在一起。 这种方式更容易pipe理它们。
将问题移到其他地方。
例如。 本地PC防火墙正在停止一些服务或应用程序的工作,所以完全禁用它,并说“边缘路由器上的防火墙将保护所有的PC”。
手工制作和维护它们。
古老的第三方脚本“工作得很好,所以我们不会去replace它们”,需要手动编辑而不是使用configuration文件,对于那些没有阅读论文描述如何工作的人来说,这是完全不可理解的。