ファイアウォールのアンチパターン？

ファイアウォールを構成する最も一般的で間違った方法は何ですか？次のリストから始めます。

ICMPを盲目的にブロックする。これは、スマーフ攻撃が大流行した1998年の一般的な慣行でした。今日、PMTUブラックホールを作成し、問題の診断を困難にするリスクを負っています。ICMPをブロックする必要がある場合は、少なくともフラグメント化を許可し、要求/応答をエコーし​​ます。

古いルール。ルールに有効期限を設定できないのは残念です。サービスを移行するとき、古いサービスのルールを削除することを忘れがちです。

それを開いて機能させるには ...戻って何もロックしないでください。

続いて、ジョンの例 -ファイアウォールサポートされている場合は、それらをルールに対するコメントを使用していません。

ファイアウォールを初めて見て、肉眼では意味をなさないあらゆる種類の奇妙なルールを見ることほど悪いことはありません。コメントはすべて空白で、ドキュメントもありません。

あなたの例のように、古くなったルールについて-適切なドキュメントと手順はそのような問題を排除します。あなたの問題はファイアウォールではまったくないことをお勧めします。

個人的には、インバウンドルールとアウトバウンドルールを2つの主要なグループに分割することをアンチパターンと見なしています。2つの巨大なグループに対処する必要があるのは悪夢です。特定のプロトコル/アプリケーションに関連する着信および発信トラフィックのルールをグループ化することを好みます。この方法を使用すると、管理がはるかに簡単になります。

問題を別の場所に移動します。

例えば。ローカルPCのファイアウォールが一部のサービスまたはアプリの動作を停止しているため、完全に無効にして、「エッジルーターのファイアウォールですべてのPCを保護することもできます」と言います。

それらを手作りし、維持する。

「十分に機能するので置き換えない」という古代のサードパーティ製スクリプトは、設定ファイルを使用する代わりに手動で編集する必要があり、動作方法を説明する論文を読んでいない人には完全に理解できません。