防火墙反模式？

什么是配置防火墙的最常见和最错误的方法？我将从以下列表开始：

盲目地阻止ICMP。这是1998年的普遍做法，当时蓝精灵攻击风行一时。今天，您冒着创建PMTU黑洞并使其难以诊断问题的风险。如果必须阻止ICMP，则至少允许需要分段，并通过回显请求/答复。

过时的规则。太糟糕了，我们无法在规则上设置到期日期。迁移服务时，我常常忘记删除旧服务的规则。

打开它来得到它的工作 ...然后再也不会回来和锁定任何东西了。

在John的示例之后 -如果防火墙支持规则，则不对规则使用注释。

没有什么比第一次看到防火墙和看到各种肉眼看不见的奇怪规则更糟的了，这些评论全是空白，也没有文档。

关于过时的规则，按照您的示例-正确的文档和步骤将消除此类问题。我建议您的问题根本不在防火墙上。

我个人认为将入站和出站规则分为两个主要组，作为反模式。必须与两个庞大的团队打交道是一场噩梦。我更喜欢将与某个协议/应用程序相关的传入和传出流量的规则分组。这种方式更易于管理。

将问题移到其他地方。

例如。本地PC防火墙正在停止某些服务或应用程序的工作，因此请完全禁用它，并说“边缘路由器上的防火墙可以保护所有PC”。

手工制作和维护它们。

古老的第三方脚本“可以很好地工作，因此我们不会麻烦替换它们”，需要手动编辑而不是使用配置文件，并且对于那些尚未阅读描述其工作原理的论文的人来说，这是完全无法理解的。