O conselho é praticamente inalterado em relação às configurações de IPv4-sub-rede por trás do Firewall que tivemos no espaço .EDU desde o início da Internet comercial. Desde cedo, as alocações de sub-rede da UDE foram bastante generosas (meu antigo trabalho tem uma alocação de IPv4 / 16 e conheço outra instituição do tamanho de uma / 16 e outra / 18 para uma boa medida) essas instituições têm profunda experiência em proteger IP roteavel publicamente Endereços por trás de firewalls. Heck, essa configuração foi o que os criadores de IP originais tinham em mente.
Os princípios (da memória):
- Não permitir acesso externo a endereços IP internos, a menos que haja uma necessidade comercial específica (negação padrão).
- Permitir ICMP para endereços internos, pois os protocolos IP dependem dele para determinar as condições da rede.
- As varreduras de ping devem ser bloqueadas pela sua configuração de IPS.
- Lembre-se de que só porque uma máquina pode ser conectada, isso não significa que ela possa ser conectada!
- As pesquisas reversas de DNS são importantes para alguns casos de uso, por isso, certifique-se de que estão funcionando corretamente.
Uma pequena lista, eu sei. Mas o princípio básico do firewall, que remonta a 20 anos, é o mesmo: permitir o acesso apenas àquelas combinações de IP: porta que você deseja permitir, negar todo o resto.