Jun 05, 2009 15:41
Говорят великая китайская стена не столько защищала Китай от внешних агрессий, сколько осложняло вывоз награбленного кочевниками. Быстро перебраться через стену с честно отнятым добром едва ли представляется тривиальной задачкой.
Учет тысячелетнего китайского опыта борьбы в настройках файрвола предлагает фильтровать соединения идущие не только на охраняемый девайс, но и от него. Иными словами, если серверу не надо лезть в интернет, то нужно запретить это делать. Даже если сервер пробит эксплоитом, то все равно получить устойчивое взаимодействие с внедренным шелом у злоумышленника не получится, ну или будет крайне не просто.
Для критических задач это лучше сделать за правило, а некие произвольные взаимодействия организовывать через прокси сервера. Что-то вроде прокси должно было быть и у китайцев.
firewall network