Zróżnicowana obrona

W naszej konfiguracji istnieje możliwość zastosowania zasady zróżnicowanej obrony (na przykład przez użycie ruterów różnych producentów w zewnętrznym i wewnętrznym systemie filtrowania). Administratorzy większości sieci zapewne uznają, że nie jest to warte zachodu, ale nawet jeśli używasz podobnego lub identycznego sprzętu, możesz osiągnąć pewne zróżnicowanie, jeżeli różni ludzie dokonają przynajmniej wstępnej konfiguracji różnych systemów filtrowania i sprawdzą nawzajem swoją pracę.

Użycie różnych serwerów SMTP w wewnętrznym serwerze pocztowym i hoście bastionowym dawałoby w tej konfiguracji znaczne korzyści, ponieważ jest to jeden z jej słabszych punktów. Nawet mniej bezpieczny, ale inny serwer SMTP w wewnętrznym serwerze pocztowym jest zapewne lepszy niż taki, który uległby dokładnie takiemu samemu atakowi, jaki właśnie powiódł się w hoście bastionowym. Im bardziej podatny na ataki jest używany przez ciebie serwer SMTP, tym większe ma to znaczenie.

Prostota Prostota jest również ważną s trategią obronną. Nasza konfiguracja firewalla zapewnia prostotę, wyodrębniając poszczególne składniki w taki sposób, że każdy z nich jest nieskomplikowany, a jego funkcja zrozumiała. Kilka decyzji podjęliśmy specjalnie po to, aby uprościć konfigurację na przykład użycie oddzielnego rutera ze wnętrznego i wewnętrznego (zamiast pojedynczego rutera z trzema interfejsami) upraszcza reguły filtrowania pakietów i sprawia, że łatwiej je zrozumieć.