Faire un compromis entre la sécurité et la souplesse de configuration

Règles Pare-feu
 
Services sortants
  # Activer Nom du service Action Utilisateurs LAN Serveurs WAN Journal
1 NTP BLOCK always Any Any Match
2 Prts_NetBios BLOCK always Any Any Match
3 Microsoft-DS BLOCK always Any Any Match
4 MyDoom_bkdr BLOCK always Any Any Match
5 MyDoom_bkdr2 BLOCK always Any Any Match
6 Socks BLOCK always Any Any Match
7 SubSeven BLOCK always Any Any Match
8 RingZero BLOCK always Any Any Match
9 NetBus BLOCK always Any Any Match
10 BioNet BLOCK always Any Any Match
11 SubSeven_2 BLOCK always Any Any Match
12 School_Bus BLOCK always Any Any Match
13 Bagle_Bkdr BLOCK always Any Any Match
14 Back_Orifice BLOCK always Any Any Match
15 Korgo_bkdr BLOCK always Any Any Match
16 Korgo_bkdr2 BLOCK always Any Any Match
17 Korgo_bkdr3 BLOCK always Any Any Match
18 Sober.G BLOCK always Any Any Match
19 Sasser BLOCK always Any Any Match
20 Netsky.Y BLOCK always Any Any Match
21 ms-sql-s/m BLOCK always Any Any Match
  Par défaut Oui Indifférent Toujours PERMETTRE Indifférent Indifférent Jamais

Services entrants
  # Activer Nom du service Action Adresse IP serveur LAN Utilisateurs WAN Journal
1 BiTorrent ALLOW always 192.168.0.2 Any Never
2 FTP ALLOW always 192.168.0.2 Any Never
  Par défaut Oui Indifférent Toujours BLOQUER Indifférent Indifférent Jamais

 

Cette approche plus simple à mettre en oeuvre consiste simplement à créer des services associés à autant de règles bloquantes sortantes, toutes correspondant au blocage de ports potentiellement dangereux (utilisés par des vers entre autres).

Comme exemple ici la configuration de notre spécialiste en pare-feu du Forum , Dwarf .
Services à créer :
NTP en UDP et port 123
Prts_NetBios en TCP/UDP et ports 135 à 139
Microsoft-DS en TCP/UDP et port 445
MyDoom_bkdr en TCP et ports 3127 à 3198
MyDoom_bkdr2 en TCP et port 6777
Socks en TCP et port 1080
SubSeven en TCP et port 1243
RingZero en TCP et port 3128
NetBus en UDP et port 12345
BioNet en TCP et port 12348
SubSeven_2 en TCP et port 27374
School_Bus en TCP et port 54321
Bagle_Bkdr en TCP et port 2745
Back_Orifice en UDP et port 31337
Korgo_bkdr en TCP et port 113
Korgo_bkdr2 en TCP et port 2041
Korgo_bkdr3 en TCP et port 3067
Sober.G en TCP et port 37
Sasser en TCP et port 5554
Netsky.Y en TCP et port 82
ms-sql-s/m en TCP/UDP et port 1433 à 1434