Da wir ja wissen, dass die böse ANY-Regel in (fast) jeder Firewall zu finden ist, hier ein Vorschlag, um es den Administratoren leichter zu machen, diese aus dem Regelwerk zu verbannen.

Wäre es möglich, eine Firewallregel, in der das Dienste-Objekt "Any" eingesetzt wird, mit einem zusätzlichen Mini-Log zu versehen? Dieser Log schreibt die tatsächlichen Dienste mit, die über dieses "Any" gelaufen sind.

Im besten Fall gibt es dann im Auswertungsfenster einen Button, der das Any-Objekt automatisch mit den richtigen Dienstobjekten ersetzt oder zumindest die Objekte hinzufügt, die wirklich gebraucht werden.

Beispielregel:

LAN1 ---> ANY ---> Webserver

Log Auswertungsfenster:

Man kann das natürlich mit Recherche in den vorhandenen Logfiles auch umständlich manuell erarbeiten, jedoch würde dieses kleine Hilfsmittel den Weg deutlich vereinfachen und viele dieser Regeln sauber zu bekommen.

Grundsätlich könnte dieses Mini-Log auch auf alle anderen Regeln angewendet werden, um zum Beispiel Dinge zu finden, die lange nicht gematcht haben und eventuell entfernt werden können.

Auch eine Automatisierung wäre denkbar, so, dass zB. eine ANY-Regel nach einem gewählten Zeitraum automatisch mit den passenden Objekten ersetzt oder ergänzt wird.