Hál istennek viszonylag keveset kell ilyen környékén töltenem, de alapvetően egyrészt simán a megszokás, másrészt az szokott problémát jelenteni, hogy a best matches ruleset nehezebben átlátható (vagy legalábbis ettől tartanak), illetve nehezebb benne a reasoning. Ha valami nem faja, akkor egy first matchnál végső soron előveszi a rulesetet, olvassa fentről lefelé, aztán kitalálja, hogy mi a baj. Ugyan ez ortó szívás tud lenni, de megvan a bizalma magában, hogy menni fog. Ha ott egy bazi nagy ruleset, aminek nem látja az elejét meg a végét, akkor van benne egy félsz, hogy nem fogja érteni mi történik.
Mert azért ez a tűzfalas best match ez egy kicsit bonyább, mint a longest prefix IP, mert különböző dimenziók vannak (honnan jött, hova megy, milyen port, milyen interface, stb), és ezek között van egy hierarchia, hogy melyik a specifikusabb. Ha már felemlegette a kolléga a pnst, ott pl ha jól emlékszem 6 ilyen csoport van, mindegyiken belül 2-5 lehetséges paraméter, amik között van ilyen szabály. Ráadásul a címek is meg vannak fejelve egy hierarchikus zónaszerkezettel (ez már lényegében egy-egy prefix lista gyűjtemény, ez kb a route longest prefix match), amiken beül még szintén van egy best match lookup.
És ez elsőre azért én elhiszem, hogy tud kicsit ijesztő lenni. Pedig tényleg az van, hogy ez át van gondolva, szóval a gyakorlatban tényleg arról van szó, hogy leképezed a hálózati kialakításod zónákra, felveszed az általános szabályaidat a hierarchia legmagasabban levő pontjai között, a specifikumokat pedig lejjebb, és az esetek 99.9%-ban pont jó lesz, ami történik, a maradék 0.1-ben meg megnézed, hogy miért nem az a szabály illeszkedett, amit gondoltál. Pl: alapszabály, hogy bármi ami iroda->internet az mehet direktbe lehet. Specifikum, hogy bármi, ami iroda->Internet:80|443, azt http proxyzni kell. Vagy ami office->serverek, az tilos. Ha már üzemeltetők(ami az office gyereke)->server, oda már mehet az ssh. De ha még ráadásul valami üzemeltetők->nagyonvédett szerver, oda már beköntünk valami extra proxyt, vagy át dnatoljuk mondjuk egy scbre, ilyesmi.
Szóval a gyakorlatban nem vészes megtalálni hova való, és mit kell nézni, cserébe megkímél egy köbvödör sallangtól, de mégis szokott azért tőle lenni egy félsz :)