Тази статия е огледална статия за машинен превод, моля, кликнете тук, за да преминете към оригиналната статия.

Architect_Programmer_Code Селскостопанска мрежа»Архитект Други технологии Windows/Linux Разлика между DROP и REJECT
Изглед: 11350|Отговор: 0

[linux] Разлика между DROP и REJECT

[Копирай линк]
Публикувано в 2.02.2016 г. 10:33:58 ч. | | |

В защитната стена има два вида политически действия: DROP и REJECT, като разликите са следните:
1. Действието DROP е просто директно изхвърляне на данните без обратна връзка. Ако клиентът изчака таймаута, той лесно може да се окаже блокиран от защитната стена.
2. Действието REJECT ще върне отхвърлян (прекратен) пакет (TCP FIN или UDP-ICMP-PORT-UNREACHABLE) по-учтиво и изрично ще отхвърли действието за връзка на другата страна. Връзката веднага се прекъсва и клиентът смята, че достъпният хост не съществува. REJECT има някои параметри за връщане в IPTABLES, като ICMP порт недостъпен, ICMP echo-reply или tcp-reset (този пакет ще поиска от другата страна да изключи връзката).

Няма категорично решение дали е подходящо да се използва DROP или REJECT, тъй като и двете наистина са приложими. REJECT е по-съвместим тип
и по-лесен за диагностика и отстраняване на проблеми с мрежовия/защитната стена в контролирана мрежова среда; А DROP предоставя
По-висока сигурност на защитната стена и леко повишаване на ефективността, но вероятно поради нестандартизираното (не много съвместимо със спецификацията за TCP връзка) обработка на DROP
Това може да причини неочаквани или трудни за диагностициране проблеми с вашата мрежа. Защото въпреки че DROP едностранно прекъсва връзката, тя не се връща в офиса
Затова клиентът за връзка пасивно изчаква изтичането на TCP сесията, за да определи дали връзката е успешна, за да развие вътрешната мрежа на предприятието
Някои клиентски програми или приложения изискват поддръжка на IDENT протокол (TCP Port 113, RFC 1413), ако я предотвратите
Ако защитната стена приложи правилото DROP без предупреждение, всички подобни връзки ще се провалят и ще е трудно да се определи дали причината е таймаут
Проблемът е заради защитната стена или повредата на мрежовото устройство/линията.

Малко личен опит, когато внедрявате защитна стена за вътрешно предприятие (или частично доверена мрежа), е по-добре да използвате по-джентълменски REJECT
метод, същото важи и за мрежи, които трябва често да променят или отстраняват грешки; За защитни стени за опасен интернет/екстранети,
Необходимо е да се използва по-брутален, но безопасен метод за DROP, който може до известна степен да забави напредъка (и поне трудността) на хакерската атака
може да ги направи TCP-Connect порт сканиране по-дълго).




Предишен:Случай на DOS атака, базиран на UDP порт 80
Следващ:Методът C# Process.Start() е обяснен подробно

Свързани публикации
Отричане:
Целият софтуер, програмни материали или статии, публикувани от Code Farmer Network, са само за учебни и изследователски цели; Горното съдържание не трябва да се използва за търговски или незаконни цели, в противен случай потребителите ще понесат всички последствия. Информацията на този сайт идва от интернет, а споровете за авторски права нямат нищо общо с този сайт. Трябва напълно да изтриете горното съдържание от компютъра си в рамките на 24 часа след изтеглянето. Ако ви харесва програмата, моля, подкрепете оригинален софтуер, купете регистрация и получете по-добри услуги. Ако има нарушение, моля, свържете се с нас по имейл.
Mail To:help@itsvse.com