In der Firewall gibt es zwei Arten von Richtlinienaktionen: FALLEN und ABLEHNEN, und die Unterschiede sind wie folgt:
1. Die DROP-Aktion besteht einfach darin, die Daten direkt ohne Rückmeldung zu verwerfen. Wenn der Client auf das Timeout wartet, kann er leicht von der Firewall blockiert werden.
2. Die ABLECE-Aktion gibt ein abgelehntes (terminiertes) Paket (TCP FIN oder UDP-ICMP-PORT-UNREACHABLE) höflicher zurück und lehnt ausdrücklich die Verbindungsaktion der anderen Partei ab. Die Verbindung wird sofort unterbrochen, und der Client glaubt, dass der abgerufene Host nicht existiert. REJECT hat einige Rückgabeparameter in IPTABLES, wie ICMP port-unreachable, ICMP echo-reply oder tcp-reset (dieses Paket bittet die andere Partei, die Verbindung abzuschalten).
Es gibt keine eindeutige Entscheidung, ob es angemessen ist, DROP oder REJECT zu verwenden, da beide tatsächlich anwendbar sind. REJECT ist eine konformere Art
und erleichtert die Diagnose und Debugging von Netzwerk-/Firewall-Problemen in einer kontrollierten Netzwerkumgebung; Und DROP bietet
Höhere Firewall-Sicherheit und leichte Effizienzgewinne, möglicherweise jedoch aufgrund der nicht standardisierten (nicht sehr TCP-konformen Spezifikations-konformen) Handhabung von DROP
Das kann unerwartete oder schwer zu diagnostizierbare Probleme in Ihrem Netzwerk verursachen. Denn obwohl DROP die Verbindung einseitig unterbricht, kehrt es nicht ins Büro zurück
Daher wartet der Verbindungsclient passiv, bis die TCP-Sitzung abläuft, um festzustellen, ob die Verbindung erfolgreich ist, um das interne Netzwerk des Unternehmens voranzutreiben
Einige Client-Programme oder -Anwendungen benötigen IDENT-Protokoll-Unterstützung (TCP-Port 113, RFC 1413), falls Sie dies verhindern
Wenn die Firewall die DROP-Regel ohne Vorankündigung anwendet, werden alle ähnlichen Verbindungen ausfallen, und es wird schwierig zu bestimmen, ob dies an der Auszeit liegt
Das Problem liegt an der Firewall oder am Netzwerkgerät/-leitungsausfall.
Ein wenig persönliche Erfahrung: Beim Einrichten einer Firewall für ein internes Unternehmen (oder ein teilweise vertrauenswürdiges Netzwerk) ist es besser, einen höflicheren REJECT zu verwenden
Ähnliches gilt für Netzwerke, die Regeln häufig ändern oder debuggen müssen; Für Firewalls für gefährliches Internet/Extranets,
Es ist notwendig, eine brutalere, aber sicherere DROP-Methode zu verwenden, die den Fortschritt (und zumindest die Schwierigkeit des DROP) des Hacking-Angriffs etwas verlangsamen kann
kann das TCP-Connect-Port-Scannen verlängern). |
Veröffentlicht am 02.02.2016 10:33:58
|
|
|
