Υπάρχουν δύο τύποι ενεργειών πολιτικής στο τείχος προστασίας: ΑΠΟΡΡΙΨΗ και ΑΠΟΡΡΙΨΗ και οι διαφορές είναι οι εξής:
1. Η ενέργεια DROP είναι απλώς η άμεση απόρριψη των δεδομένων χωρίς ανατροφοδότηση καμία απάντηση. Εάν ο πελάτης περιμένει το χρονικό όριο, ο πελάτης μπορεί εύκολα να αποκλειστεί από το τείχος προστασίας.
2. Η ενέργεια ΑΠΟΡΡΙΨΗ θα επιστρέψει ένα πακέτο απόρριψης (τερματισμένο) (TCP FIN ή UDP-ICMP-PORT-UNREACHABLE) πιο ευγενικά και θα απορρίψει ρητά την ενέργεια σύνδεσης του άλλου μέρους. Η σύνδεση αποσυνδέεται αμέσως και ο πελάτης πιστεύει ότι ο κεντρικός υπολογιστής στον οποίο έχει πρόσβαση δεν υπάρχει. Το REJECT έχει ορισμένες παραμέτρους επιστροφής στο IPTABLES, όπως ICMP port-unreachable, ICMP echo-reply ή tcp-reset (αυτό το πακέτο θα ζητήσει από το άλλο μέρος να απενεργοποιήσει τη σύνδεση).
Δεν υπάρχει οριστικό συμπέρασμα εάν είναι σκόπιμο να χρησιμοποιηθεί το DROP ή το REJECT, καθώς και τα δύο είναι πράγματι εφαρμόσιμα. Το REJECT είναι ένας πιο συμβατός τύπος
και ευκολότερη διάγνωση και εντοπισμός σφαλμάτων δικτύου/τείχους προστασίας σε ελεγχόμενο περιβάλλον δικτύου. Και το DROP παρέχει
Υψηλότερη ασφάλεια τείχους προστασίας και ελαφρά κέρδη απόδοσης, αλλά πιθανώς λόγω του μη τυποποιημένου (όχι πολύ συμβατού με τις προδιαγραφές σύνδεσης TCP) χειρισμού του DROP
Μπορεί να προκαλέσει κάποια απροσδόκητα ή δύσκολα διαγνώσιμα προβλήματα με το δίκτυό σας. Γιατί αν και το DROP διακόπτει μονομερώς τη σύνδεση, δεν επιστρέφει στο γραφείο
Επομένως, ο υπολογιστής-πελάτης σύνδεσης θα περιμένει παθητικά μέχρι να λήξει το χρονικό όριο της περιόδου λειτουργίας TCP για να προσδιορίσει εάν η σύνδεση είναι επιτυχής, ώστε να προχωρήσει το εσωτερικό δίκτυο της επιχείρησης
Ορισμένα προγράμματα-πελάτες ή εφαρμογές απαιτούν υποστήριξη πρωτοκόλλου IDENT (TCP Port 113, RFC 1413), εάν το αποτρέψετε
Εάν το τείχος προστασίας εφαρμόσει τον κανόνα DROP χωρίς προειδοποίηση, όλες οι παρόμοιες συνδέσεις θα αποτύχουν και θα είναι δύσκολο να προσδιοριστεί εάν οφείλεται στο χρονικό όριο
Το πρόβλημα οφείλεται στο τείχος προστασίας ή στην αποτυχία της συσκευής/γραμμής δικτύου.
Λίγη προσωπική εμπειρία, όταν αναπτύσσετε ένα τείχος προστασίας για μια εσωτερική επιχείρηση (ή ένα μερικώς αξιόπιστο δίκτυο), είναι καλύτερο να χρησιμοποιήσετε ένα πιο τζέντλεμαν ΑΠΟΡΡΙΨΗ
μέθοδος, το ίδιο ισχύει και για δίκτυα που πρέπει να αλλάζουν ή να διορθώνουν συχνά κανόνες. Για τείχη προστασίας για επικίνδυνο διαδίκτυο/extranet,
Είναι απαραίτητο να χρησιμοποιήσετε μια πιο βάναυση αλλά ασφαλή μέθοδο DROP, η οποία μπορεί να επιβραδύνει την πρόοδο (και τη δυσκολία, τουλάχιστον, το DROP) της επίθεσης hacking σε κάποιο βαθμό
μπορεί να τα κάνει σάρωση θύρας TCP-Connect περισσότερο). |
Δημοσιεύτηκε στις 2/2/2016 10:33:58 π.μ.
|
|
|
