Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Kitos technologijos "Windows" / "Linux" Skirtumas tarp DROP ir REJECT
Rodinys: 11350|Atsakyti: 0

[Linux] Skirtumas tarp DROP ir REJECT

[Kopijuoti nuorodą]
Paskelbta 2016-02-02 10:33:58 | | |

Užkardoje yra dviejų tipų strategijos veiksmai: DROP ir REEJECT, o skirtumai yra tokie:
1. DROP veiksmas yra tiesiog tiesiogiai atmesti duomenis be jokio grįžtamojo ryšio. Jei klientas laukia skirtojo laiko, klientas gali lengvai būti užblokuotas ugniasienės.
2. Veiksmas REJECT mandagiau grąžins atmetimo (nutraukto) paketą (TCP FIN arba UDP-ICMP-PORT-UNREACHABLE) ir aiškiai atmes kitos šalies ryšio veiksmą. Ryšys nedelsiant atjungiamas ir klientas mano, kad pasiektas pagrindinis kompiuteris neegzistuoja. REJECT turi kai kuriuos grąžinimo parametrus IPTABLES, pvz., ICMP port-unreachable, ICMP echo-reply arba tcp-reset (šis paketas paprašys kitos šalies išjungti ryšį).

Nėra galutinio sprendimo, ar tikslinga naudoti DROP ar REEJECT, nes abu iš tiesų yra tinkami. REJECT yra labiau atitinkantis tipas
ir lengviau diagnozuoti ir derinti tinklo / ugniasienės problemas kontroliuojamoje tinklo aplinkoje; O DROP teikia
Didesnis ugniasienės saugumas ir nedidelis efektyvumo padidėjimas, bet galbūt dėl nestandartizuoto (nelabai atitinkančio TCP ryšio specifikaciją) DROP tvarkymo
Tai gali sukelti netikėtų arba sunkiai diagnozuojamų tinklo problemų. Nes nors DROP vienašališkai nutraukia ryšį, jis negrįžta į biurą
Todėl ryšio klientas pasyviai lauks, kol baigsis TCP seanso skirtasis laikas, kad nustatytų, ar ryšys sėkmingas, kad būtų galima patobulinti įmonės vidinį tinklą
Kai kurioms kliento programoms ar programoms reikalingas IDENT protokolo palaikymas (TCP prievadas 113, RFC 1413), jei to neleidžiate
Jei ugniasienė taiko DROP taisyklę be įspėjimo, visi panašūs ryšiai nepavyks ir bus sunku nustatyti, ar tai įvyko dėl skirtojo laiko
Problema kyla dėl ugniasienės arba tinklo įrenginio / linijos gedimo.

Šiek tiek asmeninės patirties, diegiant ugniasienę vidinei įmonei (arba iš dalies patikimam tinklui), geriau naudoti džentelmeniškesnį REJECT
metodas, tas pats pasakytina apie tinklus, kuriems reikia dažnai keisti ar derinti taisykles; Pavojingų interneto ir (arba) ekstranetų ugniasienėms,
Būtina naudoti žiauresnį, bet saugesnį DROP metodą, kuris gali tam tikru mastu sulėtinti įsilaužimo atakos eigą (ir bent jau DROP)
gali pailginti TCP-Connect prievado nuskaitymą).




Ankstesnis:DOS atakos atvejis, pagrįstas UDP prievadu 80
Kitą:C# Process.Start() metodas yra išsamiai paaiškintas

Susijusios žinutės
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com