Эта статья является зеркальной статьёй машинного перевода, пожалуйста, нажмите здесь, чтобы перейти к оригиналу.

Architect_Programmer_Code Сельскохозяйственная сеть»Архитектор Другие технологии Windows/Linux Разница между DROP и REJECT
Вид: 11350|Ответ: 0

[linux] Разница между DROP и REJECT

[Скопировать ссылку]
Опубликовано 02.02.2016 10:33:58 | | |

В межсетевом экране есть два типа действий политики: DROP и REJECT, и различия следующие:
1. Действие DROP — это просто прямое удаление данных без обратной связи. Если клиент ждёт тайм-аута, он легко может оказаться заблокирован межсетевым экраном.
2. Действие REJECT вернёт отклонённый (завершенный) пакет (TCP FIN или UDP-ICMP-PORT-UNREACHABLE) более вежливо и явно отклоняет действие соединения другой стороны. Соединение сразу же отключается, и клиент считает, что доступ к нему не существует. REJECT содержит некоторые параметры возврата в IPTABLES, такие как ICMP порт недоступный, ICMP echo-reply или tcp-reset (этот пакет попросит другую сторону отключить соединение).

Нет однозначного мнения, уместно ли использовать DROP или REJECT, поскольку оба варианта действительно применимы. REJECT — более покорный тип
а также проще облегчать диагностику и отладку сетевых и файрволов в контролируемой сетевой среде; И DROP предоставляет
Выше уровень безопасности межсетевого экрана и небольшой прирост эффективности, но, возможно, это связано с нестандартизированной (не очень соответствующей спецификации подключения TCP) обработкой DROP
Это может вызвать неожиданные или трудно диагностируемые проблемы с вашей сетью. Потому что, хотя DROP односторонне прерывает соединение, он не возвращается в офис
Поэтому клиент подключения пассивно ждёт окончания TCP-сессии, чтобы определить, успешное ли соединение, чтобы продвинуть внутреннюю сеть предприятия
Некоторые клиентские программы или приложения требуют поддержки протокола IDENT (TCP Port 113, RFC 1413), если это запрещено
Если межсетевой экран применит правило DROP без предупреждения, все похожие соединения выйдут из строя, и будет сложно определить, связано ли это с тайм-аутом
Проблема связана с файрволом или сбоем сетевого устройства/линии.

Немного личного опыта: при развертывании межсетевого экрана для внутреннего предприятия (или частично доверенной сети) лучше использовать более джентльменский вариант REJECT
метод, то же самое верно для сетей, которым необходимо часто менять или отлаживать правила; Для межсетевых экранов для опасных Интернета/экстранетов,
Необходимо использовать более жёсткий, но безопасный метод DROP, который может частично замедлить прогресс (и сложность, по крайней мере, DROP) атаки
может увеличить сканирование портов TCP-Connect).




Предыдущий:Случай атаки DOS на основе UDP порта 80
Следующий:Метод C# Process.Start() подробно объясняется

Связанные публикации
Отказ:
Всё программное обеспечение, программные материалы или статьи, публикуемые Code Farmer Network, предназначены исключительно для учебных и исследовательских целей; Вышеуказанный контент не должен использоваться в коммерческих или незаконных целях, иначе пользователи несут все последствия. Информация на этом сайте взята из Интернета, и споры по авторским правам не имеют отношения к этому сайту. Вы должны полностью удалить вышеуказанный контент с компьютера в течение 24 часов после загрузки. Если вам нравится программа, пожалуйста, поддержите подлинное программное обеспечение, купите регистрацию и получите лучшие подлинные услуги. Если есть нарушение, пожалуйста, свяжитесь с нами по электронной почте.
Mail To:help@itsvse.com