Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Windows/Linux Razlika med DROP in REJECT
Pogled: 11350|Odgovoriti: 0

[linux] Razlika med DROP in REJECT

[Kopiraj povezavo]
Objavljeno na 2. 02. 2016 10:33:58 | | |

V požarnem zidu obstajata dve vrsti ukrepov politike: DROP in REJECT, razlike pa so naslednje:
1. Dejanje DROP je preprosto neposredno zavrževanje podatkov brez odziva. Če odjemalec počaka na časovni iztek, se lahko hitro znajde blokiran s strani požarnega zidu.
2. Dejanje ZAVRNI bo vrnilo zavrni (zaključen) paket (TCP FIN ali UDP-ICMP-PORT-UNREACHABLE) bolj vljudno in eksplicitno zavrnilo akcijo povezave druge strani. Povezava je takoj prekinjena, odjemalec pa misli, da dostopni gostitelj ne obstaja. REJECT ima v IPTABLES nekatere povratne parametre, kot so ICMP port-unreachable, ICMP echo-reply ali tcp-reset (ta paket bo zahteval drugo stran, naj prekine povezavo).

Ni dokončno jasno, ali je primerno uporabiti DROP ali REJECT, saj sta oba res uporabna. REJECT je bolj prilagodljiv tip
ter lažje diagnosticirati in odpravljati napake v omrežnih/požarnih zidovih v nadzorovanem omrežnem okolju; In DROP zagotavlja
Višja varnost požarnega zidu in rahla izboljšava učinkovitosti, vendar morda zaradi nestandardizirane (ne zelo skladne s TCP specifikacijo povezave) obravnave DROP-a
Lahko povzroči nepričakovane ali težko diagnosticirane težave v vašem omrežju. Ker čeprav DROP enostransko prekine povezavo, se ne vrne v pisarno
Zato bo odjemalec za povezavo pasivno počakal, da se TCP seja izteče, da ugotovi, ali je povezava uspešna, s čimer napreduje notranje omrežje podjetja
Nekateri odjemalski programi ali aplikacije zahtevajo podporo protokola IDENT (TCP Port 113, RFC 1413), če to preprečite
Če požarni zid uporabi pravilo DROP brez predhodnega obvestila, bodo vse podobne povezave odpovedale in težko bo ugotoviti, ali je to zaradi časovne omejitve
Težava je v požarnem zidu ali okvari omrežne naprave/linije.

Malo osebne izkušnje: pri nameščanju požarnega zidu za notranje podjetje (ali delno zaupanja vredno omrežje) je bolje uporabiti bolj gospodski ZAVRNI
metoda, enako velja za omrežja, ki morajo pogosto spreminjati ali odpravljati napake pravil; Za požarne zidove za nevaren internet/ekstranete,
Potrebno je uporabiti bolj brutalno, a varno metodo DROP, ki lahko do neke mere upočasni napredovanje (in vsaj DROP) hekerskega napada
lahko podaljša skeniranje TCP-Connect vrat).




Prejšnji:Primer DOS napada, ki temelji na UDP priključku 80
Naslednji:Metoda C# Process.Start() je podrobno pojasnjena

Sorodne objave
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com