Ця стаття є дзеркальною статтею машинного перекладу, будь ласка, натисніть тут, щоб перейти до оригінальної статті.

Architect_Programmer_Code Сільськогосподарська мережа»Архітектор Інші технології Windows/Linux Різниця між DROP і REJECT
Вид: 11350|Відповідь: 0

[linux] Різниця між DROP і REJECT

[Копіювати посилання]
Опубліковано 02.02.2016 10:33:58 | | |

У міжмережевому екрані існує два типи дій політики: DROP і REJECT, і відмінності такі:
1. Дія DROP — це просто пряме відкидання даних без зворотного зв'язку. Якщо клієнт чекає на тайм-аут, він легко може опинитися заблокованим фаєрволом.
2. Дія REJECT ввічливо поверне відхилений (завершений) пакет (TCP FIN або UDP-ICMP-PORT-UNREACHABLE) і явно відхиляє дію з'єднання іншої сторони. З'єднання одразу розривається, і клієнт думає, що хост, до якого до якого доступ, не існує. REJECT має деякі параметри повернення в IPTABLES, такі як ICMP port-unreachable, ICMP echo-reply або tcp-reset (цей пакет просить іншу сторону вимкнути з'єднання).

Немає остаточного висновку, чи доречно використовувати DROP чи REJECT, оскільки обидва дійсно застосовні. REJECT — це більш поступливий тип
а також легше діагностувати та відлагоджувати проблеми мережевих/міжмережевих екранів у контрольованому мережевому середовищі; І DROP надає
Вища безпека фаєрвола та невелике підвищення ефективності, але, можливо, через нестандартизовану (не дуже відповідну специфікації TCP-з'єднання) обробку DROP
Це може спричинити несподівані або важко діагностовані проблеми з вашою мережею. Тому що, хоча DROP односторонньо перериває з'єднання, він не повертається в офіс
Тому клієнт з'єднання пасивно чекає, поки сесія TCP не закінчиться, щоб визначити, чи успішне з'єднання, щоб просувати внутрішню мережу підприємства
Деякі клієнтські програми або додатки вимагають підтримки протоколу IDENT (TCP Port 113, RFC 1413), якщо це заборонено
Якщо міжмережевий екран застосовує правило DROP без попередження, всі подібні з'єднання відмовлять, і буде важко визначити, чи це через тайм-аут
Проблема пов'язана з міжмережевим екраном або збоєм мережевого пристрою/лінії.

Трохи особистого досвіду: при розгортанні міжмережевого екрану для внутрішнього підприємства (або частково довіреної мережі) краще використовувати більш джентльменське ВІДХИЛЕННЯ
метод, те саме стосується мереж, які часто змінюють або налагоджують правила; Для фаєрволів для небезпечного Інтернету/екстранетів,
Необхідно використовувати більш жорсткий, але безпечний метод DROP, який може певною мірою уповільнити прогрес (і складність, принаймні, DROP) хакерської атаки
може зробити їх довшим для сканування портів TCP-Connect).




Попередній:Випадок атаки DOS на основі UDP порту 80
Наступний:Метод C# Process.Start() детально пояснюється

Пов'язані дописи
Застереження:
Усе програмне забезпечення, програмні матеріали або статті, опубліковані Code Farmer Network, призначені лише для навчання та досліджень; Вищезазначений контент не повинен використовуватися в комерційних чи незаконних цілях, інакше користувачі несуть усі наслідки. Інформація на цьому сайті надходить з Інтернету, і спори щодо авторських прав не мають до цього сайту. Ви повинні повністю видалити вищезазначений контент зі свого комп'ютера протягом 24 годин після завантаження. Якщо вам подобається програма, будь ласка, підтримуйте справжнє програмне забезпечення, купуйте реєстрацію та отримайте кращі справжні послуги. Якщо є будь-яке порушення, будь ласка, зв'яжіться з нами електронною поштою.
Mail To:help@itsvse.com