|
Linux防火墻內(nèi)的策略動作有REJECT和DROP兩種,區(qū)別如下:
1.��、REJECT動作會返回一個拒絕(終止)數(shù)據(jù)包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)����,明確的拒絕對方的連接動作。
連接馬上斷開�����,Client會認為訪問的主機不存在����。
REJECT在IPTABLES里面有一些返回參數(shù),參數(shù)如下:ICMP port-unreachable��、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關(guān)閉聯(lián)機)��,進行完此處理動作后��,將不再比對其它規(guī)則����,直接中斷過濾程序。
2��、DROP動作只是簡單的直接丟棄數(shù)據(jù),并不反饋任何回應��。需要Client等待超時�,Client容易發(fā)現(xiàn)自己被防火墻所阻擋。
至于使用DROP還是REJECT更合適一直未有定論�����,因為的確二者都有適用的場合:
1�、REJECT是一種更符合規(guī)范的處理方式,并且在可控的網(wǎng)絡環(huán)境中�,更易于診斷和調(diào)試網(wǎng)絡/防火墻所產(chǎn)生的問題��;
2����、DROP則提供了更高的防火墻安全性和稍許的效率提高,但是由于DROP不很規(guī)范(不很符合TCP連接規(guī)范)的處理方式�,可能
會對你的網(wǎng)絡造成一些不可預期或難以診斷的問題。
因為DROP雖然單方面的中斷了連接����,但是并不返回任何拒絕信息,因此連接客戶端將被動的等到tcp session超時才能判斷連接是否成功��,這樣早企業(yè)內(nèi)部網(wǎng)絡中會有一些問題,例如某些客戶端程序或應用需要IDENT協(xié)議支持(TCP Port 113, RFC 1413)�����,如果防
火墻未經(jīng)通知的應用了DROP規(guī)則的話��,所有的同類連接都會失敗����,并且由于超時時間,將導致難以判斷是
由于防火墻引起的問題還是網(wǎng)絡設(shè)備/線路故障��。
注:在部署防火墻時����,如果是面向企業(yè)內(nèi)部(或部分可信任網(wǎng)絡),那么最好使用更紳士REJECT
方法��,對于需要經(jīng)常變更或調(diào)試規(guī)則的網(wǎng)絡也是如此�����;而對于面向危險的Internet/Extranet的防火墻��,
則有必要使用更為粗暴但是安全的DROP方法����,可以在一定程度上延緩黑客攻擊的進度(和難度��,至少�,DROP
可以使他們進行TCP-Connect方式端口掃描時間更長)�����。
|
