|
Linux防火墻內(nèi)的策略動作有REJECT和DROP兩種,區(qū)別如下:
1.���、REJECT動作會返回一個拒絕(終止)數(shù)據(jù)包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE)���,明確的拒絕對方的連接動作。
連接馬上斷開�,Client會認(rèn)為訪問的主機不存在。
REJECT在IPTABLES里面有一些返回參數(shù)����,參數(shù)如下:ICMP port-unreachable��、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關(guān)閉聯(lián)機)�����,進(jìn)行完此處理動作后����,將不再比對其它規(guī)則���,直接中斷過濾程序��。
2�����、DROP動作只是簡單的直接丟棄數(shù)據(jù)����,并不反饋任何回應(yīng)�����。需要Client等待超時�,Client容易發(fā)現(xiàn)自己被防火墻所阻擋。
至于使用DROP還是REJECT更合適一直未有定論�����,因為的確二者都有適用的場合:
1����、REJECT是一種更符合規(guī)范的處理方式,并且在可控的網(wǎng)絡(luò)環(huán)境中�����,更易于診斷和調(diào)試網(wǎng)絡(luò)/防火墻所產(chǎn)生的問題����;
2、DROP則提供了更高的防火墻安全性和稍許的效率提高���,但是由于DROP不很規(guī)范(不很符合TCP連接規(guī)范)的處理方式��,可能
會對你的網(wǎng)絡(luò)造成一些不可預(yù)期或難以診斷的問題�����。
因為DROP雖然單方面的中斷了連接��,但是并不返回任何拒絕信息�����,因此連接客戶端將被動的等到tcp session超時才能判斷連接是否成功���,這樣早企業(yè)內(nèi)部網(wǎng)絡(luò)中會有一些問題�,例如某些客戶端程序或應(yīng)用需要IDENT協(xié)議支持(TCP Port 113, RFC 1413)���,如果防
火墻未經(jīng)通知的應(yīng)用了DROP規(guī)則的話�,所有的同類連接都會失敗����,并且由于超時時間,將導(dǎo)致難以判斷是
由于防火墻引起的問題還是網(wǎng)絡(luò)設(shè)備/線路故障��。
注:在部署防火墻時���,如果是面向企業(yè)內(nèi)部(或部分可信任網(wǎng)絡(luò))���,那么最好使用更紳士REJECT
方法,對于需要經(jīng)常變更或調(diào)試規(guī)則的網(wǎng)絡(luò)也是如此�����;而對于面向危險的Internet/Extranet的防火墻���,
則有必要使用更為粗暴但是安全的DROP方法���,可以在一定程度上延緩黑客攻擊的進(jìn)度(和難度,至少�,DROP
可以使他們進(jìn)行TCP-Connect方式端口掃描時間更長)。
|
