Linux防火墙REJECT与DROP的区别
来源:互联网 发布:pop海报制作软件 编辑:程序博客网 时间:2024/05/06 21:27
Linux防火墙内的策略动作有REJECT和DROP两种,区别如下:
1.、REJECT动作会返回一个拒绝(终止)数据包(TCP FIN或UDP-ICMP-PORT-UNREACHABLE),明确的拒绝对方的连接动作。
连接马上断开,Client会认为访问的主机不存在。
REJECT在IPTABLES里面有一些返回参数,参数如下:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
2、DROP动作只是简单的直接丢弃数据,并不反馈任何回应。需要Client等待超时,Client容易发现自己被防火墙所阻挡。
1、REJECT是一种更符合规范的处理方式,并且在可控的网络环境中,更易于诊断和调试网络/防火墙所产生的问题;
2、DROP则提供了更高的防火墙安全性和稍许的效率提高,但是由于DROP不很规范(不很符合TCP连接规范)的处理方式,可能
会对你的网络造成一些不可预期或难以诊断的问题。
火墙未经通知的应用了DROP规则的话,所有的同类连接都会失败,并且由于超时时间,将导致难以判断是
由于防火墙引起的问题还是网络设备/线路故障。
注:在部署防火墙时,如果是面向企业内部(或部分可信任网络),那么最好使用更绅士REJECT
方法,对于需要经常变更或调试规则的网络也是如此;而对于面向危险的Internet/Extranet的防火墙,
则有必要使用更为粗暴但是安全的DROP方法,可以在一定程度上延缓黑客攻击的进度(和难度,至少,DROP
可以使他们进行TCP-Connect方式端口扫描时间更长)。
0 0
- Linux防火墙REJECT与DROP的区别
- drop与truncate的区别
- Oracle中drop user 与 drop user cascade的区别
- alter database drop datafile 与 drop tablespace file 的区别
- SQL drop和truncate与drop的区别
- 硬件防火墙与软件防火墙的区别
- 工业防火墙与传统防火墙的区别
- drop,truncate与delete的区别
- Delete与Truncate以及Drop的区别
- drop,truncate与delete的区别
- drop与truncate table 的区别*
- drop,truncate与delete的区别
- sql2005中delete与drop的区别
- SQL truncate 、delete与drop的区别
- mysql delete,truncate与drop的区别
- drop,truncate与delete的区别
- truncate、delete与drop的区别
- truncate、delete与drop的区别
- Creamy Pasta Primavera
- Android Studio系列-签名打包
- mfc读文件以及画图及时刷新问题
- IOS 计算时间差
- ThinkPHP一些报错信息汇总
- Linux防火墙REJECT与DROP的区别
- Masonry介绍与使用实践 - iOS移动开发周报
- Nginx 的 Location 配置指令块
- Android自定义统计图(柱状图,折线图,饼状图)
- 语音信号处理—MFCC特征提取(matlab代码)
- 一、嵌入式学习方法
- 关于Android收起输入法时会出现屏幕部分黑屏解决
- mongoDB的基本操作之创建索引
- nodejs中使用hashmap