我们发现很多针对我们服务器的暴力攻击尝试都来自某个国家。我们计划屏蔽来自该国的所有传入流量,但相当多的清单。为了安全起见,我们还将封锁一些我们不打算提供网络服务的国家。
在防火墙规则中添加如此大的列表是否会以任何可能的方式阻碍网络性能?
答案1
这取决于您要在哪里阻止它。
如果您在服务器上阻止它,那么您仍然会遇到通过互联网连接进行的连接尝试以及传出的 ICMP 连接拒绝数据包。
如果您在路由器上阻止它们,那么两组数据包仍然会影响您的互联网连接。(它们仍然可能会对您进行 DOS 攻击)
如果您要求您的 ISP 阻止它们,那么您不太可能遇到任何负面影响(只要您的 ISP 有足够的带宽来抵御上述潜在的 DOS 攻击)。
在阻止该大范围之前,还有一件事需要检查:确保没有任何根 DNS 服务器位于该范围内,否则您可能会在 DNS 请求中随机出现长时间等待的情况。
答案2
封锁大量 IP 地址总会对服务器产生影响,这实际上取决于您的封锁列表有多长以及您的硬件/软件规格。硬件是很好的替代方案,但成本高昂,因此最好请求 ISP 提供商封锁 IP 地址。这样可以为您省去很多麻烦。
答案3
这取决于您的路由器,不过我在旧的 Linux 机器上配置了更复杂的访问列表,没有任何问题。您使用的硬件规格是什么?您对它的要求有多高?
我还要指出(有趣的是)你似乎正在过滤的国家[中国] 也在大规模地进行封锁,可能适得其反!!