俗话说的好,没有免费的午餐。
我的以前的文章写过一篇关于保护您的网络的边缘,保护你和你的外部观察邻居从恶意攻击和破坏配置错误;我写过关于从基本的最佳实践虚伪的人过滤到源过滤uRPF和TTL黑客的工具。
似乎总有“但是…”,这是房间里的大但:许多讨论的工具和配置我可以涉及性能权衡,和一些可以引入安全漏洞。甚至那些应该是保护你的网络。
问题是基于软件的处理。任何函数需要中断控制平面的CPU会影响路由器的性能是否经常中断。
所以如果过滤器变得复杂,必须检查不同的包参数,可以减缓你的路由器的吞吐量显著——有时。如果身份验证是在控制飞机,完成一个洪水攻击边界网关协议可能会导致大问题。在前面的文章我写了TTL黑客能够抵御这类攻击,但如果数据包TTL检查本身发生在软件?那么你刚刚交换到另一个弱点。
底线是,所有这些过程和函数的问题预防更为普遍比他们可能导致的问题,所以你应该使用它们。未经过身份验证的边界网关协议端口的风险比洪水DoS攻击的可能性;接受或广告错误的前缀由于配置错误会导致你更严重的头痛比减少吞吐量边缘路由器。
这些函数的更多,你的路由器可以在硬件——也就是说,执行处理在硅转发平面而不是在软件控制平面,你越能减少或消除性能和降低风险之间的权衡。你不取消交易,你只是改变他们:高性能、你需要付出的代价低风险就是价格,在寒冷的现金。基于硬件比软件路由器路由器的昂贵得多。
你也需要意识到,仅仅因为一个路由器在硬件过滤和转发它并不一定意味着比它也验证和uRPF硬件。请与你的供应商,并验证在实验室里。