Hi,
тут такое дело - вожусь с настройками security features IOS'а (FW/IDS) и
возник вопрос - что лучше использовать - TCP Intercept или CBAC для
обработки half-opened соединений? Первый способ имеет два метода - watch и
intercept. В случае применения intercept _любой_ запрос (даже к
неактивному адресу - если в tcp intercept list указывать маску для всей
подсетки) приводит к тому, что соединение начинает устанавливаться.
Нехорошо - вроде бы как совсем лишняя нагрузка на firewall получается. В
случае применения метода watch не вижу принципиального отличия от CBAC (с
точки зрения борьбы с half-opened соединениями). Может кто подскажет, что
лучше использовать?
И есть-ли способ бороться с "медленными" соединениями - т.е. клиент
открывает соединение и понемногу, очень медленно, тянет чего-то (или не
тянет вообще - но по крайней мере это можно контролировать). Нужно по
истечении установленного времени рвать такое соединение, как
неэффективное, но жрущее ресурсы сервера. Есть что-то такое?
Спасибо.
--
Vladimir Litovka <doka@kiev.sovam.com> | "I've seen the future and it's
. Phone/Fax: +380 44 4900111 | Cisco switches!"
. ICQ/none, talk/none ;) | Cat Alyst
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
