Мы обнаружили множество попыток перебора атак на наш сервер из определенной страны. Мы планируем заблокировать весь входящий трафик из этой страны, но это довольно список. В целях безопасности мы также собираемся заблокировать некоторые другие страны, которым мы не планируем предоставлять наши веб-сервисы.
Может ли добавление такого большого списка к правилу межсетевого экрана снизить производительность сети каким-либо мыслимым образом?
Блокирование большого диапазона IP-адресов всегда имеет последствия для серверов, на самом деле это зависит от того, как долго ваш черный список и характеристики вашего оборудования / программного обеспечения. Аппаратное обеспечение - хорошая альтернатива для этого, но это дорогостоящее решение, поэтому лучше, чтобы провайдер ISP блокировал IP-адреса. Это избавит вас от боли.
Это зависит от того, где вы будете его блокировать.
Если вы будете блокировать его на своем сервере, вы все равно будете испытывать попытки подключения через ваше интернет-соединение, а также отказ от исходящих пакетов ICMP-соединения.
Если вы заблокируете их на своем маршрутизаторе, оба набора пакетов все равно будут влиять на ваше интернет-соединение. (они все еще могут потенциально DOS вас)
Если вы попросите своего интернет-провайдера заблокировать их, вы вряд ли испытаете какие-либо негативные эффекты (если у вашего интернет-провайдера достаточно полосы пропускания, чтобы пережить указанную потенциальную атаку DOS).
Еще одна вещь, которую следует проверить, прежде чем блокировать этот большой диапазон: убедитесь, что ни один из корневых DNS-серверов не находится в этом диапазоне, в противном случае вы можете настроить себя на долгое ожидание, случайно появляющееся при запросах DNS.
Это зависит от вашего маршрутизатора, однако я без проблем настроил более сложные списки доступа на старом Linux-компьютере. Какое оборудование вы используете и насколько сильно вы его используете?
Я также хотел бы указать вам (в качестве забавного момента), что страна, которую вы, кажется, фильтруете [Китай], выполняет свою собственную блокировку в массовом масштабе, возможно, обратное совпадение !!