我们发现了很多来自特定国家的服务器上的蛮力攻击企图。 我们计划阻止来自该国的所有传入stream量,但这绝对是一个列表 。 为了安全起见,我们也将阻止其他国家,以及我们不打算提供我们的networking服务。
将这么大的列表添加到防火墙规则是否会以任何可能的方式阻碍networking性能?
这取决于你将在哪里阻止它。
如果您将在您的服务器上阻止它,那么您仍然会遇到通过Internet连接的连接尝试以及ICMP连接被拒绝的数据包传出。
如果您在路由器上阻止它们,则仍会有两组数据包影响您的Internet连接。 (他们仍然可能DOS的你)
如果您要求您的ISP阻止它们,那么您不太可能会遇到任何负面影响(只要您的ISP有足够的带宽来承受潜在的DOS攻击)。
在阻止大范围之前,还有一件事要检查:确保根DNS服务器都不在该范围内,否则可以自行设置一些长时间的等待,随机popupDNS请求。
阻塞大量的IP地址总是会对服务器造成影响,这取决于您的阻止列表和您的硬件/软件规格有多长。 硬件是一个很好的替代scheme,但它的代价是昂贵的解决scheme,所以它更好地要求isp提供商阻止IP地址。 这可以让你免于痛苦。
这取决于你的路由器,但是我已经configuration了一个旧的Linux的方式更复杂的访问列表没有任何问题。 你在使用什么样的硬件,你有多难?
我还要指出(有趣的是,除此之外),你似乎在过滤的国家(中国)大规模地进行自己的封锁,可能是一场逆转的比赛!