|
25.09.2005 23:06:46
не IPSec'ом точно (ИМХО)
|
|
|
|
|
|
25.09.2005 23:22:23
Если завтра на работе нечего будет делать, отвечу подробнее почему я так думаю
|
|
|
|
|
|
25.09.2005 23:31:42
тут нужны результаты тестов.. Врядли обычным экспериментом можно понять что быстрее.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
|
|
26.09.2005 10:23:51
Взято из статьи . |
|||
|
|
|
|
26.09.2005 10:32:46
Если я правильно понял логику обработки пакетов по IPSec-фильтрам , то в IPSec пакеты проходят по ВСЕМ фильтрам
и уже в конце выносится вердикт. В обычных фаэрах пакет обычно гуляет по правилам до первого вхождения. Соответственно если в IPSec куча правил, то и тормоза соответствующие. Но это всё моё личное мнение - на данный момент не могу проверить на конкретных серверах и задачах - времени нэма (( |
|
|
|
|
|
26.09.2005 10:42:56
1. IPSec медленней чем всех, ибо просматриваются все правила. Он хорош когда есть несколько разрешающих правил, а остальное грохается.
2. ICF - однозначно медленней чем rras ибо stateful. 3. rras - заточен под пакетный фильтр, можно дропать на входе, до поступления стеку tcp/ip. нормально скриптуется через netsh. недостаток - правила либо чистый блэклист либо чистый вайтлист. поэтому иногда приходится раскидывать по входящим-исходящим цепочкам. |
||||
|
|
|
|||
