Як правило; для всього, що підключено до Інтернету, найкраще використовувати DROP замість REJECT. Це уповільнить базове сканування портів і спричинить тривалі тайм-аути, якщо елементарний сценарій міг бути розроблений для атаки на певний порт. Однак використання DROP не вплине на такий складний сканер портів, як nmap. 8 серпня 2016 р.

Поширена причина використання DROP, а не REJECT, щоб уникнути розголошення інформації про те, які порти відкриті, однак відхилення пакетів видає рівно стільки ж інформації, скільки й відхилення. За допомогою REJECT ви виконуєте сканування та класифікуєте результати на «з’єднання встановлено» та «з’єднання відхилено».

Якщо ви використовуєте iptables і думаєте, чи використовувати REJECT чи DROP, я рекомендую завжди використовуйте DROP. Загалом використовуйте REJECT, якщо ви хочете, щоб інша сторона знала, що порт недоступний, і DROP для підключень до хостів, які ви не хочете бачити.

«deny» повертає клієнту повідомлення про те, що підключення заборонено. “drop” ігнорує спробу підключення, і клієнт нічого не отримує назад. Використовуйте заборону, якщо ви вважаєте, що клієнт законний.

Відхилити надсилає явне сповіщення відправнику, а Відкинути – ні. Той самий результат на вашому боці, просто інша відповідь у відправника. Наскільки я розумію, значення UTM за замовчуванням скидаються. Відхилення зазвичай призводить до негайного збою клієнтської програми (наприклад, веб-браузера).

Більшість організацій виграє від використання a брандмауер перевірки стану. Ці пристрої служать більш повним шлюзом між комп’ютерами та іншими активами в межах брандмауера та ресурсами за межами підприємства. Вони також дуже ефективні для захисту мережевих пристроїв від конкретних атак, таких як DoS.

Проксі-сервери є найбезпечнішим типом брандмауера, оскільки вони фільтрують пакети через захищений проксі-сервер. Це робиться до того, як трафік досягне периметра мережі.