在我们最近的项目中,我们尝试保护pub-sub jeromq连接。
为此,我们希望主机首先使用网络对新主机进行身份验证,并且阻止每个未经过身份验证的主机进行订阅。另一个好处是在网络中发送的消息更少。
那么,是否可以为发布创建白名单?
答案 0 :(得分:1)
白名单没有直接的原型,但需要解决的问题很明显(版本4.x +中的 PUB/SUB 主题列表处理发生逆转后更多,这会导致处理器端过载的风险,这在2.x + 3.x版本中是不可能的。)
让我们提出一个多阶段的方法。
如果我们无法阻止,请首先在 .bind()/.connect() 琐碎的原型上公开反转的XSUB/XPUB,以进行初始接触检测,以便检测到新成员来到并试图加入制作服务,然后让我们只允许那些已经获得POSACK的人进入另一个门(对那些允许的白名单而不是其他人小声说) ,其中另一个ZeroMQ基础设施(由琐碎的原型组成的信令/消息传递平面)打开了大门,预先选定的那些可以继续进行。同样,反向.bind() / .connect()操作可防止对公开暴露的接入点进行大规模攻击的风险。甚至对于需要非公共地址翻译的情况和场景也存在解决方案(但这些解决方案超出了此处正在审查的唯一ZeroMQ工具)。
其他人没有详细说明案件,他们没有通过身份验证。
通过这种方式,您可以获得白名单政策(可能会阅读有关使用&#34的更多详细信息;敲门"在安全机制中)。