資源描述:
《iptables規(guī)則集優(yōu)化設計》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1��、科技廣場2011.1Iptables規(guī)則集的優(yōu)化設計OptimizationDesignofIptablesRulesSet張玉輝王冬霞ZhangYuhuiWangDongxia(景德鎮(zhèn)高等?����?茖W校,江西景德鎮(zhèn)333000)(JingdezhenComprehensiveCollege�����,JiangxiJingdezhen333000)摘要:隨著網(wǎng)絡功能的日益強大,防火墻的性能已經(jīng)成為影響網(wǎng)絡流量的瓶頸�,因此在要求防火墻功能強大的同時希望其性能也更高。Linux作為一種開源的操作系統(tǒng)�,以其穩(wěn)定性和安全性
2、著稱�。Netfilter/iptables系統(tǒng)是Linux下的一個功能非常強大的防火墻系統(tǒng)。針對使用iptables防火墻管理程序建立的防火墻�,本文提出了從三個方面去優(yōu)化它的方法:規(guī)則組織、state模塊的使用以及用戶自定義規(guī)則鏈�,使數(shù)據(jù)包做盡可能少的測試,盡可能快的通過防火墻����,最終達到提高防火墻性能的目的。關(guān)鍵詞:防火墻���;Linux�;Iptables中圖分類號:TP393文獻標識碼:A文章編號:1671-4792-(2011)1-0012-03Abstract:Astheincreasinglypo
3���、werfulfunctionofnetwork,theperformanceoffirewallisbecomingthenetworktrafficbottle-necks.Werequestforfirewall’spowerfulfunctionassameasit’sperformance.Linuxasaopensourceoperatingsystem,isfamousforit’sstabilityandsecurity.Netfilter/iptablesisafirewallsyst
4��、embasedonLinuxwhichhasagreatfunction.Managementproceduresfortheestablishmentofafirewallusingiptablesfirewall,thispaperpresentsthreewaystooptimizeit:organizationalrules,theuseofstate-modulesanduser-definedrulesofchain,sothatthepacketoftesttodoaslittleasp
5��、ossible,asquicklyaspossiblethroughthefire-wall,andultimatelyachievethepurposetoimprovefirewallperformance.Keywords:Firewall;Linux;Iptables0引言分層排列的�����。防火墻的優(yōu)化主要分為三個方面:規(guī)則組織���、在計算機日益擴展和普及的今天,計算機安全性要高��,state模塊的使用及用戶自定義規(guī)則鏈�。涉及面更廣。當前眾多的網(wǎng)絡防火墻產(chǎn)品中���,Linux操作系統(tǒng)1規(guī)則組織的優(yōu)化上的防火墻
6�����、軟件特點顯著�����。它們和Linux一樣����,具有強大的對于規(guī)則組織沒有一成不變的公式�。有三個因素:一是功能�,不僅可以免費使用而且源代碼公開�,這些優(yōu)勢是其它要考慮主機上運行著哪些服務,尤其是要組織流量最大的服防火墻產(chǎn)品不可比擬的����。在計算機普及的同時,各種各樣的務��;二是要考慮主機的主要用途��。對專用防火墻和數(shù)據(jù)包轉(zhuǎn)應用也層出不窮�����,隨之帶來的是各式各樣的安全問題��。為了發(fā)器的需求和對堡壘防火墻的需求是有很大不同的��。同樣���,能夠有效地解決這些安全問題��,netfilter/iptables防火墻主要一個網(wǎng)絡管理員可能會在一臺
7���、安裝防火墻的機器上設置不通過制定規(guī)則集控制數(shù)據(jù)包的傳輸����,達到訪問控制的目的����。同的性能優(yōu)先級��。對于家庭網(wǎng)絡��,安裝防火墻的機器主要表隨著網(wǎng)絡應用的大量出現(xiàn)�����,防火墻中的規(guī)則集越來越龐大����,現(xiàn)為一個Linux服務器和網(wǎng)關(guān)而不是一個工作站。第三個基雖然能夠有效地解決網(wǎng)絡安全問題��,但防火墻卻成了影響網(wǎng)本因素是����,我們在為防火墻優(yōu)化組織規(guī)則時需要考慮網(wǎng)絡的絡流量的瓶頸。因此為了使防火墻能夠在維護網(wǎng)絡安全的同帶寬以及Internet連接的速度。例如��,優(yōu)化對于使用了住家環(huán)時�����,保證其不影響網(wǎng)絡帶寬�����,防火墻規(guī)則集的優(yōu)化變得刻不
8���、境的���、連接到Internet網(wǎng)的站點來說沒有太大的意義,甚至對容緩�����。于一個非常繁忙的Web站點來說�,站點機器的CPU也不會如果只使用輸入規(guī)則鏈(INPUT)、輸出規(guī)則鏈(OUT-受到太大影響���,因為與Internet的連接是一個瓶頸����。PUT)和轉(zhuǎn)發(fā)規(guī)則鏈(FORWARD),則很難達到防火墻的優(yōu)1.1從阻止高位端口流量的規(guī)則開始化���。我們從頭到尾對規(guī)則鏈進行遍歷�,直到找到一個匹配的關(guān)于阻止源地址欺騙的規(guī)則或者是在高位端口(比如規(guī)則為止�����。規(guī)則鏈上的規(guī)則是按照從最
