Iptables規則集的優(yōu)化設計

技廣場(chǎng)2111Iptables規則集的優(yōu)化設計Optimization Design of Iptables Rules Set張玉輝王冬霞Zhang Yuhui Wang Dongxia(景德鎮高等專(zhuān)科學(xué)校,江西景德鎮33000(ingdezhen Comprehensive College, Jiangxi Jingdezhen 3000 )摘要:隨著(zhù)網(wǎng)絡(luò )功能的日益強大，防火墻的性能已經(jīng)成為影響網(wǎng)絡(luò )流量的瓶頸，因此在要求防火墻功能強大的同時(shí)希望其性能也更高。Linux 作為一種開(kāi)源的操作系統,以其穩定性和安全性著(zhù)稱(chēng)。Netilteriptables 系統是Linux下的一個(gè)功能非常強大的防火墻系統。針對使用iptables防火墻管理程序建立的防火墻,本文提出了從三個(gè)方面去優(yōu)化它的方法:規則組織、state模塊的使用以及用戶(hù)自定義規則鏈,使數據包做盡可能少的測試,盡可能快的通過(guò)防火墻,最終達到提高防火墻性能的目的。關(guān)鍵詞:防火墻;Linux;lptables中圖分類(lèi)號:TP393文獻標識碼:A文章編號:1671-492011)-0012-03Abstract:As the increasingly powerful function of network, the performance of firewall is becoming the network trffc botle-necks. We request for frewall's powerful function as same as it's performance. Linux as a open source operating system, is famous forit's stability and securiy. Netflteriptables is a firewall system based on Linux which has a great function. Management procedures forthe establishment of a firewall using iptables frewall, this paper presents three ways to optimize it organizational rules, the use ofstate-modules and user-defned rules of chain, so that the packet of test to do as litle as possible, as quickly as possible through the fire-wall, and utimately achieve the purpose to improve firewall performance. .Keywords: Firewall; Linux; lptables0引育分層排列的。防火墻的優(yōu)化主要分為三個(gè)方面:規則組織、在計算機日益擴展和普及的今天，計算機安全性要高，state模塊的使用及用戶(hù)自定義規則鏈。涉及面更廣.當前眾多的網(wǎng)絡(luò )防火墻產(chǎn)品中, Linux操作系統1規則組織的優(yōu)化上的防火墻軟件特點(diǎn)顯著(zhù)。它們和Linux一樣,具有強大的對于規則組織沒(méi)有一成不變的公式。有三個(gè)因素:一是功能，不僅可以免費使用而且源代碼公開(kāi),這些優(yōu)勢是其它要考慮主機上運行著(zhù)哪些服務(wù),尤其是要組織流量最大的服防火墻產(chǎn)品不可比擬的。在計算機普及的同時(shí)，各種各樣的務(wù);二是要考慮主機的主要用途。對專(zhuān)用防火墻和數據包轉應用也層出不窮,隨之帶來(lái)的是各式各樣的安全問(wèn)題。為了發(fā)器的需求和對堡壘防火墻的需求是有很大不同的。同樣,能夠有效地解決這些安全問(wèn)題, ntltiptbles防火墻主要一個(gè)網(wǎng)絡(luò )管理員可能會(huì )在一臺安裝 防火墻的機器上設置不通過(guò)制定規則集控制數據包的傳輸，達到訪(fǎng)問(wèn)控制的目的。同的性能優(yōu)先級。對于家庭網(wǎng)絡(luò )，安裝防火墻的機器主要表隨著(zhù)網(wǎng)絡(luò )應用的大量出現，防火墻中的規則集越來(lái)越龐大，現為一個(gè)Linux服務(wù)器和網(wǎng)關(guān)而不是一一個(gè)工作站。第三個(gè)基雖然能夠有效地解決網(wǎng)絡(luò )安全問(wèn)題,但防火墻卻成了影響網(wǎng)本因素是,我們在為防火墻優(yōu)化組織規則時(shí)需要考慮網(wǎng)絡(luò )的絡(luò )流量的瓶頸。因此為了使防火墻能夠在維護網(wǎng)絡(luò )安全的同帶寬以及Intermet連接的速度.例如，優(yōu)化對于使用了住家環(huán)時(shí)，保證其不影響網(wǎng)絡(luò )帶寬,防火墻規則集的優(yōu)化變得刻不境的、連接到Internet網(wǎng)的站點(diǎn)來(lái)說(shuō)沒(méi)有太大的意義,甚至對容緩。于一個(gè)非常繁忙的Web站點(diǎn)來(lái)說(shuō).站點(diǎn)機器的CPU也不會(huì )如果只使用輸入規則鏈(NPUT). 輸出規則鏈(OUT-受到太太影響因為與Intermet的連接縣-個(gè)瓶頸.PUT)和轉發(fā)規則鏈(FORWARD),則很難達到防火墻的優(yōu)中國煤化工化。我們從頭到尾對規則鏈進(jìn)行遍歷，直到找到一個(gè)匹配的HCNMHG在高位端口(比如規則為止.規則鏈上的規則是按照從最-般到最特殊的順序NFS 或者X Windows)阻止流量的規則，這些規則位于允許12 .流量進(jìn)入特定服務(wù)規則的前面。顯然, FTP數據通道規則一在防 火墻和UDP層，由于沒(méi)有連接狀態(tài)這-概念,也就沒(méi)有定位于規則鏈的末端，盡管FTP數據傳輸量- -般都很大.必要標示出連接請示端和連接響應端,所有的只是一些關(guān)于1.2盡早為最常使用的服務(wù)設置防火墻規則服務(wù)端口或被使用的非特權端口的信息。某些UDP服務(wù)在一般來(lái)說(shuō),對于規則在規則鏈的位置沒(méi)有一成不變的規客戶(hù)端和服務(wù)器端占用眾所周知的一些服務(wù)端口,而其他的則。對于常用的服務(wù),例如為- -個(gè)特定的Web服務(wù)器設立的一些服務(wù)則使用非特權端口.關(guān)于HTTP協(xié)議的規則，應該盡早設宜。對于高流量.不間斷DNS是一個(gè)使用UDP服務(wù)的典型實(shí)例，由于不存在連的服務(wù)設立規則也應該盡早進(jìn)行。然而，正如前面說(shuō)過(guò)的，接的狀態(tài),也就不可能存在一一個(gè)從客戶(hù)端發(fā)送的請求中的目FTP.RealAudio這樣的數據流協(xié)議應該放到防火墻規則鏈的地址到接收到的響應中的源地址之間的映射。DNS 服務(wù)的尾部。.器緩沖區中可能存在有害的數據包，其中的-一個(gè)原因是因為1.3 使用端口模塊設定端口列表DNS服務(wù)器不會(huì )檢測數據包的合法性。更進(jìn)-步地說(shuō), DNS通過(guò)使用mutiport(多端口)模塊來(lái)指明端口列表會(huì )帶服務(wù)器甚至不會(huì )檢測用戶(hù)發(fā)送的是否是- -個(gè)正常的請求。 .一來(lái)性能的些許提升，因為multiport模塊將多個(gè)規則合并為個(gè)惡意的數據包能夠更新本地DNS服務(wù)器的緩沖區，盡管一個(gè)。 使用multiport模塊后，規則數據以及對數據包檢測的DNS服務(wù)器還沒(méi)有收到一個(gè)正常的查詢(xún)請求。次數都會(huì )減少。實(shí)際上,只要數據包匹配端口列表中的任何(3)TCP服務(wù)和UDP服務(wù):將UDP規則放到TCP規則-個(gè)端口值,就會(huì )共享接口、協(xié)議.TCP標記.源地址和目的之后地址的檢測規則，性能提升的程度依據防火墻接受服務(wù)的類(lèi)總而言之，UDP規則應該被放在所有TCP規則之后,型而定。顯然,使用端口描述的服務(wù)必須具有相同的數據頭UDP規則鏈的位置處于整個(gè)防火墻規則鏈比較嶄后的位特征才共享同樣的測試規則。置。這是因為大部分Internet 的服務(wù)程序都使用TCP協(xié)議。1.4利用網(wǎng)絡(luò )數據流來(lái)決定如何對多個(gè)網(wǎng)絡(luò )接口設置規UDP協(xié)議則是一一種簡(jiǎn)單的、基于單數據包發(fā)送和接受的協(xié)則議,讓UDP數據包經(jīng)過(guò)TCP規則鏈的測試不會(huì )明顯增加系如果主機擁有多個(gè)網(wǎng)絡(luò )接口,如何設定某個(gè)接口的規則統的負擔。-個(gè)例外的情況是流媒體服務(wù)，例如RealAudio應該考慮到哪個(gè)接將承受最大的流量.對于流量大的接口數據流。然而,多媒體和其他的雙向多連接會(huì )話(huà)協(xié)議是不受的規則應該放置到前面,對于一般的站點(diǎn)這樣做的意義不防火墻歡迎的.除非有ALG的支持,否則這樣的服務(wù)不會(huì )通大.但對于商業(yè)站點(diǎn),基于流量的規則設定是非常重要的。過(guò)防火墻或者NAT.1.5傳輸層協(xié)議(4)ICMP報務(wù):將ICMP規則放到防火墻規則鏈的后端服務(wù)程序使用的傳輸層協(xié)議是另-一個(gè)需要考慮的因素。ICMP是另一種能夠被放到防火墻規則鏈后端的協(xié)議。在一個(gè)靜態(tài)防火墻中,每-一個(gè)人站數據包都要通過(guò)規則鏈中ICMP 數據包里面只包含了少量的控制和狀態(tài)消息。同樣，所有源地址欺騙規則的檢查,這項工作是一-項非常大的開(kāi)ICMP數據包的發(fā)送頻率是相對較低的。合法的ICMP數據銷(xiāo).包通常是單-的,沒(méi)有被分割的數據包。除了echo request,(1)TCP服務(wù):繞過(guò)源地址欺騙規則ICMP數據包總是發(fā)送控制消息或者狀態(tài)消息以對某種異常即使沒(méi)有state 模塊,對于基于TCP協(xié)議的服務(wù),遠程服出站數據包做出響應。務(wù)器端的連接規則也可以繞過(guò)源地址欺騙規則.TCP協(xié)議層2 State 模塊使用的優(yōu)化會(huì )丟掉設置了ACK位的源地址欺騙人站數據包，因為這種使用state模塊中的ESTABLISHED和RELATED匹配數據包不可能與TCP層所建立連接的任何狀態(tài)相匹配。規則就是要將正在進(jìn)行著(zhù)交換的規則移到規則鏈的前端，同然而,遠程客戶(hù)端必須遵循源地址欺騙規則，因為典型時(shí)也沒(méi)有必要繼續保留服務(wù)器端的某些特定規則。實(shí)際上,的客戶(hù)規則既覆蓋了初始連接請求，也覆蓋了來(lái)自客戶(hù)端使正在進(jìn)行中的.已經(jīng)得到認可的、已經(jīng)被接受的交換繞過(guò)的.正在進(jìn)行的數據流。如果SYN和ACK標記被獨立檢測防火墻的過(guò)濾正是state模塊的兩個(gè)主要目標之一.的話(huà)，檢測來(lái)自遠程客戶(hù)端的數據包中的ACK位的規則可State模塊的第二個(gè)目標是提供防火墻的過(guò)濾(ire-以繞過(guò)源地址欺騙檢測。源地址欺騙檢測必需應用于SYNwall-fltering) 功能。對連接狀態(tài)的跟蹤使防火墻可以將數據請求。使用state模塊也允許將遠程客戶(hù)端的入站連接請求包和正在進(jìn)行中的交換聯(lián)系起來(lái),這項功能對于面向無(wú)連接規則(即SYN數據包)與客戶(hù)端隨后發(fā)送的ACK數據包規的、無(wú)狀態(tài)的UDP交換特別有用。則在邏輯上區分開(kāi)來(lái)。只有建立初始連接的請求,即初始的3用戶(hù)自定義規則鏈的優(yōu)化NEW數據包,需要針對源地址欺騙規則進(jìn)行檢測。Filter 表有三個(gè)固定的、內建的規則鏈:輸人規則鏈(IN-(2)UDP服務(wù):將入站數據包規則放在源地址欺騙規則PUT) .輸出規則鏈(OUTPUT)和轉發(fā)規則鏈(FORWARD).Iptables 允許用戶(hù)白定v規仙鏈這此用戶(hù) 自定義規則鏈被在沒(méi)有state模塊的情況下，對于基于UDP的服務(wù),人當做規中國煤化工i，在匹配樂(lè )的基礎站數據包規則總是跟在源地址欺騙規則之后?？蛻?hù)機和服務(wù)上，目Y片CNM H G義規則鏈上。與數器的概念由應用層來(lái)維護，如果這種維護有任何意義的話(huà)。據包被接受或丟棄不同，當控制轉到用戶(hù)自定義規則鏈以13科技廣場(chǎng)21111后,會(huì )針對分支規則對數據包做更具體的匹配測試。當用戶(hù)協(xié)議規則7自定義規則鏈被遍歷以后控制被轉回到調用鏈,然后繼續NJCMP規則/在下一規則上進(jìn)行匹配。如果在用戶(hù)自定義規則鏈上匹配成功并對數據包采取行動(dòng),那么控制就不會(huì )被轉回調用鏈。UDP規則/圖一顯示了一個(gè)標準的、自頂向下地使用內建規則的遍<重地址欺雪> t( 否歷過(guò)程。TCP規則7(是的)[輸入規則鏈(辨)<通議的標出> (是的一(群規則1規則2匹配?規則3圖三基于協(xié)議的用戶(hù)自定義規則鏈足的規則44結束語(yǔ)由優(yōu)化和連接狀態(tài)跟蹤帶來(lái)的好處是顯著(zhù)的。相對于典廠(chǎng)云齊策略 ](接受)型的數據包過(guò)濾防火墻,由用戶(hù)自定義規則帶來(lái)的分類(lèi)匹配功能大幅度地減少了數據包的測試次數. State 模塊的使用圖一標準鏈遍歷降低了測試的次數,甚至可以使成批的數據包繞過(guò)防火墻規用戶(hù)自定義規則鏈對于優(yōu)化規則集是非常有用的,因此則。還有數據通道連接可以作為-個(gè)關(guān)聯(lián)(RELATED)連接經(jīng)常被用到.用戶(hù)自定義規則鏈允許將規則組織成層次分明被立即匹配.總之,隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展,防火墻的優(yōu)化需要的樹(shù)形結構。使用用戶(hù)自定義規則鏈,根據數據包的特征，數不斷地完善、不斷地去研究.據包匹配測試能夠有選擇地、精細地進(jìn)行,而不必自,上而下地通過(guò)整條內建的規則鏈。圖二顯示了數據包的初步測試過(guò)參考文獻程。當數據包經(jīng)過(guò)初步的測試之后，依據數據包內的目的地[1]J.Wallerich, H. Dreger, A. Feldmann, B.Krishnamurthy,址信息再對數據包進(jìn)行分支測試。and W. Willinger,“A methodology for studying persistency as-pects of Internet flows," in Proceeding of ACMSIGCOMM(扶受)扶投)(確Computer Communication Review,vol. 25, pp.23-36. May 200S.同環(huán)]--建立的狀表L黃地址][2]The netfilter project team, “Linux Nefiteriptablesframeworks," Nov 1999. [Online].Available: htp:/:/ww netfl-廠(chǎng) +機門(mén)[播]一L廣播]terorg/. [Accessed:Sep. 2004].L的地址[3]L7-flter Cassifer projet team , "L7-filter Cassifer,"二協(xié)議規則7 多播規則7S V 播規則7May 2003. nlin.Aibl:t:/-fiter.rsourceforge.nev.丫[Accessed: Oct.2004].[4]葉惠卿基于Linux iptables防火墻規則生成的研究與實(shí)現[1].計算機應用技術(shù),2010.圖二基于目的地址的用戶(hù)自定義規則鏈[5]朱立才,楊壽保,宋舜宏Netltrlipables防火墻性能在本例中分支測試是基于目的地址的。與具體應用相關(guān)優(yōu)化方案與實(shí)現[I.計算機工程與應用.2006,(15).的源地址匹配在隨后進(jìn)行,例如遠程DNS和郵件服務(wù)器。在[6]Steve Suehring, Robert L. Ziegler著(zhù)何涇沙,等譯.Lin-大多數情況下，遠程地址將會(huì )是“任何地址”.在該點(diǎn)對目的聯(lián)x防火墻(第3版) [M北京:機械工業(yè)出版社.2006.地址進(jìn)行匹配將發(fā)往這臺主機的數據包(根據是輸人規則鏈[7]趙炯.Linux內核完全剖析[M.北京機械工業(yè)出版或者是轉發(fā)規則鏈)發(fā)往內部主機的數據包分開(kāi)來(lái)。社, 2006.圖三顯示了為發(fā)往本機的數據包設立的.與協(xié)議規則有關(guān)的用戶(hù)自定義規則鏈。就像圖中看到的那樣,匹配測試能作者中國煤化工夠從一個(gè)用戶(hù)自定義規則鏈中轉到另- -個(gè)用戶(hù)自定義規則YHCNMHG士,主要研究方向:計鏈進(jìn)行更具體的測試。算機網(wǎng)絡(luò )。_14_