返回
iptables规则集优化设计

iptables规则集优化设计

ID:6103112

大小:802.48 KB

页数:3页

时间:2018-01-02

iptables规则集优化设计_第1页
iptables规则集优化设计_第2页
iptables规则集优化设计_第3页
资源描述:

《iptables规则集优化设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、科技广场2011.1Iptables规则集的优化设计OptimizationDesignofIptablesRulesSet张玉辉王冬霞ZhangYuhuiWangDongxia(景德镇高等专科学校,江西景德镇333000)(JingdezhenComprehensiveCollege,JiangxiJingdezhen333000)摘要:随着网络功能的日益强大,防火墙的性能已经成为影响网络流量的瓶颈,因此在要求防火墙功能强大的同时希望其性能也更高。Linux作为一种开源的操作系统,以其稳定性和安全性

2、著称。Netfilter/iptables系统是Linux下的一个功能非常强大的防火墙系统。针对使用iptables防火墙管理程序建立的防火墙,本文提出了从三个方面去优化它的方法:规则组织、state模块的使用以及用户自定义规则链,使数据包做尽可能少的测试,尽可能快的通过防火墙,最终达到提高防火墙性能的目的。关键词:防火墙;Linux;Iptables中图分类号:TP393文献标识码:A文章编号:1671-4792-(2011)1-0012-03Abstract:Astheincreasinglypo

3、werfulfunctionofnetwork,theperformanceoffirewallisbecomingthenetworktrafficbottle-necks.Werequestforfirewall’spowerfulfunctionassameasit’sperformance.Linuxasaopensourceoperatingsystem,isfamousforit’sstabilityandsecurity.Netfilter/iptablesisafirewallsyst

4、embasedonLinuxwhichhasagreatfunction.Managementproceduresfortheestablishmentofafirewallusingiptablesfirewall,thispaperpresentsthreewaystooptimizeit:organizationalrules,theuseofstate-modulesanduser-definedrulesofchain,sothatthepacketoftesttodoaslittleasp

5、ossible,asquicklyaspossiblethroughthefire-wall,andultimatelyachievethepurposetoimprovefirewallperformance.Keywords:Firewall;Linux;Iptables0引言分层排列的。防火墙的优化主要分为三个方面:规则组织、在计算机日益扩展和普及的今天,计算机安全性要高,state模块的使用及用户自定义规则链。涉及面更广。当前众多的网络防火墙产品中,Linux操作系统1规则组织的优化上的防火墙

6、软件特点显著。它们和Linux一样,具有强大的对于规则组织没有一成不变的公式。有三个因素:一是功能,不仅可以免费使用而且源代码公开,这些优势是其它要考虑主机上运行着哪些服务,尤其是要组织流量最大的服防火墙产品不可比拟的。在计算机普及的同时,各种各样的务;二是要考虑主机的主要用途。对专用防火墙和数据包转应用也层出不穷,随之带来的是各式各样的安全问题。为了发器的需求和对堡垒防火墙的需求是有很大不同的。同样,能够有效地解决这些安全问题,netfilter/iptables防火墙主要一个网络管理员可能会在一台

7、安装防火墙的机器上设置不通过制定规则集控制数据包的传输,达到访问控制的目的。同的性能优先级。对于家庭网络,安装防火墙的机器主要表随着网络应用的大量出现,防火墙中的规则集越来越庞大,现为一个Linux服务器和网关而不是一个工作站。第三个基虽然能够有效地解决网络安全问题,但防火墙却成了影响网本因素是,我们在为防火墙优化组织规则时需要考虑网络的络流量的瓶颈。因此为了使防火墙能够在维护网络安全的同带宽以及Internet连接的速度。例如,优化对于使用了住家环时,保证其不影响网络带宽,防火墙规则集的优化变得刻不

8、境的、连接到Internet网的站点来说没有太大的意义,甚至对容缓。于一个非常繁忙的Web站点来说,站点机器的CPU也不会如果只使用输入规则链(INPUT)、输出规则链(OUT-受到太大影响,因为与Internet的连接是一个瓶颈。PUT)和转发规则链(FORWARD),则很难达到防火墙的优1.1从阻止高位端口流量的规则开始化。我们从头到尾对规则链进行遍历,直到找到一个匹配的关于阻止源地址欺骗的规则或者是在高位端口(比如规则为止。规则链上的规则是按照从最

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。