技廣場(chǎng)2111Iptables規(guī)則集的優(yōu)化設(shè)計(jì)Optimization Design of Iptables Rules Set張玉輝王冬霞Zhang Yuhui Wang Dongxia(景德鎮(zhèn)高等?？茖W(xué)校,江西景德鎮(zhèn)33000(ingdezhen Comprehensive College, Jiangxi Jingdezhen 3000 )摘要:隨著網(wǎng)絡(luò)功能的日益強(qiáng)大，防火墻的性能已經(jīng)成為影響網(wǎng)絡(luò)流量的瓶頸，因此在要求防火墻功能強(qiáng)大的同時(shí)希望其性能也更高。Linux 作為一種開源的操作系統(tǒng),以其穩(wěn)定性和安全性著稱。Netilteriptables 系統(tǒng)是Linux下的一個(gè)功能非常強(qiáng)大的防火墻系統(tǒng)。針對(duì)使用iptables防火墻管理程序建立的防火墻,本文提出了從三個(gè)方面去優(yōu)化它的方法:規(guī)則組織、state模塊的使用以及用戶自定義規(guī)則鏈,使數(shù)據(jù)包做盡可能少的測(cè)試,盡可能快的通過防火墻,最終達(dá)到提高防火墻性能的目的。關(guān)鍵詞:防火墻;Linux;lptables中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-492011)-0012-03Abstract:As the increasingly powerful function of network, the performance of firewall is becoming the network trffc botle-necks. We request for frewall's powerful function as same as it's performance. Linux as a open source operating system, is famous forit's stability and securiy. Netflteriptables is a firewall system based on Linux which has a great function. Management procedures forthe establishment of a firewall using iptables frewall, this paper presents three ways to optimize it organizational rules, the use ofstate-modules and user-defned rules of chain, so that the packet of test to do as litle as possible, as quickly as possible through the fire-wall, and utimately achieve the purpose to improve firewall performance. .Keywords: Firewall; Linux; lptables0引育分層排列的。防火墻的優(yōu)化主要分為三個(gè)方面:規(guī)則組織、在計(jì)算機(jī)日益擴(kuò)展和普及的今天，計(jì)算機(jī)安全性要高，state模塊的使用及用戶自定義規(guī)則鏈。涉及面更廣.當(dāng)前眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中, Linux操作系統(tǒng)1規(guī)則組織的優(yōu)化上的防火墻軟件特點(diǎn)顯著。它們和Linux一樣,具有強(qiáng)大的對(duì)于規(guī)則組織沒有一成不變的公式。有三個(gè)因素:一是功能，不僅可以免費(fèi)使用而且源代碼公開,這些優(yōu)勢(shì)是其它要考慮主機(jī)上運(yùn)行著哪些服務(wù),尤其是要組織流量最大的服防火墻產(chǎn)品不可比擬的。在計(jì)算機(jī)普及的同時(shí)，各種各樣的務(wù);二是要考慮主機(jī)的主要用途。對(duì)專用防火墻和數(shù)據(jù)包轉(zhuǎn)應(yīng)用也層出不窮,隨之帶來的是各式各樣的安全問題。為了發(fā)器的需求和對(duì)堡壘防火墻的需求是有很大不同的。同樣,能夠有效地解決這些安全問題, ntltiptbles防火墻主要一個(gè)網(wǎng)絡(luò)管理員可能會(huì)在一臺(tái)安裝 防火墻的機(jī)器上設(shè)置不通過制定規(guī)則集控制數(shù)據(jù)包的傳輸，達(dá)到訪問控制的目的。同的性能優(yōu)先級(jí)。對(duì)于家庭網(wǎng)絡(luò)，安裝防火墻的機(jī)器主要表隨著網(wǎng)絡(luò)應(yīng)用的大量出現(xiàn)，防火墻中的規(guī)則集越來越龐大，現(xiàn)為一個(gè)Linux服務(wù)器和網(wǎng)關(guān)而不是一一個(gè)工作站。第三個(gè)基雖然能夠有效地解決網(wǎng)絡(luò)安全問題,但防火墻卻成了影響網(wǎng)本因素是,我們?cè)跒榉阑饓?yōu)化組織規(guī)則時(shí)需要考慮網(wǎng)絡(luò)的絡(luò)流量的瓶頸。因此為了使防火墻能夠在維護(hù)網(wǎng)絡(luò)安全的同帶寬以及Intermet連接的速度.例如，優(yōu)化對(duì)于使用了住家環(huán)時(shí)，保證其不影響網(wǎng)絡(luò)帶寬,防火墻規(guī)則集的優(yōu)化變得刻不境的、連接到Internet網(wǎng)的站點(diǎn)來說沒有太大的意義,甚至對(duì)容緩。于一個(gè)非常繁忙的Web站點(diǎn)來說.站點(diǎn)機(jī)器的CPU也不會(huì)如果只使用輸入規(guī)則鏈(NPUT). 輸出規(guī)則鏈(OUT-受到太太影響因?yàn)榕cIntermet的連接縣-個(gè)瓶頸.PUT)和轉(zhuǎn)發(fā)規(guī)則鏈(FORWARD),則很難達(dá)到防火墻的優(yōu)中國(guó)煤化工化。我們從頭到尾對(duì)規(guī)則鏈進(jìn)行遍歷，直到找到一個(gè)匹配的HCNMHG在高位端口(比如規(guī)則為止.規(guī)則鏈上的規(guī)則是按照從最-般到最特殊的順序NFS 或者X Windows)阻止流量的規(guī)則，這些規(guī)則位于允許12 .流量進(jìn)入特定服務(wù)規(guī)則的前面。顯然, FTP數(shù)據(jù)通道規(guī)則一在防 火墻和UDP層，由于沒有連接狀態(tài)這-概念,也就沒有定位于規(guī)則鏈的末端，盡管FTP數(shù)據(jù)傳輸量- -般都很大.必要標(biāo)示出連接請(qǐng)示端和連接響應(yīng)端,所有的只是一些關(guān)于1.2盡早為最常使用的服務(wù)設(shè)置防火墻規(guī)則服務(wù)端口或被使用的非特權(quán)端口的信息。某些UDP服務(wù)在一般來說,對(duì)于規(guī)則在規(guī)則鏈的位置沒有一成不變的規(guī)客戶端和服務(wù)器端占用眾所周知的一些服務(wù)端口,而其他的則。對(duì)于常用的服務(wù),例如為- -個(gè)特定的Web服務(wù)器設(shè)立的一些服務(wù)則使用非特權(quán)端口.關(guān)于HTTP協(xié)議的規(guī)則，應(yīng)該盡早設(shè)宜。對(duì)于高流量.不間斷DNS是一個(gè)使用UDP服務(wù)的典型實(shí)例，由于不存在連的服務(wù)設(shè)立規(guī)則也應(yīng)該盡早進(jìn)行。然而，正如前面說過的，接的狀態(tài),也就不可能存在一一個(gè)從客戶端發(fā)送的請(qǐng)求中的目FTP.RealAudio這樣的數(shù)據(jù)流協(xié)議應(yīng)該放到防火墻規(guī)則鏈的地址到接收到的響應(yīng)中的源地址之間的映射。DNS 服務(wù)的尾部。.器緩沖區(qū)中可能存在有害的數(shù)據(jù)包，其中的-一個(gè)原因是因?yàn)?.3 使用端口模塊設(shè)定端口列表DNS服務(wù)器不會(huì)檢測(cè)數(shù)據(jù)包的合法性。更進(jìn)-步地說, DNS通過使用mutiport(多端口)模塊來指明端口列表會(huì)帶服務(wù)器甚至不會(huì)檢測(cè)用戶發(fā)送的是否是- -個(gè)正常的請(qǐng)求。 .一來性能的些許提升，因?yàn)閙ultiport模塊將多個(gè)規(guī)則合并為個(gè)惡意的數(shù)據(jù)包能夠更新本地DNS服務(wù)器的緩沖區(qū)，盡管一個(gè)。 使用multiport模塊后，規(guī)則數(shù)據(jù)以及對(duì)數(shù)據(jù)包檢測(cè)的DNS服務(wù)器還沒有收到一個(gè)正常的查詢請(qǐng)求。次數(shù)都會(huì)減少。實(shí)際上,只要數(shù)據(jù)包匹配端口列表中的任何(3)TCP服務(wù)和UDP服務(wù):將UDP規(guī)則放到TCP規(guī)則-個(gè)端口值,就會(huì)共享接口、協(xié)議.TCP標(biāo)記.源地址和目的之后地址的檢測(cè)規(guī)則，性能提升的程度依據(jù)防火墻接受服務(wù)的類總而言之，UDP規(guī)則應(yīng)該被放在所有TCP規(guī)則之后,型而定。顯然,使用端口描述的服務(wù)必須具有相同的數(shù)據(jù)頭UDP規(guī)則鏈的位置處于整個(gè)防火墻規(guī)則鏈比較嶄后的位特征才共享同樣的測(cè)試規(guī)則。置。這是因?yàn)榇蟛糠諭nternet 的服務(wù)程序都使用TCP協(xié)議。1.4利用網(wǎng)絡(luò)數(shù)據(jù)流來決定如何對(duì)多個(gè)網(wǎng)絡(luò)接口設(shè)置規(guī)UDP協(xié)議則是一一種簡(jiǎn)單的、基于單數(shù)據(jù)包發(fā)送和接受的協(xié)則議,讓UDP數(shù)據(jù)包經(jīng)過TCP規(guī)則鏈的測(cè)試不會(huì)明顯增加系如果主機(jī)擁有多個(gè)網(wǎng)絡(luò)接口,如何設(shè)定某個(gè)接口的規(guī)則統(tǒng)的負(fù)擔(dān)。-個(gè)例外的情況是流媒體服務(wù)，例如RealAudio應(yīng)該考慮到哪個(gè)接將承受最大的流量.對(duì)于流量大的接口數(shù)據(jù)流。然而,多媒體和其他的雙向多連接會(huì)話協(xié)議是不受的規(guī)則應(yīng)該放置到前面,對(duì)于一般的站點(diǎn)這樣做的意義不防火墻歡迎的.除非有ALG的支持,否則這樣的服務(wù)不會(huì)通大.但對(duì)于商業(yè)站點(diǎn),基于流量的規(guī)則設(shè)定是非常重要的。過防火墻或者NAT.1.5傳輸層協(xié)議(4)ICMP報(bào)務(wù):將ICMP規(guī)則放到防火墻規(guī)則鏈的后端服務(wù)程序使用的傳輸層協(xié)議是另-一個(gè)需要考慮的因素。ICMP是另一種能夠被放到防火墻規(guī)則鏈后端的協(xié)議。在一個(gè)靜態(tài)防火墻中,每-一個(gè)人站數(shù)據(jù)包都要通過規(guī)則鏈中ICMP 數(shù)據(jù)包里面只包含了少量的控制和狀態(tài)消息。同樣，所有源地址欺騙規(guī)則的檢查,這項(xiàng)工作是一-項(xiàng)非常大的開ICMP數(shù)據(jù)包的發(fā)送頻率是相對(duì)較低的。合法的ICMP數(shù)據(jù)銷.包通常是單-的,沒有被分割的數(shù)據(jù)包。除了echo request,(1)TCP服務(wù):繞過源地址欺騙規(guī)則ICMP數(shù)據(jù)包總是發(fā)送控制消息或者狀態(tài)消息以對(duì)某種異常即使沒有state 模塊,對(duì)于基于TCP協(xié)議的服務(wù),遠(yuǎn)程服出站數(shù)據(jù)包做出響應(yīng)。務(wù)器端的連接規(guī)則也可以繞過源地址欺騙規(guī)則.TCP協(xié)議層2 State 模塊使用的優(yōu)化會(huì)丟掉設(shè)置了ACK位的源地址欺騙人站數(shù)據(jù)包，因?yàn)檫@種使用state模塊中的ESTABLISHED和RELATED匹配數(shù)據(jù)包不可能與TCP層所建立連接的任何狀態(tài)相匹配。規(guī)則就是要將正在進(jìn)行著交換的規(guī)則移到規(guī)則鏈的前端，同然而,遠(yuǎn)程客戶端必須遵循源地址欺騙規(guī)則，因?yàn)榈湫蜁r(shí)也沒有必要繼續(xù)保留服務(wù)器端的某些特定規(guī)則。實(shí)際上,的客戶規(guī)則既覆蓋了初始連接請(qǐng)求，也覆蓋了來自客戶端使正在進(jìn)行中的.已經(jīng)得到認(rèn)可的、已經(jīng)被接受的交換繞過的.正在進(jìn)行的數(shù)據(jù)流。如果SYN和ACK標(biāo)記被獨(dú)立檢測(cè)防火墻的過濾正是state模塊的兩個(gè)主要目標(biāo)之一.的話，檢測(cè)來自遠(yuǎn)程客戶端的數(shù)據(jù)包中的ACK位的規(guī)則可State模塊的第二個(gè)目標(biāo)是提供防火墻的過濾(ire-以繞過源地址欺騙檢測(cè)。源地址欺騙檢測(cè)必需應(yīng)用于SYNwall-fltering) 功能。對(duì)連接狀態(tài)的跟蹤使防火墻可以將數(shù)據(jù)請(qǐng)求。使用state模塊也允許將遠(yuǎn)程客戶端的入站連接請(qǐng)求包和正在進(jìn)行中的交換聯(lián)系起來,這項(xiàng)功能對(duì)于面向無連接規(guī)則(即SYN數(shù)據(jù)包)與客戶端隨后發(fā)送的ACK數(shù)據(jù)包規(guī)的、無狀態(tài)的UDP交換特別有用。則在邏輯上區(qū)分開來。只有建立初始連接的請(qǐng)求,即初始的3用戶自定義規(guī)則鏈的優(yōu)化NEW數(shù)據(jù)包,需要針對(duì)源地址欺騙規(guī)則進(jìn)行檢測(cè)。Filter 表有三個(gè)固定的、內(nèi)建的規(guī)則鏈:輸人規(guī)則鏈(IN-(2)UDP服務(wù):將入站數(shù)據(jù)包規(guī)則放在源地址欺騙規(guī)則PUT) .輸出規(guī)則鏈(OUTPUT)和轉(zhuǎn)發(fā)規(guī)則鏈(FORWARD).Iptables 允許用戶白定v規(guī)仙鏈這此用戶 自定義規(guī)則鏈被在沒有state模塊的情況下，對(duì)于基于UDP的服務(wù),人當(dāng)做規(guī)中國(guó)煤化工i，在匹配樂的基礎(chǔ)站數(shù)據(jù)包規(guī)則總是跟在源地址欺騙規(guī)則之后?？蛻魴C(jī)和服務(wù)上，目Y片CNM H G義規(guī)則鏈上。與數(shù)器的概念由應(yīng)用層來維護(hù)，如果這種維護(hù)有任何意義的話。據(jù)包被接受或丟棄不同，當(dāng)控制轉(zhuǎn)到用戶自定義規(guī)則鏈以13科技廣場(chǎng)21111后,會(huì)針對(duì)分支規(guī)則對(duì)數(shù)據(jù)包做更具體的匹配測(cè)試。當(dāng)用戶協(xié)議規(guī)則7自定義規(guī)則鏈被遍歷以后控制被轉(zhuǎn)回到調(diào)用鏈,然后繼續(xù)NJCMP規(guī)則/在下一規(guī)則上進(jìn)行匹配。如果在用戶自定義規(guī)則鏈上匹配成功并對(duì)數(shù)據(jù)包采取行動(dòng),那么控制就不會(huì)被轉(zhuǎn)回調(diào)用鏈。UDP規(guī)則/圖一顯示了一個(gè)標(biāo)準(zhǔn)的、自頂向下地使用內(nèi)建規(guī)則的遍<重地址欺雪> t( 否歷過程。TCP規(guī)則7(是的)[輸入規(guī)則鏈(辨)<通議的標(biāo)出> (是的一(群規(guī)則1規(guī)則2匹配?規(guī)則3圖三基于協(xié)議的用戶自定義規(guī)則鏈足的規(guī)則44結(jié)束語由優(yōu)化和連接狀態(tài)跟蹤帶來的好處是顯著的。相對(duì)于典廠云齊策略 ](接受)型的數(shù)據(jù)包過濾防火墻,由用戶自定義規(guī)則帶來的分類匹配功能大幅度地減少了數(shù)據(jù)包的測(cè)試次數(shù). State 模塊的使用圖一標(biāo)準(zhǔn)鏈遍歷降低了測(cè)試的次數(shù),甚至可以使成批的數(shù)據(jù)包繞過防火墻規(guī)用戶自定義規(guī)則鏈對(duì)于優(yōu)化規(guī)則集是非常有用的,因此則。還有數(shù)據(jù)通道連接可以作為-個(gè)關(guān)聯(lián)(RELATED)連接經(jīng)常被用到.用戶自定義規(guī)則鏈允許將規(guī)則組織成層次分明被立即匹配.總之,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,防火墻的優(yōu)化需要的樹形結(jié)構(gòu)。使用用戶自定義規(guī)則鏈,根據(jù)數(shù)據(jù)包的特征，數(shù)不斷地完善、不斷地去研究.據(jù)包匹配測(cè)試能夠有選擇地、精細(xì)地進(jìn)行,而不必自,上而下地通過整條內(nèi)建的規(guī)則鏈。圖二顯示了數(shù)據(jù)包的初步測(cè)試過參考文獻(xiàn)程。當(dāng)數(shù)據(jù)包經(jīng)過初步的測(cè)試之后，依據(jù)數(shù)據(jù)包內(nèi)的目的地[1]J.Wallerich, H. Dreger, A. Feldmann, B.Krishnamurthy,址信息再對(duì)數(shù)據(jù)包進(jìn)行分支測(cè)試。and W. Willinger,“A methodology for studying persistency as-pects of Internet flows," in Proceeding of ACMSIGCOMM(扶受)扶投)(確Computer Communication Review,vol. 25, pp.23-36. May 200S.同環(huán)]--建立的狀表L黃地址][2]The netfilter project team, “Linux Nefiteriptablesframeworks," Nov 1999. [Online].Available: htp:/:/ww netfl-廠 +機(jī)門[播]一L廣播]terorg/. [Accessed:Sep. 2004].L的地址[3]L7-flter Cassifer projet team , "L7-filter Cassifer,"二協(xié)議規(guī)則7 多播規(guī)則7S V 播規(guī)則7May 2003. nlin.Aibl:t:/-fiter.rsourceforge.nev.丫[Accessed: Oct.2004].[4]葉惠卿基于Linux iptables防火墻規(guī)則生成的研究與實(shí)現(xiàn)[1].計(jì)算機(jī)應(yīng)用技術(shù),2010.圖二基于目的地址的用戶自定義規(guī)則鏈[5]朱立才,楊壽保,宋舜宏Netltrlipables防火墻性能在本例中分支測(cè)試是基于目的地址的。與具體應(yīng)用相關(guān)優(yōu)化方案與實(shí)現(xiàn)[I.計(jì)算機(jī)工程與應(yīng)用.2006,(15).的源地址匹配在隨后進(jìn)行,例如遠(yuǎn)程DNS和郵件服務(wù)器。在[6]Steve Suehring, Robert L. Ziegler著何涇沙,等譯.Lin-大多數(shù)情況下，遠(yuǎn)程地址將會(huì)是“任何地址”.在該點(diǎn)對(duì)目的聯(lián)x防火墻(第3版) [M北京:機(jī)械工業(yè)出版社.2006.地址進(jìn)行匹配將發(fā)往這臺(tái)主機(jī)的數(shù)據(jù)包(根據(jù)是輸人規(guī)則鏈[7]趙炯.Linux內(nèi)核完全剖析[M.北京機(jī)械工業(yè)出版或者是轉(zhuǎn)發(fā)規(guī)則鏈)發(fā)往內(nèi)部主機(jī)的數(shù)據(jù)包分開來。社, 2006.圖三顯示了為發(fā)往本機(jī)的數(shù)據(jù)包設(shè)立的.與協(xié)議規(guī)則有關(guān)的用戶自定義規(guī)則鏈。就像圖中看到的那樣,匹配測(cè)試能作者中國(guó)煤化工夠從一個(gè)用戶自定義規(guī)則鏈中轉(zhuǎn)到另- -個(gè)用戶自定義規(guī)則YHCNMHG士,主要研究方向:計(jì)鏈進(jìn)行更具體的測(cè)試。算機(jī)網(wǎng)絡(luò)。_14_