Iptables规则集的优化设计

技广场2111Iptables规则集的优化设计Optimization Design of Iptables Rules Set张玉辉王冬霞Zhang Yuhui Wang Dongxia(景德镇高等专科学校,江西景德镇33000(ingdezhen Comprehensive College, Jiangxi Jingdezhen 3000 )摘要:随着网络功能的日益强大，防火墙的性能已经成为影响网络流量的瓶颈，因此在要求防火墙功能强大的同时希望其性能也更高。Linux 作为一种开源的操作系统,以其稳定性和安全性著称。Netilteriptables 系统是Linux下的一个功能非常强大的防火墙系统。针对使用iptables防火墙管理程序建立的防火墙,本文提出了从三个方面去优化它的方法:规则组织、state模块的使用以及用户自定义规则链,使数据包做尽可能少的测试,尽可能快的通过防火墙,最终达到提高防火墙性能的目的。关键词:防火墙;Linux;lptables中图分类号:TP393文献标识码:A文章编号:1671-492011)-0012-03Abstract:As the increasingly powerful function of network, the performance of firewall is becoming the network trffc botle-necks. We request for frewall's powerful function as same as it's performance. Linux as a open source operating system, is famous forit's stability and securiy. Netflteriptables is a firewall system based on Linux which has a great function. Management procedures forthe establishment of a firewall using iptables frewall, this paper presents three ways to optimize it organizational rules, the use ofstate-modules and user-defned rules of chain, so that the packet of test to do as litle as possible, as quickly as possible through the fire-wall, and utimately achieve the purpose to improve firewall performance. .Keywords: Firewall; Linux; lptables0引育分层排列的。防火墙的优化主要分为三个方面:规则组织、在计算机日益扩展和普及的今天，计算机安全性要高，state模块的使用及用户自定义规则链。涉及面更广.当前众多的网络防火墙产品中, Linux操作系统1规则组织的优化上的防火墙软件特点显著。它们和Linux一样,具有强大的对于规则组织没有一成不变的公式。有三个因素:一是功能，不仅可以免费使用而且源代码公开,这些优势是其它要考虑主机上运行着哪些服务,尤其是要组织流量最大的服防火墙产品不可比拟的。在计算机普及的同时，各种各样的务;二是要考虑主机的主要用途。对专用防火墙和数据包转应用也层出不穷,随之带来的是各式各样的安全问题。为了发器的需求和对堡垒防火墙的需求是有很大不同的。同样,能够有效地解决这些安全问题, ntltiptbles防火墙主要一个网络管理员可能会在一台安装 防火墙的机器上设置不通过制定规则集控制数据包的传输，达到访问控制的目的。同的性能优先级。对于家庭网络，安装防火墙的机器主要表随着网络应用的大量出现，防火墙中的规则集越来越庞大，现为一个Linux服务器和网关而不是一一个工作站。第三个基虽然能够有效地解决网络安全问题,但防火墙却成了影响网本因素是,我们在为防火墙优化组织规则时需要考虑网络的络流量的瓶颈。因此为了使防火墙能够在维护网络安全的同带宽以及Intermet连接的速度.例如，优化对于使用了住家环时，保证其不影响网络带宽,防火墙规则集的优化变得刻不境的、连接到Internet网的站点来说没有太大的意义,甚至对容缓。于一个非常繁忙的Web站点来说.站点机器的CPU也不会如果只使用输入规则链(NPUT). 输出规则链(OUT-受到太太影响因为与Intermet的连接县-个瓶颈.PUT)和转发规则链(FORWARD),则很难达到防火墙的优中国煤化工化。我们从头到尾对规则链进行遍历，直到找到一个匹配的HCNMHG在高位端口(比如规则为止.规则链上的规则是按照从最-般到最特殊的顺序NFS 或者X Windows)阻止流量的规则，这些规则位于允许12 .流量进入特定服务规则的前面。显然, FTP数据通道规则一在防 火墙和UDP层，由于没有连接状态这-概念,也就没有定位于规则链的末端，尽管FTP数据传输量- -般都很大.必要标示出连接请示端和连接响应端,所有的只是一些关于1.2尽早为最常使用的服务设置防火墙规则服务端口或被使用的非特权端口的信息。某些UDP服务在一般来说,对于规则在规则链的位置没有一成不变的规客户端和服务器端占用众所周知的一些服务端口,而其他的则。对于常用的服务,例如为- -个特定的Web服务器设立的一些服务则使用非特权端口.关于HTTP协议的规则，应该尽早设宜。对于高流量.不间断DNS是一个使用UDP服务的典型实例，由于不存在连的服务设立规则也应该尽早进行。然而，正如前面说过的，接的状态,也就不可能存在一一个从客户端发送的请求中的目FTP.RealAudio这样的数据流协议应该放到防火墙规则链的地址到接收到的响应中的源地址之间的映射。DNS 服务的尾部。.器缓冲区中可能存在有害的数据包，其中的-一个原因是因为1.3 使用端口模块设定端口列表DNS服务器不会检测数据包的合法性。更进-步地说, DNS通过使用mutiport(多端口)模块来指明端口列表会带服务器甚至不会检测用户发送的是否是- -个正常的请求。 .一来性能的些许提升，因为multiport模块将多个规则合并为个恶意的数据包能够更新本地DNS服务器的缓冲区，尽管一个。 使用multiport模块后，规则数据以及对数据包检测的DNS服务器还没有收到一个正常的查询请求。次数都会减少。实际上,只要数据包匹配端口列表中的任何(3)TCP服务和UDP服务:将UDP规则放到TCP规则-个端口值,就会共享接口、协议.TCP标记.源地址和目的之后地址的检测规则，性能提升的程度依据防火墙接受服务的类总而言之，UDP规则应该被放在所有TCP规则之后,型而定。显然,使用端口描述的服务必须具有相同的数据头UDP规则链的位置处于整个防火墙规则链比较崭后的位特征才共享同样的测试规则。置。这是因为大部分Internet 的服务程序都使用TCP协议。1.4利用网络数据流来决定如何对多个网络接口设置规UDP协议则是一一种简单的、基于单数据包发送和接受的协则议,让UDP数据包经过TCP规则链的测试不会明显增加系如果主机拥有多个网络接口,如何设定某个接口的规则统的负担。-个例外的情况是流媒体服务，例如RealAudio应该考虑到哪个接将承受最大的流量.对于流量大的接口数据流。然而,多媒体和其他的双向多连接会话协议是不受的规则应该放置到前面,对于一般的站点这样做的意义不防火墙欢迎的.除非有ALG的支持,否则这样的服务不会通大.但对于商业站点,基于流量的规则设定是非常重要的。过防火墙或者NAT.1.5传输层协议(4)ICMP报务:将ICMP规则放到防火墙规则链的后端服务程序使用的传输层协议是另-一个需要考虑的因素。ICMP是另一种能够被放到防火墙规则链后端的协议。在一个静态防火墙中,每-一个人站数据包都要通过规则链中ICMP 数据包里面只包含了少量的控制和状态消息。同样，所有源地址欺骗规则的检查,这项工作是一-项非常大的开ICMP数据包的发送频率是相对较低的。合法的ICMP数据销.包通常是单-的,没有被分割的数据包。除了echo request,(1)TCP服务:绕过源地址欺骗规则ICMP数据包总是发送控制消息或者状态消息以对某种异常即使没有state 模块,对于基于TCP协议的服务,远程服出站数据包做出响应。务器端的连接规则也可以绕过源地址欺骗规则.TCP协议层2 State 模块使用的优化会丢掉设置了ACK位的源地址欺骗人站数据包，因为这种使用state模块中的ESTABLISHED和RELATED匹配数据包不可能与TCP层所建立连接的任何状态相匹配。规则就是要将正在进行着交换的规则移到规则链的前端，同然而,远程客户端必须遵循源地址欺骗规则，因为典型时也没有必要继续保留服务器端的某些特定规则。实际上,的客户规则既覆盖了初始连接请求，也覆盖了来自客户端使正在进行中的.已经得到认可的、已经被接受的交换绕过的.正在进行的数据流。如果SYN和ACK标记被独立检测防火墙的过滤正是state模块的两个主要目标之一.的话，检测来自远程客户端的数据包中的ACK位的规则可State模块的第二个目标是提供防火墙的过滤(ire-以绕过源地址欺骗检测。源地址欺骗检测必需应用于SYNwall-fltering) 功能。对连接状态的跟踪使防火墙可以将数据请求。使用state模块也允许将远程客户端的入站连接请求包和正在进行中的交换联系起来,这项功能对于面向无连接规则(即SYN数据包)与客户端随后发送的ACK数据包规的、无状态的UDP交换特别有用。则在逻辑上区分开来。只有建立初始连接的请求,即初始的3用户自定义规则链的优化NEW数据包,需要针对源地址欺骗规则进行检测。Filter 表有三个固定的、内建的规则链:输人规则链(IN-(2)UDP服务:将入站数据包规则放在源地址欺骗规则PUT) .输出规则链(OUTPUT)和转发规则链(FORWARD).Iptables 允许用户白定v规仙链这此用户 自定义规则链被在没有state模块的情况下，对于基于UDP的服务,人当做规中国煤化工i，在匹配樂的基础站数据包规则总是跟在源地址欺骗规则之后。客户机和服务上，目Y片CNM H G义规则链上。与数器的概念由应用层来维护，如果这种维护有任何意义的话。据包被接受或丢弃不同，当控制转到用户自定义规则链以13科技广场21111后,会针对分支规则对数据包做更具体的匹配测试。当用户协议规则7自定义规则链被遍历以后控制被转回到调用链,然后继续NJCMP规则/在下一规则上进行匹配。如果在用户自定义规则链上匹配成功并对数据包采取行动,那么控制就不会被转回调用链。UDP规则/图一显示了一个标准的、自顶向下地使用内建规则的遍<重地址欺雪> t( 否历过程。TCP规则7(是的)[输入规则链(辨)<通议的标出> (是的一(群规则1规则2匹配?规则3图三基于协议的用户自定义规则链足的规则44结束语由优化和连接状态跟踪带来的好处是显著的。相对于典厂云齐策略 ](接受)型的数据包过滤防火墙,由用户自定义规则带来的分类匹配功能大幅度地减少了数据包的测试次数. State 模块的使用图一标准链遍历降低了测试的次数,甚至可以使成批的数据包绕过防火墙规用户自定义规则链对于优化规则集是非常有用的,因此则。还有数据通道连接可以作为-个关联(RELATED)连接经常被用到.用户自定义规则链允许将规则组织成层次分明被立即匹配.总之,随着网络技术的发展,防火墙的优化需要的树形结构。使用用户自定义规则链,根据数据包的特征，数不断地完善、不断地去研究.据包匹配测试能够有选择地、精细地进行,而不必自,上而下地通过整条内建的规则链。图二显示了数据包的初步测试过参考文献程。当数据包经过初步的测试之后，依据数据包内的目的地[1]J.Wallerich, H. Dreger, A. Feldmann, B.Krishnamurthy,址信息再对数据包进行分支测试。and W. Willinger,“A methodology for studying persistency as-pects of Internet flows," in Proceeding of ACMSIGCOMM(扶受)扶投)(确Computer Communication Review,vol. 25, pp.23-36. May 200S.同环]--建立的状表L黄地址][2]The netfilter project team, “Linux Nefiteriptablesframeworks," Nov 1999. [Online].Available: htp:/:/ww netfl-厂 +机门[播]一L广播]terorg/. [Accessed:Sep. 2004].L的地址[3]L7-flter Cassifer projet team , "L7-filter Cassifer,"二协议规则7 多播规则7S V 播规则7May 2003. nlin.Aibl:t:/-fiter.rsourceforge.nev.丫[Accessed: Oct.2004].[4]叶惠卿基于Linux iptables防火墙规则生成的研究与实现[1].计算机应用技术,2010.图二基于目的地址的用户自定义规则链[5]朱立才,杨寿保,宋舜宏Netltrlipables防火墙性能在本例中分支测试是基于目的地址的。与具体应用相关优化方案与实现[I.计算机工程与应用.2006,(15).的源地址匹配在随后进行,例如远程DNS和邮件服务器。在[6]Steve Suehring, Robert L. Ziegler著何泾沙,等译.Lin-大多数情况下，远程地址将会是“任何地址”.在该点对目的联x防火墙(第3版) [M北京:机械工业出版社.2006.地址进行匹配将发往这台主机的数据包(根据是输人规则链[7]赵炯.Linux内核完全剖析[M.北京机械工业出版或者是转发规则链)发往内部主机的数据包分开来。社, 2006.图三显示了为发往本机的数据包设立的.与协议规则有关的用户自定义规则链。就像图中看到的那样,匹配测试能作者中国煤化工够从一个用户自定义规则链中转到另- -个用户自定义规则YHCNMHG士,主要研究方向:计链进行更具体的测试。算机网络。_14_