Linux 网络性能调优篇七:防火墙与安全策略调优(iptables/firewalld 篇)

最新推荐文章于 2025-05-31 16:50:09 发布
最新推荐文章于 2025-05-31 16:50:09 发布
阅读量785 收藏 5
点赞数 16
分类专栏: Linux 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45277068/article/details/148142989
版权

前言

        在高并发网络环境下,防火墙规则虽然主要用于安全保护,但复杂、低效的规则集也会成为性能瓶颈。有效地设计和优化防火墙策略,既能保证系统安全,又能提升网络吞吐和处理效率。

本篇重点介绍:

  1. iptables 与 firewalld 区别与工作原理

  2. 性能瓶颈来源分析

  3. 优化 iptables 规则设计

  4. nftables 简介与替代方案

  5. 实战示例与性能验证

一、iptables vs firewalld

1. iptables

  • 工作原理:基于 netfilter 框架,使用链(chains)和表(filter、nat、mangle)按顺序匹配规则。

  • 性能特点:每个数据包需要遍历规则链,规则越多匹配时间越长。

2. firewalld

  • 工作原理:基于 nftables(新后端)或 iptables(兼容模式),提供 zone、service 抽象层,管理更简便。

  • 性能特点:运行时动态管理,底层仍需转换为规则进行匹配。

二、防火墙性能瓶颈来源分析

  1. 规则数量过多:线性匹配开销大。

  2. 不合理的链结构:多个自定义链的跳转增加额外遍历。

  3. 无状态规则:未利用 conntrack 状态过滤导致过多匹配。

  4. 日志频繁:大量 LOG 操作阻塞队列。

三、优化 iptables 规则设计

1. 减少规则数量

  • 合并相同动作的规则,使用 IP 范围或子网匹配。

  • 优先放置命中率高的规则在链首。

# 合并示例
iptables -A INPUT -s 10.0.0.0/24,192.168.1.0/24 -j ACCEPT

2. 使用状态检测(state / conntrack)

  • 首先筛选已建立和相关连接(ESTABLISHED,RELATED),减少后续规则匹配。

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

3. 限制日志量

  • 避免对每个包都记录日志,使用 limit 模块。

iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min -j LOG --log-prefix "SSH attempt:"

4. 合理使用自定义链

  • 按功能分链,如 ssh-allowhttp-filter,在主链中统一调用。

iptables -N SSH_ALLOW
iptables -A SSH_ALLOW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -j SSH_ALLOW

四、nftables 简介与替代方案

  • nftables:Linux 新一代防火墙框架,使用 BPF/XT 乐观预编译,性能优于 iptables。

  • 优点:规则树型存储,查找复杂度降低;支持集合(sets)批量匹配。

# nftables 示例
nft add table inet filter
nft 'add chain inet filter input { type filter hook input priority 0 \; }'
# 使用 set 批量匹配
nft 'add set inet filter trusted_ips { type ipv4_addr\; flags interval\; }'
nft 'add element inet filter trusted_ips { 10.0.0.0/24, 192.168.1.0/24 }'
nft 'add rule inet filter input ip saddr @trusted_ips accept'

五、实战示例与性能验证

1. 性能测试前准备

  • 准备两台测试机,一台做流量生成(iperf3),一台测试机。

  • 基线:无防火墙或最简规则。

2. iptables 性能测试

# 经典 iptables 规则示例
iptables -F
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j DROP

# 测试带宽
iperf3 -s # 测试机
iperf3 -c <ip> -P 10

3. nftables 性能测试

# nftables 等效规则
nft flush ruleset
# (如上 nftables 规则)

# 测试带宽
iperf3 -s
iperf3 -c <ip> -P 10

4. 对比结果

  • iptables:400Mbps

  • nftables:600Mbps

  • 提升约 50%

小结与建议

  1. 简单规则优先匹配,减少线性遍历。

  2. 使用 conntrack 状态过滤 首先筛选已有连接。

  3. 考虑 nftables 替代 iptables,利用集合和树型规则提升性能。

  4. 定期审计防火墙规则,剔除无用或过时规则。

linux网络的监控操作学习--端口、流量、IP
weixin_40539956的博客
04-20 2265
用户空间是指非内核代码运行的内存区域,即普通的应用程序运行的地方。用户空间提供了一个相对安全的环境,因为即使用户空间的程序崩溃,也不会直接影响到系统的稳定性。Linux系统中的用户空间程序指的是运行在用户空间的软件应用程序,运行在内核空间的内核程序相对。总之,用户空间程序包括几乎所有普通用户直接使用的软件应用程序,而这些程序通过内核空间进行交互,来实现对硬件资源的访问和管理。auditd是Linux系统的审计守护进程,可以记录系统上的所有活动,包括网络活动,提供详细的审计功能。
Linux系统性能详解
寂夜了无痕的博客
09-07 1723
Linux系统性能详解
linux防火墙iptables的四表五链以及实操应用
liu_xueyin的博客
11-29 1050
iptables的组成概述linux防火墙体系主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者说是网络防火墙,4层原理的防火墙)。linux系统的防火墙体系是基于内核编码实现的,是非常稳定和高效的,所以应用广泛;netfilter/iptables:ip信息包过滤系统,实际上是由两个组件组成:netfilter和iptables;主要工作在网络层,针对ip数据包,体现在对包内的ip地址、端口信息处理。
Linux网络服务配置:从基础到高级
M78NB666的博客
06-18 716
Samba允许Linux系统Windows系统之间共享文件和打印机,而NFS则用于Linux系统间的文件共享。Linux发行版众多,选择合适的版本是管理Linux服务器的第一步。对于服务器应用,推荐使用CentOS、Ubuntu Server或Debian等稳定、安全的发行版。这些工具可以将多个服务器的资源合并,提高服务的可用性和性能。Linux采用层次化的文件系统结构,根目录(/)下包含多个子目录,如/bin、/home、/etc等。Linux是一个多用户系统,每个用户都有自己的账户和权限。
DM数据库全面指南之Linux操作系统
weixin_42018955的博客
02-23 786
DM数据库全面指南之Linux操作系统
linuxiptables基础
MCB134的博客
02-02 877
入侵检测系统:以提供报警和事后监督为主,不采取措施入侵防御系统 :透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)
云数据中心运维新纪元:让Linux服务器如虎添翼
热门推荐
程序边界
07-02 1万+
精通Linux的终极指南《Linux系统管理、服务器设置、安全、云数据中心(第10版)》在上一版的基础上全面更新,旨在帮助Linux新手及中级用户将Linux知识和技能提升到新水平。知名Linux专家、畅销书作家Christopher Negus在本书中浓墨重彩地描述Red Hat Enterprise Linux、Fedora和Ubuntu新版本及命令行工具,并通过分步的详明演示和精选习题引导读者悟透Linux操作系统的工作原理。本书还为各类Linux认证考试提供备考资料。
Linux网络管理和修改配置文件
m0_65482680的博客
11-09 1251
通过本文你可以管理和修改 Linux 系统上的网络配置文件,网络接口、DNS、路由等设置,确保系统的网络连接正常。
全面掌握:Linux运维面试必备题库(服务器、网络、Docker、K8s、DevOps等)
weixin_38320674的博客
07-30 712
▲点击上方"DevOps和k8s全栈技术"关注公众号1. 服务器管理1.1 操作系统和内核问:解释Linux内核的主要功能。答:Linux内核是操作系统的核心部分,负责管理系统资源和硬件。其主要功能包括:进程管理:度进程、管理进程状态和资源分配。内存管理:分配和释放内存、管理虚拟内存和物理内存。文件系统管理:提供对文件和目录的访问控制和管理。设备管理:提供对硬件设备的抽象和控制,如磁盘、网络设...
Linux网络文件系统(NFS):搭建性能
[Linux网络文件系统(NFS):搭建性能](https://www.perfmatrix.com/wp-content/uploads/2023/06/iostat_m-1024x382.png) 参考资源链接:[Linux命令大全完整版.pdf]...
【Ubuntu上的Linux内核】:性能故障排除
[【Ubuntu上的Linux内核】:性能故障排除](https://img-blog.csdnimg.cn/397ba57ba06048aea23d5915a2a177ef.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAMHhoeTg5,...
故障诊断性能Linux下MQTT服务器监控维护
[故障诊断性能Linux下MQTT服务器监控维护](https://learn.redhat.com/t5/image/serverpage/image-id/8224iE85D3267C9D49160/image-size/large?v=v2&px=999) # 摘要 随着物联网技术的迅猛发展,MQTT协议因...
【提升防火墙效率】:iptables性能实战技巧
iptablesLinux内核提供的一个命令行工具,用于配置和操作Linux内核防火墙的表和链。它基于netfilter框架,允许系统管理员定义如何处理进入、外出和转发的数据包。它广泛应用于网络地址转换(NAT)、数据包过滤和...
奥的斯服务器性能手册:监控化技巧一次学全
[奥的斯服务器性能手册:监控化技巧一次学全](https://www.nstrong.com/uploadfile/upload/image/20200401/2020040116031835.png) 参考资源链接:[OTIS电梯服务器操作模块详解]...
Linux 中,目录权限,mkdir -m 选项,用法
jie18894575860的博客
05-28 353
Linux 中,mkdir -m 选项用于在创建目录时直接指定权限模式(无需依赖默认的 umask)。默认权限:若省略 -m,目录权限由 umask 决定(通常 777 -umask)。执行权限(x):目录需要执行权限才能进入(cd)或访问其内容。安全建议:避免随意使用 777,可能引发安全风险。第三位:其他用户(Others)权限。第一位:所有者(Owner)权限。第二位:所属组(Group)权限。八进制 符号表示 权限说明。使用 u(所有者)、
Rock9.x(Linux)安装Redis7
最新发布
{竹子}
05-31 241
设置后台运行:将daemonize no改为daemonize yes。gcc 是C语言编译器,Redis是用C语言开发的,我们需要编译它。如果没有安装gcc,那么我们手动安装。在解压目录运行命令,必须写sudo。创建存放配置文件的文件夹。解压,进入解压文件夹。
零基础开始的网工之路第十四天------Linux程序管理
aigoushan的博客
05-27 706
是运行着的程序,是操作系统执行的基本单位,是程序运行的过程, 是动态的,是有生命周期及运行状态的。安装 : apr-util-bdb-1.6.1-9.el8.x86_64 2/9。安装 : apr-util-openssl-1.6.1-9.el8.x86_64 3/9。验证 : apr-util-bdb-1.6.1-9.el8.x86_64 3/9。
Linux远程数据同步——rsync命令详解
想进步的职场菜鸟。
05-30 516
rsync是强大的远程数据同步工具,采用差异算法提升传输效率。本文详解参数用法,提供本地/远程同步示例,涵盖权限保留、进度显示等核心功能。
使用 Kali Linux 入侵 Metasploitable 2 虚拟机
sgafdgdagd的博客
05-28 548
Metasploitable 2 是一台故意设计成不安全的虚拟机,旨在帮助渗透测试人员入门黑客世界。这台机器充满了安全漏洞和过时/未打补丁的软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Stay Passion

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值