加工铁路货车摇枕组合机床夹具的设计研究.pdf

收藏

编号:20181111080138031694    类型:共享资源    大小:678.40KB    格式:PDF    上传时间:2019-02-16
  
3
金币
关 键 词:
加工铁路货车摇枕组合机床夹具的设计研究 铁路货车摇枕 组合机床 的设计 夹具设计 设计的 PDF 加工铁路货车摇枕组合机床 加工夹具 车床设计 车床加工 车床加工夹具 加工铁路货车摇枕 摇枕加工 摇枕的夹具
资源描述:
2013年第3期 广东技术师范学院学报(自然科学) Journal of Guangdong Polytechnic Normal University No.3,2013 Netfilter防火墙的设计与优化 王金恒 (广东技术师范学院天河学院,广东广州510540) 摘 要:防火墙是企业网络设计时的关键设备。设计的好坏直接影响着上网的速度.本文首先介绍了Netfi 1一 ter防火墙的设计机制与实现原理,针对防火墙在高效地过滤与转发数据包方面的问题,从优化规则与使用RAW表 两个方面对防火墙提出了优化,加快了进出防火墙的数据包转发的速度,提高了防火墙的性能. 关键词:防火墙;设计;优化 中图分类号:’IN 915.1 文献标识码:B 文章编号:1672—402X(2013)03—0050—03 1引言 对于中小型企业来讲,通常防火墙的设计如图1 所示,Neffilter防火墙把网络分成了三块,ethO连接互 联网,ethl连接内部企业网络,eth2为DMZ区域,防火 墙在此是内网与外网、外网与DMZ区交换数据唯一 的途径.所以它的设计是至关重要的. F~ 剖渺 !一 图1防火墙设计 防火墙性能的高低代表着防火墙在单位时间内 所能处理的数据包数量,因此,防火墙的性能将关系 着企业连接因特网速度的快慢.如一个性能低的防 火墙将可能会造成企业浏览因特网速度缓慢的问 题,又或者因特网用户访问企业网站时会发生网络 缓慢的问题.随着GNU/Linux操作系统不断地成熟, 现在很多中小型企业都在使用GNUm硼x操作系统 作为防火墙接人互联网。用其上运行的Netfilter/Ipta. bles来保护企业内网的安全.正因如此。本文讨论如 何优化Netfiher/Iptables防火墙。使其性能发挥更好. 2 Netfilter防火墙的工作原理 要想优化防火墙,提高防火墙的性能,首先,必 须了解Netfilter/Iptables防火墙是如何工作的.Netfiher 由表组成,其中Filter表是Netfiher的最重要的表,其 功能是进行数据包过滤。也就是所谓的防火墙功能. 而每个表都由不同的链组成,对于Filter表来讲包含 INPUT、FORWARD与OU’IPUT三个链组成,每一个链 都有不同的作用。INPUT链是指网络上其他主机的 送给本机进程的数据包;FORWARD是指经过防火 墙的流量:OUTPUT是指本机进程送往网络内其他主 机的流量.而我们的规则就是写到链里面,对于每一 个链都有若干规则与最后一条默认策略组成,那么, 规划又是如何来匹配这些数据包的呢?下面以IN. PUT链为例讲解数据包是如何被匹配的,当第一个 数据包进人INPUT链后。Filter表就会就会以这个数 据包的特征从INPUT链中规则从第一条逐一地向下 匹配,假如数据包被第一条规则匹配到,那么该数据 包的存活就由第一条规则来决定,如果将数据包丢 弃,那么数据包就会被丢弃,不管下面的规则有多重 要,相反地,如果第一条规则是接受该数据包,那么 该数据包将会送往本机进程。当然也不管下面的规 则了,这就是所谓的优先匹配.如果数据包在INPUT 链里面第一条规则对比到最后一条规则都没有匹配 成功时。最后就匹配的是默认策略,默认策略永远都 收稿日期:2013一04—20 作者简介:王金恒(1982一),女,湖南衡阳,学士学位,网络工程师,广东技术师范学院天河学院教师.研究方向:为计算机网络应用技术. ◇吲 万方数据 第3期 王金恒:Net61把r防火墙的设计与优化 ·5l · 是在最后面匹配,而且只有一种状态,要么是AC. CEPT,要么是DROP,如果是ACCEPT,那么数据包将 会被送往本机进程,如果是DROP,那么数据包将会 被丢弃掉.默认策略的默认状态是ACCEPT. 3 Netfilter防火墙的优化 方法一:减少不必要的规则匹配 在了解了防火墙工作原理后.我们知道规则的 设计直接会影响到防火墙的性能。因此我们在设计 规则的时候尽量减少不必要的规则匹配.因为每当 一个数据包进人防火墙之后就会在特定的链里面逐 一进行对比,规则数量越多,数据包在防火墙内停留 的时间就会越长。当然防火墙在单位时间内所能处 理的数据包数据就越少,相应地,防火墙性能就越 低,所以,减少规则的匹配次数将是提升防火墙性能 的关键.但是如何减少不必要的规则匹配呢? 下面以一台单机防火墙为例,上面运行WEB服 务器。WEB服务器上的规则如下: (!)iptables—A INPUT—p top…syn m state 一一state NEW一-dport 22一j ACCEPT @)iptables—A INPUT—P tcp·-——syn—nl state —-—-state NEW—--dport 23一J ACCEPT (查)iptables‘。A INPUT—P tcp—-——syn—m state -—·-state NEW—--dport 25一J ACCEPT @iptables—A INPUT—P tep一一syn—m state 一一state NEW一一dpon 53一i ACCEPT 5⑤iptables—-A INPUT—p tcp....syn—m state 一一state NEW一-dport 80一j ACCEPT (蚕)iptables—A INPu.,r—P tcp一一syn—m state 一一state ESTABUSHED,REI。ATED—j ACCEPT 假如一位用户正准备去访问这台服务器的WEB 服务,如果要把这个网站的网页打开,服务器端需要 传递1000个数据包给客户端。请问访问到这个网页 后。这些数据包要在防火墙上总共需要经过多少次 匹配动作?最少需要匹配5999次!你也许会惊讶.为 什么需要那么多匹配动作,因为TCP连接是一来一 往的,也就是说,当服务器端送出一个数据包给客户 端时。客户端会收到这个数据包后会响应一个确认 包给服务器端,告诉服务器端,你给我的数据包已收 到,请发下一个数据包.因此,服务器端送几个数据 包给客户端.客户端就要响应几个数据包给服务器 端,当客户端对服务器端送出第一个数据包的时候, 这个数据包在INPUT链中由上向下逐条匹配。直到 第五条规则才会停止匹配的动作,因此,第一个数据 包需要花掉五次匹配动作。当第一个数据包进人防 火墙后.其后的所有数据包都会属于ESTABLISHED 状态的数据包,因此,第2一1000个数据包都会需要6 次的匹配动作。因此。当1000个数据包全部传送完毕 时.防火墙总共产生lx5+999x6=5999次的匹配动作. 由此可见.提高防火墙性能最主要的方法是减 少匹配的次数.减少不必要的规则匹配是我们设计 防火墙策略的时候首先要考虑的,下面几种方法可 以减少匹配的次数: (1)调整防火墙的规则顺序 从上面的例子可以看出。如果我们把第6条规则 移到第一条规则位置,那么匹配的动作会变成lx6+ 999x1=1005次。由此,可以看出调整规则匹配的顺序 对于防火墙的影响是多么重要! 如果把第6条移动第1条的位置,把第5条移动第 2条位置,这样匹配就只要lx2+999xl=1001次,又少 了5次.这种想法没有错.但请不要忘了第2条规则下 面还有4条规则,那就有其他的规则变成第5条,因此, 在编写防火墙时请把握一个原则,匹配命中次数越高 的规则就应该越写前面,那么,我们怎么样去衡量到 底哪个服务匹配的次数多。其实Neffilter提供了一个 统计的功能,如果你真的无法去识别规则的先后顺 序。那就请先随便摆放这些规则,等到防火墙执行一 段时间之后再执行命令“iptables—L—n—v”查看每 一条规则匹配的次数.再根据这些数据来调整顺序. (2)使用multiport参数 我们使用multiport参数把上面的例子改写如下: (堇)iptables—A INPuT—P tcp一-syn—m state 一-state ESTABHSHED,RELATED—j ACCEPT @)iptables—A INPUT—P tcp一一syn—Ill state. 一-state NEW—m muhiport一一dports 22,23,25,53,80 一J ACCEPT 如此以来,不管是哪个服务,所匹配的次数都是 一样的. (3)使用iprange参数 如果在防火墙上要对一段IP地址做策略,比如: 192.168.1.4到192.168.1.10这六个IP地址,之前,我们 需要用六条命令分别对这六个IP地址做策略,那么 有Tiprang参数后。就只要写成一条就行: ①iptables—A INPUT—m iprange—srl3-range 192.168.1.4-192.168.1.10一j ACCEPT 如此以来.就可以减少规则,达到最少匹配原则. 万方数据 ·52· 王金恒:Neffdter防火墙的设计与优化 第3期 (4)使用用户自定义链 假如防火墙后方有3台服务器,并在防火墙上分 别为这3台服务器各设定100条规则,在防火墙上就 有300条规则,如果我们没有特别注意规则的编写方 式,那么FORWARD链就有高达300条规则,如果我 们要匹配的是最后一条规则.那么防火墙就必须要 先经过299条无效匹配后.在第300次匹配中才会被匹 配出来,因此,这将会是一个非常没有效率的防火墙. 为了减少这么多无效匹配的次数.我们有一个 方法可用,那就是用户自定义的链,我们可以把首先 定义三个链,分别是WEB、MAIL、FTP,把针对每一个 服务器的规则写到不同的自定义链里面.然后在 FORWARD链中定义三条规则: (堇)iptables—A FORWARD—P all—d$WEB· SERVER—j WEB ②iptables—A FORWARD—P all—d $MAILSERVER—j MAIL ③iptables—A FORWARD—P all—d $FⅡ丐ERVER—J FrP 如此以来.就可以将无效匹配减少到102次左 右,如果我们再将用户自定义的链分为WEB_ICMP、 WEBJCP、WEB_UDP……,那么我们就可以将无效 匹配减少到更少. 方法二:使用RAW表 任何穿越防火墙的连接,都会被记录在,pmc, net/ip_conntmck文件内,便于防火墙连接追踪,影响 着防火墙的性能. RAW表只使用在PREROU7珈、iG链和OUTPUT链 上,因为优先级最高,从而可以对收到的数据包在连 接跟踪前进行处理.一但用户使用了RAW表。在某个 链上,RAW表处理完后,将跳过NAT表和ip_con. ntrack处理.即不再做地址转换和数据包的链接跟踪 处理了.RAW表可以应用在那些不需要做nat的情况 下,以提高性能.如大量访问的web/]l曼务器,可以让80 端口不再让Iptables做数据包的链接跟踪处理.以提 高用户的访问速度. 例如: 可以使用“NO’I姒CK”允许规则指定80端口的 包不进入连接跟踪与NAT子系统 iptables—t raw—A PREROUT矾G—d 1.2.3.4一P tep一一doort 80--i NOTR ACK iptables-t raw-A PREROUTING—s 1.2.3.4一p tcp—-——sport 80--j NOTRACK RAW的好处就是加速。以及增加可追踪的连接 数量,因为被RAW表定义的连接不会被追踪,因此, 也就能提高防火墙性能. 4结束语 本文先介绍了优化防火墙的重要性,然后从两 个方面提出如何加速防火墙的处理数据包速度.确 保数据包能更高效地进出防火墙。使防火墙既达到 了保护内网安全作用.同时也提到加速的效果. 参考文献: [1]熊忠阳;张逢贵;张玉芳.Linux下基于Netfilter个人内核防火 墙的设计与实现叨.计算机应用,2009.08. [2]刘君尧.Linux下基于Nelfdter的防火墙设计田.微机发展。 2003.05. [3 3朱志伟:周清雷.Netfiher/iptables防火墙的控制与使用叨.网 络安全技术与应用。2005.10. [4]陈涛;张强;韩羽.LINUX服务攻畋呻】.北京:清华大学出版 社.2008.05. [5]王一平;韦卫.网络安全框架netKlter在Linux中的实现明.计 算机工程与设计。2006.10. Design and Optimization of Netf'dter Firewall WANG Jin-heng (Tianhe College of Guangdong Polyteehnieal Normal Unieersity,Guangzhou 5 10540,China) Abstract:FirewaU is the key equipment for enterprise network design,the design will have a direct impact on the speed of the internet.This paper introduces the design and implementation principle of mechanism of Neffilter firewau,the firewaU in the efficient filtering and forwarding packets problems,from the optimization rules and USe the RAW table to propese the optimization of the firewall,fasten the data packet forwarding speed,improve the performance of firewall. Key words:Firewall;Design;Optimization 万方数据
展开阅读全文
  皮皮文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:加工铁路货车摇枕组合机床夹具的设计研究.pdf
链接地址:http://www.ppdoc.com/p-10931118.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2008-2018 皮皮文库网站版权所有
经营许可证编号:京ICP备12026657号-3 

收起
展开