![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Die Performance von Firewalls hängt von vielen Faktoren ab. Bei Nichtbeachtung dieser Tips kann es schon einmal passieren, daß ein 80486er mit 16 MB RAM genauso schnell ist, wie ein Pentium 350 mit 64 MB RAM. Es lohnt sich also, sich genauer Gedanken um den Aufbau der Firewallregeln zu machen.
Die Komplexität der Firewallregeln ist der Hauptgrund für Verluste bei der Performance. Firewallregeln werden bei allen Firewalls linear durchlaufen. Es gibt von einigen Herstellern Versuche, die Performance durch den Einsatz eines "ruleset optimizer" zu verbessern. Es hat sich bei Tests herausgestellt, daß insbesondere diese Firewalls oft fehlerhaft arbeiteten. Darum haben viele Firewall Hersteller diesen Optimizer nicht mehr im Einsatz.
Es ist wesentlich einfacher, sich vor dem Aufstellen der Firewall-Regeln zu überlegen, ob eventuell die Zahl der Regeln sich verringern läßt, wenn man statt einer Positivliste für Hosts nur eine Negativliste anlegt. In jedem Falle wird bei allen hier vorgestellten LINUX Firewalls das "ruleset" bis zum Ende durchlaufen. Die SINUS Firewall durchläuft den kompletten Regelsatz stets bis zum Ende. Dies schließt Programmierfehler weitestgehend aus, auch wenn die Performance darunter leidet, insbesondere bei vielen Regeln. IPFWADM und IPCHAINS brechen nach dem ersten Match (zutreffende Regel) ab und durchlaufen das Regelwerk nicht weiter. Besonders beim Einsatz von IPFWADM und IPCHAINS muß man höllisch aufpassen, daß man keine Fehler macht. Hier sollte man tatsächlich die Sicherheit nach der Installation mit Auditing Toolkits genau überprüfen. Hier einige Beispiele, die verdeutlichen sollten, wo eventuell Performanceverbesserungen möglich sind.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |