Linux防火墙怎样优化性能更流畅

Linux防火墙性能优化实操指南

一 规则与策略优化

• 采用最小权限原则：只放行必需端口与来源，默认策略设为DROP/REJECT，避免“默认全放行”。
• 利用状态跟踪优先放行已建立连接：对入站流量优先匹配ESTABLISHED,RELATED，大幅减少规则匹配次数。
• 优化规则顺序与数量：高频命中规则置顶；合并重复/相似规则；删除无效与过期规则；善用自定义链做分流复用。
• 使用ipset管理海量IP/网段/端口集合，避免在规则中反复罗列，提高匹配效率。
• 控制日志噪声：仅对异常或审计需要的流量记录，避免高频LOG拖慢内核与磁盘。
• 在网关/转发场景，优先为FORWARD路径建立粗粒度“先放行已建立、后精确放行NEW”的结构，减少每条连接反复匹配。

二 工具与内核栈选择

• 优先选用nftables替代传统iptables：规则匹配更高效、规则集更简洁，且统一IPv4/IPv6管理，减少维护成本与潜在不一致。
• 在RHEL/CentOS 7→9的演进中，nftables逐步成为底层主流；firewalld在新版本中可作为nftables的上层抽象使用，便于动态管理。
• 高吞吐场景引入eBPF/XDP：在网卡驱动层或内核早期路径做快速丢弃/放行，显著降低内核协议栈与conntrack压力（适合边界网关、DDoS前置过滤）。
• 合理选择工具层级：需要“可编程+高性能”时选eBPF/XDP；常规服务器以nftables/firewalld为主；遗留系统再考虑iptables并逐步迁移。

三 内核与网络栈调优

• 适度调整连接跟踪与会话参数（示例值需结合业务压测微调）：
  • 增大net.netfilter.nf_conntrack_max与nf_conntrack_buckets，减少conntrack表满导致的丢包或性能抖动。
  • 缩短net.netfilter.nf_conntrack_tcp_timeout_established，加速回收空闲连接，释放表项。
• 优化TCP栈以匹配业务并发：
  • 适度提高net.core.somaxconn、net.ipv4.tcp_max_syn_backlog，提升高并发接入能力。
  • 结合业务调优net.ipv4.tcp_fin_timeout等，减少长尾等待。
• 提升文件描述符与网络资源上限：增大fs.file-max与进程RLIMIT_NOFILE，避免“打开文件过多”影响转发/监控组件。
• 多核负载均衡：启用RPS/RFS或网卡RSS将软中断分散到多核，提升大流量场景吞吐与延迟稳定性。

四 典型优化示例

• nftables快速模板（示例为入站方向，按需扩展）：
  1. 建立表与链
     nft add table inet filter
     nft add chain inet filter input { type filter hook input priority 0; policy drop; }
  2. 高频优先：放行已建立/相关连接
     nft add rule inet filter input ct state established,related accept
  3. 放行回环与本机服务
     nft add rule inet filter input iif lo accept
     nft add rule inet filter input tcp dport { 22, 80, 443 } accept
  4. 使用ipset批量管理黑名单（示例）
     nft add set inet filter blacklist { type ipv4_addr; }
     nft add rule inet filter input ip saddr @blacklist drop
  5. 持久化（发行版不同，常见为nft list ruleset > /etc/nftables.conf 并在开机时加载）
• firewalld要点（动态管理、减少重载）：
  • 查看与启停：firewall-cmd --state；systemctl enable --now firewalld
  • 放行常用服务：firewall-cmd --permanent --add-service=ssh；firewall-cmd --permanent --add-service=http；firewall-cmd --reload
  • 开启被拒日志：firewall-cmd --set-log-denied=on（仅在需要审计时开启）
• 连接跟踪与日志的取舍：
  • 对“仅转发、无需NAT”的接口可考虑NOTRACK降低conntrack压力（mangle/raw表）；
  • 日志仅用于异常与取证，避免对高频流量LOG，以免占用CPU与I/O。

五 监控与验证

• 规则与命中统计：
  • nftables：nft list ruleset；nft list table inet filter -a（查看计数器）
  • iptables：iptables -L -v -x -n（关注pkts/bytes与规则命中顺序）
• 连接与内核资源：
  • conntrack：conntrack -L | head；cat /proc/sys/net/netfilter/nf_conntrack_count 与 nf_conntrack_max
  • 系统：ss -s、netstat -s、sar -n DEV/EDEV 1 10
• 基准与回归：在变更前后进行吞吐（如iperf3）、并发连接（如wrk/ab）、P95/P99延迟对比；异常时回滚至上一个nft/iptables快照或备份。