nf-HiPAC - High-Performance Firewall für Linux

nf-HiPAC ist ein voll ausgestatteter Paketfilter für Linux, der die Mächtigkeit und Flexibiltät von HiPAC demonstriert. HiPAC ist ein neuartiges Framework für die Paket-Klassifikation, welches einen fortschrittlichen Algorithmus benutzt, um die Anzahl der Memory Lookups pro Paket zu minimieren. Es ist ideal für Umgebungen, in denen große Regelsätze und/oder Netzwerke mit hohen Bandbreiten eine Rolle spielen.

nf-HiPAC bietet denselben reichhaltigen Funktionsumfang wie iptables, der bekannte Linux Paketfilter. Die Komplexität des ausgeklügelten HiPAC Paket Klassifikationsalgorithmus ist hinter einem iptables-kompatiblen Userinterface verborgen, wodurch es ein leichtes ist, iptables durch nf-HiPAC zu ersetzen. Die Semantik der iptables-Regeln wird beibehalten. Das bedeutet, dass Sie ihre Regeln wie gewohnt konstruieren können. Der User muss sich also gar nicht näher mit der Funktionsweise des HiPAC-Algorithmus beschäftigen.

Das nf-HiPAC Userspace Tool ist so entworfen worden, dass es so kompatibel wie möglich zu einem 'iptables -t filter' ist. Neben den nativen nf-HiPAC targets unterstützt es auch iptables targets und matches und stateful packet filtering (connection tracking) via netfilter. Dies alles macht einen Wechsel von iptables zu nf-HiPAC sehr einfach. Normalerweise ist es ausreichend die Aufrufe von iptables durch Aufrufe von nf-hipac für Ihre Filterregeln zu ersetzen.

Warum ein neuer Paketfilter?

  • Performance:
    iptables benutzt wie die meisten anderen Paketfilter einen einfachen Paket-Klassifizierungsalgorithmus, der die Regeln pro Paket linear in einer Kette durchwandert bis eine passende Regel gefunden wurde (oder nicht). Offensichtlich ist dieser Ansatz nicht sehr effizient. Sobald Netzwerke komplexer werden und größere Bandbreiten erzielt werden, ist lineare Paketfilterung bei vielen Regeln pro Paket keine Option mehr. Höhere Bandbreiten bedeuten mehr Pakete pro Sekunde, was zu kürzerer Bearbeitungszeit pro Paket führt. nf-HiPAC schlägt iptables ungeachtet der Anzahl der Regeln, d.h. insbesondere entsteht durch HiPAC kein Overhead, auch nicht bei sehr kleinen Regelwerken.
  • Skalierbarkeit für große Regelwerke:
    Die Performance von nf-HiPAC ist nahezu unabhängig von der Anzahl der Regeln. nf-HiPAC überflügelt selbst mit tausenden von Regeln iptables mit 20 Regeln.
  • Dynamische Regelwerke:
    nf-HiPAC bietet schnelle, dynamische Updates des Regelwerks ohne Unterbrechung der Paketklassifizierung. Im Gegensatz hierzu hat iptables schlechte Update Eigenschaften und unterbricht sogar die Paketklassifizierung während Updates.