Effekterna av brandväggsregler för FreeBSD PF & IPtables
2018 (Swedish)Independent thesis Basic level (degree of Bachelor), 15 credits / 22,5 HE credits
Student thesisAlternative title
The impact of firewall rule sets for FreeBSD PF & IPtables (English)
Abstract [sv]
Paketfiltrering är en av nyckelfunktionerna i de flesta av dagens brandväggar, vilket gör paketfiltrering till en viktig del av det dagliga arbetet för många systemadministratörer. Sedan uppkomsten av paketfiltrering har nätverkskomplexiteten ökat drastiskt, Många av dagens tjänster har behov av olika protokoll för att kommunicera. I kombination med detta måste brandväggen bearbeta en större mängd data än tidigare för att tillgodose dagens nätverkstopologier.Denna studie syftar till att undersöka om det finns någon skillnad i prestanda mellan två moderna iterationer av de populära UNIX-brandväggarna IPtables och FreeBSD PF. Detta sker genom att de två brandväggarna utsätts för olika antal regler, samtidigt som de genomströmmas av olika stora paketflöden.De båda brandväggarna kommer att jämföras baserat på tre attribut, CPU, genomströmning och latens. tre olika bandbredder testas. 100, 500 och 1000Mbit/s. Testet omfattar längre tester som upprepas flera gånger för att öka studiens giltighet. Testerna som utförs görs på ursprungliga operativsystemet för varje brandvägg. Linux Ubuntu 16 för IPtables och FreeBSD 11 för FreeBSD PF.Studien kom fram till att brandväggarnas prestanda är likvärdiga i genomströmning och latens vid lägre regelmängder. Vid högre regelmängder skiljer sig prestandan och PF är bättre anpassad för stora regeluppsättningar. IPtables anses vara den bättre brandväggen för låga regeluppsättningar på grund av dess låga CPU-användning.
Abstract [en]
Packetfiltering is one of the key features in most of today’s firewalls. With many packetfilters being used daily in a system administrator’s work. Over the years since founding of the packetfilter technology the complexity of the network has increased drastically, where many of today’s services relies on different protocols to communicate, combined with a much larger amount of data that the firewall must process to satisfy todays network topologies.This study aims to explore if there is any difference in performance between two modern iterations of popular UNIX firewalls, IPtables and FreeBSD PF. By submitting them to different number of rulesets while at the same testing them under a series of different packet flows through the firewall.Both firewalls will be compared based on three attributes, CPU, throughput and latency, and three different bandwidths will be tested. 100, 500 and 1000Mbits/s. The test include longer tests that is repeated multiple times to increase the validity of the study. The tests were performed on the native operating system of each firewall. Linux Ubuntu 16 for IPtables and FreeBSD 11 for FreeBSD PF.The study concluded that the performance of the firewalls is equal in throughput and latency at lower volumes. At higher amounts of rulesets, performance is different between the firewalls and PF is considered better for large rules, while IPtables are considered to be a better firewall for low rulesets due to its low CPU usage.
Place, publisher, year, edition, pages
2018. , p. 44
Keywords [en]
Firewall, FreeBSD PF, IPtables, Ubuntu 16, FreeBSD 11, Dual-homed network, CPU, Latency, Throughput, packetfilter rules, firewall rules
Keywords [sv]
Brandvägg, FreeBSD PF, IPtables, Ubuntu 16, FreeBSD 11, Dual-homed network, CPU, latens, genomströmning, brandväggsregler
National Category
Computer and Information Sciences Natural Sciences
Identifiers
URN: urn:nbn:se:his:diva-15712OAI: oai:DiVA.org:his-15712DiVA, id: diva2:1221145
Subject / course
Informationsteknologi
Educational program
Network and Systems Administration
Supervisors
Examiners
2018-06-202018-06-192018-06-20Bibliographically approved