你的防火墙超载了吗?超载防火墙的症状包括高CPU,低吞吐量和应用缓慢。在你的硬件升级之前,检查一下你的防火墙配置是否可以优化,这是非常值得的。
防火墙配置的优化技术可分为两类:一般的最佳做法和特定厂商、特定型号的配置方法。本文将着重于最佳做法。
以下是防火墙管理员用来优化防火墙的最佳做法,以得到更好的性能和吞吐量。
最佳做法1:确保对外通信符合政策标准
消除不良的通信,清理网络。不良的通信包括不符合规定的、未经授权的或不想要的流量。通知服务器管理员关于直接袭击防火墙的服务器的域名系统(DNS)、NTP、SMTP、HTTP和HTTP安全(HTTPS)请求,以及减少或拒绝内部设备。然后,管理员应该重新配置服务器,不发送这类未经授权的对外通信类型(从而减轻防火墙负载)。
资源库:
开放式存储的工作:使用固态硬盘优化系统的新方法;
如何提高MySQL数据库可量测性;
虚拟桌面:机遇、挑战和成功的部署;
提高广域网应用传输:测量、监控、管理。
最佳做法2:在路由器上过滤不需要的通信量,而不是在防火墙上
把过滤不想要的入口通信量的规则从防火墙移到边缘路由器上,以均衡安全政策的性能和有效性。要做到这一点,首先确定最高入口流量要求,作为移到上游路由器的候选,上游路由器作为标准的访问控制列表(ACL)的过滤器。这可能是一个耗时的过程,但它是一个把防护阻挡移动到上游路由器的好方法,从而节省了防火墙的CPU和内存。然后,如果你在网络和防火墙之间,有一个瓶颈路由器,考虑将共同的外部通信阻挡移到你的瓶颈路由器上。
最佳做法3:移除未使用的规则和目标
移除规则库中的未使用的规则和目标。虽然清理一个繁杂的规则库听起来似乎是一个艰巨的任务,但是,有许多工具可用,这些工具可以帮助你自动清理各种规则。这些自动化工具使防火墙的政策管理更加容易。
最佳做法4:减少规则库的复杂性
降低复杂性,以及规则库的规则应尽量减少重叠,同样有一些工具可以使用,这些工具可以大大节省时间,简化清理规则库这项令人头痛的工作。
最佳做法5:处理播放通信
如果防火墙接口直接连接到LAN网段,你应该创建一个规则来处理播放通信(在TCP/IP上导入NetBIOS,等等)。
最佳做法6:把大量使用的规则放置在规则库的顶部
把大量使用的规则放置在规则库的顶部。请注意,有些防火墙(如:CiscoPix,ASA7.0及以上版本,FWSM4.0,以及某些Juniper网络模式)不依赖于规则的性能,因为它们使用最优化算法来匹配数据包。
最佳做法7:避免DNS(域名服务器)目标
避免DNS需要查询的目标。
最佳做法8:防火墙接口设置应与转换器和路由器设置相匹配
你的防火墙接口应符合你的路由器或转换接口。如果你的路由器或转换器是每秒100MB半双工的,你的防火墙也应该是每秒100MB半双工的。你的接口应设置为相互匹配。
你的路由器/转换器和防火墙都应该报告相同的速度和双工模式。如果你的交换机和防火墙都是千兆以太网,它们都应该被设置为自动协商速度和双工。如果你的千兆接口在你的防火墙和交换器之间不匹配,你应该尝试更换电缆和配线板端口。千兆接口如果不是连接在千兆比特/秒全双工上,这几乎总是导致其它问题发生的一个迹象。
最佳做法9:把防火墙与VPN(虚拟专用网络)分开
从VPN(虚拟专用网络)中分离出防火墙,给VPN的流量和处理过程卸载。
最佳做法10:防火墙的卸载功能
从防火墙卸载统一威胁管理UnifiedThreatManagement(UTM)功能,包括:防病毒、反垃圾邮件、入侵防御系统(IPS)、和URL扫描。
最佳做法11:升级到最新的软件版本
升级到最新的软件版本。作为一个经验法则,新版本包含了性能的提升,但也增加新的功能,因此,性能提升是无法得到保证的。
关于作者:ReuvenHarrison是Tufin技术公司的首席技术官。2003年,Reuven与人合作成立Tufin技术公司,在公司的快速增长期间,担任首席技术官的职务。负责Tufin的旗舰产品,Reuven领导Tufin的开发人员,管理所有的产品结构。Reuven拥有超过17年的软件开发经验,在CheckPoint软件开发工程中,担任两个重要职位,同时还兼任CapsuleTechnologies和ECS的其他重要职务。他获得了TelAviv大学的数学和哲学学士学位。
欢迎到【弱电论坛】来学习和讨论问题!