防火牆對於很多用戶來說有點雞肋的感覺,事實上防火牆的功用還是很多的,只是我們平時不懂得如何去設置罷了。防火牆負載過重嗎?防火牆負載過重的症狀包括CPU占用率高,數據傳輸慢,應用運行緩慢。在升級硬件之前,有必要查看一下防火牆配置,看看是否可對其進行優化。這裡為大家介紹幾種優化防火牆的建議,以期幫助大家實現電腦最佳性能,提高傳輸速度。
此優化配置技巧分為兩個部分:常規最佳配置和供應商專用的模式型配置。本文主要介紹常規最佳配置。
方法一:確保流向外部的數據符合策略
清除不好的數據,清理網絡。不好的數據包括與策略不符的,未授權的或不受歡迎的數據。如果發生服務器直接用對外否認的DNS,NTP,SMTP,HTTP和HTTPSecure請求等攻擊防火牆時,要通知服務器管理員。然後,管理員應重新配置服務器,支起不會發送不受歡迎的對外數據。
方法二:在路由而不是防火牆上過濾不想要的數據
將過濾不受歡迎數據的規則更改到邊緣路由上,以平衡安全策略的性能和效用。首先,要將那些通往路由的頂端注入請求當作標准ACL過濾器。這樣或許有些耗費時間,但卻不失為阻止數據湧入路由的良方,因為這樣有利於節約防火牆所占用的CPU和內存。
而後,如果你的網絡與防火牆之間具備內部障礙路由,可考慮將普通對外流量轉移到該障礙路由上。這樣可以釋放更多防火牆進程。
方法三:刪除不需要使用的規則和對象
刪除規則庫中不需要使用的規則和對象。雖然清除一個難以控制的規則庫聽上去有些令人望而生畏,但是還是有許多自動化工具可助你一臂之力。這些自動化工具可以減少防火牆策略管理的困難。
方法四:減少規則庫的復雜度
減少規則庫的復雜度,而且規則盡可能不要重復。再一次強調,有很多工具可極大減少我們清理和簡化規則庫的時間和障礙。
方法五:控制傳送流量
如果防火牆界面直接連接到LAN部分,那麼你應該創建一條規則來控制無記錄的傳送流量(bootp,TCP/IP協議之上運行的NetBIOS等。)
方法六:將使用較頻繁的規則列於規則庫靠前位置
將使用較頻繁的規則列於規則庫靠前位置。注意有些防火牆(如,思科Pix,ASA7.0以上版本,FWSM4.0和某些Juniper網絡模式)不依賴於規則順序執行,因為他們使用優化法則來匹配數據包。
方法七:避免DNS對象
避免那些需要DNS查找的對象。