防火牆配置技巧

防火牆負載過重嗎?防火牆負載過重的症狀包括CPU占用率高，數據傳輸慢，應用運行緩慢。在升級硬件之前，有必要查看一下防火牆配置，看看是否可對其進行優化。這裡為大家介紹幾種優化防火牆的建議，以期幫助大家實現電腦最佳性能，提高傳輸速度。

此優化配置技巧分為兩個部分：常規最佳配置和供應商專用的模式型配置。本文主要介紹常規最佳配置。

方法一：確保流向外部的數據符合策略

清除不好的數據，清理網絡。不好的數據包括與策略不符的，未授權的或不受歡迎的數據。如果發生服務器直接用對外否認的DNS，NTP，SMTP, HTTP和HTTP Secure請求等攻擊防火牆時，要通知服務器管理員。然後，管理員應重新配置服務器，支起不會發送不受歡迎的對外數據。

方法二：在路由而不是防火牆上過濾不想要的數據

將過濾不受歡迎數據的規則更改到邊緣路由上，以平衡安全策略的性能和效用。首先，要將那些通往路由的頂端注入請求當作標准ACL過濾器。這樣或許有些耗費時間，但卻不失為阻止數據湧入路由的良方，因為這樣有利於節約防火牆所占用的CPU和內存。

而後，如果你的網絡與防火牆之間具備內部障礙路由，可考慮將普通對外流量轉移到該障礙路由上。這樣可以釋放更多防火牆進程。

方法三：刪除不需要使用的規則和對象

刪除規則庫中不需要使用的規則和對象。雖然清除一個難以控制的規則庫聽上去有些令人望而生畏，但是還是有許多自動化工具可助你一臂之力。這些自動化工具可以減少防火牆策略管理的困難。

方法四：減少規則庫的復雜度

減少規則庫的復雜度，而且規則盡可能不要重復。再一次強調，有很多工具可極大減少我們清理和簡化規則庫的時間和障礙。

方法五：控制傳送流量

如果防火牆界面直接連接到LAN部分，那麼你應該創建一條規則來控制無記錄的傳送流量(bootp, TCP/IP 協議之上運行的NetBIOS等。)

方法六：將使用較頻繁的規則列於規則庫靠前位置

將使用較頻繁的規則列於規則庫靠前位置。注意有些防火牆(如，思科Pix）不依賴於規則順序執行，因為他們使用優化法則來匹配數據包。

方法七：避免DNS對象

避免那些需要DNS查找的對象。

方法八：防火牆界面的設置應與交換機和路由設置相匹配

你的防火牆界面應該與你的路由和交換機界面相匹配。如果你的錄音或交換機是雙向100Mbps，那麼防火牆也應該是半雙工100Mbps。界面設置或許匹配起來有些困難，但應盡可能實現全雙工通信制100Mbps。

你的路由與防火牆或者交換機與防火牆應該以同樣的模式和速度運作。如果你的交換機和防火牆都是千兆以太網，那麼他們都應被設置成自動調節速度與雙工。如果你的千兆接口不能與防火牆和交換機，可以嘗試更換電纜或插線板端口。無法以 1000Mbps全雙工連接的千兆接口往往是出現其他問題的症狀。

方法九：將防火牆與VPN隔離

將防火牆與VPN隔離以便卸載VPN數據和進程。

方法十：從防火牆卸載性能

從防火牆卸載的統一威脅管理性能包括：反病毒，反垃圾郵件，入侵防御系統以及URL掃描。

方法十一：軟件升級到最新版本

將軟件升級到最新版本。經驗告訴我們，新的軟件不僅包含更多對性能的改進，而且還添加了很多新功能——而新的功能並沒有安全保障，因而要及時更新防火牆版本。