如何优化你的防火墙 .docxVIP

【Word版本下载可任意编辑】 PAGE 1 - / NUMPAGES 1 如何优化你的防火墙 你的防火墙超载了吗？超载防火墙的病症包括高CPU，低吞吐量和应用缓慢。在你的硬件升级之前，检查一下你的防火墙配置是否可以优化，这是非常值得的。 防火墙配置的优化技术可分为两类：一般的最正确做法和特定厂商、特定型号的配置方法。本文将着重于最正确做法。 以下是防火墙管理员用来优化防火墙的最正确做法，以得到更好的性能和吞吐量。 最正确做法1：确保对外通信符合政策标准 消除不良的通信，清理网络。不良的通信包括不符合规定的、未经授权的或不想要的流量。通知服务器管理员关于直接袭击防火墙的服务器的域名系统（DNS）、NTP、SMTP、HTTP和HTTP安全（HTTPS）请求，以及减少或拒绝内部设备。然后，管理员应该重新配置服务器，不发送这类未经授权的对外通信类型（从而减轻防火墙负载）。 资源库： 开放式存储的工作：使用固态硬盘优化系统的新方法； 如何提高MySQL数据库可量测性； 虚拟桌面：机遇、挑战和成功的部署； 提高广域网应用传输：测量、监控、管理。 最正确做法2：在路由器上过滤不需要的通信量，而不是在防火墙上 把过滤不想要的入口通信量的规则从防火墙移到边缘路由器上，以均衡安全政策的性能和有效性。要做到这一点，首先确定最高入口流量要求，作为移到上游路由器的候选，上游路由器作为标准的访问控制列表（ACL）的过滤器。这可能是一个耗时的过程，但它是一个把防护阻挡移动到上游路由器的好方法，从而节省了防火墙的CPU和内存。然后，如果你在网络和防火墙之间，有一个瓶颈路由器，考虑将共同的外部通信阻挡移到你的瓶颈路由器上。 最正确做法3：移除未使用的规则和目标 移除规则库中的未使用的规则和目标。虽然清理一个繁杂的规则库听起来似乎是一个艰巨的任务，但是，有许多工具可用，这些工具可以帮助你自动清理各种规则。这些自动化工具使防火墙的政策管理更加容易。 最正确做法4：减少规则库的复杂性 降低复杂性，以及规则库的规则应尽量减少重叠，同样有一些工具可以使用，这些工具可以大大节省时间，简化清理规则库这项令人头痛的工作。 最正确做法5：处理播放通信 如果防火墙接口直接连接到LAN网段，你应该创立一个规则来处理播放通信（在TCP/IP上导入NetBIOS，等等）。 最正确做法6：把大量使用的规则放置在规则库的顶部 把大量使用的规则放置在规则库的顶部。请注意，有些防火墙（如：CiscoPix，ASA7.0及以上版本，FWSM4.0，以及某些Juniper网络模式）不依赖于规则的性能，因为它们使用最优化算法来匹配数据包。 最正确做法7：防止DNS（域名服务器）目标 防止DNS需要查询的目标。 最正确做法8：防火墙接口设置应与转换器和路由器设置相匹配 你的防火墙接口应符合你的路由器或转换接口。如果你的路由器或转换器是每秒100MB半双工的，你的防火墙也应该是每秒100MB半双工的。你的接口应设置为相互匹配。 你的路由器/转换器和防火墙都应该报告一样的速度和双工模式。如果你的交换机和防火墙都是千兆以太网，它们都应该被设置为自动协商速度和双工。如果你的千兆接口在你的防火墙和交换器之间不匹配，你应该尝试更换电缆和配线板端口。千兆接口如果不是连接在千兆比特/秒全双工上，这几乎总是导致其它问题发生的一个迹象。 最正确做法9：把防火墙与VPN（虚拟专用网络）分开 从VPN（虚拟专用网络）中分离出防火墙，给VPN的流量和处理过程卸载。 最正确做法10：防火墙的卸载功能 从防火墙卸载统一威胁管理UnifiedThreatManagement(UTM)功能，包括：防病毒、反垃圾邮件、入侵防御系统（IPS）、和URL扫描。 最正确做法11：升级到最新的软件版本 升级到最新的软件版本。作为一个经验法则，新版本包含了性能的提升，但也增加新的功能，因此，性能提升是无法得到保证的。 关于 ReuvenHarrison是Tufin技术公司的首席技术官。20**年，Reuven与人合作成立Tufin技术公司，在公司的快速增长期间，担任首席技术官的职务。负责Tufin的旗舰产品，Reuven领导Tufin的开发人员，管理所有的产品构造。Reuven拥有超过17年的软件开发经验，在CheckPoint软件开发工程中，担任