防火墙配置技巧介绍

重载防火墙重防火墙负载的症状包括CPU占用太高，数据传输速度慢，慢的应用。硬件升级之前，有必要看看防火墙配置是否可以优化。这里是优化防火墙的几点建议，以帮助你达到最好的计算机性能和提高传输速度。
最优配置技术分为两个部分：传统最优配置和供应商特定模式配置。
方法1：确保外部数据流符合策略
清理不良数据和清理网络。坏数据包括未经授权的或不受欢迎的，是不符合政策的数据。如果服务器是直接用来攻击的防火墙，如DNS、NTP、SMTP、HTTP，HTTP安全，拒绝请求，服务器管理员通知。然后，管理员应该配置服务器，这将不发送不受欢迎的外部数据。
方法二：计算机在路由上替代不需要的数据，而不是防火墙。
不受欢迎的数据过滤规则改为边缘路由平衡安全策略的性能和实用性。首先，你应该使用前注射要求的路线为标准的ACL过滤。这可能需要时间，但它是防止数据涌入路线的一个好方法，因为它有助于节省CPU和内存的占用的防火墙。
然后，如果你的网络和防火墙之间存在一个内部的障碍路由，你可以考虑将普通的外国交通转移到障碍路由。这允许更多的防火墙进程被释放。
方法三：删除不需要使用的规则和对象
删除规则库中不需要使用的规则和对象，虽然清理一个不可控制的规则库有点困难，但是有很多自动化工具可以帮助您，这些自动化工具可以减少防火墙策略管理的困难。
方法四：减少规则库的复杂性
减少规则库的复杂性，尽量不要重复规则，还有很多工具可以大大减少我们清理和简化规则库所需的时间和障碍。
方法五：控制交通流量
如果防火墙接口直接连接到局域网的一部分，你应该创建一个规则来控制记录免费运输交通（BOOTP，NetBIOS运行在TCP / IP协议，等等）。）
方法六：规则库的前面位置使用更频繁的规则
更频繁的规则将应用于规则库的前沿位置，注意一些防火墙，如Cisco PIX，不依赖常规序列执行的因为他们使用的优化匹配规则的数据包。
方法七：避免DNS对象
避免那些需要DNS查找的对象。
方法八：通过交换机和路由设置设置防火墙接口
你的防火墙接口应该匹配你的路由和交换机接口。如果你的记录或开关双向100Mbps，那么防火墙也应该是半双工100Mbps。它可能难以匹配的接口设置，但全双工通信系统100mbps应尽可能实现。
你的路由和防火墙或交换机和防火墙应该以同样的方式和速度工作。如果你的交换机和防火墙的千兆以太网，它们都应该设置调整速度和双工的。如果你不能与防火墙和交换机的千兆以太网接口，可以试着更换电缆或插座端口。一个不可与全1000mbps双工千兆接口往往是其他问题的征兆。
方法九：从VPN中隔离防火墙
从VPN中隔离防火墙以卸载VPN数据和进程。
方法十：从防火墙卸载性能
防火墙卸载的统一威胁管理性能包括反病毒、反垃圾邮件、入侵防御系统和URL扫描。
方法十一：软件升级到最新版本
将软件升级到最新版本。经验告诉我们，新软件不仅包含更多的性能改进，而且还增加了许多新功能，而且新功能不安全，所以我们需要及时更新防火墙版本。