策略配置与优化
防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产
生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量
保证统一规划以提高设置效率,提高可读性,降低维护难度。
策略配置与维护需要注意地方有:
试运行阶段最后一条 策略定义为所有访问允许并记录日志,以便在不影响业务的情况下
找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后-条定义为所有访问禁止
并记录8志,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止
所有访问”策略删除。
防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,
建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的
策略上面。
策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用
部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。
简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规则
越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。
策略用于区域间单方向网络访问控制。如果源区域和目的区域不同,则防火墙在区域间
策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断,则防火墙在区域内部
策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略,则安全设备会检
查相关区域的缺省访问权限以查找匹配策略。
策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解
每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,
建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。
攻击防御
防火墙利用入侵防护功能抵御互联网上流行的DoS/DDoS的攻击,
些流行的攻击手法
有Synflood, Udpflood, Smurf, Ping of Death, Land Attack等,当网络确实存在这些类型的
攻击数据流时,我们可以适当开启这些抗攻击选项,可以有效的保护各种应用服务器。如果希
望开启其它选项,在开启这些防护功能前有几个因素需要考虑:
自行开发的一:些应用程序中,可能存在部分不规范的数据包格式;
如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理的
性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的
网絡设计也会出现合法流量被屏蔽问题。
要想有效发挥防火墙的攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,
同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。防攻击选项的启用需要采
用逐步逼近的方式,-次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在
确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项:
根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范DDoS的
选项_上添加20%的余量作为阀值。
如果要设置防范IP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层{ C
下你主诜而诼牛诜中
来源:CSDN
作者:PinkyEve
链接:https://blog.csdn.net/PinkyEve/article/details/103524049