7種方法設定防火牆發揮最大功效

防火牆對於很多使用者來說有點雞肋的感覺，事實上防火牆的功用還是很多的，只是我們平時不懂得如何去設定罷了。防火牆負載過重嗎?防火牆負載過重的症狀包括cpu佔用率高，資料傳輸慢，應用執行緩慢。在公升級硬體之前，有必要檢視一下防火牆配置，看看是否可對其進行優化。這裡系統之家

為大家介紹幾種優化防火牆的建議，以期幫助大家實現電腦最佳效能，提高傳輸速度。

此優化配置技巧分為兩個部分：常規最佳配置和**商專用的模式型配置。本系統文章

主要介紹常規最佳配置。

方法一：確保流向外部的資料符合策略

清除不好的資料，清理網路。不好的資料報括與策略不符的，未授權的或不受歡迎的資料。如果發生伺服器直接用對外否認的dns，ntp，smtp,http和httpsecure請求等攻擊防火牆時，要通知伺服器管理員。然後，管理員應重新配置伺服器，支起不會傳送不受歡迎的對外資料。

方法二：在路由而不是防火牆上過濾不想要的資料

將過濾不受歡迎資料的規則更改到邊緣路由上，以平衡安全策略的效能和效用。首先，要將那些通往路由的頂端注入請求當作標準acl過濾器。這樣或許有些耗費時間，但卻不失為阻止資料湧入路由的良方，因為這樣有利於節約防火牆所占用的cpu和記憶體。

而後，如果你的網路與防火牆之間具備內部障礙路由，可考慮將普通對外流量轉移到該障礙路由上。這樣可以釋放更多防火牆程序。

方法三：刪除不需要使用的規則和物件

刪除規則庫中不需要使用的規則和物件。雖然清除乙個難以控制的規則庫聽上去有些令人望而生畏，但是還是有許多自動化工具可助你一臂之力。這些自動化工具可以減少防火牆策略管理的困難。

方法四：減少規則庫的複雜度

減少規則庫的複雜度，而且規則盡可能不要重複。再一次強調，有很多任務具可極大減少我們清理和簡化規則庫的時間和障礙。

方法五：控制傳送流量

如果防火牆介面直接連線到lan部分，那麼你應該建立一條規則來控制無記錄的傳送流量(bootp,tcp/ip協議之上執行的netbios等。)

方法六：將使用較頻繁的規則列於規則庫靠前位置

將使用較頻繁的規則列於規則庫靠前位置。注意有些防火牆(如，思科pix，asa7.0以上版本，fwsm4.0和某些juniper網路模式)不依賴於規則順序執行，因為他們使用優化法則來匹配資料報。

方法七：避免dns物件

避免那些需要dns查詢的物件。