DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos防火墙_美国高防100g4h4g_3天试用

05-02 DDOS防御

ddos防火墙_美国高防100g4h4g_3天试用

你的防火墙过载了吗?症状包括高CPU、低吞吐量和慢应用程序。在升级硬件之前,值得检查一下防火墙配置是否可以优化。防火墙优化技术可以分为两类:一般最佳实践和特定于供应商、特定于模型的配置。本专栏重点介绍防火墙优化的最佳实践。下一次,我们将研究特定于供应商的提示,因此,如果您有什么要分享的,安全防御,我们很乐意听到您的意见。优化防火墙以获得更好的性能和吞吐量:删除错误流量并清理网络。通知服务器管理员服务器直接通过拒绝出站DNS/NTP/SMTP/HTTP请求以及丢弃/拒绝的内部设备撞击防火墙。然后,管理员应该重新配置服务器,使其不发送这种未经授权的出站流量,从而减轻防火墙的负担。过滤不需要的流量可以在防火墙和路由器之间传播,以平衡安全性的性能和有效性策略。识别作为ACL筛选器向上游移动到路由器的候选入站丢弃请求的顶部。这可能很耗时,但对于将块移到路由器的上游和节省防火墙的CPU和内存来说,这是一个很好的方法。如果您的防火墙内有一个内部扼流路由器,也可以考虑将常见的出站流量块移动到扼流路由器,ddos防御报价,从而在防火墙上释放更多的处理。从规则库中删除未使用的规则和对象。降低防火墙规则库的复杂性-规则重叠应该最小化。创建一个规则来处理广播流量(bootp、NBT等),而不进行日志记录。将频繁使用的防火墙策略规则放在规则库顶部附近。请注意,有些防火墙(如Cisco Pix、ASA 7.0及更高版本、FWSM 4.0和某些Juniper网络型号)的性能不依赖于规则顺序,因为它们使用优化的算法来匹配数据包。避免DNS对象需要对所有流量进行DNS查找。为了获得最大的防火墙性能,您的防火墙接口应该与交换机和/或路由器接口相匹配。如果你的路由器是半双工的,你的防火墙应该是半双工的。如果您的交换机是100Mbit,那么您的防火墙接口应该硬设置为与您的交换机相匹配;两者都很可能硬设置为100Mbit全双工。您的交换机和防火墙应该报告相同的速度和双工模式。如果您的交换机是千兆位的,您的交换机和防火墙都应该设置为自动协商速度和双工。如果您的千兆接口与防火墙和交换机不匹配,您应该尝试更换电缆和配线架端口。不以1000mbit全双工连接的千兆接口几乎总是其他问题的征兆。从VPN中分离防火墙以减轻VPN流量和处理。从防火墙卸载UTM功能:AV、反垃圾邮件、IPS、URL扫描。升级至最新软件版本。根据经验,较新的版本包含性能增强,但也添加了新的功能,因此性能提高不能得到保证。如果您使用Tufin SecureTrack,您可以自动化许多防火墙最佳实践。以下是SecureTrack可以提供帮助的几种方法:使用规则和对象使用情况报告标识未使用的防火墙策略规则和对象,并考虑删除它们。报告期越长,阿里最大防御ddos,规则使用状态就越可靠。请记住,某些规则,如允许灾难恢复服务的规则,只是很少使用。还可以标识和清理未使用的组成员。使用策略分析分析分析规则隐藏。使用"Any;Any;Any;Any"运行策略分析以识别完全隐藏的规则。这些规则是多余的,应该删除。您可以使用未使用的规则报告重新验证冗余。用防火墙规则中最常用的规则和规则向上移动。要在不影响连接性的情况下找到放置规则的最上面的位置,请对每个最常用的策略运行"Any;Any;Any"策略分析查询规则:如果是的话没有阴影,移动到更高的位置。如果它是隐藏的,找到具有矛盾操作的最低级别的隐藏规则,并将最常用的规则放在该规则之下。重新订购时要记住的其他事项规则:你'll可能希望保留规则基结构,例如,按服务或应用程序、源或目标、项目等进行规则分组。对于包含具有特殊操作(如身份验证或加密)的规则的策略,请小心-在这种情况下,隐藏会变得更为棘手。您还可以使用最佳实践规则顺序优化测试来快速确定要重新定位的候选项。使用自动策略生成器(APG)来识别和删除防火墙中不需要的流量。在这里阅读有关APG的更多信息。使用"软件版本符合性报告"控制防火墙软件版本。最后但并非最不重要的一点是,java防御ddos攻击,记住防火墙优化也会有代价的——超出你投入的时间。如果你不小心,你会发现一个很难维护的规则库。如果你有预算,有时升级硬件是最简单的选择。在下一篇专栏文章中,百度云加速ddos防御,我们将重点介绍如何优化来自不同供应商的特定防火墙模型、优化防火墙性能的供应商和特定型号的提示-Tufin防火墙专家提示4。如果您有任何建议,请与我联系rh@tufin.com。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67491.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8946372访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X