No. 5:处理"广播交通"
如果防火墙接口是直接连接到LAN的区段,你应该创建一个无日志规则来处理"广播交通"(bootp NetBIOS TCP / IP等等)
No. 6:将经常使用的规则放在知识库顶层
将经常大量使用的规则放在知识库顶层。我们注意到一些防火墙(如Cisco Pix,ASA 版本7.0及以上,FWSM 4.0和部分Juniper Networks模型)的运行未依赖于规则命令因为他们使用优化算法相匹配的数据包。
No. 7:避免DNS对象
避免请求DNS查找的对象
No. 8:防火墙接口设置需与交换机及路由器设置匹配
你的防火墙接口应匹配你的路由器接口和/或交换机接口。如果路由器或交换机是半双工100M bps,你的防火墙也应当是半双工100M bps,或者最有可能都要是全双工100M bps。接口可能比较难以匹配。
路由器/交换机和防火墙双方应报告同样的速度和电路模式。如果交换机和防火墙都是千兆位以太网, 他们都应设置为自动协商速度和电路模式。如果交换机和防火墙的千兆接口不匹配,那么可以试试更换电缆和插线面板端口。千兆以太网接口如果没有连接到全双工1000M bps网络,通常是存在其他问题的标志。
No. 9:从VPN分离的防火墙
单独从VPN分离出防火墙卸下VPN的网络交通和进程。
No. 10:从防火墙卸下的特征
从防火墙卸下UTM特征包括杀毒,防恶意软件,入侵预防系统(IPS),和URL扫描。
No. 11: 升级到最新的软件版本
升级到最新的软件版本。一般说来,更新的版本包含了性能改进同时添加新的性能。