公司刚上线的新系统总被用户投诉访问慢,排查半天才发现是防火墙规则太乱。一条条翻规则表,像在垃圾堆里找钥匙。这种情况不少见,防火墙用久了,加一条删一条,没人整理,最后变成谁也不敢动的“祖传配置”。
合并重复规则
最常见的问题就是重复。比如开发为了临时测试开了一个端口,后来忘了关,运维又补了一条,结果同一个IP段开放了两次同样的服务。这种可以直接合并。
看下面这个例子:
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.10 -p tcp --dport 80 -j ACCEPT第二条其实是多余的,因为 192.168.1.10 已经包含在 /24 网段里。直接删掉冗余项,规则更干净。
使用地址组和服务组
很多防火墙支持“对象组”功能,比如把常用的服务器IP归成一个组叫“web-servers”,把HTTP、HTTPS、SSH这些端口定义成服务组。这样写规则时就不用反复敲IP和端口号。
例如在华为或H3C设备上可以这样定义:
ip address-group web-servers
network 10.1.1.10 32
network 10.1.1.11 32
network 10.1.1.12 32
#
service-group http-services
service protocol tcp destination-port 80
service protocol tcp destination-port 443之后规则就可以写成:
rule name allow-web-access
source-address-group web-servers
destination-zone dmz
service http-services
action permit以后增减服务器,只改组成员,不用动主规则。
按业务逻辑分层组织
别再把所有规则堆在一起。按区域划分:内网到外网、外网到DMZ、内网互访……每一类单独处理。可以在配置里用注释标记用途,比如 # CRM系统对外服务 或 # 财务部禁止外联。
规则顺序也很关键。匹配频率高的放前面,避免每次都要遍历几十条才命中。把明确拒绝的(比如黑名单)放在最后,防止误伤。
定期清理过期规则
每季度花一小时review一次规则。问自己:这条规则是谁加的?现在还用得着吗?有没有替代方案?临时开通的测试通道,三个月都没人提,大概率可以删了。
某次我帮客户清理,发现一条允许整个互联网访问数据库端口的规则,备注写着“张工临时用”。张工半年前离职了,这规则还挂着——这就是典型的风险点。
用工具辅助分析
别靠肉眼对账。可以用 fwlog 或 firewall-analyzer 这类工具导出日志,看看哪些规则根本没被命中。长时间零匹配的规则,基本可以判定为无效。
有些企业级防火墙自带策略优化建议,比如提示“该规则被后续规则覆盖”或“存在更宽泛的前置允许”,善用这些提示能省不少事。
简化不是一次性任务,而是日常习惯。就像厨房台面,用完不擦,下次做饭就没地方下刀。防火墙也一样,常理常新,才能既安全又高效。