查看防火墙状态_一起pfSense防火墙状态表占用过高问题的解决过程

网络情况

pfSense防火墙(型号：Super Micro XG-1541)，两条联通、两条电信共四条线路做负载平衡和故障转移，出口总带宽1.5G；局域网分为两个网段，LAN1为管理接口，LAN2接核心交换机，接入终端数量约500台左右。

故障表现

最近防火墙状态表一直不太正常，状态条目数量维持在60-70万条左右。与初期安装时的10万条相比，增长过大，对网络访问速度造成一定的影响。

原因分析

经了解，公司最近进行了监控设备改造，为方便查看，将监控视频接入了办公网络使用的交换机。通过查看状态表可以发现，以36.103开头的IP地址产生了很多的对外连接，该IP段为监控设备所使用的IP段。

解决方法

考虑到监控设备无需对外产生任何连接，计划在防火墙中对该部分IP地址进行拦截，阻止其连接外部网络。同时对内部其他非对外连接的网段也一并进行阻止。

1、添加要阻止的IP地址别名

导航到防火墙>别名管理，添加一条新别名，将要阻止的网络添加到别名中。

2、添加阻止该别名的防火墙规则

导航到防火墙>规则策略，在LAN2接口上添加一条阻止规则。注意源地址选前面建立的别名，规则设置如下：

添加完成后的防火墙列表：

检查效果

应用防火墙规则后，再查看防火墙状态表，已经回归正常水平。

另外，也可以在核心交换机上设置ACL，对非上网IP进行管理，阻止其与防火墙的连接，也可以减少对状态表的占用。