网络情况
pfSense防火墙(型号:Super Micro XG-1541),两条联通、两条电信共四条线路做负载平衡和故障转移,出口总带宽1.5G;局域网分为两个网段,LAN1为管理接口,LAN2接核心交换机,接入终端数量约500台左右。
故障表现
最近防火墙状态表一直不太正常,状态条目数量维持在60-70万条左右。与初期安装时的10万条相比,增长过大,对网络访问速度造成一定的影响。
原因分析
经了解,公司最近进行了监控设备改造,为方便查看,将监控视频接入了办公网络使用的交换机。通过查看状态表可以发现,以36.103开头的IP地址产生了很多的对外连接,该IP段为监控设备所使用的IP段。
解决方法
考虑到监控设备无需对外产生任何连接,计划在防火墙中对该部分IP地址进行拦截,阻止其连接外部网络。同时对内部其他非对外连接的网段也一并进行阻止。
1、添加要阻止的IP地址别名
导航到防火墙>别名管理,添加一条新别名,将要阻止的网络添加到别名中。
2、添加阻止该别名的防火墙规则
导航到防火墙>规则策略,在LAN2接口上添加一条阻止规则。注意源地址选前面建立的别名,规则设置如下:
添加完成后的防火墙列表:
检查效果
应用防火墙规则后,再查看防火墙状态表,已经回归正常水平。
另外,也可以在核心交换机上设置ACL,对非上网IP进行管理,阻止其与防火墙的连接,也可以减少对状态表的占用。