Reguły na pewien czas

Zmiana taka jak zablokowanie ruchu do serwera usługowego lub przekierowanie do innej maszyny niesie z sobą istotne skutki biznesowe, więc zazwyczaj ma ona obowiązywać przez krótki czas, niezbędny do usunięcia przyczyny problemu. System zarządzania zaporami sieciowymi powinien to uwzględniać, umożliwiając oznaczenie reguły jako tymczasowej. Dobry system ma także możliwość ustawienia przypomnienia o tym, że czas obowiązywania reguły zaraz upłynie.

Optymalizacja reguł

Oprócz pomocy przy wprowadzaniu nowych reguł oraz wspierania administratora przy utrzymaniu zmieniającej się infrastruktury firmowej dobre narzędzia zarządzania zaporami umożliwiają optymalizację reguł, by zmniejszyć obciążenie procesora i zużycie pamięci na zaporach sieciowych. Praktyka pokazuje, że znaczna część reguł powstaje na początku, a następnie pozostają one w niezmienionej formie, mimo zmian w ruchu w sieci. Jeśli firma dysponuje dostatecznie długim okresem sporządzania statystyk, można sprawdzić reguły pod kątem częstości zadziałania (trafień). Niekiedy optymalizacja polegająca na wydzieleniu reguł, które są najczęściej wykorzystywane, czyli najwięcej ruchu powoduje ich wyzwolenie, uproszczenie, a następnie przesunięcie tych reguł na początek łańcucha umożliwia kilkudziesięciokrotne przyspieszenie pracy zapory. Czasami wystarczy tylko przeniesienie na początek, ale niekiedy opłaca się zmiana reguły. Jeśli reguła określa więcej niż jeden obiekt source, ale statystyki wskazują, że gros ruchu przechodzi tylko z jednego z nich, warto taką regułę rozdzielić i część odpowiedzialną za większość ruchu optymalizować i przenieść na początek. Jeśli firma stosuje kilkanaście tysięcy reguł, optymalizacja pod kątem wydajności przynosi zazwyczaj bardzo dobre efekty. Niektóre zapory, takie jak Check Point, są wyposażone w narzędzia, które pomagają administratorom przy optymalizacji, ale nie każdy producent dostarcza umożliwiające to rozwiązania. Z kolei różnice składniowe zapisu reguł między urządzeniami sprawiają, że optymalizacja reguł dla ruchu przechodzącego przez kilka zapór różnych producentów bardzo utrudnia analizę. Przykładem może być uruchomienie zapory firmy Check Point współpracującej dalej z urządzeniem firmy Juniper, gdzie po drodze jest jeszcze router firmy Cisco. Każdy z tych producentów stosuje swoje formy zapisu reguł, swój wygląd i zasady działania konsoli, co dodatkowo utrudnia pracę administratorom.

Oprócz reguł, które najczęściej są używane, administratorzy zwracają uwagę także na te reguły, które nie są używane w ogóle. Nie oznacza to, że są niepotrzebne, gdyż niekiedy występują w firmie aplikacje uruchamiane raz do roku, albo też ruch, który dotyczy tych reguł, występuje bardzo rzadko. Nie zawsze zatem takie reguły muszą być usuwane, ale zawsze powinny być opisane. Znalezienie reguły, która nie była wykorzystana w ciągu ostatnich kilku miesięcy, jest możliwe ręcznie, ale dobre narzędzia potrafią wykryć ją automatycznie.

Gdy reguły się nakładają

W praktyce administratorów często zdarzają się reguły, które się nakładają. Oznacza to, że jedna z nich obejmuje ruch, który opisuje inna. Na tym najczęściej cierpi wydajność, ale czasami administrator musi uważnie analizować działanie zestawu reguł, by wybrać tę, którą trzeba zmienić. Jeśli to możliwe, należy unikać nakładających się reguł, upraszczając zasady organizacji ruchu. Rozdzielenie reguł w taki sposób, by były jednoznaczne w łańcuchu, ułatwia zrozumienie tego, jak się przekładają poszczególne wiersze konfiguracji zapory na ruch, który ona filtruje. Modyfikacja nakładających się reguł jest prawdopodobnie pierwszym działaniem, jakie podejmą administratorzy przy optymalizacji konfiguracji zapór sieciowych w organizacji, ale powinna być przeprowadzana przy każdej zmianie.