在公司上班,谁没遇到过突然连不上某个系统的情况?上周财务部的同事小李就碰上了这事儿,报销系统打不开,急得满头大汗。排查一圈才发现,是防火墙上一条ACL(访问控制列表)规则写得太死,把整个部门的请求都挡了出去。
ACL不是越严越好
很多人觉得防火墙规则设得越细越安全,恨不得一条IP封一个端口。但现实是,过于复杂的ACL不仅难维护,还容易误伤正常业务。就像家门口装了五道锁,结果自己钥匙太多也打不开门。
常见的问题比如规则顺序错乱、冗余条目堆积、IP范围写得太宽或太窄。这些都会导致策略失效或者性能下降。路由器处理每条数据包时都要从上往下匹配ACL,条目越多,延迟越高。
先理清“谁要访问什么”
优化第一步不是改配置,而是搞清楚当前有哪些业务依赖哪些网络通路。可以拉上运维、安全和各业务部门一起梳理:销售团队要用CRM系统,开发要连测试数据库,财务要对接银行接口……把这些需求列成表,比直接翻防火墙配置直观多了。
比如发现有三条规则都是允许同一个子网访问Web服务器的80和443端口,完全可以合并成一条:
access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 443可以简化为:
ip access-list extended WEB-ACCESS
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq 443把常用规则往前放
ACL是按顺序匹配的,排在前面的规则优先执行。如果高频流量的放行规则藏在第50条,那前面49条拒绝或无关规则就得白白跑一遍。就像食堂打饭,应该让吃快餐的人排前面,而不是让所有人都按工号排队。
可以把经常命中的一类规则集中放在顶部,比如内部互访、DNS查询、NTP同步等基础服务。
定期清理“僵尸规则”
项目上线时临时开的权限,人走了没收回;旧系统下线了,对应的放行规则还在。这些“僵尸规则”不仅占位置,还可能带来安全隐患。建议每季度做一次ACL审计,结合日志分析哪些规则长期没被命中,确认后及时删除。
有些企业用自动化脚本导出规则命中计数,导成表格发给相关负责人确认是否保留,效率高还不容易出错。
命名清晰比注释更重要
别再用access-list 101这种编号了,换成有意义的名字更容易理解。比如叫“ALLOW-HR-SYSTEM-FROM-OFFICE”一眼就知道用途。设备支持命名ACL就用命名,不支持的至少加条备注说明用途和负责人。
毕竟半年后回来查问题的,可能已经不是当初配的人了。