评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
谨慎选择变更时机,适时启用策略备份加速
建议在低业务使用率时间窗内实施安全策略变更,以最大程度减轻对防火墙性能和已建立会话的影响。这对高负载防火墙尤为重要。
为了提高安全策略的匹配速度,防火墙为安全策略建立索引,并采用加速查询方法(即索引匹配)来进行策略匹配(即策略加速)。当安全策略变更时,新的安全策略会立即生效。但是,防火墙需要等待一段时间(加速延迟时间,默认是60秒),确认本次变更已结束,才重新建立索引。在索引更新完成之前,防火墙采用常规匹配方法来进行策略匹配,速度大幅下降。为了解决这个问题,可以启用策略备份加速功能。当安全策略变更时,防火墙备份索引,并使用备份的索引来进行策略匹配。当防火墙重新建立了索引之后,使用新的索引来匹配,新的安全策略开始生效。
请根据网络业务情况,参考表4-3选择是否启用策略备份加速。
表4-3 策略备份加速选择指导
策略备份加速 |
正常运行时 |
策略变更时 |
适用场景和影响 |
|---|---|---|---|
启用 policy accelerate standby enable |
采用加速查询方法,索引匹配。 |
采用加速查询方法,索引匹配(使用备份的索引)。 新索引生成以后,安全策略变更才生效。 |
防火墙业务量大,安全策略数量较多(高于100条)。 安全策略变更会延迟生效(约2分钟)。请待安全策略生效后再验证。 |
关闭 undo policy accelerate standby enable |
采用加速查询方法,索引匹配。 |
先采用常规匹配方法,新索引生成以后,再使用加速查询方法。 安全策略变更立即生效。 |
安全策略数量较少。 策略变更期间性能下降。 |
