Check Point: оптимизация CPU ΠΈ RAM

Check Point: оптимизация CPU ΠΈ RAM
ЗдравствуйтС, ΠΊΠΎΠ»Π»Π΅Π³ΠΈ! БСгодня я Ρ…ΠΎΡ‚Π΅Π» Π±Ρ‹ ΠΎΠ±ΡΡƒΠ΄ΠΈΡ‚ΡŒ ΠΎΡ‡Π΅Π½ΡŒ Π°ΠΊΡ‚ΡƒΠ°Π»ΡŒΠ½ΡƒΡŽ для ΠΌΠ½ΠΎΠ³ΠΈΡ… администраторов Check Point Ρ‚Π΅ΠΌΡƒ Β«ΠžΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΡ CPU ΠΈ RAMΒ». НСрСдки случаи, ΠΊΠΎΠ³Π΄Π° шлюз ΠΈ/ΠΈΠ»ΠΈ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ сСрвСр ΠΏΠΎΡ‚Ρ€Π΅Π±Π»ΡΡŽΡ‚ Π½Π΅ΠΎΠΆΠΈΠ΄Π°Π½Π½ΠΎ ΠΌΠ½ΠΎΠ³ΠΎ этих рСсурсов, ΠΈ Ρ…ΠΎΡ‚Π΅Π»ΠΎΡΡŒ Π±Ρ‹ ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΊΡƒΠ΄Π° ΠΎΠ½ΠΈ β€œΡƒΡ‚Π΅ΠΊΠ°ΡŽΡ‚β€, ΠΈ ΠΏΠΎ возмоТности Π³Ρ€Π°ΠΌΠΎΡ‚Π½Π΅Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΈΡ….

1. Анализ

Для Π°Π½Π°Π»ΠΈΠ·Π° Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ процСссора ΠΏΠΎΠ»Π΅Π·Π½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ вводятся Π² экспСртном Ρ€Π΅ΠΆΠΈΠΌΠ΅:

top ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ всС процСссы, количСство потрСбляСмых рСсурсов CPU ΠΈ RAM Π² ΠΏΡ€ΠΎΡ†Π΅Π½Ρ‚Π°Ρ…, uptime, ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚Π΅Ρ‚ процСсса ΠΈ Π΄Ρ€ΡƒΠ³ΠΎΠ΅ Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ

Check Point: оптимизация CPU ΠΈ RAM

cpwd_admin list Check Point WatchDog Daemon, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΏΠΎΠΊΠ°Π·Ρ‹Π²Π°Π΅Ρ‚ всС ΠΌΠΎΠ΄ΡƒΠ»ΠΈ апплайнса, ΠΈΡ… PID, состояниС ΠΈ количСство запусков

Check Point: оптимизация CPU ΠΈ RAM

cpstat -f cpu os использованиС CPU, ΠΈΡ… количСство ΠΈ распрСдСлСниС процСссорного Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π² ΠΏΡ€ΠΎΡ†Π΅Π½Ρ‚Π°Ρ…

Check Point: оптимизация CPU ΠΈ RAM

cpstat -f memory os использованиС Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΉ RAM, сколько всСго Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠΉ, свободной RAM ΠΈ Π΄Ρ€ΡƒΠ³ΠΎΠ΅

Check Point: оптимизация CPU ΠΈ RAM

ΠŸΡ€Π°Π²ΠΈΠ»ΡŒΠ½Ρ‹ΠΌ Π·Π°ΠΌΠ΅Ρ‡Π°Π½ΠΈΠ΅ΠΌ Π±ΡƒΠ΄Π΅Ρ‚ Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ всС ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ cpstat ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΡƒΡ‚ΠΈΠ»ΠΈΡ‚Ρ‹ cpview. Для этого просто Π½ΡƒΠΆΠ½ΠΎ ввСсти ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ cpview ΠΈΠ· любого Ρ€Π΅ΠΆΠΈΠΌΠ° Π² SSH-сСссии.

Check Point: оптимизация CPU ΠΈ RAM
Check Point: оптимизация CPU ΠΈ RAM

ps auxwf Π΄Π»ΠΈΠ½Π½Ρ‹ΠΉ список всСх процСссов, ΠΈΡ… ID, Π·Π°Π½ΠΈΠΌΠ°Π΅ΠΌΡƒΡŽ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΏΠ°ΠΌΡΡ‚ΡŒ ΠΈ ΠΏΠ°ΠΌΡΡ‚ΡŒ Π² RAM, CPU

Check Point: оптимизация CPU ΠΈ RAM

Другая Π²Π°Ρ€ΠΈΠ°Ρ†ΠΈΠΈ ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹:

ps -aF ΠΏΠΎΠΊΠ°ΠΆΠ΅Ρ‚ самый Π·Π°Ρ‚Ρ€Π°Ρ‚Π½Ρ‹ΠΉ процСсс

Check Point: оптимизация CPU ΠΈ RAM

fw ctl affinity -l -a распрСдСлСниС ядСр ΠΏΠΎΠ΄ Ρ€Π°Π·Π½Ρ‹Π΅ инстанции Ρ„Π°Π΅Ρ€Π²ΠΎΠ»Π°, Ρ‚ΠΎ Π΅ΡΡ‚ΡŒ тСхнология CoreXL

Check Point: оптимизация CPU ΠΈ RAM

fw ctl pstat Π°Π½Π°Π»ΠΈΠ· RAM ΠΈ ΠΎΠ±Ρ‰ΠΈΠ΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ соСдинСний, cookies, NAT

Check Point: оптимизация CPU ΠΈ RAM

free -m Π±ΡƒΡ„Π΅Ρ€ RAM

Check Point: оптимизация CPU ΠΈ RAM

ΠžΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ внимания стоит ΠΊΠΎΠΌΠ°Π½Π΄Π° netsat ΠΈ Π΅Π΅ Π²Π°Ρ€ΠΈΠ°Ρ†ΠΈΠΈ. НапримСр, netstat -i ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠΌΠΎΡ‡ΡŒ Ρ€Π΅ΡˆΠΈΡ‚ΡŒ Π·Π°Π΄Π°Ρ‡Ρƒ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° Π±ΡƒΡ„Π΅Ρ€ΠΎΠ² ΠΎΠ±ΠΌΠ΅Π½Π°. ΠŸΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€, RX dropped packets (RX-DRP) Π² Π²Ρ‹Π²ΠΎΠ΄Π΅ этой ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, растСт сам ΠΏΠΎ сСбС ΠΈΠ·-Π·Π° Π΄Ρ€ΠΎΠΏΠΎΠ² Π½Π΅Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² (IPv6, Bad / Unintended VLAN tags ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅). Однако Ссли Π΄Ρ€ΠΎΠΏΡ‹ ΡΠ»ΡƒΡ‡Π°ΡŽΡ‚ΡΡ ΠΏΠΎ Π΄Ρ€ΡƒΠ³ΠΎΠΉ ΠΏΡ€ΠΈΡ‡ΠΈΠ½Π΅, Ρ‚ΠΎ стоит Π²ΠΎΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π΄Π°Π½Π½ΠΎΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅ΠΉ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π°Ρ‡Π°Ρ‚ΡŒ расслСдованиС ΠΈ ΠΏΠΎΠ½ΡΡ‚ΡŒ, ΠΏΠΎΡ‡Π΅ΠΌΡƒ Π΄Π°Π½Π½Ρ‹ΠΉ сСтСвой интСрфСйс сбрасываСт ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹. Π£Π·Π½Π°Π² ΠΏΡ€ΠΈΡ‡ΠΈΠ½Ρƒ, Ρ€Π°Π±ΠΎΡ‚Ρƒ апплайнса Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ.

Check Point: оптимизация CPU ΠΈ RAM

Если Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ Π±Π»Π΅ΠΉΠ΄ Monitoring, Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΠΈ графичСски Π² SmartConsole, Π½Π°ΠΆΠ°Π² Π½Π° ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ ΠΈ Π²Ρ‹Π±Ρ€Π°Π² ΠΏΡƒΠ½ΠΊΡ‚ Β«Device & License InformationΒ».

На постоянноС основС Π±Π»Π΅ΠΉΠ΄ Monitoring Π²ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ Π½Π΅ рСкомСндуСтся, Π½ΠΎ Π½Π° дСнь для тСста Π²ΠΏΠΎΠ»Π½Π΅ ΠΌΠΎΠΆΠ½ΠΎ.

Check Point: оптимизация CPU ΠΈ RAM

Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, ΠΌΠΎΠΆΠ½ΠΎ Π΄ΠΎΠ±Π°Π²Π»ΡΡ‚ΡŒ большС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² для ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, ΠΎΠ΄ΠΈΠ½ ΠΈΠ· Π½ΠΈΡ… ΠΎΡ‡Π΅Π½ΡŒ ΠΏΠΎΠ»Π΅Π·Π½Ρ‹ΠΉ β€” Bytes Throughput (пропускная ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ апплайнса).

Check Point: оптимизация CPU ΠΈ RAM

Если Π΅ΡΡ‚ΡŒ какая-Ρ‚ΠΎ другая систСма ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, бСсплатный Zabbix, основанная Π½Π° SNMP, ΠΎΠ½Π° Ρ‚ΠΎΠΆΠ΅ ΠΏΠΎΠ΄ΠΎΠΉΠ΄Π΅Ρ‚ для выявлСния Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ.

2. β€œΠ£Ρ‚Π΅Ρ‡ΠΊΠ°β€ RAM со Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ

Часто встаСт вопрос, Ρ‡Ρ‚ΠΎ со Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ шлюз ΠΈΠ»ΠΈ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ сСрвСр Π½Π°Ρ‡ΠΈΠ½Π°Π΅Ρ‚ всС большС ΠΈ большС ΠΏΠΎΡ‚Ρ€Π΅Π±Π»ΡΡ‚ΡŒ RAM. Π₯ΠΎΡ‡Ρƒ ΡƒΡΠΏΠΎΠΊΠΎΠΈΡ‚ΡŒ: это Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½Π°Ρ история для Linux ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… систСм.

ΠŸΠΎΡΠΌΠΎΡ‚Ρ€Π΅Π² Π²Ρ‹Π²ΠΎΠ΄ ΠΊΠΎΠΌΠ°Π½Π΄ free -m ΠΈ cpstat -f memory os Π½Π° апплайнсС ΠΈΠ· экспСртного Ρ€Π΅ΠΆΠΈΠΌΠ°, ΠΌΠΎΠΆΠ½ΠΎ ΠΏΠΎΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ ΠΈ ΠΏΠΎΡΠΌΠΎΡ‚Ρ€Π΅Ρ‚ΡŒ всС ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹, относящиСся ΠΊ RAM.

По Ρ„Π°ΠΊΡ‚Ρƒ доступной памяти Π½Π° шлюзС Π½Π° Π΄Π°Π½Π½Ρ‹ΠΉ ΠΌΠΎΠΌΠ΅Π½Ρ‚ Free Memory + Buffers Memory + Cached Memory = +-1.5 Π“Π±, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ.

Как Π³ΠΎΠ²ΠΎΡ€ΠΈΡ‚ Π‘Π , со Π²Ρ€Π΅ΠΌΠ΅Π½Π΅ΠΌ шлюз/ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ сСрвСр оптимизируСтся ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ всС большС памяти, доходя Π΄ΠΎ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ 80% использования, ΠΈ останавливаСтся. Π’Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ устройство, ΠΈ Ρ‚ΠΎΠ³Π΄Π° ΠΏΠΎΠΊΠ°Π·Π°Ρ‚Π΅Π»ΡŒ сбросится. 1.5 Π“Π± свободной ΠžΠ—Π£ ΡˆΠ»ΡŽΠ·Ρƒ Ρ‚ΠΎΡ‡Π½ΠΎ Ρ…Π²Π°Ρ‚Π°Π΅Ρ‚ Π½Π° Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ всСх Π·Π°Π΄Π°Ρ‡, Π° ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ Ρ€Π΅Π΄ΠΊΠΎ Π΄ΠΎΡ…ΠΎΠ΄ΠΈΡ‚ Π΄ΠΎ Ρ‚Π°ΠΊΠΈΡ… ΠΏΠΎΡ€ΠΎΠ³ΠΎΠ²Ρ‹Ρ… Π·Π½Π°Ρ‡Π΅Π½ΠΈΠΉ.

Π’Π°ΠΊΠΆΠ΅ Π²Ρ‹Π²ΠΎΠ΄Ρ‹ упомянутых ΠΊΠΎΠΌΠ°Π½Π΄ ΠΏΠΎΠΊΠ°ΠΆΡƒΡ‚, сколько Ρƒ вас Low memory (опСративная ΠΏΠ°ΠΌΡΡ‚ΡŒ Π² user space) ΠΈ High memory (опСративная ΠΏΠ°ΠΌΡΡ‚ΡŒ Π² kernel space) использовано.

ΠŸΡ€ΠΎΡ†Π΅ΡΡΡ‹ kernel (Π²ΠΊΠ»ΡŽΡ‡Π°Ρ active modules, Ρ‚Π°ΠΊΠΈΠ΅ ΠΊΠ°ΠΊ Check Point kernel modules) ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Low memory. Однако ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΡΠΊΠΈΠ΅ процСссы ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ°ΠΊ Low, Ρ‚Π°ΠΊ ΠΈ High memory. Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, Low memory ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π½ΠΎ Ρ€Π°Π²Π½Π° Total Memory.

Π‘Π΅ΡΠΏΠΎΠΊΠΎΠΈΡ‚ΡŒΡΡ слСдуСт, Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ссли Π² Π»ΠΎΠ³Π°Ρ… Π±ΡƒΠ΄ΡƒΡ‚ ΡΡ‹ΠΏΠ°Ρ‚ΡŒΡΡ ошибки Β«modules reboot or processes being killed to reclaim memory due to OOM (Out of memory)Β». Π’ΠΎΠ³Π΄Π° слСдуСт ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ шлюз ΠΈ ΠΎΠ±Ρ€Π°Ρ‚ΠΈΡ‚ΡŒΡΡ Π² ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ, Ссли ΠΏΠ΅Ρ€Π΅Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠ° Π½Π΅ ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚.

ПолноС описаниС ΠΌΠΎΠΆΠ½ΠΎ Π½Π°ΠΉΡ‚ΠΈ Π² sk99547 ΠΈ sk99593.

3. ΠžΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΡ

НиТС ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Ρ‹ вопросы ΠΈ ΠΎΡ‚Π²Π΅Ρ‚Ρ‹ ΠΏΠΎ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ CPU ΠΈ RAM. На Π½ΠΈΡ… стоит чСстно ΠΎΡ‚Π²Π΅Ρ‚ΠΈΡ‚ΡŒ самому сСбС ΠΈ ΠΏΡ€ΠΈΡΠ»ΡƒΡˆΠ°Ρ‚ΡŒΡΡ ΠΊ рСкомСндациям.

3.1. ΠŸΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ Π»ΠΈ апллайнс Π±Ρ‹Π» ΠΏΠΎΠ΄ΠΎΠ±Ρ€Π°Π½? Π‘Ρ‹Π» Π»ΠΈ ΠΏΠΈΠ»ΠΎΡ‚Π½Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚?

НСсмотря Π½Π° Π³Ρ€Π°ΠΌΠΎΡ‚Π½Ρ‹ΠΉ сайзинг, ΡΠ΅Ρ‚ΡŒ ΠΌΠΎΠ³Π»Π° банально Ρ€Π°Π·Ρ€Π°ΡΡ‚ΠΈΡΡŒ, ΠΈ Π΄Π°Π½Π½ΠΎΠ΅ ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ просто Π½Π΅ справляСтся с Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΎΠΉ. Π’Ρ‚ΠΎΡ€ΠΎΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚, Ссли сайзинга ΠΊΠ°ΠΊ Ρ‚Π°ΠΊΠΎΠ²ΠΎΠ³ΠΎ Π½Π΅ Π±Ρ‹Π»ΠΎ.

3.2. Π’ΠΊΠ»ΡŽΡ‡Π΅Π½Π° Π»ΠΈ HTTPS инспСкция? Если Π΄Π°, Ρ‚ΠΎ настроСна Π»ΠΈ тСхнология ΠΏΠΎ Best Practice?

ΠžΠ±Ρ€Π°Ρ‚ΠΈΡ‚ΡŒΡΡ ΠΊ ΡΡ‚Π°Ρ‚ΡŒe, Ссли Π²Ρ‹ наш ΠΊΠ»ΠΈΠ΅Π½Ρ‚, ΠΈΠ»ΠΈ ΠΊ sk108202.

ΠŸΠΎΡ€ΡΠ΄ΠΎΠΊ располоТСния ΠΏΡ€Π°Π²ΠΈΠ» Π² ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ΅ HTTPS инспСкции ΠΈΠ³Ρ€Π°Π΅Ρ‚ большоС Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ Π² ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ открытия HTTPS сайтов.

Π Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌΡ‹ΠΉ порядок располоТСния ΠΏΡ€Π°Π²ΠΈΠ»:

  1. ΠŸΡ€Π°Π²ΠΈΠ»Π° bypass с катСгориями/URL
  2. ΠŸΡ€Π°Π²ΠΈΠ»Π° inspect с катСгориями/URL
  3. ΠŸΡ€Π°Π²ΠΈΠ»Π° inspect для всСх ΠΎΡΡ‚Π°Π»ΡŒΠ½Ρ‹Ρ… ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΉ

Check Point: оптимизация CPU ΠΈ RAM

По Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с Ρ„Π°Π΅Ρ€Π²ΠΎΠ»ΡŒΠ½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΎΠΉ, Check Point ΠΈΡ‰Π΅Ρ‚ совпадСниС ΠΏΠΎ ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌ свСрху Π²Π½ΠΈΠ·, поэтому bypass ΠΏΡ€Π°Π²ΠΈΠ»Π° Π»ΡƒΡ‡ΡˆΠ΅ Ρ€Π°ΡΠΏΠΎΠ»ΠΎΠΆΠΈΡ‚ΡŒ Π²Π²Π΅Ρ€Ρ…Ρƒ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ шлюз Π½Π΅ Π±ΡƒΠ΄Π΅Ρ‚ Ρ‚Ρ€Π°Ρ‚ΠΈΡ‚ΡŒ рСсурсы Π½Π° ΠΏΡ€ΠΎΠ³ΠΎΠ½ΠΊΡƒ ΠΏΠΎ всСм ΠΏΡ€Π°Π²ΠΈΠ»Π°ΠΌ, Ссли этот ΠΏΠ°ΠΊΠ΅Ρ‚ Π½Π°Π΄ΠΎ ΠΏΡ€ΠΎΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ.

3.3 Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ Π»ΠΈ address-range ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹?

ΠžΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹ с Π΄ΠΈΠ°ΠΏΠ°Π·ΠΎΠ½ΠΎΠΌ адрСсом, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΡΠ΅Ρ‚ΡŒ 192.168.0.0-192.168.5.0, ΠΎΡ‚Π½ΠΈΠΌΠ°ΡŽΡ‚ сущСствСнно большС RAM, Ρ‡Π΅ΠΌ 5 network ΠΎΠ±ΡŠΠ΅ΠΊΡ‚ΠΎΠ². Π’ ΠΎΠ±Ρ‰Π΅ΠΌ ΠΈ Ρ†Π΅Π»ΠΎΠΌ, считаСтся Ρ…ΠΎΡ€ΠΎΡˆΠ΅ΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΎΠΉ ΡƒΠ΄Π°Π»ΡΡ‚ΡŒ Π½Π΅ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ ΠΎΠ±ΡŠΠ΅ΠΊΡ‚Ρ‹ Π² SmartConsole, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΊΠ°ΠΆΠ΄Ρ‹ΠΉ Ρ€Π°Π· Π²ΠΎ врСмя установки ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ шлюз ΠΈ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ сСрвСр тратят рСсурсы ΠΈ, Π³Π»Π°Π²Π½ΠΎΠ΅, врСмя, Π½Π° Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ ΠΏΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚ΡŒ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ.

3.4. Как настроСна ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ° Threat Prevention?

Π’ ΠΏΠ΅Ρ€Π²ΡƒΡŽ ΠΎΡ‡Π΅Ρ€Π΅Π΄ΡŒ, Check Point Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅Ρ‚ Π²Ρ‹Π½ΠΎΡΠΈΡ‚ΡŒ IPS Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΡŒ ΠΈ ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Π΅ ΠΏΡ€Π°Π²ΠΈΠ»Π° ΠΏΠΎΠ΄ этот Π±Π»Π΅ΠΉΠ΄.

НапримСр, администратор считаСт, Ρ‡Ρ‚ΠΎ сСгмСнт DMZ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Π·Π°Ρ‰ΠΈΡ‰Π°Ρ‚ΡŒ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ IPS. ΠŸΠΎΡΡ‚ΠΎΠΌΡƒ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ шлюз Π½Π΅ Ρ‚Ρ€Π°Ρ‚ΠΈΠ» рСсурсы Π½Π° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ Π±Π»Π΅ΠΉΠ΄Π°ΠΌΠΈ, Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎ ΠΏΠΎΠ΄ Π΄Π°Π½Π½Ρ‹ΠΉ сСгмСнт с ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΌ, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ IPS.

По ΠΏΠΎΠ²ΠΎΠ΄Ρƒ настройки ΠΏΡ€ΠΎΡ„ΠΈΠ»Π΅ΠΉ, Ρ‚ΠΎ рСкомСндуСтся Π½Π°ΡΡ‚Ρ€Π°ΠΈΠ²Π°Ρ‚ΡŒ Π΅Π³ΠΎ ΠΏΠΎ Π»ΡƒΡ‡ΡˆΠΈΠΌ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ°ΠΌ Π² этом Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π΅(страницы 17-20).

3.5. Π’ настройках IPS ΠΊΠ°ΠΊ ΠΌΠ½ΠΎΠ³ΠΎ сигнатур Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Detect?

РСкомСндуСтся усилСнно ΠΏΡ€ΠΎΡ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ сигнатуры Π² Ρ‚ΠΎΠΌ ΠΏΠ»Π°Π½Π΅, Ρ‡Ρ‚ΠΎ слСдуСт ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ Π½Π΅ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, сигнатуры Π½Π° ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² Adobe Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ ΠΌΠ½ΠΎΠ³ΠΎ Π²Ρ‹Ρ‡ΠΈΡΠ»ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ мощности, ΠΈ Ссли Ρƒ Π·Π°ΠΊΠ°Π·Ρ‡ΠΈΠΊΠ° Ρ‚Π°ΠΊΠΈΡ… ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠ² Π½Π΅Ρ‚, сигнатуры ΠΈΠΌΠ΅Π΅Ρ‚ смысл ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ). Π”Π°Π»Π΅Π΅ ΠΏΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Prevent вмСсто Detect Ρ‚Π°ΠΌ, Π³Π΄Π΅ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎ, ΠΏΠΎΡ‚ΠΎΠΌΡƒ Ρ‡Ρ‚ΠΎ шлюз Ρ‚Ρ€Π°Ρ‚ΠΈΡ‚ рСсурсы Π½Π° ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ всСго соСдинСния Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Detect, Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ Prevent ΠΎΠ½ сразу отбрасываСт соСдинСниС ΠΈ Π½Π΅ Ρ‚Ρ€Π°Ρ‚ΠΈΡ‚ рСсурсы Π½Π° ΠΏΠΎΠ»Π½ΡƒΡŽ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ ΠΏΠ°ΠΊΠ΅Ρ‚Π°.

3.6. КакиС Ρ„Π°ΠΉΠ»Ρ‹ ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ΡΡ Π±Π»Π΅ΠΉΠ΄Π°ΠΌΠΈ Threat Emulation, Threat Extraction, Anti-Virus?

НС ΠΈΠΌΠ΅Π΅Ρ‚ смысла ΡΠΌΡƒΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ ΠΈ Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠΉ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ваши ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Π½Π΅ ΡΠΊΠ°Ρ‡ΠΈΠ²Π°ΡŽΡ‚, ΠΈΠ»ΠΈ Π²Ρ‹ считаСтС Π½Π΅Π½ΡƒΠΆΠ½Ρ‹ΠΌΠΈ Π² вашСй сСти (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, bat, exe Ρ„Π°ΠΉΠ»Ρ‹ Π»Π΅Π³ΠΊΠΎ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π±Π»Π΅ΠΉΠ΄Π° Content Awareness Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ Ρ„Π°Π΅Ρ€Π²ΠΎΠ»Π°, поэтому рСсурсы шлюза Π±ΡƒΠ΄ΡƒΡ‚ Ρ‚Ρ€Π°Ρ‚ΠΈΡ‚ΡŒΡΡ мСньшС). Π‘ΠΎΠ»Π΅Π΅ Ρ‚ΠΎΠ³ΠΎ, Π² настройках Threat Emulation ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Π±ΠΈΡ€Π°Ρ‚ΡŒ Environment (ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΡƒΡŽ систСму) для эмуляции ΡƒΠ³Ρ€ΠΎΠ· Π² пСсочницС ΠΈ ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Environment Windows 7, ΠΊΠΎΠ³Π΄Π° всС ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ с 10-ΠΎΠΉ вСрсиСй, Ρ‚ΠΎΠΆΠ΅ Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ смысла.

3.7. РасполоТСны Π»ΠΈ Ρ„Π°Π΅Ρ€Π²ΠΎΠ»ΡŒΠ½Ρ‹Π΅ ΠΏΡ€Π°Π²ΠΈΠ»Π° ΠΈ ΠΏΡ€Π°Π²ΠΈΠ»Π° уровня Application Π² соотвСтствии с best practice?

Если Ρƒ ΠΏΡ€Π°Π²ΠΈΠ»Π° ΠΌΠ½ΠΎΠ³ΠΎ Ρ…ΠΈΡ‚ΠΎΠ² (совпадСний), Ρ‚ΠΎ ΠΈΡ… рСкомСндуСтся ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Π² самый Π²Π΅Ρ€Ρ…, Π° ΠΏΡ€Π°Π²ΠΈΠ»Π° с ΠΌΠ°Π»Ρ‹ΠΌ количСством Ρ…ΠΈΡ‚ΠΎΠ² β€” Π² самый Π½ΠΈΠ·. Π“Π»Π°Π²Π½ΠΎΠ΅ β€” это ΡΠ»Π΅Π΄ΠΈΡ‚ΡŒ Π·Π° Ρ‚Π΅ΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ ΠΎΠ½ΠΈ Π½Π΅ ΠΏΠ΅Ρ€Π΅ΡΠ΅ΠΊΠ°Π»ΠΈΡΡŒ ΠΈ Π½Π΅ ΠΏΠ΅Ρ€Π΅ΠΊΡ€Ρ‹Π²Π°Π»ΠΈ Π΄Ρ€ΡƒΠ³ Π΄Ρ€ΡƒΠ³Π°. РСкомСндуСмая Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€Π° Ρ„Π°Π΅Ρ€Π²ΠΎΠ»ΡŒΠ½ΠΎΠΉ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ:

Check Point: оптимизация CPU ΠΈ RAM

ПояснСния:

First Rules β€” сюда ΠΏΠΎΠΌΠ΅Ρ‰Π°ΡŽΡ‚ΡΡ ΠΏΡ€Π°Π²ΠΈΠ»Π° с самым большим количСством совпадСний
Noise Rule β€” ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ для отбрасывания ΠΏΠ°Ρ€Π°Π·ΠΈΡ‚Π½ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Ρ‚Π°ΠΊΠΎΠ³ΠΎ ΠΊΠ°ΠΊ NetBIOS
Stealth Rule β€” Π·Π°ΠΏΡ€Π΅Ρ‚ ΠΎΠ±Ρ€Π°Ρ‰Π΅Π½ΠΈΠΉ ΠΊ шлюзам ΠΈ ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚Π°ΠΌ всСм, ΠΊΡ€ΠΎΠΌΠ΅ Ρ‚Π΅Ρ… источников, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π±Ρ‹Π»ΠΈ ΡƒΠΊΠ°Π·Π°Π½Ρ‹ Π² ΠΏΡ€Π°Π²ΠΈΠ»Π°Ρ… Authentication to Gateway Rules
Clean-Up, Last ΠΈ Drop Rules, ΠΊΠ°ΠΊ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‚ΡΡ Π² ΠΎΠ΄Π½ΠΎ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ для Π·Π°ΠΏΡ€Π΅Ρ‚Π° всСго, Ρ‡Ρ‚ΠΎ Π½Π΅ Ρ€Π°Π·Ρ€Π΅ΡˆΠ΅Π½ΠΎ Π±Ρ‹Π»ΠΎ Ρ€Π°Π½Π΅Π΅

Π”Π°Π½Π½Ρ‹Π΅ Best practice описаны Π² sk106597.

3.8. КакиС настройки стоят Ρƒ созданных администраторами сСрвисов?

НапримСр, создаСтся ΠΊΠ°ΠΊΠΎΠΉ-Ρ‚ΠΎ сСрвис TCP ΠΏΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠΌΡƒ ΠΏΠΎΡ€Ρ‚Ρƒ, ΠΈ ΠΈΠΌΠ΅Π΅Ρ‚ смысл Π² Advanced настройках сСрвиса ΡΠ½ΡΡ‚ΡŒ Π³Π°Π»ΠΎΡ‡ΠΊΡƒ β€œMatch for Any”. Π’ этом случаС Π΄Π°Π½Π½Ρ‹ΠΉ сСрвис Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΠΎΠΏΠ°Π΄Π°Ρ‚ΡŒ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½ΠΎ ΠΏΠΎΠ΄ ΠΏΡ€Π°Π²ΠΈΠ»ΠΎ, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΎΠ½ Ρ„ΠΈΠ³ΡƒΡ€ΠΈΡ€ΡƒΠ΅Ρ‚, ΠΈ Π½Π΅ ΡƒΡ‡Π°ΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ Π² ΠΏΡ€Π°Π²ΠΈΠ»Π°Ρ…, Π³Π΄Π΅ Π² ΠΊΠΎΠ»ΠΎΠ½ΠΊΠ΅ Services стоит Any.

Check Point: оптимизация CPU ΠΈ RAM

Говоря ΠΎ сСрвисах, стоит ΡƒΠΏΠΎΠΌΡΠ½ΡƒΡ‚ΡŒ Ρ‚ΠΎ, Ρ‡Ρ‚ΠΎ ΠΈΠ½ΠΎΠ³Π΄Π° Π±Ρ‹Π²Π°Π΅Ρ‚ Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΡ‹ΠΌ ΠΏΠΎΠ΄Ρ‚ΡŽΠ½ΠΈΡ‚ΡŒ Ρ‚Π°ΠΉΠΌ-Π°ΡƒΡ‚Ρ‹. Π­Ρ‚Π° настройка ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ Π³Ρ€Π°ΠΌΠΎΡ‚Π½Π΅Π΅ Ρ€Π°ΡΡ…ΠΎΠ΄ΠΎΠ²Π°Ρ‚ΡŒ рСсурсы шлюза, Ρ‡Ρ‚ΠΎΠ±Ρ‹ Π½Π΅ Π΄Π΅Ρ€ΠΆΠ°Ρ‚ΡŒ лишнСС врСмя TCP/UDP сСссии ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ², ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌ Π½Π΅ Π½ΡƒΠΆΠ΅Π½ большой Ρ‚Π°ΠΉΠΌ-Π°ΡƒΡ‚. НапримСр, Π½Π° ΡΠΊΡ€ΠΈΠ½ΡˆΠΎΡ‚Π΅ Π½ΠΈΠΆΠ΅, я пСрСставил Ρ‚Π°ΠΉΠΌ-Π°ΡƒΡ‚ domain-udp сСрвиса с 40 сСкунд Π½Π° 30 сСкунд.

Check Point: оптимизация CPU ΠΈ RAM

3.9. Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π»ΠΈ SecureXL ΠΈ ΠΊΠ°ΠΊΠΎΠ² ΠΏΡ€ΠΎΡ†Π΅Π½Ρ‚ ускорСния?

ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ качСство Ρ€Π°Π±ΠΎΡ‚Ρ‹ SecureXL ΠΌΠΎΠΆΠ½ΠΎ основными ΠΊΠΎΠΌΠ°Π½Π΄Π°ΠΌΠΈ Π² экспСртном Ρ€Π΅ΠΆΠΈΠΌΠ΅ Π½Π° шлюзС fwaccel stat ΠΈ fw accel stats -s. Π”Π°Π»Π΅Π΅ Π½ΡƒΠΆΠ½ΠΎ Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ Π·Π° Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ускоряСтся, ΠΊΠ°ΠΊΠΈΠ΅ templates (ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹) ΠΌΠΎΠΆΠ½ΠΎ ΡΠΎΠ·Π΄Π°Ρ‚ΡŒ Π΅Ρ‰Π΅.

По ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Drop Templates Π½Π΅ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Ρ‹, ΠΈΡ… Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ благоприятно скаТСтся Π½Π° Ρ€Π°Π±ΠΎΡ‚Π΅ SecureXL. Для этого Π·Π°ΠΉΠ΄ΠΈΡ‚Π΅ Π² настройки шлюза ΠΈ Π²ΠΎ Π²ΠΊΠ»Π°Π΄ΠΊΡƒ Optimizations:

Check Point: оптимизация CPU ΠΈ RAM

Π’Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΈ Ρ€Π°Π±ΠΎΡ‚Π΅ с кластСром для ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ CPU ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΡΠΈΠ½Ρ…Ρ€ΠΎΠ½ΠΈΠ·Π°Ρ†ΠΈΡŽ Π½Π΅ΠΊΡ€ΠΈΡ‚ΠΈΡ‡Π½Ρ‹Ρ… сСрвисов, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ UDP DNS, ICMP ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅. Для этого стоит Π·Π°ΠΉΡ‚ΠΈ Π² настройки сСрвиса β†’ Advanced β†’ Synchronize connections of State Synchronization is enabled on the cluster.

Check Point: оптимизация CPU ΠΈ RAM

ВсС Best Practice описаны Π² sk98348.

3.10. Как ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ CoreXl?

ВСхнология CoreXL, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ мноТСство CPU для firewall instances (ΠΌΠΎΠ΄ΡƒΠ»ΠΈ Ρ„Π°Π΅Ρ€Π²ΠΎΠ»Π°), ΠΎΠ΄Π½ΠΎΠ·Π½Π°Ρ‡Π½ΠΎ ΠΏΠΎΠΌΠΎΠ³Π°Π΅Ρ‚ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Ρƒ устройства. Π‘ΠΏΠ΅Ρ€Π²Π° ΠΊΠΎΠΌΠ°Π½Π΄Π° fw ctl affinity -l -a ΠΏΠΎΠΊΠ°ΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ firewall instances ΠΈ процСссоры, ΠΎΡ‚Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΠΎΠ΄ Π½ΡƒΠΆΠ½Ρ‹ SND (модуля, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ распрСдСляСт Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π½Π° Ρ„Π°Π΅Ρ€Π²ΠΎΠ»ΡŒΠ½Ρ‹Π΅ сущности). Если задСйствованы Π½Π΅ всС процСссоры, ΠΈΡ… ΠΌΠΎΠΆΠ½ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠ°Π½Π΄ΠΎΠΉ cpconfig Π½Π° шлюзС.
Π’Π°ΠΊΠΆΠ΅ Ρ…ΠΎΡ€ΠΎΡˆΠ°Ρ история β€” это ΠΏΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ хотфикс Π½Π° Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Multi-Queue. Multi-Queue Ρ€Π΅ΡˆΠ°Π΅Ρ‚ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ, ΠΊΠΎΠ³Π΄Π° процСссор с SND ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ Π½Π° ΠΌΠ½ΠΎΠ³ΠΎ ΠΏΡ€ΠΎΡ†Π΅Π½Ρ‚ΠΎΠ², Π° firewall instances Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΡ… процСссорах ΠΏΡ€ΠΎΡΡ‚Π°ΠΈΠ²Π°ΡŽΡ‚. Π’ΠΎΠ³Π΄Π° Ρƒ SND появилась Π±Ρ‹ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒ ΠΌΠ½ΠΎΠ³ΠΎ ΠΎΡ‡Π΅Ρ€Π΅Π΄Π΅ΠΉ для ΠΎΠ΄Π½ΠΎΠΉ NIC ΠΈ ΡΡ‚Π°Π²ΠΈΡ‚ΡŒ Ρ€Π°Π·Π½Ρ‹Π΅ ΠΏΡ€ΠΈΠΎΡ€ΠΈΡ‚Π΅Ρ‚Ρ‹ для Ρ€Π°Π·Π½ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° Π½Π° ΡƒΡ€ΠΎΠ²Π½Π΅ ядра. Π‘Π»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½ΠΎ, ядра CPU станут ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π³Ρ€Π°ΠΌΠΎΡ‚Π½Π΅Π΅. ΠœΠ΅Ρ‚ΠΎΠ΄ΠΈΠΊΠΈ описаны Ρ‚Π°ΠΊΠΆΠ΅ Π² sk98348.

Π’ Π·Π°ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ Ρ…ΠΎΡ‚Π΅Π»ΠΎΡΡŒ Π±Ρ‹ ΡΠΊΠ°Π·Π°Ρ‚ΡŒ, Ρ‡Ρ‚ΠΎ это Π΄Π°Π»Π΅ΠΊΠΎ Π½Π΅ всС Best Practices ΠΏΠΎ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Check Point, ΠΎΠ΄Π½Π°ΠΊΠΎ самыС популярныС. Если Π²Ρ‹ Ρ…ΠΎΡ‚ΠΈΡ‚Π΅ Π·Π°ΠΊΠ°Π·Π°Ρ‚ΡŒ Π°ΡƒΠ΄ΠΈΡ‚ вашСй ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности ΠΈΠ»ΠΈ Ρ€Π΅ΡˆΠΈΡ‚ΡŒ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡƒ, ΡΠ²ΡΠ·Π°Π½Π½ΡƒΡŽ с Check Point, Ρ‚ΠΎ ΠΎΠ±Ρ€Π°Ρ‰Π°ΠΉΡ‚Π΅ΡΡŒ, поТалуйста, Π½Π° [email protected].

Бпасибо за вниманиС!

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ