Hello mga kauban! Karon gusto nakong hisgutan ang usa ka may kalabutan nga hilisgutan alang sa daghang mga tagdumala sa Check Point, "CPU ug RAM Optimization". Sagad alang sa usa ka gateway ug/o server sa pagdumala nga wala damha nga mokaon sa kadaghanan niini nga mga kapanguhaan, ug ang usa gusto nga masabtan kung diin sila "nag-leak" ug, kung mahimo, gamiton kini nga labi ka katakus.
1. Pagtuki
Aron ma-analisar ang load sa processor, mapuslanon ang paggamit sa mosunod nga mga sugo, nga gisulod sa expert mode:
ibabaw nagpakita sa tanan nga mga proseso, ang gidaghanon sa CPU ug RAM nga mga kapanguhaan nga gigamit sa porsyento, oras sa pag-andar, prayoridad sa proseso ug sa tinuod nga panahonΠΈ
cpwd_admin nga lista Check Point WatchDog Daemon, nga nagpakita sa tanang appline modules, ilang PID, status, ug gidaghanon sa mga run
cpstat -f cpu os Paggamit sa CPU, ilang gidaghanon ug pag-apod-apod sa oras sa processor sa porsyento
cpstat -f memory os paggamit sa virtual RAM, unsa ka daghan ang aktibo, libre nga RAM ug uban pa
Ang husto nga gisulti mao nga ang tanan nga cpstat nga mga sugo mahimong makita gamit ang utility cpview. Aron mahimo kini, kinahanglan nimo nga mosulod sa cpview command gikan sa bisan unsang mode sa sesyon sa SSH.
ps auxwf usa ka taas nga lista sa tanan nga mga proseso, ang ilang ID, nag-okupar sa virtual nga panumduman ug memorya sa RAM, CPU
Laing kalainan sa mando:
ps-aF ipakita ang labing mahal nga proseso
fw ctl affinity -l -a pag-apod-apod sa mga cores alang sa lainlaing mga higayon sa firewall, nga mao, teknolohiya sa CoreXL
fw ctl pstat Pag-analisar sa RAM ug kinatibuk-ang indikasyon sa mga koneksyon, cookies, NAT
libre -m RAM buffer
Ang team angayan og espesyal nga pagtagad. netsat ug ang mga kalainan niini. Pananglitan, netstat -i makatabang sa pagsulbad sa problema sa pagmonitor sa mga clipboard. Ang parameter, RX dropped packets (RX-DRP) sa output niini nga command lagmit nga motubo sa iyang kaugalingon tungod sa illegitimate protocol drops (IPv6, Bad / Unintended VLAN tags, ug uban pa). Bisan pa, kung ang mga pagtulo mahitabo tungod sa lain nga hinungdan, kinahanglan nimo kini gamiton aron magsugod sa pag-imbestiga kung ngano nga kini nga interface sa network naghulog sa mga pakete. Nahibal-an ang hinungdan, ang operasyon sa appline mahimo usab nga ma-optimize.
Kung gi-enable ang Monitoring blade, mahimo nimong tan-awon kini nga mga sukatan nga grapiko sa SmartConsole pinaagi sa pag-klik sa usa ka butang ug pagpili sa Device & License Information.
Wala kini girekomendar sa paghimo sa Monitoring blade sa usa ka padayon nga basehan, apan kini mao ang posible nga alang sa usa ka adlaw alang sa usa ka pagsulay.
Dugang pa, mahimo nimong idugang ang daghang mga parameter alang sa pag-monitor, usa niini mapuslanon kaayo - Bytes Throughput (appline bandwidth).
Kung adunay uban nga sistema sa pag-monitor, pananglitan, libre , nga gibase sa SNMP, kini usab angay alang sa pag-ila niini nga mga problema.
2. Ang RAM "nagtulo" sa paglabay sa panahon
Kasagaran ang pangutana mitungha nga sa paglabay sa panahon, ang gateway o management server nagsugod sa pag-ut-ot sa dugang ug dugang nga RAM. Gusto ko nga ipasalig kanimo: kini usa ka normal nga istorya alang sa mga sistema nga sama sa Linux.
Pagtan-aw sa command output libre -m ΠΈ cpstat -f memory os sa appline gikan sa mode nga eksperto, mahimo nimong kuwentahon ug tan-awon ang tanan nga mga parameter nga may kalabotan sa RAM.
Base sa magamit nga memorya sa gateway sa pagkakaron Libre nga Panumduman + Mga Buffer Memory + Gi-cache nga Memorya = +-1.5 GB, kasagaran.
Sama sa giingon sa SR, sa paglabay sa panahon ang gateway/management server na-optimize ug naggamit ug dugang nga memorya, hangtod sa 80% nga paggamit, ug mihunong. Mahimo nimong i-reboot ang aparato ug i-reset ang timailhan. Ang 1.5 GB nga libre nga RAM siguradong igo alang sa ganghaan aron mahimo ang tanan nga mga buluhaton, ug ang pagdumala panagsa ra makaabut sa ingon nga mga kantidad sa threshold.
Usab, ang output sa nahisgutang mga sugo magpakita kon unsa ka daghan ang naa nimo ubos nga memorya (RAM sa user space) ug taas nga memorya (RAM sa kernel space) gigamit.
Ang mga proseso sa kernel (lakip ang mga aktibong modules sama sa Check Point kernel modules) naggamit lang ug Low memory. Bisan pa, ang mga proseso sa tiggamit makagamit sa Ubos ug Taas nga memorya. Dugang pa, ang Ubos nga panumduman halos parehas sa Kinatibuk-ang Memorya.
Kinahanglan ka lang mabalaka kung adunay mga sayup sa mga log "pag-reboot sa mga module o mga proseso nga gipatay aron mabawi ang memorya tungod sa OOM (Out of memory)". Unya kinahanglan nimo nga i-reboot ang ganghaan ug kontaka ang suporta kung ang pag-reboot dili makatabang.
Ang usa ka kompleto nga paghulagway makita sa ΠΈ .
3. Pag-optimize
Sa ubos mao ang mga pangutana ug tubag bahin sa pag-optimize sa CPU ug RAM. Kinahanglan nimo silang tubagon nga matinud-anon sa imong kaugalingon ug paminawon ang mga rekomendasyon.
3.1. Sakto ba ang pagpili sa upline? Naa bay pilot project?
Bisan pa sa takos nga gidak-on, ang network mahimo nga motubo, ug kini nga kagamitan dili gyud makasagubang sa karga. Ang ikaduha nga kapilian, kung walaβy gidak-on nga ingon niana.
3.2. Gipaandar ba ang pag-inspeksyon sa HTTPS? Kung mao, gi-configure ba ang teknolohiya sumala sa Labing Maayo nga Practice?
Refer sa kung ikaw ang among kliyente, o sa .
Ang han-ay sa mga lagda sa HTTPS nga polisiya sa inspeksyon adunay dakong importansya sa pag-optimize sa pag-abli sa HTTPS nga mga site.
Girekomenda nga han-ay sa mga lagda:
- Mga lagda sa bypass nga adunay mga kategorya/URL
- susiha ang mga lagda nga adunay mga kategorya/URL
- Susiha ang mga lagda alang sa tanan nga uban nga mga kategorya
Pinaagi sa analohiya sa polisiya sa firewall, ang Check Point mangita og packet match gikan sa taas ngadto sa ubos, mao nga ang bypass rules maoy labing maayo nga ibutang sa ibabaw, tungod kay ang gateway dili mag-usik sa mga kapanguhaan sa pagpadagan sa tanang mga lagda kung kini nga pakete kinahanglan nga laktawan.
3.3 Gigamit ba ang mga butang nga sakup sa adres?
Ang mga butang nga adunay lainlain nga mga adres, sama sa network 192.168.0.0-192.168.5.0, nagkonsumo ug labi pa nga RAM kaysa 5 nga mga butang sa network. Sa kinatibuk-an, giisip nga maayong praktis ang pagtangtang sa wala magamit nga mga butang sa SmartConsole, tungod kay sa matag higayon nga ang usa ka palisiya gitakda, ang gateway ug server sa pagdumala mogasto ug mga kapanguhaan ug, labing hinungdanon, oras aron mapamatud-an ug magamit ang palisiya.
3.4. Giunsa pag-configure ang palisiya sa Paglikay sa Panghulga?
Una sa tanan, girekomenda sa Check Point ang pagbalhin sa IPS sa usa ka lahi nga profile ug paghimo og lahi nga mga lagda alang niini nga blade.
Pananglitan, ang usa ka administrador naghunahuna nga ang usa ka bahin sa DMZ kinahanglan nga panalipdan lamang sa IPS. Busa, aron ang ganghaan dili mag-usik sa mga kahinguhaan sa pagproseso sa mga pakete sa ubang mga blades, gikinahanglan ang paghimo og usa ka lagda nga espesipiko alang niini nga bahin nga adunay usa ka profile diin ang IPS lamang ang mahimo.
Mahitungod sa pag-set up sa mga profile, girekomenda nga i-set up kini sumala sa labing kaayo nga mga gawi niini (panid 17-20).
3.5. Pila ka mga pirma sa Detect mode sa mga setting sa IPS?
Girekomenda nga magtrabaho pag-ayo sa mga pirma sa diwa nga ang wala magamit nga mga pirma kinahanglan nga ma-disable (pananglitan, ang mga pirma alang sa operasyon sa mga produkto sa Adobe nanginahanglan daghang gahum sa pag-compute, ug kung ang kostumer walaβy ingon nga mga produkto, makatarunganon nga i-disable. mga pirma). Dayon ibutang ang Prevent imbes nga Detect kung mahimo, tungod kay ang gateway naggasto sa mga kapanguhaan sa pagproseso sa tibuok koneksyon sa Detect mode, sa Prevent mode kini diha-diha dayon naghulog sa koneksyon ug dili mag-usik sa mga kapanguhaan sa bug-os nga pagproseso sa pakete.
3.6. Unsang mga file ang giproseso sa Threat Emulation, Threat Extraction, Anti-Virus blades?
Dili makatarunganon nga sundon ug analisahon ang mga file sa extension nga dili ma-download sa imong mga tiggamit o giisip nimo nga wala kinahanglana sa imong network (pananglitan, ang mga bat, exe file dali nga ma-block gamit ang sulud sa Pagkahibalo sa sulud sa lebel sa firewall, mao nga ang mga kapanguhaan sa gateway mahimong gamay ra ang gigasto). Dugang pa, sa mga setting sa Threat Emulation, mahimo nimong pilion ang Environment (operating system) aron sundon ang mga hulga sa sandbox ug i-install ang Environment Windows 7 kung ang tanan nga tiggamit nagtrabaho sa ika-10 nga bersyon, dili usab kini makatarunganon.
3.7. Ang firewall ug Application layer nga mga lagda gibutang ba sumala sa labing maayo nga praktis?
Kung ang usa ka lagda adunay daghang mga hit (mga posporo), nan kini girekomendar nga ibutang kini sa pinakataas, ug mga lagda nga adunay gamay nga gidaghanon sa mga hit - sa pinakaubos. Ang nag-unang butang mao ang pagsiguro nga dili sila mag-intersect ug dili mag-overlap sa usag usa. Girekomenda nga arkitektura sa palisiya sa firewall:
Mga pagpasabut:
Una nga Mga Lagda - ang mga lagda nga adunay kadaghanan nga mga posporo gibutang dinhi
Noise Rule - usa ka lagda sa pagtangtang sa dili tinuod nga trapiko sama sa NetBIOS
Stealth Rule - pagdili sa pag-access sa mga gateway ug pagdumala sa tanan, gawas sa mga tinubdan nga gipiho sa Authentication to Gateway Rules
Ang Clean-Up, Last ug Drop Rules sagad gihiusa sa usa ka lagda aron idili ang tanan nga wala gitugot kaniadto
Ang labing maayong datos sa praktis gihulagway sa .
3.8. Unsa ang mga setting alang sa mga serbisyo nga gihimo sa mga administrador?
Pananglitan, ang pipila nga serbisyo sa TCP gihimo sa usa ka piho nga pantalan, ug makatarunganon nga i-uncheck ang "Match for Any" sa Advanced nga mga setting sa serbisyo. Sa kini nga kaso, kini nga serbisyo mahulog espesipiko sa ilawom sa lagda kung diin kini makita, ug dili moapil sa mga lagda kung diin ang Any naa sa kolum sa Mga Serbisyo.
Naghisgot bahin sa mga serbisyo, angay nga hisgutan nga usahay kinahanglan nga mag-tweak sa mga timeout. Kini nga setting magtugot kanimo sa paggamit sa mga kapanguhaan sa ganghaan sa mas maalamon nga paagi, aron dili matipigan ang dugang nga oras sa sesyon sa TCP / UDP alang sa mga protocol nga wala magkinahanglan usa ka dako nga timeout. Pananglitan, sa screenshot sa ubos, akong giusab ang domain-udp service timeout gikan sa 40 segundos ngadto sa 30 segundos.
3.9. Gigamit ba ang SecureXL ug pila ang porsyento sa pagpadali?
Mahimo nimong susihon ang kalidad sa SecureXL gamit ang mga nag-unang mga mando sa mode nga eksperto sa ganghaan fwaccel stat ΠΈ fw accelstats -s. Sunod, kinahanglan nimo nga mahibal-an kung unsang matanga sa trapiko ang nagpadali, kung unsang mga template (mga template) ang mahimo nimong mahimo.
Sa kasagaran, ang Drop Templates wala ma-enable, ang pagpagana niini adunay positibo nga epekto sa operasyon sa SecureXL. Aron mahimo kini, adto sa gateway settings ug ang Optimizations tab:
Ingon usab, kung nagtrabaho kauban ang usa ka kumpol, aron ma-optimize ang CPU, mahimo nimong ma-disable ang pag-synchronize sa mga dili kritikal nga serbisyo, sama sa UDP DNS, ICMP, ug uban pa. Aron mahimo kini, adto sa mga setting sa serbisyo β Abante β I-synchronize ang mga koneksyon sa State Synchronization gipalihok sa cluster.
Ang tanan nga labing maayo nga mga gawi gihulagway sa .
3.10. Giunsa paggamit ang CoreXl?
Ang teknolohiya sa CoreXL, nga nagtugot kanimo sa paggamit sa daghang mga CPU alang sa mga pananglitan sa firewall (mga module sa firewall), siguradong makatabang sa pag-optimize sa performance sa aparato. Team una fw ctl affinity -l -a ipakita ang gigamit nga firewall instances ug ang mga processor nga gihatag ngadto sa gikinahanglan nga SND (usa ka module nga nag-apod-apod sa trapiko ngadto sa firewall entities). Kung dili tanan nga mga processor ang nalambigit, mahimo silang idugang sa mando cpconfig sa ganghaan.
Usa usab ka maayong istorya ang ibutang aron mahimo ang Multi-Queue. Gisulbad sa Multi-Queue ang problema kung ang processor nga adunay SND gigamit sa daghang porsyento, ug ang mga pananglitan sa firewall sa ubang mga processor walay pulos. Dayon ang SND makahimo sa paghimo og daghang mga pila para sa usa ka NIC ug magtakda og lain-laing mga prayoridad alang sa lain-laing trapiko sa kernel nga lebel. Tungod niini, ang mga cores sa CPU magamit nga mas maalamon. Ang mga pamaagi gihulagway usab sa .
Sa konklusyon, gusto nako isulti nga kini layo sa tanan nga labing kaayo nga mga gawi alang sa pag-optimize sa Check Point, apan ang labing inila. Kung gusto nimo nga mohangyo ug audit sa imong polisiya sa seguridad o pagsulbad sa isyu sa Check Point, palihog kontaka [protektado sa email].
Π‘ΠΏΠ°ΡΠΈΠ±ΠΎ Π·Π° Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅!
Source: www.habr.com