Helo cydweithwyr! Heddiw, hoffwn drafod pwnc perthnasol iawn i lawer o weinyddwyr Check Point, "CPU a RAM Optimization". Nid yw’n anghyffredin i weinydd porth a/neu reoli ddefnyddio llawer o’r adnoddau hyn yn annisgwyl, a hoffai rhywun ddeall ble maent yn “gollwng” ac, os yn bosibl, eu defnyddio’n fwy cymwys.
1. Dadansoddiad
I ddadansoddi llwyth y prosesydd, mae'n ddefnyddiol defnyddio'r gorchmynion canlynol, sy'n cael eu nodi yn y modd arbenigol:
top yn dangos yr holl brosesau, faint o adnoddau CPU a RAM a ddefnyddiwyd yn y cant, uptime, blaenoriaeth proses a mewn amser realи
rhestr weinyddol cpwd Daemon Check Point WatchDog, sy'n dangos yr holl fodiwlau appline, eu PID, statws, a nifer y rhediadau
cpstat -f cpu os Defnydd CPU, eu nifer a dosbarthiad amser prosesydd yn y cant
cpstat -f cof os defnydd o RAM rhithwir, faint o RAM gweithredol, rhad ac am ddim a mwy
Y sylw cywir yw y gellir gweld yr holl orchmynion cpstat gan ddefnyddio'r cyfleustodau cpview. I wneud hyn, does ond angen i chi nodi'r gorchymyn cpview o unrhyw fodd yn y sesiwn SSH.
ps auxwf rhestr hir o'r holl brosesau, eu ID, cof rhithwir meddiannu a chof yn RAM, CPU
Amrywiad arall o'r gorchymyn:
ps-aF dangos y broses drutaf
fw ctl affinedd -l -a dosbarthu creiddiau ar gyfer gwahanol achosion o'r wal dân, hynny yw, technoleg CoreXL
fw ctl pstat Dadansoddiad RAM a dangosyddion cyffredinol o gysylltiadau, cwcis, NAT
rhydd -m RAM byffer
Mae'r tîm yn haeddu sylw arbennig. netsat a'i amrywiadau. Er enghraifft, netstat -i yn gallu helpu i ddatrys y broblem o fonitro clipfyrddau. Mae'r paramedr, pecynnau gollwng RX (RX-DRP) yn allbwn y gorchymyn hwn yn tueddu i dyfu ar ei ben ei hun oherwydd diferion protocol anghyfreithlon (IPv6, Tagiau VLAN Gwael / Anfwriadol, ac eraill). Fodd bynnag, os bydd diferion yn digwydd am reswm arall, yna dylech ddefnyddio hwn i ddechrau ymchwilio i pam mae'r rhyngwyneb rhwydwaith hwn yn gollwng pecynnau. Gan wybod yr achos, gellir optimeiddio gweithrediad yr appline hefyd.
Os yw'r llafn Monitro wedi'i alluogi, gallwch weld y metrigau hyn yn graffigol yn y SmartConsole trwy glicio ar wrthrych a dewis Gwybodaeth Dyfais a Thrwydded.
Ni argymhellir galluogi'r llafn Monitro yn barhaus, ond mae'n eithaf posibl am ddiwrnod ar gyfer prawf.
Ar ben hynny, gallwch ychwanegu mwy o baramedrau ar gyfer monitro, mae un ohonynt yn ddefnyddiol iawn - Bytes Throughput (lled band appline).
Os oes rhyw system fonitro arall, er enghraifft, am ddim , sy'n seiliedig ar SNMP, mae hefyd yn addas ar gyfer nodi'r problemau hyn.
2. RAM "gollyngiadau" dros amser
Yn aml, mae'r cwestiwn yn codi bod y porth neu'r gweinydd rheoli dros amser yn dechrau defnyddio mwy a mwy o RAM. Rwyf am dawelu eich meddwl: mae hon yn stori arferol ar gyfer systemau tebyg i Linux.
Edrych ar yr allbwn gorchymyn rhydd -m и cpstat -f cof os ar y appline o'r modd arbenigol, gallwch gyfrifo a gweld yr holl baramedrau sy'n gysylltiedig â RAM.
Yn seiliedig ar y cof sydd ar gael ar y porth ar hyn o bryd Cof Am Ddim + Cof Byfferau + Cof Cached = +-1.5 GB, fel arfer.
Fel y dywed SR, dros amser mae'r gweinydd porth / rheoli yn cael ei optimeiddio ac yn defnyddio mwy a mwy o gof, hyd at tua 80% o ddefnydd, ac yn stopio. Gallwch ailgychwyn y ddyfais ac yna bydd y dangosydd yn cael ei ailosod. Mae 1.5 GB o RAM am ddim yn bendant yn ddigon i'r porth gyflawni'r holl dasgau, ac anaml y mae rheolaeth yn cyrraedd gwerthoedd trothwy o'r fath.
Hefyd, bydd allbwn y gorchmynion a grybwyllwyd yn dangos faint sydd gennych chi Cof isel (RAM yn y gofod defnyddiwr) a cof uchel (RAM yn y gofod cnewyllyn) a ddefnyddir.
Mae prosesau cnewyllyn (gan gynnwys modiwlau gweithredol fel modiwlau cnewyllyn Check Point) yn defnyddio cof Isel yn unig. Fodd bynnag, gall prosesau defnyddwyr ddefnyddio cof Isel ac Uchel. Ar ben hynny, mae cof Isel bron yn hafal i Cyfanswm y Cof.
Dim ond os oes gwallau yn y logiau y dylech chi boeni "modiwlau'n ailgychwyn neu brosesau'n cael eu lladd i adennill cof oherwydd OOM (Allan o'r cof)". Yna dylech ailgychwyn y porth a chyswllt cymorth os nad yw'r ailgychwyn yn helpu.
Ceir disgrifiad llawn yn и .
3. Optimeiddio
Isod mae cwestiynau ac atebion am optimeiddio CPU a RAM. Dylech eu hateb yn onest i chi'ch hun a gwrando ar yr argymhellion.
3.1. A ddewiswyd yr uwch-linell yn gywir? Oedd yna brosiect peilot?
Er gwaethaf maint cymwys, gallai'r rhwydwaith dyfu'n syml, ac ni all yr offer hwn ymdopi â'r llwyth. Yr ail opsiwn, os nad oedd maint fel y cyfryw.
3.2. A yw arolygiad HTTPS wedi'i alluogi? Os felly, a yw'r dechnoleg wedi'i ffurfweddu yn unol ag Arfer Gorau?
Cyfeirio at os mai chi yw ein cleient, neu i .
Mae trefn y rheolau ym mholisi arolygu HTTPS yn bwysig iawn wrth wneud y gorau o agor safleoedd HTTPS.
Trefn y rheolau a argymhellir:
- Rheolau ffordd osgoi gyda chategorïau/URLs
- archwilio rheolau gyda chategorïau/URLs
- Archwiliwch y rheolau ar gyfer pob categori arall
Mewn cyfatebiaeth â pholisi wal dân, mae Check Point yn chwilio am becyn cyfatebol o'r top i'r gwaelod, felly mae'n well gosod rheolau ffordd osgoi ar y brig, gan na fydd y porth yn gwastraffu adnoddau ar redeg trwy'r holl reolau os oes angen hepgor y pecyn hwn.
3.3 A ddefnyddir gwrthrychau amrediad cyfeiriad?
Mae gwrthrychau ag ystod o gyfeiriadau, fel y rhwydwaith 192.168.0.0-192.168.5.0, yn defnyddio llawer mwy o RAM na 5 gwrthrych rhwydwaith. Yn gyffredinol, ystyrir ei bod yn arfer da dileu gwrthrychau nas defnyddiwyd yn y SmartConsole, oherwydd bob tro y caiff polisi ei osod, mae'r gweinydd porth a rheoli yn gwario adnoddau ac, yn bwysicaf oll, amser i wirio a chymhwyso'r polisi.
3.4. Sut mae'r polisi Atal Bygythiad wedi'i ffurfweddu?
Yn gyntaf oll, mae Check Point yn argymell symud IPS i broffil ar wahân a chreu rheolau ar wahân ar gyfer y llafn hwn.
Er enghraifft, mae gweinyddwr o'r farn mai dim ond gydag IPS y dylid diogelu segment DMZ. Felly, er mwyn i'r porth beidio â gwastraffu adnoddau ar brosesu pecynnau gan lafnau eraill, mae angen creu rheol yn benodol ar gyfer y segment hwn gyda phroffil lle mae IPS yn unig wedi'i alluogi.
O ran sefydlu proffiliau, argymhellir ei osod yn unol â'r arferion gorau yn hyn o beth (tudalennau 17-20).
3.5. Sawl llofnod yn y modd Canfod mewn gosodiadau IPS?
Argymhellir gweithio'n galed ar lofnodion yn yr ystyr y dylid analluogi llofnodion nas defnyddiwyd (er enghraifft, mae llofnodion ar gyfer gweithredu cynhyrchion Adobe yn gofyn am lawer o bŵer cyfrifiadurol, ac os nad oes gan y cwsmer gynhyrchion o'r fath, mae'n gwneud synnwyr i analluogi llofnodion). Yna rhowch Atal yn lle Canfod lle bo modd, oherwydd bod y porth yn gwario adnoddau ar brosesu'r cysylltiad cyfan yn y modd Canfod, yn y modd Prevent mae'n gollwng y cysylltiad ar unwaith ac nid yw'n gwastraffu adnoddau ar brosesu'r pecyn yn llawn.
3.6. Pa ffeiliau sy'n cael eu prosesu gan y llafnau Efelychu Bygythiad, Echdynnu Bygythiad, Gwrth-Firws?
Nid yw'n gwneud unrhyw synnwyr i efelychu a dadansoddi ffeiliau estyniad nad yw eich defnyddwyr yn eu llwytho i lawr neu yr ydych yn eu hystyried yn ddiangen ar eich rhwydwaith (er enghraifft, gellir rhwystro ffeiliau ystlumod, exe yn hawdd gan ddefnyddio'r llafn Ymwybyddiaeth Cynnwys ar lefel y wal dân, felly bydd adnoddau porth yn cael eu gwario llai). Ar ben hynny, yn y gosodiadau Emulation Bygythiad, gallwch ddewis yr Amgylchedd (system weithredu) i efelychu bygythiadau yn y blwch tywod a gosod Amgylchedd Windows 7 pan fydd yr holl ddefnyddwyr yn gweithio gyda'r 10fed fersiwn, nid yw hefyd yn gwneud synnwyr.
3.7. A yw'r rheolau wal dân a haen Cais yn cael eu gosod yn unol ag arfer gorau?
Os oes gan reol lawer o drawiadau (matsio), yna argymhellir eu rhoi ar y brig, a rheolau gyda nifer fach o drawiadau - ar y gwaelod iawn. Y prif beth yw sicrhau nad ydynt yn croestorri ac nad ydynt yn gorgyffwrdd â'i gilydd. Pensaernïaeth polisi wal dân a argymhellir:
Esboniadau:
Rheolau Cyntaf - mae'r rheolau gyda'r nifer fwyaf o gemau yn cael eu gosod yma
Rheol Sŵn - rheol ar gyfer gollwng traffig annilys fel NetBIOS
Rheol Llechwraidd - gwahardd mynediad i byrth a rheolaeth i bawb, ac eithrio'r ffynonellau hynny a nodwyd yn y Rheolau Dilysu i'r Porth
Mae Rheolau Glanhau, Diwethaf a Gollwng fel arfer yn cael eu cyfuno'n un rheol i wahardd popeth nad oedd yn cael ei ganiatáu o'r blaen
Disgrifir data arfer gorau yn .
3.8. Beth yw'r gosodiadau ar gyfer y gwasanaethau a grëwyd gan weinyddwyr?
Er enghraifft, mae rhywfaint o wasanaeth TCP yn cael ei greu ar borthladd penodol, ac mae'n gwneud synnwyr dad-diciwch “Match for Any” yng ngosodiadau Uwch y gwasanaeth. Yn yr achos hwn, bydd y gwasanaeth hwn yn dod yn benodol o dan y rheol y mae'n ymddangos ynddi, ac ni fydd yn cymryd rhan yn y rheolau lle mae Unrhyw yn y golofn Gwasanaethau.
Wrth siarad am wasanaethau, mae'n werth nodi bod angen newid seibiannau weithiau. Bydd y gosodiad hwn yn caniatáu ichi ddefnyddio'r adnoddau porth yn fwy deallus, er mwyn peidio â chadw amser sesiwn TCP / CDU ychwanegol ar gyfer protocolau nad oes angen llawer o amser arnynt. Er enghraifft, yn y llun isod, newidiais y terfyn amser gwasanaeth parth-udp o 40 eiliad i 30 eiliad.
3.9. A ddefnyddir SecureXL a beth yw canran y cyflymiad?
Gallwch wirio ansawdd SecureXL gyda'r prif orchmynion yn y modd arbenigol ar y porth stat fwaccel и fw accelstats -s. Nesaf, mae angen i chi ddarganfod pa fath o draffig sy'n cyflymu, pa dempledi (templedi) y gallwch chi eu creu mwy.
Yn ddiofyn, nid yw Templedi Gollwng wedi'u galluogi, gan eu galluogi i gael effaith gadarnhaol ar weithrediad SecureXL. I wneud hyn, ewch i'r gosodiadau porth a'r tab Optimizations:
Hefyd, wrth weithio gyda chlwstwr, i wneud y gorau o'r CPU, gallwch analluogi cydamseru gwasanaethau nad ydynt yn hanfodol, megis CDU DNS, ICMP, ac eraill. I wneud hyn, ewch i'r gosodiadau gwasanaeth → Uwch → Cydamseru cysylltiadau o Synchronization Gwladol wedi'i alluogi ar y clwstwr.
Disgrifir yr holl Arferion Gorau yn .
3.10. Sut mae CoreXl yn cael ei ddefnyddio?
Mae technoleg CoreXL, sy'n eich galluogi i ddefnyddio CPUau lluosog ar gyfer achosion wal dân (modiwlau wal dân), yn bendant yn helpu i wneud y gorau o berfformiad dyfais. Tîm yn gyntaf fw ctl affinedd -l -a yn dangos yr achosion wal dân a ddefnyddir a'r proseswyr a roddir i'r SND angenrheidiol (modiwl sy'n dosbarthu traffig i endidau wal dân). Os nad yw pob prosesydd yn cymryd rhan, gellir eu hychwanegu gyda'r gorchymyn cpconfig wrth y porth.
Stori dda i'w rhoi hefyd i alluogi Aml-Ciw. Mae Multi-Queue yn datrys y broblem pan fydd y prosesydd ag SND yn cael ei ddefnyddio gan lawer y cant, ac mae achosion wal dân ar broseswyr eraill yn segur. Yna byddai SND yn gallu creu llawer o giwiau ar gyfer un NIC a gosod blaenoriaethau gwahanol ar gyfer traffig gwahanol ar lefel y cnewyllyn. O ganlyniad, bydd y creiddiau CPU yn cael eu defnyddio'n fwy deallus. Disgrifir dulliau hefyd yn .
I gloi, hoffwn ddweud bod y rhain ymhell o fod yr holl Arferion Gorau ar gyfer optimeiddio Check Point, ond y rhai mwyaf poblogaidd. Os hoffech wneud cais am archwiliad o'ch polisi diogelwch neu ddatrys mater Pwynt Gwirio, cysylltwch â [e-bost wedi'i warchod].
Diolch am eich sylw!
Ffynhonnell: hab.com