Saluton kolegoj! Hodiaŭ mi ŝatus diskuti tre gravan temon por multaj administrantoj de Check Point: "Optimumigo de CPU kaj RAM." Ofte estas kazoj kiam la enirejo kaj/aŭ administra servilo konsumas neatendite multajn el tiuj rimedoj, kaj mi ŝatus kompreni kien ili "fluas" kaj, se eble, uzi ilin pli inteligente.
1. Analizo
Por analizi procesoran ŝarĝon, estas utile uzi la jenajn komandojn, kiuj estas enmetitaj en sperta reĝimo:
supro montras ĉiujn procezojn, la kvanton de CPU kaj RAM-resursoj konsumitaj kiel procento, funkciado, proceza prioritato kaj
cpwd_admin listo Check Point WatchDog Daemon, kiu montras ĉiujn aplikajn modulojn, ilian PID, staton kaj nombron da komencoj
cpstat -f cpu os CPU-uzo, ilia nombro kaj distribuado de procesorotempo kiel procento
cpstat -f memoro os uzo de virtuala RAM, kiom da aktiva, libera RAM kaj pli
La ĝusta rimarko estas, ke ĉiuj cpstat-komandoj povas esti rigardataj per la ilo cpview. Por fari tion, vi nur bezonas enigi la komandon cpview de iu ajn reĝimo en la SSH-sesio.
ps auxwf longa listo de ĉiuj procezoj, ilia ID, okupita virtuala memoro kaj memoro en RAM, CPU
Aliaj komandaj varioj:
ps-aF montros la plej multekostan procezon
fw ctl afineco -l -a distribuado de kernoj por malsamaj kazoj de la fajroŝirmilo, tio estas, CoreXL-teknologio
fw ctl pstat Analizo de RAM kaj ĝeneralaj indikiloj de konektoj, kuketoj, NAT
libera -m RAM-bufro
La teamo meritas specialan atenton. netsat kaj ĝiaj variaĵoj. Ekzemple, netstat -i povas helpi solvi la problemon de monitorado de tondujo. La parametro, RX faligitaj pakoj (RX-DRP) en la eligo de ĉi tiu komando emas kreski per si mem pro nelegitimaj protokolaj faloj (IPv6, Malbonaj / Neintencaj VLAN-etikedoj, kaj aliaj). Tamen, se gutoj okazas pro alia kialo, tiam vi devus uzi ĉi tion
Se la Monitora klingo estas ebligita, vi povas vidi ĉi tiujn metrikojn grafike en SmartConsole alklakante la objekton kaj elektante "Informoj pri Aparato kaj Licenco".
Ne rekomendas ebligi la Monitoran klingon daŭrante, sed estas tute eble dum tago por testo.
Plie, vi povas aldoni pli da parametroj por monitorado, unu el ili estas tre utila - Bytes Throughput (applie bandwidth).
Se ekzistas iu alia monitora sistemo, ekzemple, senpaga
2. RAM "fluas" laŭlonge de la tempo
Ofte aperas la demando, ke kun la tempo, la enirejo aŭ administra servilo komencas konsumi pli kaj pli da RAM. Mi volas trankviligi vin: ĉi tio estas normala rakonto por Linukso-similaj sistemoj.
Rigardante la eligon de la komandoj libera -m и cpstat -f memoro os en la aplikaĵo de sperta reĝimo, vi povas kalkuli kaj vidi ĉiujn parametrojn rilatajn al RAM.
Surbaze de la disponebla memoro sur la enirejo nuntempe Senpaga Memoro + Buffers Memoro + Kaŝmemoro = +-1.5 GB, kutime.
Kiel diras CP, kun la tempo la enirejo/administra servilo optimumigas kaj uzas pli kaj pli da memoro, atingante ĉirkaŭ 80% utiligon, kaj haltas. Vi povas rekomenci la aparaton, kaj tiam la indikilo estos rekomencigita. 1.5 GB da senpaga RAM sufiĉas por ke la enirejo plenumu ĉiujn taskojn, kaj administrado malofte atingas tiajn sojlovalorojn.
Ankaŭ, la eliroj de la menciitaj komandoj montros kiom vi havas Malalta memoro (RAM en uzantspaco) kaj alta memoro (RAM en kernspaco) uzata.
Kernprocezoj (inkluzive de aktivaj moduloj kiel ekzemple Check Point-kernmoduloj) nur uzas Malaltan memoron. Tamen, uzantprocezoj povas uzi kaj Malaltan kaj Alta memoron. Plie, Malalta memoro estas proksimume egala al Totala Memoro.
Vi nur zorgu se estas eraroj en la protokoloj "Moduloj rekomenciĝas aŭ procezoj estas mortigitaj por repreni memoron pro OOM (Elĉerpa memoro)". Tiam vi devus rekomenci la enirejon kaj kontakti subtenon se la rekomenco ne helpas.
Plena priskribo troveblas en
3. Optimumigo
Malsupre estas demandoj kaj respondoj pri optimumigo de CPU kaj RAM. Vi devus respondi ilin honeste al vi mem kaj aŭskulti la rekomendojn.
3.1. Ĉu la suprenlinio estis ĝuste elektita? Ĉu estis pilota projekto?
Malgraŭ taŭga grandeco, la reto simple povus kreski, kaj ĉi tiu ekipaĵo simple ne povas elteni la ŝarĝon. La dua opcio estas se ne ekzistis grandeco kiel tia.
3.2. Ĉu HTTPS-inspektado estas ebligita? Se jes, ĉu la teknologio estas agordita laŭ Plej bona Praktiko?
Vidu al
La ordo de la reguloj en la HTTPS-inspekta politiko ludas grandan rolon en la optimumigo de la malfermo de HTTPS-ejoj.
Rekomendita ordo de reguloj:
- Preterpasi regulojn kun kategorioj/URL-oj
- Inspektu regulojn kun kategorioj/URL-oj
- Inspektu regulojn por ĉiuj aliaj kategorioj
Analogie kun la politiko pri fajroŝirmilo, Check Point serĉas pakaĵeton de supre ĝis malsupre, do preterpasaj reguloj estas plej bone lokitaj supre, ĉar la enirejo ne malŝparos rimedojn por trapasi ĉiujn regulojn se ĉi tiu pako devas esti preterlasita.
3.3 Ĉu adresintervalaj objektoj estas uzataj?
Objektoj kun adresa gamo, ekzemple, la reto 192.168.0.0-192.168.5.0, okupas signife pli da RAM ol 5 retaj objektoj. Ĝenerale, estas konsiderata bona praktiko forigi neuzatajn objektojn en SmartConsole, ĉar ĉiufoje kiam politiko estas instalita, la enirejo kaj administra servilo elspezas rimedojn kaj, plej grave, tempon, kontrolante kaj aplikante la politikon.
3.4. Kiel estas agordita la Politiko pri Minaco-Preventado?
Antaŭ ĉio, Check Point rekomendas meti IPS en apartan profilon kaj krei apartajn regulojn por ĉi tiu klingo.
Ekzemple, administranto opinias, ke DMZ-segmento devas esti protektita nur per IPS. Tial, por ke la enirejo ne malŝparu rimedojn pri prilaborado de pakoj per aliaj klingoj, necesas krei regulon specife por ĉi tiu segmento kun profilo en kiu nur IPS estas ebligita.
Koncerne agordi profilojn, oni rekomendas agordi ĝin laŭ plej bonaj praktikoj en ĉi tio
3.5. Kiom da subskriboj en Detekti reĝimo en IPS-agordoj?
Oni rekomendas zorge studi subskribojn en la senco, ke la neuzataj estu malebligitaj (ekzemple, subskriboj por funkciigado de Adobe-produktoj postulas multe da komputika potenco, kaj se la kliento ne havas tiajn produktojn, estas senco malŝalti subskribojn). Poste, metu Prevent anstataŭ Detekti kie eblas, ĉar la enirejo elspezas rimedojn por prilabori la tutan konekton en Detekti reĝimo; en Prevent-reĝimo, ĝi tuj forĵetas la konekton kaj ne malŝparas rimedojn por plene prilaborado de la pako.
3.6. Kiuj dosieroj estas traktataj de Minaco-Emulado, Minaco-Eltiro, Antivirusaj klingoj?
Ne havas sencon kopii kaj analizi etendajn dosierojn, kiujn viaj uzantoj ne elŝutas aŭ vi konsideras nenecesaj en via reto (ekzemple, bat, exe dosieroj povas esti facile blokitaj uzante la Enhavan Konscion-klingon ĉe la fajroŝirmilo-nivelo, do pordejresursoj estos elspezis malpli). Plie, en la agordoj de Minaco-Emulado, vi povas elekti la Medion (operaciumo) por emuli minacojn en la sablokesto kaj instali Medio Windows 7 kiam ĉiuj uzantoj laboras kun la 10-a versio, ĝi ankaŭ ne havas sencon.
3.7. Ĉu fajroŝirmilo kaj Apliknivelaj reguloj estas aranĝitaj laŭ plej bona praktiko?
Se regulo havas multajn trafojn (matĉoj), tiam oni rekomendas meti ilin supre, kaj regulojn kun malgranda nombro da trafoj - malsupre. La ĉefa afero estas certigi, ke ili ne intersekcas aŭ interkovras unu la alian. Rekomendita firewall-politika arkitekturo:
Klarigoj:
Unuaj Reguloj - reguloj kun la plej granda nombro da matĉoj estas metitaj ĉi tie
Noise Rule - regulo por forĵeti falsan trafikon kiel NetBIOS
Stealth Rule - malpermesas vokojn al enirejoj kaj administradoj de ĉiuj krom tiuj fontoj kiuj estis specifitaj en la Aŭtentigo al Enirejo-Reguloj
Purigado, Lasta kaj Drop-Reguloj estas kutime kombinitaj en unu regulon por malpermesi ĉion, kio antaŭe ne estis permesita
Plej bonaj praktikaj datumoj estas priskribitaj en
3.8. Kiajn agordojn havas la servoj kreitaj de administrantoj?
Ekzemple, iu TCP-servo estas kreita sur specifa haveno, kaj havas sencon malmarki "Match for Any" en la Altnivelaj agordoj de la servo. En ĉi tiu kazo, ĉi tiu servo kategorios specife sub la regulo en kiu ĝi aperas, kaj ne partoprenos en la reguloj kie Ajna estas en la kolumno Servoj.
Parolante pri servoj, menciindas, ke foje necesas ĝustigi tempo-tempojn. Ĉi tiu agordo permesos al vi uzi la enirejajn rimedojn pli inteligente, por ne konservi kroman seantempon de TCP/UDP por protokoloj, kiuj ne bezonas grandan tempodaŭron. Ekzemple, en la ekrankopio malsupre, mi ŝanĝis la domajn-udp-servtempon de 40 sekundoj al 30 sekundoj.
3.9. Ĉu SecureXL estas uzata kaj kio estas la procento de akcelo?
Vi povas kontroli la kvaliton de SecureXL per la ĉefaj komandoj en sperta reĝimo sur la enirejo fwaccel stat и fw akcelstatoj -s. Poste, vi devas eltrovi kian trafikon akcelas, kaj kiaj aliaj ŝablonoj povas esti kreitaj.
Drop Ŝablonoj ne estas ebligitaj defaŭlte; ebligi ilin profitos SecureXL. Por fari tion, iru al la enirejo-agordoj kaj la langeto Optimumigoj:
Ankaŭ, kiam vi laboras kun areto, por optimumigi la CPU, vi povas malŝalti la sinkronigon de nekritikaj servoj, kiel UDP DNS, ICMP kaj aliaj. Por fari tion, iru al la servo-agordoj → Altnivelaj → Sinkronigi konektojn de Ŝtata Sinkronigo estas ebligita sur la grapolo.
Ĉiuj Plej Bonaj Praktikoj estas priskribitaj en
3.10. Kiel estas uzata CoreXl?
CoreXL-teknologio, kiu ebligas al vi uzi plurajn CPU-ojn por fajroŝirmilaj petskriboj (fajromuraj moduloj), certe helpas optimumigi aparaton. Teamo unue fw ctl afineco -l -a montros la fajroŝirmilojn uzitajn kaj la procesorojn asignitajn al la SND (modulo kiu distribuas trafikon al fajroŝirmilaj entoj). Se ne ĉiuj procesoroj estas uzataj, ili povas esti aldonitaj per la komando cpconfig ĉe la enirejo.
Ankaŭ bona rakonto estas meti
Konklude, mi ŝatus diri, ke ĉi tiuj estas malproksime de ĉiuj Plej bonaj Praktikoj por optimumigi Check Point, sed la plej popularaj. Se vi ŝatus peti revizion de via sekureca politiko aŭ solvi problemon de Check Point, bonvolu kontakti [retpoŝte protektita].
Спасибо за внимание!
fonto: www.habr.com