Kaixo lankideok! Gaur Check Point-eko administratzaile askorentzat oso gai garrantzitsu bat eztabaidatu nahiko nuke: "PUZa eta RAM optimizatzea". Askotan atebide edo/eta kudeaketa-zerbitzariak baliabide horietako asko ustekabean kontsumitzen dituen kasuak izaten dira, eta gustatuko litzaidake nondik βdabiltzanβ ulertu eta, ahal bada, modu adimentsuagoan erabiltzea.
1. Analisia
Prozesadorearen karga aztertzeko, komenigarria da aditu moduan sartzen diren komando hauek erabiltzea:
gora prozesu guztiak, kontsumitutako CPU eta RAM baliabideen kopurua ehuneko gisa, funtzionamendu-denbora, prozesuen lehentasuna eta denbora errealeanΠΈ
cpwd_admin zerrenda Check Point WatchDog Daemon, aplikazioaren modulu guztiak, haien PID, egoera eta abiarazte kopurua erakusten dituena
cpstat -f cpu os PUZaren erabilera, haien kopurua eta prozesadorearen denboraren banaketa ehunekotan
cpstat -f memoria os RAM birtualaren erabilera, zenbat aktibo, RAM librea eta gehiago
Ohar zuzena da cpstat komando guztiak erabilgarritasuna erabiliz ikus daitezkeela cpview. Horretarako, cpview komandoa SSH saioko edozein modutatik sartu besterik ez duzu behar.
ps auxwf prozesu guztien zerrenda luzea, haien IDa, okupatutako memoria birtuala eta memoria RAM-an, CPUan
Beste komando-aldaera batzuk:
ps-aF prozesurik garestiena erakutsiko du
fw ctl afinitatea -l -a firewall instantzia ezberdinetarako nukleoak banatzea, hau da, CoreXL teknologia
fw ctl pstat RAM azterketa eta konexioaren adierazle orokorrak, cookieak, NAT
free -m RAM bufferra
Taldeak arreta berezia merezi du netsat eta bere aldaerak. Adibidez, netstat -i arbelak kontrolatzeko arazoa konpontzen lagun dezake. Parametroa, RX-k botatako paketeak (RX-DRP) komando honen irteeran, normalean, bere kabuz hazten da protokolo ez-legitimoen jaitsierak direla eta (IPv6, Bad / Intented VLAN etiketak eta beste). Hala ere, beste arrazoi batengatik tantoak gertatzen badira, hau erabili beharko zenuke sare-interfaze jakin batek paketeak zergatik erortzen dituen ikertzen eta ulertzen hasteko. Arrazoia ezagututa, aplikazioaren funtzionamendua ere optimizatu daiteke.
Monitorizazio blade gaituta badago, grafikoki ikus ditzakezu SmartConsolen neurketa hauek objektuan klik eginda eta "Gailuaren eta lizentziaren informazioa" hautatuta.
Ez da gomendatzen Monitorizazio-laba etengabe piztea, baina probak egiteko egun bat nahiko posible da.
Gainera, monitorizaziorako parametro gehiago gehi ditzakezu, horietako bat oso erabilgarria da - Bytes Throughput (aplikazioaren throughput).
Beste monitorizazio sistemaren bat badago, adibidez, doan , SNMPn oinarrituta, arazo hauek identifikatzeko ere egokia da.
2. RAM ihesak denboran zehar
Askotan sortzen da galdera, denborarekin pasabidea edo kudeaketa zerbitzariak gero eta RAM gehiago kontsumitzen hasten dela. Lasaitu nahi zaitut: hau Linux bezalako sistemetarako istorio normala da.
Komandoen irteerari begira free -m ΠΈ cpstat -f memoria os aplikazioan adituen modutik, RAMarekin lotutako parametro guztiak kalkulatu eta ikus ditzakezu.
Une honetan atebidean dagoen memorian oinarrituta Memoria librea + Buffer memoria + Cacheko memoria = +-1.5 GB, normalean.
CPk dioen bezala, denborarekin atebidea/kudeaketa zerbitzariak gero eta memoria gehiago optimizatu eta erabiltzen du, %80 inguru aprobetxatuz eta gelditzen da. Gailua berrabiarazi dezakezu eta, ondoren, adierazlea berrezarri egingo da. Doako RAM 1.5 GB nahikoa da atebideak zeregin guztiak egiteko, eta kudeaketa oso gutxitan iristen da atalase-balioetara.
Gainera, aipatutako komandoen irteerak zenbat duzun erakutsiko du Memoria baxua (RAM erabiltzaileen espazioan) eta Memoria handia (RAM nukleoan) erabiltzen da.
Kernel-prozesuek (modulu aktiboak barne, esate baterako, Check Point kernel-moduluak) Memoria baxua soilik erabiltzen dute. Hala ere, erabiltzaile-prozesuek memoria baxua eta altua erabil dezakete. Gainera, Memoria baxua gutxi gorabehera berdina da Oroimen osoa.
Erregistroetan akatsak badaude bakarrik kezkatu beharko zenuke "Moduluak berrabiarazi egiten dira edo prozesuak hiltzen dira memoria berreskuratzeko OOM dela eta (Memoria gabe)". Ondoren, atebidea berrabiarazi eta laguntza-zerbitzuarekin harremanetan jarri beharko zenuke berrabiarazteak laguntzen ez badu.
Deskribapen osoa hemen aurki daiteke ΠΈ .
3. Optimizazioa
Jarraian, CPU eta RAM optimizazioari buruzko galderak eta erantzunak daude. Zeure buruari zintzo erantzun behar diezu eta gomendioak entzun.
3.1. Aplikazioa behar bezala aukeratu al da? Proiektu piloturik egon al zen?
Tamaina egokia izan arren, sarea hazi daiteke, eta ekipamendu honek ezin du kargari aurre egin. Bigarren aukera, halako neurririk ez balego.
3.2. HTTPS ikuskapena gaituta al dago? Baiezkoa bada, teknologia praktika onen arabera konfiguratuta al dago?
Zerbaiti erreferentzia egin , gure bezeroa bazara, edo .
HTTPS ikuskapen politikako arauen ordenak zeresan handia du HTTPS guneen irekiera optimizatzeko.
Gomendatutako arauen ordena:
- Saihestu arauak kategoriekin/URLekin
- Ikuskatu arauak kategoriekin/URLekin
- Ikuskatu gainerako kategoria guztien arauak
Suebaki-politikaren analogia eginez, Check Point-ek paketeen araberako partida bat bilatzen du goitik behera, beraz hobe da saihesbide-arauak goian jartzea, atebideak ez baititu baliabideak alferrik galduko arau guztiak exekutatzeko pakete honek behar badu. gainditu beharrekoa.
3.3 Helbide-barrutietako objektuak erabiltzen al dira?
Helbide-barrutia duten objektuek, adibidez, 192.168.0.0-192.168.5.0 sareak, sareko 5 objektuk baino RAM nabarmen gehiago hartzen dute. Oro har, praktika ontzat jotzen da SmartConsolen erabiltzen ez diren objektuak kentzea, izan ere, politika bat instalatzen den bakoitzean, atebideak eta kudeaketa zerbitzariak baliabideak eta, batez ere, denbora gastatzen ditu politika egiaztatzen eta aplikatzen.
3.4. Nola konfiguratzen da Mehatxuen Prebentzio politika?
Lehenik eta behin, Check Point-ek IPS profil bereizi batean jartzea eta pala honetarako arau bereiziak sortzea gomendatzen du.
Adibidez, administratzaile batek uste du DMZ segmentua IPS erabiliz soilik babestu behar dela. Hori dela eta, atebideak beste blade batzuek paketeak prozesatzeko baliabideak xahutzea saihesteko, beharrezkoa da segmentu honetarako espezifikoki arau bat sortzea IPS bakarrik gaituta dagoen profil batekin.
Profilak konfiguratzeari dagokionez, honetan praktika onen arabera konfiguratzea gomendatzen da (17-20 orrialdeak).
3.5. IPS ezarpenetan, zenbat sinadura daude Detektatzeko moduan?
Sinadurak arretaz aztertzea gomendatzen da, erabiltzen ez direnak desgaitu behar direlako (adibidez, Adobe produktuak ustiatzeko sinadurak konputazio ahalmen handia behar du, eta bezeroak horrelako produkturik ez badu, zentzuzkoa da sinadurak desgaitzea). Ondoren, jarri Prebentzioa Detektatu ordez, ahal den neurrian, atebideak konexio osoa prozesatzen baliabideak gastatzen dituelako Detektatzeko moduan; Prebent moduan, berehala baztertzen du konexioa eta ez ditu baliabideak xahutzen paketea guztiz prozesatzen.
3.6. Zer fitxategi prozesatzen ditu Mehatxuen Emulazioa, Mehatxua erauztea, Birusen aurkako bladek?
Ez du zentzurik zure erabiltzaileek deskargatzen ez dituzten edo zure sarean alferrikakotzat jotzen dituzun luzapenen fitxategiak emulatzea eta aztertzea (adibidez, bat, exe fitxategiak erraz blokea daitezke suebaki mailan Edukiaren Kontzientziaren lamina erabiliz, beraz, atebide gutxiago baliabideak gastatuko dira). Gainera, Mehatxuen Emulazioa ezarpenetan Ingurune (sistema eragilea) hauta dezakezu sandbox-eko mehatxuak emulatzeko eta Ingurune Windows 7 instalatzeak erabiltzaile guztiak 10 bertsioarekin lanean ari direnean ere ez du zentzurik.
3.7. Suebakia eta aplikazio-mailako arauak praktika onen arabera antolatuta al daude?
Arau batek hit (partida) asko baditu, orduan goiko aldean jartzea gomendatzen da eta hit kopuru txiki batekin arauak - behealdean. Gauza nagusia da elkar gurutzatzen edo gainjartzen ez direla ziurtatzea. Suebaki-politikaren arkitektura gomendatua:
Azalpena:
Lehen Arauak - partida kopuru handiena duten arauak hemen jartzen dira
Noise Rule - NetBIOS bezalako trafiko faltsuak baztertzeko araua
Stealth Rule - atebideetarako eta kudeaketarako deiak debekatzen ditu atebideetarako autentifikaziorako arauetan zehaztutako iturrietara izan ezik.
Garbiketa, azken eta botatzeko arauak normalean arau batean konbinatzen dira aurretik onartzen ez zen guztia debekatzeko
Praktika onen datuak atalean deskribatzen dira .
3.8. Zein ezarpen dituzte administratzaileek sortutako zerbitzuek?
Adibidez, TCP zerbitzu batzuk ataka zehatz batean sortzen dira, eta zentzuzkoa da "Edozeinentzako bat etortzea" desmarkatzea zerbitzuaren ezarpen aurreratuetan. Kasu honetan, zerbitzu hau berariaz agertzen den arauaren menpe egongo da, eta ez du parte hartuko Zerbitzuen zutabean Edozein ageri den arauetan.
Zerbitzuei buruz hitz egitean, aipatzekoa da batzuetan denbora-mugak doitzea beharrezkoa dela. Ezarpen honek atebideko baliabideak zentzuz erabiltzeko aukera emango dizu, denbora-muga handirik behar ez duten protokoloen TCP/UDP saioetarako denbora gehigarririk ez edukitzeko. Adibidez, beheko pantaila-argazkian, domeinu-udp zerbitzuaren denbora-muga 40 segundotik 30 segundora aldatu nuen.
3.9. SecureXL erabiltzen al da eta zein da bizkortze ehunekoa?
SecureXL-ren kalitatea egiazta dezakezu oinarrizko komandoak erabiliz atebidean aditu moduan fwaccel stat ΠΈ fw accel estatistikak -s. Ondoren, zer nolako trafikoa bizkortzen ari den eta zein beste txantiloi sor daitezkeen jakin behar duzu.
Jarri txantiloiak ez daude lehenespenez gaituta; horiek gaitzeak mesede egingo dio SecureXLri. Horretarako, joan atebidearen ezarpenetara eta Optimizazioak fitxara:
Gainera, CPUa optimizatzeko kluster batekin lan egiten duzunean, kritikoak ez diren zerbitzuen sinkronizazioa desgaitu dezakezu, hala nola UDP DNS, ICMP eta beste. Horretarako, joan zerbitzuaren ezarpenetara β Aurreratua β Sinkronizatu konexioak egoera sinkronizazioa gaituta dagoen klusterrean.
Jardunbide Egokien guztiak atalean deskribatzen dira .
3.10. Nola erabiltzen da CoreXl?
CoreXL teknologiak, suebaki-instantziaetarako (suebaki-moduluak) CPU anitz erabiltzeko aukera ematen duena, zalantzarik gabe, gailuaren funtzionamendua optimizatzen laguntzen du. Lehen taldea fw ctl afinitatea -l -a erabilitako suebaki-instantziak eta SNDri esleitutako prozesadoreak (suebaki-entitateei trafikoa banatzen dien modulua) erakutsiko ditu. Prozesadore guztiak erabiltzen ez badira, komandoarekin gehi daitezke cpconfig atarian.
Istorio ona ere jartzea da Multi-Queue gaitzeko. Multi-Queue-k arazoa konpontzen du SND duen prozesadorea ehuneko askotan erabiltzen denean eta beste prozesadoreetako suebaki-instantziak inaktibo daudenean. Orduan SND-k NIC baterako ilara asko sortzeko gaitasuna izango luke eta kernel mailan trafiko desberdinetarako lehentasun desberdinak ezartzeko. Ondorioz, PUZaren nukleoak modu adimentsuagoan erabiliko dira. Metodoak ere deskribatzen dira .
Bukatzeko, esan nahiko nuke hauek guztiak ez direla Check Point optimizatzeko Praktika Egokienak, baina ezagunenak direla. Zure segurtasun politikaren auditoretza eskatu nahi baduzu edo Check Point-ekin lotutako arazo bat konpondu nahi baduzu, jarri harremanetan [posta elektroniko bidez babestua].
Eskerrik asko zure arreta!
Iturria: www.habr.com