Halo a cho-obraichean! An-diugh bu mhath leam bruidhinn air cuspair gu math buntainneach dha mòran de luchd-rianachd Check Point: “A’ leasachadh CPU agus RAM. ” Gu tric bidh cùisean ann nuair a bhios an geata agus / no frithealaiche riaghlaidh ag ithe mòran de na goireasan sin ris nach robh dùil, agus bu mhath leam tuigsinn far a bheil iad “a’ sruthadh ”agus, ma ghabhas e dèanamh, an cleachdadh ann an dòigh nas tuigseach.
1. Mion-sgrùdadh
Gus mion-sgrùdadh a dhèanamh air luchd pròiseasar, tha e feumail na h-òrdughan a leanas a chleachdadh, a tha air an cur a-steach ann am modh eòlaiche:
mullach a’ sealltainn a h-uile pròiseas, na tha de ghoireasan CPU agus RAM air an caitheamh mar cheudad, uptime, prìomhachas pròiseas agus ann an àm fìorи
liosta cpwd_admin Thoir sùil air Point WatchDog Daemon, a sheallas a h-uile modal tagraidh, am PID, an inbhe agus an àireamh de thòiseachadh
cpstat -f cpu os Cleachdadh CPU, an àireamh aca agus cuairteachadh ùine pròiseasar mar cheudad
cpstat -f cuimhne os cleachdadh RAM brìgheil, dè an ìre de RAM gnìomhach, an-asgaidh agus barrachd
Is e am beachd ceart gum faodar a h-uile òrdugh cpstat fhaicinn a’ cleachdadh a’ ghoireas sealladh cp. Gus seo a dhèanamh, cha leig thu leas ach an àithne cpview a chuir a-steach bho mhodh sam bith san t-seisean SSH.
ps auxwf liosta fhada de na pròiseasan air fad, an ID aca, cuimhne mas-fhìor agus cuimhne ann an RAM, CPU
Eadar-dhealachaidhean àithne eile:
ps-aF seallaidh e am pròiseas as daoire
fw ctl dàimh -l -a cuairteachadh coraichean airson diofar shuidheachaidhean balla-teine, is e sin, teicneòlas CoreXL
fw ctl pstat Mion-sgrùdadh RAM agus comharran ceangail coitcheann, briosgaidean, NAT
saor an asgaidh RAM bufair
Tha an sgioba airidh air aire shònraichte lìonta agus a chaochladh. Mar eisimpleir, lìon -i cuideachadh le fuasgladh fhaighinn air an duilgheadas a thaobh sùil a chumail air clàran-bùird. Tha am paramadair, RX pacaidean air tuiteam (RX-DRP) ann an toradh na h-àithne seo, mar riaghailt, a’ fàs leis fhèin mar thoradh air tuiteaman de phròtacalan mì-laghail (tagaichean IPv6, Bad / Unintended VLAN agus feadhainn eile). Ach, ma thachras tuit airson adhbhar eile, bu chòir dhut seo a chleachdadh gus tòiseachadh a’ rannsachadh agus a’ tuigsinn carson a tha eadar-aghaidh lìonra sònraichte a’ leigeil phasganan sìos. An dèidh faighinn a-mach an adhbhar, faodar obrachadh an aplacaid a bharrachadh cuideachd.
Ma tha an lann sgrùdaidh air a chomasachadh, faodaidh tu na meatrach sin fhaicinn gu grafaigeach ann an SmartConsole le bhith a ’cliogadh air an nì agus a’ taghadh “Inneal & Fiosrachadh Cead.”
Chan eilear a 'moladh an lann sgrùdaidh a thionndadh gu maireannach, ach airson latha airson deuchainn tha e gu math comasach.
A bharrachd air an sin, faodaidh tu barrachd pharamadairean a chuir ris airson sgrùdadh, tha aon dhiubh glè fheumail - Bytes Throughput (tràth tagraidh).
Ma tha siostam sgrùdaidh eile ann, mar eisimpleir, an-asgaidh , stèidhichte air SNMP, tha e cuideachd freagarrach airson na duilgheadasan sin a chomharrachadh.
2. RAM ag aoidion thar ùine
Bidh a 'cheist gu tric ag èirigh gu bheil an geata no an fhrithealaiche riaghlaidh a' tòiseachadh a 'cleachdadh barrachd is barrachd RAM thar ùine. Tha mi airson fois-inntinn a thoirt dhut: is e sgeulachd àbhaisteach a tha seo airson siostaman coltach ri Linux.
A’ coimhead air toradh nan òrduighean saor an asgaidh и cpstat -f cuimhne os air an aplacaid bho mhodh eòlaiche, faodaidh tu obrachadh a-mach agus coimhead air a h-uile paramadair co-cheangailte ri RAM.
Stèidhichte air a’ chuimhne a tha ri fhaighinn air a’ gheata an-dràsta Cuimhne an-asgaidh + Cuimhne Buffers + Cuimhne Cached = +-1.5 GB, mar as trice.
Mar a tha CP ag ràdh, thar ùine bidh an geata / frithealaiche riaghlaidh a’ dèanamh an fheum as fheàrr agus a’ cleachdadh barrachd is barrachd cuimhne, a’ ruighinn timcheall air 80% de chleachdadh, agus a’ stad. Faodaidh tu an inneal ath-thòiseachadh, agus an uairsin thèid an comharra ath-shuidheachadh. Tha 1.5 GB de RAM an-asgaidh dìreach gu leòr airson a ’gheata a h-uile gnìomh a choileanadh, agus is ann ainneamh a bhios riaghladh a’ ruighinn luachan stairsneach mar sin.
Cuideachd seallaidh toraidhean nan òrdughan ainmichte na tha agad Cuimhne ìosal (RAM ann an àite luchd-cleachdaidh) agus Cuimhne àrd (RAM ann an àite kernel) air a chleachdadh.
Bidh pròiseasan kernel (a ’toirt a-steach modalan gnìomhach leithid modalan kernel Check Point) a’ cleachdadh cuimhne ìosal a-mhàin. Ach, faodaidh pròiseasan luchd-cleachdaidh an dà chuid cuimhne Ìosal agus Àrd a chleachdadh. A bharrachd air an sin, tha cuimhne ìosal timcheall air co-ionann ri Cuimhne iomlan.
Cha bu chòir dhut dragh a ghabhail ach ma tha mearachdan anns na logaichean “modalan ag ath-thòiseachadh no pròiseasan gan marbhadh gus cuimhne fhaighinn air ais mar thoradh air OOM (A-mach à cuimhne)”. An uairsin bu chòir dhut an geata ath-thòiseachadh agus cuir fios gu taic mura cuidich an ath-thòiseachadh.
Gheibhear làn chunntas ann an и .
3. Optimization
Gu h-ìosal tha ceistean agus freagairtean mu bhith ag àrdachadh CPU agus RAM. Bu chòir dhut am freagairt gu onarach leat fhèin agus èisteachd ris na molaidhean.
3.1. An deach an tagradh a thaghadh ceart? An robh pròiseact pìleat ann?
A dh 'aindeoin meud ceart, dh' fhaodadh an lìonra fàs gu sìmplidh, agus chan urrainn don uidheamachd seo dèiligeadh ris an luchd. Is e an dàrna roghainn mura robh meud mar sin ann.
3.2. A bheil sgrùdadh HTTPS air a chomasachadh? Ma tha, a bheil an teicneòlas air a rèiteachadh a rèir Cleachdadh as Fheàrr?
Thoir iomradh air , ma tha thu nad neach-dèiligidh againn, no gu .
Tha àite mòr aig òrdugh nan riaghailtean ann am poileasaidh sgrùdaidh HTTPS ann a bhith ag àrdachadh fosgladh làraich HTTPS.
Òrdugh nan riaghailtean a thathar a’ moladh:
- Riaghailtean seach-rathad le roinnean/URL
- Dèan sgrùdadh air riaghailtean le roinnean/URLs
- Dèan sgrùdadh air riaghailtean airson a h-uile roinn eile
Ann an co-chosmhail ris a’ phoileasaidh balla-teine, bidh Check Point a’ lorg maids le pacaidean bho mhullach gu bonn, agus mar sin tha e nas fheàrr na riaghailtean seach-rathad a chuir aig a’ mhullach, leis nach caith an geata goireasan air ruith tro na riaghailtean gu lèir ma tha feum air a’ phacaid seo. ri dhol seachad.
3.3 A bheil nithean raon-seòlaidh gan cleachdadh?
Bidh nithean le raon seòlaidh, mar eisimpleir, an lìonra 192.168.0.0-192.168.5.0, a’ gabhail suas mòran a bharrachd RAM na nithean lìonra 5. San fharsaingeachd, thathas den bheachd gur e deagh chleachdadh a bhith a’ toirt air falbh nithean nach deach an cleachdadh ann an SmartConsole, oir gach uair a thèid poileasaidh a chuir a-steach, bidh an geata agus an frithealaiche riaghlaidh a’ caitheamh ghoireasan agus, nas cudromaiche, ùine, a’ dearbhadh agus a’ cur a’ phoileasaidh an sàs.
3.4. Ciamar a tha am Poileasaidh Bacadh Cunnart air a chur ri chèile?
An toiseach, tha Check Point a’ moladh IPS a chuir ann am pròifil air leth agus riaghailtean fa leth a chruthachadh airson an lann seo.
Mar eisimpleir, tha rianadair den bheachd nach bu chòir an roinn DMZ a dhìon ach le bhith a’ cleachdadh IPS. Mar sin, gus casg a chuir air a ’gheata bho bhith a’ caitheamh ghoireasan air giullachd phasgan le lannan eile, feumar riaghailt a chruthachadh gu sònraichte airson an roinn seo le ìomhaigh anns nach eil ach IPS air a chomasachadh.
A thaobh a bhith a’ stèidheachadh phròifilean, thathas a’ moladh a stèidheachadh a rèir nan cleachdaidhean as fheàrr ann an seo (td 17-20).
3.5. Anns na roghainnean IPS, cia mheud ainm-sgrìobhte a tha ann am modh Lorg?
Thathas a’ moladh gun dèan thu sgrùdadh faiceallach air ainmean-sgrìobhte anns an fhaireachdainn gum bu chòir feadhainn nach eilear a’ cleachdadh a bhith ciorramach (mar eisimpleir, feumaidh ainmean-sgrìobhte airson a bhith ag obrachadh bathar Adobe tòrr cumhachd coimpiutaireachd, agus mura h-eil an leithid de thoraidhean aig an neach-ceannach, tha e ciallach ainmean-sgrìobhte a chuir dheth). An ath rud, cuir Prevent an àite Detect far a bheil sin comasach, leis gu bheil an geata a’ caitheamh ghoireasan a ’giullachd a’ cheangail gu lèir ann am modh Lorg; ann am modh Prevent, bidh e a ’tilgeil air falbh a’ cheangal sa bhad agus cha bhith e a ’caitheamh ghoireasan air a’ phacaid gu h-iomlan.
3.6. Dè na faidhlichean a tha air an giullachd le Emulation Cunnart, Cunnart Extraction, lannan an-aghaidh bhìoras?
Chan eil e a’ dèanamh ciall aithris agus sgrùdadh a dhèanamh air faidhlichean leudachain nach bi an luchd-cleachdaidh agad a ’luchdachadh sìos, no a tha thu a’ meas nach eil riatanach air an lìonra agad (mar eisimpleir, faodar faidhlichean ialtagan, exe a bhacadh gu furasta le bhith a ’cleachdadh an lann Mothachadh Susbaint aig ìre balla-teine, agus mar sin nas lugha de gheata thèid goireasan a chaitheamh). A bharrachd air an sin, anns na roghainnean Emulation Cunnart faodaidh tu Àrainneachd a thaghadh (siostam-obrachaidh) gus bagairtean a ghluasad sa bhogsa gainmhich agus cuir a-steach Àrainneachd Windows 7 nuair nach eil a h-uile neach-cleachdaidh ag obair le dreach 10 a’ dèanamh ciall nas motha.
3.7. A bheil riaghailtean balla-teine agus ìre tagraidh air an rèiteachadh a rèir a’ chleachdadh as fheàrr?
Ma tha mòran bhuillean (geamannan) aig riaghailt, thathas a ’moladh an cur aig a’ mhullach, agus riaghailtean le àireamh bheag de bhuillean - aig a ’bhonn. Is e am prìomh rud dèanamh cinnteach nach eil iad a 'dol tarsainn no a' dol thairis air a chèile. Ailtireachd poileasaidh balla-teine air a mholadh:
Mìneachaidhean:
Ciad Riaghailtean - tha riaghailtean leis an àireamh as motha de gheamannan air an cur an seo
Riaghailt Fuaim - riaghailt airson a bhith a’ cuir às do thrafaig spùtach leithid NetBIOS
Riaghailt Stealth - a’ toirmeasg fiosan gu geataichean agus stiùireadh do na h-uile ach na stòran sin a chaidh a shònrachadh anns na Riaghailtean Dearbhaidh gu Geata
Mar as trice bidh Riaghailtean Glanadh, mu dheireadh agus Drop air an cur còmhla ann an aon riaghailt gus casg a chuir air a h-uile càil nach robh ceadaichte roimhe
Tha fiosrachadh mu chleachdadh as fheàrr air a mhìneachadh ann an .
3.8. Dè na roghainnean a tha aig na seirbheisean a chruthaich luchd-rianachd?
Mar eisimpleir, tha cuid de sheirbheis TCP air a chruthachadh air port sònraichte, agus tha e ciallach dì-cheannach “Match for Any” ann an roghainnean adhartach na seirbheis. Anns a 'chùis seo, bidh an t-seirbheis seo a' tuiteam gu sònraichte fon riaghailt anns a bheil e a 'nochdadh, agus cha ghabh e pàirt anns na riaghailtean far a bheil gin air a liostadh ann an colbh nan Seirbheisean.
A 'bruidhinn mu sheirbheisean, is fhiach iomradh a thoirt air gum feumar amannan a rèiteachadh uaireannan. Leigidh an suidheachadh seo leat na goireasan geata a chleachdadh gu ciallach, gus nach cùm thu ùine a bharrachd airson seiseanan TCP/UDP de phròtacalan nach eil feumach air ùine mhòr. Mar eisimpleir, anns an ath-dhealbh gu h-ìosal, dh'atharraich mi an ùine seirbheis fearainn-udp bho 40 diogan gu 30 diogan.
3.9. A bheil SecureXL air a chleachdadh agus dè an ceudad speedup a th’ ann?
Faodaidh tu sgrùdadh a dhèanamh air càileachd SecureXL a ’cleachdadh òrdughan bunaiteach ann am modh eòlaiche air a’ gheata stat и fw accel stats -s. An ath rud, feumaidh tu faighinn a-mach dè an seòrsa trafaic a tha ga luathachadh, agus dè na teamplaidean eile a ghabhas cruthachadh.
Chan eil teamplaidean drop air an comasachadh gu bunaiteach; bidh comas aca na bhuannachd do SecureXL. Gus seo a dhèanamh, rachaibh gu roghainnean a’ gheata agus an taba Optimizations:
Cuideachd, nuair a bhios tu ag obair le brabhsair gus an CPU a bharrachadh, faodaidh tu sioncronadh de sheirbheisean neo-èiginneach a dhì-cheadachadh, leithid UDP DNS, ICMP agus feadhainn eile. Gus seo a dhèanamh, rachaibh gu na roghainnean seirbheis → Adhartach → Sioncronaich ceanglaichean de State Synchronization air a chomasachadh air a’ bhraisle.
Tha a h-uile Cleachdadh as Fheàrr air a mhìneachadh ann an .
3.10. Ciamar a tha CoreXl air a chleachdadh?
Tha teicneòlas CoreXL, a leigeas le bhith a’ cleachdadh ioma-CPU airson cùisean balla-teine (modalan balla-teine), gu cinnteach a’ cuideachadh gus obrachadh an inneil a bharrachadh. Sgioba an toiseach fw ctl dàimh -l -a seallaidh e na cùisean balla-teine a chaidh a chleachdadh agus na pròiseasairean a chaidh a shònrachadh don SND (modal a bhios a’ cuairteachadh trafaic gu buidhnean balla-teine). Mura tèid a h-uile pròiseasar a chleachdadh, faodar an cur ris an àithne cpconfig aig a' gheata.
Tha sgeul math ri chur cuideachd gus Multi-Queue a chomasachadh. Bidh Multi-Queue a ’fuasgladh na duilgheadas nuair a thèid am pròiseasar le SND a chleachdadh aig mòran sa cheud, agus gu bheil cùisean balla-teine air pròiseasairean eile leisg. An uairsin bhiodh comas aig SND iomadh ciudha a chruthachadh airson aon NIC agus diofar phrìomhachasan a shuidheachadh airson diofar thrafaig aig an ìre kernel. Mar thoradh air an sin, thèid coraichean CPU a chleachdadh ann an dòigh nas tuigsiche. Tha na dòighean cuideachd air am mìneachadh ann an .
Gu crìch, bu mhath leam a ràdh nach e seo na cleachdaidhean as fheàrr airson a bhith a’ dèanamh an fheum as fheàrr de Check Point, ach is iadsan an fheadhainn as mòr-chòrdte. Ma tha thu airson sgrùdadh a dhèanamh air a’ phoileasaidh tèarainteachd agad no fuasgladh fhaighinn air duilgheadas co-cheangailte ri Check Point, cuir fios thugainn [post-d fo dhìon].
Спасибо за внимание!
Source: www.habr.com