Bonjou kòlèg yo! Jodi a mwen ta renmen diskite sou yon sijè trè enpòtan pou anpil administratè Check Point: "Optimize CPU ak RAM." Gen souvan ka lè pòtay la ak / oswa sèvè jesyon konsome san atann yon anpil nan resous sa yo, e mwen ta renmen konprann ki kote yo "koule" epi, si sa posib, sèvi ak yo plis entèlijans.
1. Analiz
Pou analize chaj processeur, li itil pou itilize kòmandman sa yo, ki antre nan mòd ekspè:
tèt montre tout pwosesis, kantite CPU ak resous RAM konsome kòm yon pousantaj, uptime, priyorite pwosesis ak an tan reyèlи
cpwd_admin lis Check Point WatchDog Daemon, ki montre tout modil aplikasyon yo, PID yo, estati yo ak kantite kòmanse
cpstat -f cpu os Itilizasyon CPU, kantite yo ak distribisyon tan processeur kòm yon pousantaj
cpstat -f memwa os itilizasyon RAM vityèl, konbyen RAM aktif, gratis ak plis ankò
Remak ki kòrèk la se ke tout kòmandman cpstat yo ka wè lè l sèvi avèk sèvis piblik la cpview. Pou fè sa, ou jis bezwen antre nan lòd la cpview soti nan nenpòt ki mòd nan sesyon an SSH.
ps auxwf yon lis long nan tout pwosesis, ID yo, okipe memwa vityèl ak memwa nan RAM, CPU
Lòt varyasyon lòd:
ps-aF pral montre pwosesis ki pi chè
fw ctl afinite -l -a distribisyon nwayo pou diferan ka pare-feu, se sa ki, teknoloji CoreXL
fw ctl pstat Analiz RAM ak endikatè koneksyon jeneral, bonbon, NAT
gratis -m RAM tanpon
Ekip la merite atansyon espesyal netsat ak varyasyon li yo. Pa egzanp, netstat -i ka ede rezoud pwoblèm nan siveyans clipboards. Paramèt la, RX tonbe pake (RX-DRP) nan pwodiksyon an nan lòd sa a, kòm yon règ, ap grandi poukont li akòz gout nan pwotokòl ilejitim (IPv6, Tags VLAN move / pa entansyonèl ak lòt moun). Sepandan, si gout rive pou yon lòt rezon, Lè sa a, ou ta dwe itilize sa a pou kòmanse envestige ak konprann poukisa yon koòdone rezo bay lage pake. Èske w gen jwenn rezon ki fè yo, operasyon an nan app a kapab tou optimize.
Si lam Siveyans la aktive, ou ka wè mezi sa yo grafikman nan SmartConsole lè w klike sou objè a epi chwazi "Enfòmasyon sou Aparèy ak Lisans."
Li pa rekòmande pou limen lam Siveyans la sou yon baz pèmanan, men pou yon jou pou fè tès li se byen posib.
Anplis, ou ka ajoute plis paramèt pou kontwole, youn nan yo trè itil - Bytes Debi (debi aplikasyon).
Si gen kèk lòt sistèm siveyans, pou egzanp, gratis , ki baze sou SNMP, li apwopriye tou pou idantifye pwoblèm sa yo.
2. RAM fuites sou tan
Kesyon an souvan rive ke sou tan, pòtay la oswa sèvè jesyon kòmanse konsome pi plis ak plis RAM. Mwen vle rasire ou: sa a se yon istwa nòmal pou sistèm Linux tankou.
Gade nan pwodiksyon an nan kòmandman yo gratis -m и cpstat -f memwa os sou app a soti nan mòd ekspè, ou ka kalkile ak wè tout paramèt ki gen rapò ak RAM.
Ki baze sou memwa ki disponib sou pòtay la nan moman an Memwa gratis + Tanpon memwa + Cached memwa = +-1.5 GB, anjeneral.
Kòm CP di, sou tan sèvè pòtay/jesyon an optimize epi sèvi ak pi plis ak plis memwa, rive sou 80% itilizasyon, epi li sispann. Ou ka rdemare aparèy la, ak Lè sa a, endikatè a pral reset. 1.5 GB RAM gratis se egzakteman ase pou pòtay la fè tout travay, ak jesyon raman rive nan valè papòt sa yo.
Epitou rezilta yo nan kòmandman mansyone yo pral montre konbyen lajan ou genyen Memwa ki ba (RAM nan espas itilizatè) ak Segondè memwa (RAM nan espas nwayo) itilize.
Pwosesis Kernel (ki gen ladan modil aktif tankou modil Kernel Check Point) itilize sèlman Low memwa. Sepandan, pwosesis itilizatè yo ka itilize memwa ki ba ak segondè. Anplis, Low memwa se apeprè egal a Total memwa.
Ou ta dwe enkyete sèlman si gen erè nan mòso bwa yo "modil rdemare oswa pwosesis yo te touye pou reprann memwa akòz OOM (Out of memory)". Lè sa a, ou ta dwe rdemare pòtay la epi kontakte sipò si rdemare a pa ede.
Ou ka jwenn yon deskripsyon konplè nan и .
3. Optimizasyon
Anba a se kesyon ak repons sou optimize CPU ak RAM. Ou ta dwe reponn yo onètman pou tèt ou epi koute rekòmandasyon yo.
3.1. Èske aplikasyon an te chwazi kòrèkteman? Èske te gen yon pwojè pilòt?
Malgre gwosè apwopriye, rezo a ta ka tou senpleman grandi, ak ekipman sa a tou senpleman pa ka fè fas ak chaj la. Dezyèm opsyon an se si pa te gen okenn gwosè kòm sa yo.
3.2. Èske enspeksyon HTTPS pèmèt? Si wi, èske teknoloji a configuré selon meyè pratik?
Gade , si ou se kliyan nou an, oswa pou .
Lòd règ yo nan règleman enspeksyon HTTPS jwe yon gwo wòl nan optimize ouvèti sit HTTPS yo.
Lòd règ rekòmande:
- Bypass règ ak kategori/URL
- Enspekte règ ak kategori/URL
- Enspekte règ pou tout lòt kategori
Pa analoji ak règleman pare-feu, Check Point chèche yon match pa pake soti anwo jouk anba, kidonk li pi bon pou mete règ kontoune yo nan tèt la, paske pòtay la pa pral gaspiye resous nan kouri atravè tout règ yo si pake sa a bezwen. yo dwe pase.
3.3 Èske yo itilize objè adrès-ranje?
Objè ki gen yon seri adrès, pou egzanp, rezo a 192.168.0.0-192.168.5.0, pran siyifikativman plis RAM pase 5 objè rezo. An jeneral, li konsidere kòm bon pratik retire objè ki pa itilize nan SmartConsole, paske chak fwa yo enstale yon politik, pòtay la ak sèvè jesyon depanse resous ak, sa ki pi enpòtan, tan, verifye ak aplike règleman an.
3.4. Ki jan politik prevansyon menas la konfigirasyon?
Premye a tout, Check Point rekòmande pou mete IPS nan yon pwofil separe epi kreye règ separe pou lam sa a.
Pou egzanp, yon administratè kwè ke segman DMZ a ta dwe sèlman pwoteje lè l sèvi avèk IPS. Se poutèt sa, pou anpeche pòtay la gaspiye resous sou pwosesis pake pa lòt lam, li nesesè yo kreye yon règ espesyalman pou segman sa a ak yon pwofil nan ki sèlman IPS pèmèt.
Konsènan mete kanpe pwofil, li rekòmande pou mete l kanpe dapre pi bon pratik nan sa a (paj 17-20).
3.5. Nan paramèt IPS yo, konbyen siyati ki genyen nan mòd Detekte?
Li rekòmande pou etidye ak anpil atansyon siyati yo nan sans ke sa ki pa itilize yo ta dwe enfim (pa egzanp, siyati pou opere pwodwi Adobe mande anpil pouvwa informatique, epi si kliyan an pa gen pwodwi sa yo, li fè sans pou enfim siyati). Apre sa, mete Prevent olye pou yo Detekte kote sa posib, paske pòtay la depanse resous pou trete tout koneksyon an nan mòd Deteksyon; nan mòd Prevent, li imedyatman jete koneksyon an epi li pa gaspiye resous pou trete pake a nèt.
3.6. Ki fichye yo trete pa Emulation Menas, Ekstraksyon Menas, lam Anti-Viris?
Li pa fè okenn sans pou imite ak analize dosye ekstansyon itilizatè ou yo pa telechaje, oswa ou konsidere pa nesesè sou rezo ou (pa egzanp, baton, dosye ègzekutabl yo ka fasil bloke lè l sèvi avèk lam Konsyantizasyon kontni an nan nivo firewall, kidonk mwens pòtay. resous yo pral depanse). Anplis, nan anviwònman yo Emulation Menas ou ka chwazi Anviwònman (sistèm operasyon) yo imite menas nan sandbox la epi enstale Anviwònman Windows 7 lè tout itilizatè yo ap travay ak vèsyon 10 pa fè sans tou.
3.7. Èske règ firewall ak nivo aplikasyon yo ranje an akò ak pi bon pratik?
Si yon règ gen yon anpil nan frape (match), Lè sa a, li rekòmande yo mete yo nan tèt la anpil, ak règ ak yon ti kantite frape - nan pati anba a anpil. Bagay pwensipal lan se asire yo ke yo pa kwaze oswa sipèpoze youn ak lòt. Achitekti politik firewall rekòmande:
Eksplikasyon:
Premye Règ - règ ki gen pi gwo kantite alimèt yo mete isit la
Règ bri - yon règ pou jete trafik espwa tankou NetBIOS
Règ enfiltrasyon - entèdi apèl nan pòtay ak jesyon pou tout moun eksepte sous sa yo ki te espesifye nan Règ Otantifikasyon nan Gateway.
Règ netwayaj, dènye ak gout yo anjeneral konbine nan yon sèl règ pou entèdi tout bagay ki pa te pèmèt anvan.
Done pi bon pratik yo dekri nan .
3.8. Ki paramèt sèvis administratè yo kreye yo genyen?
Pou egzanp, gen kèk sèvis TCP ki kreye sou yon pò espesifik, epi li fè sans pou dezaktive "Match for Any" nan anviwònman yo avanse nan sèvis la. Nan ka sa a, sèvis sa a pral tonbe espesyalman anba règ kote li parèt, epi li pa pral patisipe nan règ yo kote Nenpòt ki nan lis nan kolòn Sèvis.
Pale sou sèvis, li vo mansyone ke pafwa li nesesè ajiste timeouts. Anviwònman sa a pral pèmèt ou sèvi ak resous pòtay yo avèk sajès, pou yo pa kenbe plis tan pou sesyon TCP/UDP nan pwotokòl ki pa bezwen yon gwo delè. Pou egzanp, nan ekran ki anba a, mwen chanje delè sèvis domèn-udp soti nan 40 segonn a 30 segonn.
3.9. Èske SecureXL itilize e ki pousantaj akselerasyon an?
Ou ka tcheke kalite SecureXL lè l sèvi avèk kòmandman debaz yo nan mòd ekspè sou pòtay la fwaccel stat и fw akselere stats -s. Apre sa, ou bezwen konnen ki kalite trafik yo te akselere, ak ki lòt modèl yo ka kreye.
Modèl Drop yo pa aktive pa default; aktive yo pral benefisye SecureXL. Pou fè sa, ale nan anviwònman pòtay la ak tab la Optimize:
Epitou, lè w ap travay ak yon gwoup pou optimize CPU a, ou ka enfim senkronizasyon sèvis ki pa kritik, tankou UDP DNS, ICMP ak lòt moun. Pou fè sa, ale nan anviwònman sèvis yo → Avanse → Synchronize koneksyon nan Eta Synchronization pèmèt sou gwoup la.
Tout meyè pratik yo dekri nan .
3.10. Ki jan yo itilize CoreXl?
Teknoloji CoreXL, ki pèmèt itilizasyon miltip CPU pou sikonstans firewall (modil firewall), definitivman ede optimize operasyon aparèy la. Ekip premye fw ctl afinite -l -a pral montre egzanp firewall yo itilize ak processeurs yo asiyen nan SND a (yon modil ki distribye trafik bay antite firewall). Si se pa tout processeurs yo itilize, yo ka ajoute ak lòd la cpconfig nan pòtay la.
Tou yon bon istwa se pou mete pou pèmèt Multi-Queue. Multi-Queue rezoud pwoblèm nan lè processeur a ak SND yo itilize nan anpil pousan, ak ka pare-feu sou lòt processeurs yo san fè anyen konsa. Lè sa a, SND ta gen kapasite pou kreye anpil moun kap kriye pou yon sèl NIC epi mete priyorite diferan pou trafik diferan nan nivo nwayo a. Kontinwe, nwayo CPU yo pral itilize plis entèlijans. Teknik yo dekri tou nan .
An konklizyon, mwen ta renmen di ke sa yo se pa tout pi bon pratik pou optimize Check Point, men yo se pi popilè a. Si ou ta renmen kòmande yon odit sou politik sekirite ou oswa rezoud yon pwoblèm ki gen rapò ak Check Point, tanpri kontakte [imèl pwoteje].
Mèsi pou atansyon ou!
Sous: www.habr.com