Halló félagar! Í dag langar mig til að ræða mjög viðeigandi efni fyrir marga Check Point stjórnendur: „Að fínstilla örgjörva og vinnsluminni. Það eru oft tilvik þar sem gáttin og/eða stjórnunarþjónninn eyðir óvænt miklu af þessum auðlindum og mig langar að skilja hvert þau „flæða“ og, ef mögulegt er, nota þau á skynsamlegri hátt.
1. Greining
Til að greina álag á örgjörva er gagnlegt að nota eftirfarandi skipanir sem eru færðar inn í sérfræðiham:
efst sýnir alla ferla, magn örgjörva og vinnsluminni sem neytt er sem hlutfall, spenntur, vinnsluforgangur og í rauntímaи
cpwd_admin listi Check Point WatchDog Daemon, sem sýnir allar forritaeiningar, PID þeirra, stöðu og fjölda ræsinga
cpstat -f örgjörva stýrikerfi Örgjörvanotkun, fjöldi þeirra og dreifing á örgjörvatíma sem hlutfall
cpstat -f minni stýrikerfi sýndarvinnsluminni notkun, hversu mikið virkt, ókeypis vinnsluminni og fleira
Rétt athugasemd er að allar cpstat skipanir er hægt að skoða með því að nota tólið cpview. Til að gera þetta þarftu bara að slá inn cpview skipunina úr hvaða ham sem er í SSH lotunni.
ps auxwf langur listi yfir alla ferla, auðkenni þeirra, upptekið sýndarminni og minni í vinnsluminni, CPU
Önnur skipunarafbrigði:
ps-aF mun sýna dýrasta ferlið
fw ctl skyldleiki -l -a dreifingu kjarna fyrir mismunandi eldveggstilvik, það er CoreXL tækni
fw ctl pstat vinnsluminni greining og almennir tengivísar, vafrakökur, NAT
frítt -m RAM biðminni
Liðið á skilið sérstaka athygli netsat og afbrigði þess. Til dæmis, netstat -i getur hjálpað til við að leysa vandamálið við að fylgjast með klemmuspjöldum. Færibreytan, RX slepptu pakka (RX-DRP) í úttak þessarar skipunar, vex að jafnaði af sjálfu sér vegna falla á ólögmætum samskiptareglum (IPv6, Bad / Unintended VLAN tags og aðrir). Hins vegar, ef dropar gerast af annarri ástæðu, þá ættir þú að nota þetta að byrja að rannsaka og skilja hvers vegna tiltekið netviðmót sleppir pökkum. Eftir að hafa komist að ástæðunni er einnig hægt að fínstilla virkni appsins.
Ef vöktunarblaðið er virkt geturðu skoðað þessar mælingar á myndrænan hátt í SmartConsole með því að smella á hlutinn og velja „Tæki og leyfisupplýsingar“.
Ekki er mælt með því að kveikja á vöktunarblaðinu varanlega, en í einn dag til að prófa það er alveg mögulegt.
Þar að auki geturðu bætt við fleiri breytum fyrir eftirlit, ein þeirra er mjög gagnleg - Bytes Throughput (afköst forrita).
Ef það er eitthvað annað eftirlitskerfi, til dæmis ókeypis , byggt á SNMP, það er einnig hentugur til að bera kennsl á þessi vandamál.
2. RAM lekur með tímanum
Sú spurning vaknar oft að með tímanum fari gáttin eða stjórnunarþjónninn að neyta meira og meira vinnsluminni. Ég vil fullvissa þig: þetta er eðlileg saga fyrir Linux-lík kerfi.
Horft á úttak skipananna frítt -m и cpstat -f minni stýrikerfi í appinu frá sérfræðistillingu geturðu reiknað út og skoðað allar breytur sem tengjast vinnsluminni.
Byggt á tiltæku minni á gáttinni í augnablikinu Ókeypis minni + Buffer Minni + Skyndiminni = +-1.5 GB, venjulega.
Eins og CP segir, með tímanum hagræðir gátt/stjórnunarþjónninn og notar meira og meira minni, nær um 80% nýtingu og hættir. Þú getur endurræst tækið og þá verður vísirinn endurstilltur. 1.5 GB af ókeypis vinnsluminni er nákvæmlega nóg til að gáttin geti sinnt öllum verkefnum og stjórnun nær sjaldan slíkum viðmiðunarmörkum.
Einnig munu úttak nefndra skipana sýna hversu mikið þú hefur Lítið minni (RAM í notendarými) og Mikið minni (RAM í kjarnarými) notað.
Kjarnaferli (þar á meðal virkar einingar eins og Check Point kjarnaeiningar) nota aðeins Lítið minni. Hins vegar geta notendaferli notað bæði lágt og hátt minni. Þar að auki er lágt minni um það bil jafnt og Heildarminni.
Þú ættir aðeins að hafa áhyggjur ef villur eru í annálunum „einingar endurræsa eða ferli drepið til að endurheimta minni vegna OOM (Minnislaust)“. Þá ættir þú að endurræsa gáttina og hafa samband við þjónustudeild ef endurræsingin hjálpar ekki.
Heildarlýsingu er að finna í и .
3. Hagræðing
Hér að neðan eru spurningar og svör um fínstillingu örgjörva og vinnsluminni. Þú ættir að svara þeim heiðarlega við sjálfan þig og hlusta á tilmælin.
3.1. Var umsóknin rétt valin? Var tilraunaverkefni?
Þrátt fyrir rétta stærð gæti netið einfaldlega stækkað og þessi búnaður þolir einfaldlega ekki álagið. Annar kosturinn er ef það var engin stærð sem slík.
3.2. Er HTTPS skoðun virkjuð? Ef já, er tæknin stillt upp samkvæmt bestu starfsvenjum?
Vísa til , ef þú ert viðskiptavinur okkar, eða til .
Röð reglna í HTTPS skoðunarstefnunni skiptir miklu máli við að hagræða opnun HTTPS vefsvæða.
Ráðlagður röð reglna:
- Framhjá reglum með flokkum/slóðum
- Skoðaðu reglur með flokkum/slóðum
- Skoðaðu reglur fyrir alla aðra flokka
Á hliðstæðan hátt við eldveggsstefnuna leitar Check Point að samsvörun eftir pökkum frá toppi til botns, svo það er betra að setja framhjáreglurnar efst, þar sem gáttin mun ekki eyða fjármagni í að keyra í gegnum allar reglurnar ef þessi pakki þarfnast að vera samþykkt.
3.3 Eru hlutir á heimilisfangssviði notaðir?
Hlutir með vistfangasvið, til dæmis netið 192.168.0.0-192.168.5.0, taka upp umtalsvert meira vinnsluminni en 5 nethlutir. Almennt séð er það talið góð venja að fjarlægja ónotaða hluti í SmartConsole, þar sem í hvert skipti sem stefna er sett upp eyðir gáttin og stjórnunarþjónninn fjármagni og síðast en ekki síst tíma í að sannreyna og beita stefnunni.
3.4. Hvernig er stefnan um forvarnir gegn ógnum stillt?
Fyrst af öllu mælir Check Point með því að setja IPS í sérsniðið snið og búa til sérstakar reglur fyrir þetta blað.
Til dæmis telur stjórnandi að aðeins ætti að vernda DMZ hlutann með IPS. Þess vegna, til að koma í veg fyrir að gáttin eyði fjármagni í að vinna pakka með öðrum blöðum, er nauðsynlegt að búa til reglu sérstaklega fyrir þennan hluta með sniði þar sem aðeins IPS er virkt.
Varðandi uppsetningu prófíla er mælt með því að setja það upp samkvæmt bestu starfsvenjum í þessu (síður 17-20).
3.5. Í IPS stillingunum, hversu margar undirskriftir eru í Uppgötvunarham?
Mælt er með því að rannsaka undirskriftir vandlega í þeim skilningi að ónotaðar eigi að vera óvirkar (t.d. þurfa undirskriftir til að nota Adobe vörur mikla tölvuafl og ef viðskiptavinurinn á ekki slíkar vörur er skynsamlegt að slökkva á undirskriftum). Næst skaltu setja Hindra í staðinn fyrir Uppgötva þar sem það er hægt, vegna þess að gáttin eyðir fjármagni í að vinna úr allri tengingunni í Uppgötvunarham; í Forvarnarham fargar hún samstundis tengingunni og eyðir ekki fjármagni í að vinna pakkann að fullu.
3.6. Hvaða skrár eru unnar af Threat Emulation, Threat Extraction, Anti-Virus blöðum?
Það þýðir ekkert að líkja eftir og greina skrár með viðbótum sem notendur þínir hlaða ekki niður, eða þú telur óþarfa á netinu þínu (til dæmis er auðvelt að loka fyrir kylfu, exe skrár með því að nota Content Awareness blaðið á eldveggsstigi, svo minni hlið fjármagni verður varið). Þar að auki, í Threat Emulation stillingunum geturðu valið Umhverfi (stýrikerfi) til að líkja eftir ógnum í sandkassanum og uppsetning Umhverfis Windows 7 þegar allir notendur eru að vinna með útgáfu 10 er heldur ekki skynsamlegt.
3.7. Er eldvegg- og forritastigi reglum raðað í samræmi við bestu starfsvenjur?
Ef regla hefur mikið af höggum (samsvörun), þá er mælt með því að setja þau efst og reglur með litlum höggum - alveg neðst. Aðalatriðið er að tryggja að þeir skerist ekki eða skarist hvor aðra. Mælt er með eldveggsstefnuarkitektúr:
Útskýring:
Fyrstu reglurnar - reglur með mestan fjölda leikja eru settar hér
Noise Rule - regla til að farga óviðeigandi umferð eins og NetBIOS
Stealth Rule - bannar símtöl í gáttir og stjórnendur af öllum nema þeim aðilum sem voru tilgreindir í Authentication to Gateway reglum
Hreinsunar-, síðasta- og sleppareglur eru venjulega sameinaðar í eina reglu til að banna allt sem áður var ekki leyft
Gögn um bestu starfsvenjur er lýst í .
3.8. Hvaða stillingar hafa þjónustur sem kerfisstjórar búa til?
Til dæmis er einhver TCP þjónusta búin til á tiltekinni höfn og það er skynsamlegt að taka hakið úr „Match for Any“ í Advanced stillingum þjónustunnar. Í þessu tilviki mun þessi þjónusta falla sérstaklega undir regluna sem hún birtist í og mun ekki taka þátt í reglunum þar sem Any er skráð í þjónustudálknum.
Talandi um þjónustu er rétt að minnast á að stundum er nauðsynlegt að stilla tímamörk. Þessi stilling gerir þér kleift að nota gáttarauðlindirnar skynsamlega, svo að þú haldir ekki aukatíma fyrir TCP/UDP samskiptareglur sem þurfa ekki mikinn tíma. Til dæmis, á skjámyndinni hér að neðan, breytti ég tímamörkum léns-udp þjónustunnar úr 40 sekúndum í 30 sekúndur.
3.9. Er SecureXL notað og hver er hraðaprósentan?
Þú getur athugað gæði SecureXL með því að nota grunnskipanir í sérfræðiham á gáttinni fwaccel tölfræði и fw accel stats -s. Næst þarftu að finna út hvers konar umferð er verið að flýta fyrir og hvaða önnur sniðmát er hægt að búa til.
Sleppa sniðmát eru ekki virkjuð sjálfgefið; að virkja þau mun gagnast SecureXL. Til að gera þetta, farðu í gáttarstillingarnar og flipann Fínstillingar:
Einnig, þegar þú vinnur með klasa til að hámarka örgjörvann, geturðu slökkt á samstillingu á ekki mikilvægum þjónustu, svo sem UDP DNS, ICMP og fleirum. Til að gera þetta, farðu í þjónustustillingarnar → Ítarlegt → Samstilla tengingar ríkisins Samstilling er virkjuð á klasanum.
Öllum bestu starfsvenjum er lýst í .
3.10. Hvernig er CoreXl notað?
CoreXL tækni, sem gerir kleift að nota marga örgjörva fyrir eldveggstilvik (eldveggseiningar), hjálpar örugglega til við að hámarka rekstur tækisins. Liðið fyrst fw ctl skyldleiki -l -a mun sýna eldveggstilvikin sem notuð eru og örgjörvana sem úthlutað er til nauðsynlegs SND (eining sem dreifir umferð til eldveggseininga). Ef ekki eru allir örgjörvar notaðir er hægt að bæta þeim við með skipuninni cpconfig við hliðið.
Einnig er góð saga að setja til að virkja Multi-Queue. Multi-Queue leysir vandamálið þegar örgjörvi með SND er notaður í mörgum prósentum og eldveggstilvik á öðrum örgjörvum eru aðgerðalaus. Þá hefði SND getu til að búa til margar biðraðir fyrir eitt NIC og setja mismunandi forgangsröðun fyrir mismunandi umferð á kjarnastigi. Þar af leiðandi verða CPU-kjarnar notaðir á skynsamlegri hátt. Aðferðunum er einnig lýst í .
Að lokum vil ég segja að þetta eru ekki allar bestu aðferðirnar til að hagræða Check Point, en þær eru vinsælastar. Ef þú vilt panta úttekt á öryggisstefnu þinni eða leysa vandamál sem tengjast Check Point, vinsamlegast hafðu samband [netvarið].
Svara með tilvísun!
Heimild: www.habr.com