Halo rekan kerja! Dina iki aku pengin ngrembug topik sing cocog kanggo akeh administrator Check Point: "Ngoptimalake CPU lan RAM." Asring ana kasus nalika gateway lan / utawa server manajemen ora dikarepke akeh sumber daya iki, lan aku kaya kanggo ngerti ngendi padha "milih" lan, yen bisa, nggunakake liyane intelligently.
1. Analisis
Kanggo nganalisa beban prosesor, gunakake printah ing ngisor iki, sing dilebokake ing mode pakar:
ndhuwur nuduhake kabeh pangolahan, jumlah CPU lan sumber RAM migunakaken minangka persentasi, uptime, prioritas proses lan ing wektu nyataи
cpwd_admin dhaftar Priksa Point WatchDog Daemon, sing nuduhake kabeh modul aplikasi, PID, status lan nomer wiwitan
cpstat -f cpu os Panggunaan CPU, nomer lan distribusi wektu prosesor minangka persentase
cpstat -f memori os panggunaan RAM virtual, pinten aktif, free RAM lan liyane
Cathetan sing bener yaiku kabeh perintah cpstat bisa dideleng nggunakake sarana kasebut cpview. Kanggo nindakake iki, sampeyan mung kudu ngetik perintah cpview saka mode apa wae ing sesi SSH.
ps awug dhaftar dawa kabeh pangolahan, ID sing, dikuwasani memori virtual lan memori ing RAM, CPU
Variasi perintah liyane:
ps-aF bakal nuduhake proses paling larang
fw ctl karemenan -l -a distribusi inti kanggo kedadean firewall beda, yaiku, teknologi CoreXL
fw ctl pstat analisis RAM lan pratondho sambungan umum, cookie, NAT
gratis -m RAM buffer
Tim kasebut kudu diwenehi perhatian khusus netsat lan variasi. Tuladhane, netstat -i bisa mbantu ngatasi masalah ngawasi clipboard. Parameter, RX dropped paket (RX-DRP) ing output saka printah iki, minangka aturan, mundak akeh dhewe amarga irungnya saka protokol ora sah (IPv6, Bad / Unintended VLAN tags lan liya-liyane). Nanging, yen irungnya kedadeyan amarga alasan liyane, sampeyan kudu nggunakake iki kanggo miwiti nyelidiki lan mangerteni kenapa antarmuka jaringan sing diwenehake ngeculake paket. Sawise ngerteni alasane, operasi app uga bisa dioptimalake.
Yen lading Pemantauan diaktifake, sampeyan bisa ndeleng metrik kasebut kanthi grafis ing SmartConsole kanthi ngeklik obyek banjur milih "Informasi Piranti & Lisensi."
Ora dianjurake kanggo nguripake agul-agul ngawasi ing basis permanen, nanging kanggo dina kanggo testing iku cukup bisa.
Menapa malih, sampeyan bisa nambah paramèter liyane kanggo ngawasi, salah siji saka wong-wong mau banget migunani - Bytes Throughput (aplikasi throughput).
Yen ana sawetara sistem ngawasi liyane, contone, free , adhedhasar SNMP, uga cocok kanggo ngenali masalah kasebut.
2. RAM bocor liwat wektu
Pitakonan asring muncul yen liwat wektu, gateway utawa manajemen server wiwit nganggo liyane lan liyane RAM. Aku pengin njamin sampeyan: iki crita normal kanggo sistem kaya Linux.
Ndeleng output saka printah gratis -m и cpstat -f memori os ing app saka mode pakar, sampeyan bisa ngetung lan ndeleng kabeh paramèter related kanggo RAM.
Adhedhasar memori kasedhiya ing gateway ing wayahe Memori Gratis + Memori Buffer + Cache Memori = +-1.5 GB, biasane.
Minangka CP ngandika, liwat wektu gateway / server Manajemen ngoptimalake lan nggunakake liyane lan liyane memori, sik njongko bab 80% pemanfaatan, lan mandheg. Sampeyan bisa urip maneh piranti, banjur indikator bakal direset. 1.5 GB free RAM persis cukup kanggo gateway kanggo nindakake kabeh tugas, lan Manajemen arang tekan nilai ambang kuwi.
Uga output saka printah kasebut bakal nuduhake pinten sampeyan duwe memori kurang (RAM ing papan pangguna) lan memori dhuwur (RAM ing ruang kernel) digunakake.
Proses kernel (kalebu modul aktif kayata modul kernel Check Point) mung nggunakake memori Kurang. Nanging, pangolahan pangguna bisa nggunakake memori Low lan Dhuwur. Menapa malih, memori Low kira-kira padha karo Memori Total.
Sampeyan mung kudu kuwatir yen ana kesalahan ing log "modul urip maneh utawa proses mati kanggo mbalekake memori amarga OOM (Out of memory)". Banjur sampeyan kudu urip maneh gateway lan hubungi dhukungan yen urip maneh ora mbantu.
Katrangan lengkap bisa ditemokake ing и .
3. Optimization
Ing ngisor iki ana pitakonan lan jawaban babagan ngoptimalake CPU lan RAM. Sampeyan kudu mangsuli kanthi jujur lan ngrungokake rekomendasi kasebut.
3.1. Apa aplikasi dipilih kanthi bener? Apa ana proyek pilot?
Senadyan ukuran sing tepat, jaringan mung bisa tuwuh, lan peralatan iki ora bisa ngatasi beban kasebut. Opsi kapindho yaiku yen ora ana ukuran kaya ngono.
3.2. Apa inspeksi HTTPS diaktifake? Yen ya, apa teknologi dikonfigurasi miturut Best Practice?
Rujuk menyang , yen sampeyan klien kita, utawa kanggo .
Urutan aturan ing kabijakan inspeksi HTTPS nduweni peran gedhe kanggo ngoptimalake bukaan situs HTTPS.
Urutan aturan sing disaranake:
- Aturan bypass karo kategori/URL
- Priksa aturan karo kategori/URL
- Priksa aturan kanggo kabeh kategori liyane
Kanthi analogi karo kabijakan firewall, Check Point nggolek pertandhingan kanthi paket saka ndhuwur nganti ngisor, saéngga luwih apik kanggo nyelehake aturan bypass ing ndhuwur, amarga gateway ora bakal mbuwang sumber daya kanggo mbukak kabeh aturan yen paket iki perlu. kanggo diliwati.
3.3 Apa obyek-jarak alamat digunakake?
Obyek karo sawetara alamat, Contone, jaringan 192.168.0.0-192.168.5.0, njupuk munggah Ngartekno luwih RAM saka 5 obyek jaringan. Umumé, dianggep minangka praktik sing apik kanggo mbusak obyek sing ora dienggo ing SmartConsole, amarga saben kabijakan diinstal, gateway lan server manajemen mbuwang sumber daya lan, sing paling penting, wektu, verifikasi lan aplikasi kebijakan kasebut.
3.4. Kepiye kabijakan Nyegah Ancaman dikonfigurasi?
Kaping pisanan, Check Point nyaranake nyelehake IPS ing profil sing kapisah lan nggawe aturan sing kapisah kanggo lading iki.
Contone, administrator percaya yen segmen DMZ mung kudu dilindhungi nggunakake IPS. Mulane, kanggo nyegah gateway mbuang sumber daya ing Processing paket dening glathi liyane, iku perlu kanggo nggawe aturan khusus kanggo bagean iki karo profil kang mung IPS aktif.
Babagan nyiyapake profil, disaranake nyetel kasebut miturut praktik paling apik babagan iki (kaca 17-20).
3.5. Ing setelan IPS, ana pirang-pirang tandha ing mode Deteksi?
Disaranake kanggo sinau kanthi teliti teken ing pangertèn sing ora digunakake kudu dipatèni (contone, teken kanggo operasi produk Adobe mbutuhake akèh daya komputasi, lan yen customer ora duwe produk kuwi, iku ndadekake pangertèn kanggo mateni teken). Sabanjure, sijine Nyegah tinimbang Ndeteksi yen bisa, amarga gateway mbuwang sumber daya kanggo ngolah kabeh sambungan ing mode Deteksi; ing mode Nyegah, sambungan kasebut langsung dibuwang lan ora mbuwang sumber daya kanggo ngolah paket kanthi lengkap.
3.6. File apa sing diproses dening Threat Emulation, Threat Extraction, Blades Anti-Virus?
Ora ana gunane kanggo niru lan nganalisa file ekstensi sing ora diunduh pangguna, utawa sampeyan nganggep ora perlu ing jaringan sampeyan (contone, file bat, exe bisa gampang diblokir nggunakake bilah Kesadaran Konten ing tingkat firewall, dadi kurang gateway. sumber daya bakal digunakake). Kajaba iku, ing setelan Emulasi Ancaman sampeyan bisa milih Lingkungan (sistem operasi) kanggo niru ancaman ing kothak wedhi lan nginstal Lingkungan Windows 7 nalika kabeh pangguna nggarap versi 10 uga ora masuk akal.
3.7. Apa firewall lan aturan tingkat Aplikasi disusun miturut praktik paling apik?
Yen aturan wis akeh hits (cocog), banjur dianjurake kanggo nyelehake ing paling ndhuwur, lan aturan karo nomer cilik hit - ing paling ngisor. Wangsulan: Bab ingkang utama kanggo mesthekake yen padha ora intersect utawa tumpang tindih saben liyane. Arsitektur kabijakan firewall sing disaranake:
Katrangan:
Aturan pisanan - aturan kanthi jumlah pertandhingan paling akeh diselehake ing kene
Aturan Noise - aturan kanggo mbuang lalu lintas palsu kayata NetBIOS
Aturan Siluman - nglarang panggilan menyang gateway lan manajemen dening kabeh kajaba sumber sing ditemtokake ing Aturan Authentication to Gateway
Aturan Clean-Up, Last lan Drop biasane digabung dadi siji aturan kanggo nglarang kabeh sing sadurunge ora diidini.
Data praktik paling apik diterangake ing .
3.8. Apa setelan layanan sing digawe dening administrator?
Contone, sawetara layanan TCP digawe ing port tartamtu, lan iku ndadekake pangertèn kanggo mbusak centhang "Cocok kanggo Sembarang" ing setelan Lanjut saka layanan. Ing kasus iki, layanan iki bakal tiba khusus ing aturan kang katon, lan ora bakal melu ing aturan ngendi Sembarang kadhaptar ing kolom Layanan.
Ngomong babagan layanan, kudu dielingake yen kadhangkala perlu nyetel wektu entek. Setelan iki bakal ngidini sampeyan nggunakake sumber daya gateway kanthi wicaksana, supaya ora nahan wektu ekstra kanggo sesi TCP/UDP saka protokol sing ora mbutuhake wektu entek gedhe. Contone, ing gambar ing ngisor iki, aku ngganti wektu entek layanan domain-udp saka 40 detik dadi 30 detik.
3.9. Apa SecureXL digunakake lan apa persentase kacepetan?
Sampeyan bisa mriksa kualitas SecureXL nggunakake printah dhasar ing mode pakar ing gateway status waccel и fw accel stats -s. Sabanjure, sampeyan kudu ngerteni apa jenis lalu lintas sing dicepetake, lan apa template liyane sing bisa digawe.
Drop Templates ora diaktifake kanthi standar; mbisakake bakal entuk manfaat SecureXL. Kanggo nindakake iki, pindhah menyang setelan gateway lan tab Optimizations:
Uga, nalika nggarap kluster kanggo ngoptimalake CPU, sampeyan bisa mateni sinkronisasi layanan non-kritis, kayata UDP DNS, ICMP lan liya-liyane. Kanggo nindakake iki, pindhah menyang setelan layanan → Lanjut → Sinkronisasi sambungan saka Sinkronisasi Negara diaktifake ing kluster.
Kabeh Best Practices diterangake ing .
3.10. Kepiye carane CoreXl digunakake?
Teknologi CoreXL, sing ngidini panggunaan pirang-pirang CPU kanggo kedadeyan firewall (modul firewall), mesthi mbantu ngoptimalake operasi piranti kasebut. Tim pisanan fw ctl karemenan -l -a bakal nuduhake kedadean firewall digunakake lan pemroses diutus kanggo SND (modul sing distributes lalu lintas kanggo entitas firewall). Yen ora kabeh prosesor digunakake, padha bisa ditambahake karo printah cpconfig ing gapura.
Uga crita apik kanggo sijine kanggo ngaktifake Multi-Queue. Multi-Queue solves masalah nalika prosesor karo SND digunakake ing akeh persen, lan kedadean firewall ing prosesor liyane meneng. Banjur SND bakal duwe kemampuan kanggo nggawe akeh antrian kanggo siji NIC lan nyetel prioritas beda kanggo lalu lintas beda ing tingkat kernel. Akibate, inti CPU bakal digunakake kanthi luwih cerdas. Cara kasebut uga diterangake ing .
Ing kesimpulan, aku arep ngomong yen iki ora kabeh Praktik Paling Apik kanggo ngoptimalake Check Point, nanging sing paling populer. Yen sampeyan pengin supaya audit kabijakan keamanan utawa mutusake masalah sing ana hubungane karo Check Point, hubungi [email dilindhungi].
Matur suwun!
Source: www.habr.com