Silav hevalno! Îro ez dixwazim ji bo gelek rêvebirên Check Point mijarek pir têkildar nîqaş bikim: "Pêşvebirina CPU û RAM." Bi gelemperî rewş hene ku dergeh û/an servera rêveberiyê ji nedîtî ve gelek ji van çavkaniyan dixwe, û ez dixwazim fam bikim ku ew li ku derê "diherikin" û, heke gengaz be, wan bi aqilmendtir bikar bînin.
1. Analîz
Ji bo analîzkirina barkirina pêvajoyê, kêrhatî ye ku emrên jêrîn bikar bînin, ku di moda pisporê de têne navnîş kirin:
lûtik Hemî pêvajoyan, mîqdara çavkaniyên CPU û RAM-ê yên ku wekî ji sedî, dema xebatê, pêşîniya pêvajoyê û di dema rast deи
lîsteya cpwd_admin Point WatchDog Daemon kontrol bikin, ku hemî modulên serîlêdanê, PID, rewş û hejmara destpêkirina wan nîşan dide
cpstat -f cpu os Bikaranîna CPU, hejmara wan û belavkirina dema pêvajoyê wekî sedî
cpstat -f bîra os bikaranîna RAM virtual, çiqas çalak, RAM belaş û zêdetir
Daxuyaniya rast ev e ku hemî emrên cpstat dikarin bi karanîna karûbar têne dîtin cpview. Ji bo vê yekê, hûn tenê hewce ne ku emrê cpview ji her modê di danişîna SSH de têkevin.
ps auxwf navnîşek dirêj a hemî pêvajoyên, nasnameya wan, bîranîna virtual û bîranîna di RAM, CPU de dagir kiriye
Guhertoyên fermanên din:
ps-aF dê pêvajoya herî biha nîşan bide
fw ctl hevbendî -l -a belavkirina navokan ji bo mînakên cûda yên firewall, ango teknolojiya CoreXL
fw ctl pstat Analîza RAM û nîşaneyên girêdana gelemperî, cookies, NAT
belaş -m tampon RAM
Tîm baldariya taybetî heq dike netsat û guhertoyên wê. Bo nimûne, netstat -i dikare alîkariya çareserkirina pirsgirêka şopandina clipboards bike. Parametre, pakêtên RX daxistî (RX-DRP) di derketina vê fermanê de, bi gelemperî, ji ber dilopên protokolên neqanûnî (IPv6, Etîketên VLAN-ê yên Xirab / Nexwestî û yên din) bi serê xwe mezin dibe. Lêbelê, heke daketin ji ber sedemek din çêbibin, wê hingê divê hûn vê bikar bînin da ku dest bi vekolînê bikin û fêm bikin ka çima pêwendiyek torê ya diyar pakêtan davêje. Piştî ku sedem hate zanîn, operasyona sepanê jî dikare xweşbîn bibe.
Ger pêla Çavdêriyê çalak be, hûn dikarin van metrîkan bi grafîkî li SmartConsole bi tikandina li ser tiştê û bijartina "Agahdariya Cîhaz û Lîsansê" bibînin.
Ew nayê pêşniyar kirin ku meriv pêça Çavdêriyê bi rengek domdar veke, lê ji bo rojek ceribandinê ew pir gengaz e.
Digel vê yekê, hûn dikarin ji bo çavdêriyê bêtir pîvanan lê zêde bikin, yek ji wan pir bikêr e - Bytes Throughput (bikaranîna serîlêdanê).
Ger pergalek din a çavdêriyê hebe, mînakî, belaş , li ser bingeha SNMP-ê, ji bo tespîtkirina van pirsgirêkan jî maqûl e.
2. RAM bi demê re diherike
Pir caran pirs derdikeve holê ku bi demê re, derî an servera rêveberiyê dest pê dike ku bêtir û bêtir RAM dixwe. Ez dixwazim we piştrast bikim: ev ji bo pergalên mîna Linux-ê çîrokek normal e.
Li derketina fermanan dinêre belaş -m и cpstat -f bîra os li ser sepanê ji moda pisporê, hûn dikarin hemî pîvanên girêdayî RAM-ê hesab bikin û bibînin.
Li ser bingeha bîranîna heyî ya li ser dergehê Bîra Belaş + Bîra tamponan + Bîra Cached = +-1.5 GB, bi gelemperî.
Wekî ku CP dibêje, bi demê re servera derî/rêveberiyê xweşbîn dike û bîranîna bêtir û bêtir bikar tîne, digihîje 80% karanîna, û disekine. Hûn dikarin amûrê ji nû ve bidin destpêkirin, û dûv re nîşanker dê ji nû ve were vegerandin. 1.5 GB RAM-a belaş bi tevahî têra derî ye ku hemî karan pêk bîne, û rêveberî kêm kêm digihîje nirxên weha.
Di heman demê de derketinên fermanên navborî dê nîşan bidin ka çiqas we heye Bîra kêm (RAM li cîhê bikarhêner) û Bîra bilind (RAM li cîhê kernelê) tê bikaranîn.
Pêvajoyên kernelê (modulên çalak ên wekî modulên kernelê yên Check Point jî tê de) tenê bîranîna Kêm bikar tînin. Lêbelê, pêvajoyên bikarhêner dikarin bîranîna Kêm û Bilind bikar bînin. Wekî din, bîranîna kêm bi qasî hev e Total Bîra.
Divê hûn tenê bitirsin heke di têketinê de xeletî hebin "Modul ji nû ve têne destpêkirin an pêvajoyên têne kuştin ku ji ber OOM (ji bîrê ne) vegerînin bîra xwe". Dûv re divê hûn derî ji nû ve bidin destpêkirin û ger reboot ne alîkar be bi piştgiriyê re têkilî daynin.
Danasînek tam dikare tê de were dîtin и .
3. Optimîzasyon
Li jêr pirs û bersivên li ser xweşbînkirina CPU û RAM hene. Divê hûn ji xwe re bi dilsozî bersiva wan bidin û guh bidin pêşniyaran.
3.1. Serlêdan rast hat hilbijartin? Projeyek pîlot hebû?
Tevî mezinbûna rast, torê dikare bi hêsanî mezin bibe, û ev amûr bi hêsanî nikare bi barkirinê re mijûl bibe. Vebijarka duyemîn ev e ku heke pîvanek wusa tunebûya.
3.2. Kontrolkirina HTTPS çalak e? Ger erê, gelo teknolojî li gorî Pratîka çêtirîn hatî mîheng kirin?
Binêre , eger tu muwekîlê me ne, an jî ji bo .
Rêzkirina qaîdeyên di polîtîkaya çavdêriya HTTPS de di xweşbînkirina vekirina malperên HTTPS de rolek mezin dilîze.
Rêza rêzikên pêşniyarkirî:
- Rêgezên bi kategoriyan/URL-an re derbas bikin
- Rêgezên bi kategoriyan/URL-an vekolînin
- Ji bo hemî kategoriyên din qaîdeyên kontrol bikin
Li gorî polîtîkaya dîwarê agir, Check Point ji serî ber bi jêr ve li hevberdanê li gorî pakêtan digere, ji ber vê yekê çêtir e ku qaîdeyên derbazkirinê li jor bi cîh bikin, ji ber ku ger hewceyê vê pakêtê be dê dergeh çavkaniyan li ser meşandina hemî qaîdeyan winda neke. were derbas kirin.
3.3 Ma tiştên navnîşan-range têne bikar anîn?
Tiştên xwedan rêzek navnîşan, mînakî, tora 192.168.0.0-192.168.5.0, ji 5 tiştên torê pir zêde RAM digire. Bi gelemperî, rakirina tiştên neyên bikar anîn di SmartConsole de pratîkek baş tête hesibandin, ji ber ku her carê ku siyasetek tê saz kirin, derî û servera rêveberiyê çavkaniyan û, ya herî girîng, dem, verastkirin û sepandina siyasetê xerc dike.
3.4. Polîtîkaya Pêşîlêgirtina Tehdîdê çawa tê mîheng kirin?
Berî her tiştî, Check Point pêşniyar dike ku IPS-ê di profîlek veqetandî de bi cîh bikin û ji bo vê pelikê qaîdeyên cûda biafirînin.
Mînakî, rêveberek bawer dike ku divê beşa DMZ tenê bi karanîna IPS were parastin. Ji ber vê yekê, ji bo pêşîgirtina li dergeh ji ber windakirina çavkaniyan li ser pakêtên pêvajoyê ji hêla blades din ve, pêdivî ye ku bi taybetî ji bo vê beşê bi profîlek ku tê de tenê IPS çalak e qaîdeyek were afirandin.
Di derbarê sazkirina profîlan de, tê pêşniyar kirin ku di vê yekê de li gorî pratîkên çêtirîn saz bikin (rûpelên 17-20).
3.5. Di mîhengên IPS-ê de, di moda Detect de çend îmze hene?
Tête pêşniyar kirin ku bi baldarî li îmzeyan were lêkolîn kirin di vê wateyê de ku yên nayên bikar anîn divê bêne neçalak kirin (mînakek, îmzeyên ji bo xebitandina hilberên Adobe gelek hêza hesabkeriyê hewce dike, û heke xerîdar xwediyê hilberên weha nebe, maqûl e ku îmzeyan neçalak bike). Dûv re, li cîhê ku gengaz be Prevent li şûna Detect bihêlin, ji ber ku derî çavkaniyan xerc dike ku tevahiya pêwendiyê di moda Detect de hildiweşîne; di moda Pêşîlêgirtinê de, ew tavilê pêwendiyê qut dike û çavkaniyan li ser hilanîna pakêtê bi tevahî winda nake.
3.6. Kîjan pelan ji hêla Emûlasyona Tehdîdê, Derxistina Tehdîdê, bladesên Dij-Vîrus ve têne hilberandin?
Ne wate ye ku hûn pelên pêvekên ku bikarhênerên we dakêşin, an jî hûn li ser tora xwe nepêwist dihesibînin (mînakî, pelên bat, exe bi hêsanî bi karanîna tîra Agahdariya Naverokê di asta dîwarê agir de têne asteng kirin û analîz kirin) bikin û analîz bikin. çavkanî dê bêne xerc kirin). Digel vê yekê, di mîhengên Emûlasyona Gefê de hûn dikarin Jîngeh (pergala xebitandinê) hilbijêrin ku tehdîdên di sandboxê de bişopînin û sazkirina Jîngeh Windows 7 dema ku hemî bikarhêner bi guhertoya 10-ê re dixebitin jî ne wate ye.
3.7. Ma qaîdeyên asta firewall û serîlêdanê li gorî pratîka çêtirîn têne saz kirin?
Ger rêgezek gelek lêdan (maç) hebin, wê hingê tê pêşniyar kirin ku wan li jorê bixin, û bi hejmareke hindik lêdan re rêz bikin - li jêr. Ya sereke ev e ku meriv pê ewle bibe ku ew hevûdu negirin an li hev nekin. Mîmariya polîtîkaya firewalê ya pêşniyarkirî:
Ravekirin:
Rêzikên Yekem - qaîdeyên bi hejmara herî mezin a maçan li vir têne danîn
Rêzika Deng - qaîdeyek ji bo rakirina seyrûsefera derewîn wekî NetBIOS
Rêbaza Dizî - bangên dergeh û rêvebiran ji hemîyan re qedexe dike ji bilî wan çavkaniyên ku di Rêbazên Rastkirina Dergehê de hatine destnîşan kirin.
Rêbazên Paqijkirinê, Dawî û Davê bi gelemperî di yek qaîdeyek de têne berhev kirin da ku her tiştê ku berê destûr nedaye qedexe bike.
Daneyên pratîka çêtirîn di nav de têne diyar kirin .
3.8. Karûbarên ku ji hêla rêveberan ve hatine afirandin çi mîhengan hene?
Mînakî, hin karûbarên TCP-ê li ser portek taybetî têne afirandin, û di mîhengên pêşkeftî yên karûbarê de bijartina "Match for Any" jêbirin. Di vê rewşê de, ev karûbar dê bi taybetî bikeve bin qaîdeya ku tê de xuya dike, û dê beşdarî qaîdeyên ku Any di stûna Karûbaran de hatî navnîş kirin nebe.
Axaftina di derbarê karûbaran de, hêjayî gotinê ye ku carinan hewce ye ku demsalî werin sererast kirin. Vê mîhengê dê bihêle ku hûn çavkaniyên dergehê bi aqilmendî bikar bînin, da ku ji bo danişînên TCP/UDP yên protokolên ku hewceyê demek mezin nebin demek zêde negirin. Mînakî, di dîmendera jêrîn de, min wextê karûbarê domain-udp ji 40 çirkeyan guhart 30 çirke.
3.9. Ma SecureXL tê bikar anîn û rêjeya lezkirinê çi ye?
Hûn dikarin kalîteya SecureXL-ê bi karanîna fermanên bingehîn di moda pisporê de li ser dergehê kontrol bikin fwaccel stat и fw accel stats -s. Dûv re, hûn hewce ne ku fêhm bikin ka çi celeb seyrûsefer tê bilez kirin, û çi şablonên din dikarin bêne afirandin.
Şablonên avêtinê ji hêla xwerû ve nayên çalak kirin; çalakkirina wan dê sûdê ji SecureXL bigire. Ji bo vê yekê, biçin mîhengên dergehê û tabloya Optimîzasyonê:
Di heman demê de, dema ku hûn bi komekê re dixebitin ku CPU-yê xweşbîn bikin, hûn dikarin hevdemkirina karûbarên ne-krîtîk, wek UDP DNS, ICMP û yên din, neçalak bikin. Ji bo vê yekê, biçin mîhengên karûbarê → Pêşketî → Hevdengkirina girêdanên Dewletê Hevdengkirina li ser komê çalak e.
Hemî Pratîkên çêtirîn di nav de têne diyar kirin .
3.10. CoreXl çawa tê bikar anîn?
Teknolojiya CoreXL, ku destûrê dide karanîna pir CPU-yan ji bo mînakên firewall (modulên firewallê), bê guman alîkariya xweşbînkirina xebata cîhazê dike. Tîm yekem fw ctl hevbendî -l -a dê mînakên firewall-ê yên ku hatine bikar anîn û pêvajoyên ku ji SND-ê re hatine veqetandin nîşan bide (modulek ku seyrûseferê li saziyên firewall belav dike). Ger ne hemî pêvajoker werin bikar anîn, ew dikarin bi fermanê werin zêdekirin cpconfig li dergehê.
Di heman demê de çîrokek baş tê danîn ji bo çalakkirina Multi-Queue. Pir-Queue pirsgirêkê çareser dike dema ku pêvajoya bi SND ji sedî pir tê bikar anîn, û mînakên firewall li ser pêvajoyên din bêkar in. Dûv re SND dê xwediyê şiyana ku ji bo yek NIC-ê gelek rêzan biafirîne û ji bo seyrûsefera cihêreng di asta kernelê de pêşengiyên cihêreng destnîşan bike. Ji ber vê yekê, core CPU dê bi aqilmendtir were bikar anîn. Rêbaz jî di nav de têne diyar kirin .
Di encamê de, ez dixwazim bibêjim ku ev ne hemî Pratîkên çêtirîn ên ji bo xweşbînkirina xala kontrolê ne, lê ew herî populer in. Ger hûn dixwazin ji bo kontrolkirina siyaseta xweya ewlehiyê ferman bidin an pirsgirêkek bi Check Point re çareser bikin, ji kerema xwe têkilî [email parastî].
Ji bo baldariya te spas!
Source: www.habr.com