Салам кесиптештер! Бүгүн мен көптөгөн Check Point администраторлору үчүн абдан актуалдуу теманы талкуулагым келет: "Процессорду жана RAMды оптималдаштыруу." Көбүнчө шлюз жана/же башкаруу сервери күтүүсүздөн бул ресурстардын көп бөлүгүн жеп койгон учурлар болот жана мен алар кайда "акып жатканын" түшүнгүм келет жана мүмкүн болсо, аларды акылдуураак колдонгум келет.
1. Анализ
Процессордун жүгүн талдоо үчүн эксперттик режимде киргизилген төмөнкү буйруктарды колдонуу пайдалуу:
жогорку бардык процесстерди көрсөтөт, пайыз катары керектелген CPU жана RAM ресурстарынын көлөмүн, иштөө убактысын, процесстин артыкчылыктуулугун жана реалдуу убакыттаи
cpwd_admin тизмеси Check Point WatchDog Daemon, ал бардык тиркеме модулдарын, алардын PID-сын, абалын жана башталуу санын көрсөтөт
cpstat -f cpu os Процессордун колдонулушу, алардын саны жана процессор убактысынын пайыз менен бөлүштүрүлүшү
cpstat -f эс тутуму виртуалдык RAM колдонуу, канчалык активдүү, бош RAM жана башкалар
Туура эскертүү, бардык cpstat буйруктарын утилитаны колдонуу менен көрүүгө болот cpview. Бул үчүн, сиз жөн гана SSH сессиясынын каалаган режиминен cpview буйругун киргизишиңиз керек.
ps auxwf бардык процесстердин узун тизмеси, алардын идентификатору, ээлеген виртуалдык эс тутуму жана оперативдүү эс тутумдагы, CPUдагы эс тутум
Башка буйрук вариациялары:
ps-aF эң кымбат процессти көрсөтөт
fw ctl жакындыгы -l -a ар кандай брандмауэр инстанциялары үчүн өзөктөрдү бөлүштүрүү, башкача айтканда, CoreXL технологиясы
fw ctl pstat RAM талдоо жана жалпы байланыш көрсөткүчтөрү, кукилер, NAT
бекер -м RAM буфери
Коллектив өзгөчө көңүл бурууга татыктуу netsat жана анын вариациялары. Мисалы, netstat -i алмашуу буферлерине мониторинг жүргүзүү маселесин чечүүгө жардам берет. Бул команданын чыгышында RX түшүп калган пакеттер (RX-DRP) параметри, эреже катары, легитимсиз протоколдордун (IPv6, Начар / Күтүлбөгөн VLAN тэгдери жана башкалар) түшүп кетишинен улам өзүнөн-өзү өсөт. Бирок, тамчы башка себептерден улам пайда болсо, анда аны колдонуу керек Берилген тармак интерфейси эмне үчүн пакеттерди таштап жатканын иликтөө жана түшүнүү үчүн. Себебин билип туруп, колдонмонун иштешин оптималдаштырса болот.
Мониторинг тилкеси иштетилген болсо, бул көрсөткүчтөрдү SmartConsole'до объектти басып, "Түзмөк жана лицензия маалыматын" тандоо менен графикалык түрдө көрө аласыз.
Мониторинг бычакты туруктуу түрдө күйгүзүү сунушталбайт, бирок сыноо үчүн бир күн болушу мүмкүн.
Мындан тышкары, сиз мониторинг жүргүзүү үчүн көбүрөөк параметрлерди кошууга болот, алардын бири абдан пайдалуу - Bytes Throughput (колдонмо өткөрүү).
Башка мониторинг системасы бар болсо, мисалы, бекер , SNMP негизинде, бул көйгөйлөрдү аныктоо үчүн да ылайыктуу болуп саналат.
2. RAM убакыттын өтүшү менен агып кетет
Убакыттын өтүшү менен шлюз же башкаруу сервери көбүрөөк оперативдүү эстутумду керектей баштайт деген суроо көп туулат. Мен сизди ишендиргим келет: бул Linux сыяктуу системалар үчүн кадимки окуя.
Буйруктардын чыгышына карап бекер -м и cpstat -f эс тутуму Эксперттик режимден колдонмодо сиз RAM менен байланышкан бардык параметрлерди эсептеп, көрө аласыз.
Учурда шлюздагы жеткиликтүү эстутумдун негизинде Акысыз эстутум + Буферлердин эс тутуму + Кэштелген эс тутум = +-1.5 ГБ, адатта.
CP айткандай, убакыттын өтүшү менен шлюз/башкаруу сервери көбүрөөк эстутумду оптималдаштырат жана колдонот, болжол менен 80% колдонууга жетет жана токтойт. Сиз аппаратты кайра жүктөсөңүз болот, андан кийин индикатор баштапкы абалга келтирилет. 1.5 ГБ бош оперативдик эс тутум шлюз бардык тапшырмаларды аткаруу үчүн жетиштүү жана башкаруу мындай чектик маанилерге сейрек жетет.
Ошондой эле, айтылган буйруктардын натыйжалары сизде канча бар экенин көрсөтөт Төмөн эс (Колдонуучу мейкиндигинде RAM) жана Жогорку эс (Ядро мейкиндигинде RAM) колдонулат.
Ядро процесстери (анын ичинде Check Point ядро модулдары сыяктуу активдүү модулдар) Төмөн эстутумду гана колдонот. Бирок, колдонуучу процесстери Төмөн жана Жогорку эстутумду да колдоно алат. Мындан тышкары, Төмөн эс болжол менен барабар Жалпы эс.
Эгер журналдарда каталар болсо гана тынчсызданышыңыз керек "модулдар кайра жүктөлөт же процесстер OOM (эстутум жок)) себебинен эстутумду калыбына келтирүү үчүн өлүп жатат". Андан кийин сиз шлюзду кайра жүктөшүңүз керек жана кайра жүктөө жардам бербесе, колдоо бөлүмүнө кайрылыңыз.
Толук сүрөттөмөсүн таба аласыз и .
3. Оптимизация
Төмөндө CPU жана RAM оптималдаштыруу боюнча суроолор жана жооптор бар. Сиз аларга чынчылдык менен өзүңүзгө жооп берип, сунуштарды угушуңуз керек.
3.1. Колдонмо туура тандалдыбы? Пилоттук долбоор болгонбу?
Туура өлчөмдөрүнө карабастан, тармак жөн эле өсө алат, жана бул жабдуулар жөн эле жүктү көтөрө албайт. Экинчи вариант - эгерде мындай өлчөмдөр жок болсо.
3.2. HTTPS текшерүү иштетилгенби? Ооба болсо, технология Best Practice ылайык конфигурацияланганбы?
кайрылыңыз , эгерде сиз биздин кардар болсоңуз, же .
HTTPS текшерүү саясатындагы эрежелердин тартиби HTTPS сайттарынын ачылышын оптималдаштырууда чоң роль ойнойт.
Сунушталган эрежелердин тартиби:
- Категориялар/URL менен эрежелерди айланып өтүү
- Категориялар/URL менен эрежелерди текшериңиз
- Бардык башка категориялар үчүн эрежелерди текшерүү
Брандмауэр саясатына окшошуп, Check Point пакеттер боюнча дал келүүнү жогорудан ылдыйга карай издейт, андыктан айланып өтүү эрежелерин жогору жагына койгон жакшы, анткени шлюз бул пакетке керек болсо, бардык эрежелерди иштетүү үчүн ресурстарды коротпойт. өтүү.
3.3 Дарек диапазонунун объекттери колдонулабы?
Дарек диапазону бар объекттер, мисалы, тармак 192.168.0.0-192.168.5.0, 5 тармак объектисине караганда бир кыйла көбүрөөк оперативдүү эстутумду ээлейт. Жалпысынан, SmartConsole'до колдонулбаган объекттерди алып салуу жакшы практика болуп эсептелет, анткени саясат орнотулган сайын шлюз жана башкаруу сервери ресурстарды жана эң негизгиси саясатты текшерүүгө жана колдонууга убакыт коротот.
3.4. Коркунучту алдын алуу саясаты кантип конфигурацияланган?
Биринчиден, Check Point IPSти өзүнчө профилде жайгаштырууну жана бул бычак үчүн өзүнчө эрежелерди түзүүнү сунуштайт.
Мисалы, администратор DMZ сегменти IPS аркылуу гана корголушу керек деп эсептейт. Ошондуктан, шлюз башка блейддер менен пакеттерди иштетүүдө ресурстарды текке кетирбөө үчүн, IPS гана иштетилген профили бар ушул сегмент үчүн атайын эреже түзүү керек.
Профильдерди орнотууга келсек, аны бул боюнча эң мыкты тажрыйбага ылайык орнотуу сунушталат (Page 17-20).
3.5. IPS жөндөөлөрүндө, аныктоо режиминде канча кол бар?
Колдонулбагандар өчүрүлүшү керек деген мааниде кол тамгаларды кылдат изилдеп чыгуу сунушталат (мисалы, Adobe өнүмдөрүн иштетүү үчүн кол коюулар көп эсептөө күчүн талап кылат, ал эми кардарда андай өнүмдөр жок болсо, кол тамгаларды өчүрүү мааниси бар). Андан кийин, мүмкүн болсо, аныктоонун ордуна Prevent коюңуз, анткени шлюз Алдын алуу режиминде бардык туташууну иштетүүгө ресурстарды жумшайт, ал байланышты дароо жокко чыгарат жана пакетти толук иштетүүгө ресурстарды коротпойт;
3.6. Threat Emulation, Threat Extraction, Anti-Virus blades аркылуу кандай файлдар иштетилет?
Колдонуучуларыңыз жүктөп албаган же тармагыңызда керексиз деп эсептеген кеңейтүүлөрдүн файлдарын эмуляциялоонун жана талдоонун мааниси жок (мисалы, bat, exe файлдары брандмауэр деңгээлиндеги Content Awareness blade аркылуу оңой бөгөттөлсө болот, андыктан азыраак шлюз ресурстар жумшалат). Андан тышкары, коркунучтарды эмуляциялоо жөндөөлөрүндө сиз кумдук чөйрөдөгү коркунучтарды эмуляциялоо үчүн Курчап турган чөйрөнү (иштөө тутумун) тандасаңыз болот жана бардык колдонуучулар 7 версиясы менен иштеп жаткан учурда Windows 10 чөйрөсүн орнотуунун да мааниси жок.
3.7. Брандмауэр жана Колдонмо деңгээлинин эрежелери мыкты тажрыйбага ылайык уюштурулганбы?
Эгерде эрежеде хит (матчтар) көп болсо, анда аларды эң жогору жагына, ал эми аз сандагы соккулары бар эрежелерди - эң ылдый жагына коюу сунушталат. Эң негизгиси, алар бири-бири менен кесилишкен же бири-бирин кайталабашы керек. Сунушталган брандмауэр саясатынын архитектурасы:
Түшүндүрмөлөр:
Биринчи Эрежелер - бул жерде эң көп матчтар менен эрежелер жайгаштырылат
Noise Rule - NetBIOS сыяктуу жасалма трафикти жокко чыгаруу эрежеси
Stealth Rule - шлюздарга жана башкарууларга чалууларга тыюу салат, алар шлюз эрежелеринде көрсөтүлгөн булактардан башкасынын баарына
Тазалоо, акыркы жана таштоо эрежелери, адатта, мурда уруксат берилбеген нерселердин бардыгына тыюу салуу үчүн бир эрежеге бириктирилет.
Мыкты тажрыйбанын маалыматтары сүрөттөлгөн .
3.8. Администраторлор түзгөн кызматтарда кандай орнотуулар бар?
Мисалы, кээ бир TCP кызматы белгилүү бир портто түзүлөт жана кызматтын Өркүндөтүлгөн жөндөөлөрүндөгү "Баарына дал келүү" белгисин алып салуу мааниси бар. Бул учурда, бул кызмат өзгөчө ал пайда болгон эрежеге түшөт жана Кызматтар тилкесинде Any көрсөтүлгөн эрежелерге катышпайт.
Кызматтар жөнүндө сөз кыла турган болсок, кээде тайм-ауттарды тууралоо керек экенин белгилей кетүү керек. Бул жөндөө сизге чоң тайм-аутту талап кылбаган TCP/UDP протоколдорунун сеанстарына кошумча убакытты өткөрбөө үчүн шлюз ресурстарын сарамжалдуу пайдаланууга мүмкүндүк берет. Мисалы, төмөндөгү скриншотто мен домен-udp кызматынын күтүү убактысын 40 секунддан 30 секундага өзгөрттүм.
3.9. SecureXL колдонулабы жана ылдамдатуу пайызы канча?
Сиз SecureXL сапатын шлюздеги эксперттик режимде негизги буйруктарды колдонуп текшере аласыз fwaccel stat и fw ылдамдатуу статистикасы -s. Андан кийин, сиз трафиктин кандай түрүн тездетип жатканын жана дагы кандай шаблондорду түзсө болорун аныкташыңыз керек.
Drop Templates демейки боюнча иштетилген эмес, аларды иштетүү SecureXLге пайда алып келет. Бул үчүн, шлюз орнотууларына жана Оптимизациялар өтмөгүнө өтүңүз:
Ошондой эле, CPU оптималдаштыруу үчүн кластер менен иштөөдө, сиз UDP DNS, ICMP жана башкалар сыяктуу маанилүү эмес кызматтарды синхрондоштурууну өчүрө аласыз. Бул үчүн, кызматтын жөндөөлөрүнө өтүңүз → Өркүндөтүлгөн → Кластерде Мамлекеттик синхрондоштуруунун байланыштарын синхрондоштуруу.
Бардык мыкты тажрыйбалар сүрөттөлгөн .
3.10. CoreXl кантип колдонулат?
Firewall инстанциялары (брандмауэр модулдары) үчүн бир нече CPU колдонууга мүмкүндүк берген CoreXL технологиясы, албетте, аппараттын иштешин оптималдаштырууга жардам берет. Биринчи команда fw ctl жакындыгы -l -a колдонулган брандмауэр инстанцияларын жана SNDге дайындалган процессорлорду көрсөтөт (брандмауэр объектилерине трафикти бөлүштүрүүчү модуль). Бардык процессорлор колдонулбаса, аларды буйрук менен кошууга болот cpconfig шлюзда.
Ошондой эле жакшы окуяны коюу керек Көп кезекти иштетүү. SND менен процессор көп пайызда колдонулганда жана башка процессорлордогу брандмауэр инстанциялары иштебей турганда, Multi-Queue көйгөйдү чечет. Ошондо SND бир NIC үчүн көптөгөн кезектерди түзө алат жана ядро деңгээлинде ар кандай трафик үчүн ар кандай артыкчылыктарды коё алат. Демек, CPU өзөктөрү акылдуураак колдонулат. ыкмалары да сүрөттөлгөн .
Жыйынтыктап айтканда, бул Check Point оптималдаштыруунун бардык мыкты тажрыйбалары эмес, бирок алар эң популярдуу деп айткым келет. Эгер сиз коопсуздук саясатыңызды текшерүүгө заказ кылгыңыз келсе же Check Point менен байланышкан көйгөйдү чечүүнү кааласаңыз, кайрылыңыз [электрондук почта корголгон].
Конул бурганын учун рахмат!
Source: www.habr.com