Salama mpiara-miasa! Androany aho dia te hiresaka lohahevitra tena manan-danja ho an'ny mpitantana Check Point maro: "Manatsara ny CPU sy ny RAM." Matetika dia misy tranga izay mandany tsy nampoizina ireo loharanon-karena ireo ny vavahady sy/na ny mpizara mpitantana, ary tiako ho takatra hoe aiza no βmikorianaβ ary, raha azo atao, dia mampiasa azy ireo amim-pahendrena kokoa.
1. Famakafakana
Mba handinihana ny enta-mavesatra amin'ny processeur dia ilaina ny mampiasa ireto baiko manaraka ireto, izay ampidirina amin'ny fomba manam-pahaizana:
ambony dia mampiseho ny dingana rehetra, ny habetsaky ny CPU sy ny loharanon-karena RAM lanina ho isan-jato, ny ora fiasana, ny laharam-pahamehana sy ny dingana amin'ny fotoana tena izyΠΈ
cpwd_admin lisitra Jereo ny Point WatchDog Daemon, izay mampiseho ny maody fampiharana rehetra, ny PID, ny sata ary ny isan'ny fanombohana
cpstat -f cpu os Ny fampiasana CPU, ny isan'izy ireo ary ny fizarana ny fotoanan'ny processeur ho isan-jato
cpstat -f fahatsiarovana os fampiasana RAM virtoaly, firy ny mavitrika, RAM maimaim-poana sy ny maro hafa
Ny fanamarihana marina dia ny baiko cpstat rehetra dia azo jerena amin'ny fampiasana ny utility cpview. Mba hanaovana izany dia mila miditra ny baiko cpview amin'ny fomba rehetra amin'ny fivoriana SSH ianao.
ps auxwf lisitra lava ny dingana rehetra, ny ID, nibodo fahatsiarovana virtoaly sy fahatsiarovana ao amin'ny RAM, CPU
Fiovaovan'ny baiko hafa:
ps-aF dia hampiseho ny dingana lafo indrindra
fw ctl affinity -l -a fizarana cores ho an'ny tranga firewall samihafa, izany hoe ny teknolojia CoreXL
fw ctl pstat Famakafakana RAM sy famantarana fifandraisana ankapobeny, cookies, NAT
free -m RAM buffer
Mendrika hojerena manokana ny ekipa netsat sy ny fiovaovany. Ohatra, netstat -i dia afaka manampy amin'ny famahana ny olan'ny fanaraha-maso clipboards. Ny mari-pamantarana, RX nandatsaka fonosana (RX-DRP) amin'ny famoahana an'io baiko io, amin'ny ankapobeny, dia mitombo amin'ny tenany manokana noho ny fitetezan'ny protocols tsy ara-dalΓ na (IPv6, marika VLAN ratsy / tsy voahevitra ary ny hafa). Na izany aza, raha mitranga noho ny antony hafa, dia tokony hampiasa izany hanombohana ny fanadihadiana sy ny fahatakarana ny antony mahatonga ny interface tsara iray mandatsaka fonosana. Rehefa fantatra ny antony dia azo atao tsara ihany koa ny fiasan'ny app.
Raha alefa ny lelan'ny Fanaraha-maso dia azonao atao ny mijery an-tsary ireo metrika ireo ao amin'ny SmartConsole amin'ny fipihana ilay zavatra ary fidio ny "Fampahafantarana momba ny fitaovana sy fahazoan-dΓ lana."
Tsy soso-kevitra ny hanodina ny lelan'ny Monitoring amin'ny fotoana maharitra, fa mandritra ny andro fitsapana dia azo atao izany.
Ankoatra izany, azonao atao ny manampy masontsivana bebe kokoa ho an'ny fanaraha-maso, ny iray amin'izy ireo dia tena ilaina - Bytes Throughput (application throughput).
Raha misy rafitra fanaraha-maso hafa, ohatra, maimaim-poana , miorina amin'ny SNMP, dia mety ihany koa ny hamantarana ireo olana ireo.
2. Miporitsaka ny RAM rehefa mandeha ny fotoana
Mipoitra matetika ny fanontaniana fa rehefa mandeha ny fotoana dia manomboka mandany RAM bebe kokoa ny vavahady na ny mpizara fitantanana. Te hanome toky anao aho: tantara mahazatra ho an'ny rafitra mitovy amin'ny Linux ity.
Mijery ny fivoahan'ny baiko free -m ΠΈ cpstat -f fahatsiarovana os amin'ny fampiharana avy amin'ny maody manam-pahaizana, azonao atao ny manao kajy sy mijery ny masontsivana rehetra mifandraika amin'ny RAM.
Mifototra amin'ny fitadidiana misy eo amin'ny vavahady amin'izao fotoana izao Fahatsiarovana maimaimpoana + Buffers Memory + Fahatsiarovana voatahiry = +-1.5 GB, matetika.
Araka ny voalazan'ny CP, rehefa mandeha ny fotoana dia manatsara sy mampiasa fahatsiarovana bebe kokoa ny mpizara vavahady / fitantanana, mahatratra 80% ny fampiasana ary mijanona. Azonao atao ny mamerina ny fitaovana, ary avy eo dia haverina ny famantarana. 1.5 GB ny RAM maimaim-poana dia ampy ho an'ny vavahady hanatanterahana ny asa rehetra, ary zara raha mahatratra ny soatoavin'ny tokonam-baravarana toy izany ny fitantanana.
Ary koa, ny vokatra avy amin'ireo baiko voalaza ireo dia hampiseho ny habetsahanao anananao Tadidy ambany (RAM amin'ny habaka mpampiasa) ary Tadidy ambony (RAM amin'ny habaka kernel) ampiasaina.
Ny fizotry ny kernel (anisan'izany ny maody mavitrika toy ny maody kernel Check Point) dia mampiasa fahatsiarovana ambany ihany. Na izany aza, ny fizotran'ny mpampiasa dia afaka mampiasa fahatsiarovana ambany sy ambony. Ankoatr'izay, ny fahatsiarovana ambany dia mitovy amin'ny Fahatsiarovana tanteraka.
Tokony hanahy ihany ianao raha misy lesoka ao amin'ny diary "Reboots ny modules na ny fizotran'ny famonoana mba hamerenana ny fitadidiana noho ny OOM (tsy fitadidiana)". Avy eo dia tokony hamerina ny vavahady ianao ary hifandray amin'ny fanohanana raha tsy manampy ny reboot.
Ny famaritana feno dia azo jerena ao amin'ny ΠΈ .
3. Optimization
Ireto ambany ireto ny fanontaniana sy valiny momba ny fanatsarana ny CPU sy ny RAM. Tokony hamaly azy ireo amim-pahatsorana amin'ny tenanao ianao ary hihaino ny soso-kevitra.
3.1. Voafidy tsara ve ny fampiharana? Nisy tetikasa pilote ve?
Na dia eo aza ny habeny araka ny tokony ho izy, ny tambajotra dia mety hitombo fotsiny, ary ity fitaovana ity dia tsy afaka miatrika ny entana. Ny safidy faharoa dia raha tsy nisy sizing toy izany.
3.2. Mandeha ve ny fanaraha-maso HTTPS? Raha eny, narafitra araka ny fanao tsara indrindra ve ny teknolojia?
Jereo ny , raha mpanjifanay ianao, na ho .
Ny filaharan'ny fitsipika ao amin'ny politikan'ny fisafoana HTTPS dia mitana anjara toerana lehibe amin'ny fanatsarana ny fanokafana tranokala HTTPS.
Filaharan'ny fitsipika naroso:
- Fitsipika bypass misy sokajy/URL
- Jereo ny fitsipika misy sokajy/URL
- Jereo ny fitsipika ho an'ny sokajy hafa rehetra
Amin'ny fampitahana amin'ny politikan'ny firewall, ny Check Point dia mikaroka lalao amin'ny alΓ lan'ny fonosana avy any ambony ka hatrany ambany, noho izany dia tsara kokoa ny mametraka ny fitsipika bypass eo an-tampony, satria ny vavahady dia tsy handany loharanon-karena amin'ny fampandehanana ny fitsipika rehetra raha toa ka mila ity fonosana ity. ho lany.
3.3 Ampiasaina ve ny zavatra isan-karazany?
Ny zavatra manana adiresy isan-karazany, ohatra, ny tambajotra 192.168.0.0-192.168.5.0, dia maka RAM betsaka kokoa noho ny zavatra 5 tambajotra. Amin'ny ankapobeny, heverina ho fomba fanao tsara ny manala zavatra tsy ampiasaina ao amin'ny SmartConsole, satria isaky ny mametraka politika, ny vavahady sy ny mpizara mpitantana dia mandany loharano ary, indrindra indrindra, ny fotoana, manamarina sy mampihatra ny politika.
3.4. Ahoana no amboarina ny politikan'ny fisorohana ny fandrahonana?
Voalohany indrindra, ny Check Point dia manoro hevitra ny fametrahana IPS amin'ny mombamomba manokana ary mamorona fitsipika manokana ho an'ity lelany ity.
Ohatra, ny mpitantana iray dia mino fa ny fizarana DMZ dia tokony harovana amin'ny fampiasana IPS ihany. Noho izany, mba hisorohana ny vavahady tsy handany loharanon-karena amin'ny fanodinana fonosana amin'ny lelany hafa, dia ilaina ny mamorona fitsipika manokana ho an'ity fizarana ity miaraka amin'ny mombamomba izay IPS ihany no afaka.
Mikasika ny fametrahana ny mombamomba azy dia asaina mametraka izany araka ny fomba fanao tsara indrindra amin'izany (pejy 17-20).
3.5. Ao amin'ny sehatra IPS, firy ny sonia ao amin'ny mode Detect?
Manoro hevitra ny handinika tsara ny sonia amin'ny heviny hoe tokony ho kilemaina ireo tsy ampiasaina (ohatra, ny sonia amin'ny fampiasana ny vokatra Adobe dia mitaky hery informatika be dia be, ary raha tsy manana vokatra toy izany ny mpanjifa, dia misy dikany ny manafoana sonia). Manaraka, apetraho ny Prevent fa tsy ny Detect raha azo atao, satria ny vavahady dia mandany loharanon-karena amin'ny fanodinana ny fifandraisana manontolo amin'ny mode Detect, dia ariana avy hatrany ny fifandraisana ary tsy mandany loharanon-karena amin'ny fanodinana tanteraka ny fonosana;
3.6. Inona no rakitra nokarakarain'ny Threat Emulation, Threat Extraction, Anti-Virus blades?
Tsy misy dikany ny maka tahaka sy mamakafaka ireo rakitra fanitarana izay tsy alain'ny mpampiasa anao, na heverinao fa tsy ilaina amin'ny tambazotranao (ohatra, ny rakitra bat, exe dia azo sakanana mora foana amin'ny alΓ lan'ny leladin'ny Content Awareness amin'ny haavon'ny firewall, noho izany dia kely kokoa ny vavahady. ho lany ny harena). Ankoatr'izay, ao amin'ny fikandran'ny Threat Emulation dia azonao atao ny misafidy ny Tontolo iainana (rafitra miasa) mba haka tahaka ny fandrahonana ao amin'ny boaty fasika ary ny fametrahana ny tontolo iainana Windows 7 rehefa miasa amin'ny version 10 ny mpampiasa rehetra dia tsy misy dikany koa.
3.7. Voalamina mifanaraka amin'ny fomba fanao tsara indrindra ve ny firewall sy ny fitsipiky ny haavon'ny fampiharana?
Raha misy fitsipika be dia be ny hitifitra (match), dia soso-kevitra ny hametraka azy ireo eo amin'ny farany ambony indrindra, ary fitsipika amin'ny isa kely hitifitra - eo amin'ny farany ambany. Ny tena zava-dehibe dia ny miantoka fa tsy mifanelanelana na mifanipaka. Architecture politikan'ny firewall naroso:
fanazavana:
Fitsipika Voalohany - fitsipika misy lalao be indrindra apetraka eto
Noise Rule - fitsipika hanilihana ny fifamoivoizana sandoka toy ny NetBIOS
Stealth Fitsipika - mandrara ny antso amin'ny vavahady sy ny fitantanana ho an'ny rehetra afa-tsy ireo loharano voalaza ao amin'ny Authentication to Gateway Rules
Ny Fitsipika Fanadiovana, Farany ary Fitetezana dia matetika mitambatra ho fitsipika iray mba handrarana izay rehetra tsy navela teo aloha.
Ny angona fanao tsara indrindra dia voalaza ao amin'ny .
3.8. Inona no toe-javatra ananan'ny serivisy noforonin'ny mpitantana?
Ohatra, ny serivisy TCP sasany dia noforonina amin'ny seranana manokana, ary misy dikany ny manaisotra ny "Match for Any" ao amin'ny sehatra Advanced an'ny serivisy. Amin'ity tranga ity, ity serivisy ity dia hianjera manokana amin'ny fitsipika izay isehoany, ary tsy handray anjara amin'ny fitsipika izay misy Any voatanisa ao amin'ny tsanganana Services.
Raha miresaka momba ny serivisy dia ilaina ny manonona fa indraindray dia ilaina ny manitsy ny fe-potoana. Ity toe-javatra ity dia ahafahanao mampiasa amim-pahendrena ny loharanon'ny vavahady, mba tsy hitazonana fotoana fanampiny ho an'ny fotoam-pivoriana TCP/UDP amin'ny protocols izay tsy mila fe-potoana lehibe. Ohatra, ao amin'ny pikantsary etsy ambany, dia nanova ny fotoana fiatoan'ny serivisy domain-udp aho tamin'ny 40 segondra ho 30 segondra.
3.9. SecureXL ve no ampiasaina ary firy ny isan-jaton'ny hafainganam-pandeha?
Azonao atao ny manamarina ny kalitaon'ny SecureXL amin'ny fampiasana baiko fototra amin'ny fomba manam-pahaizana amin'ny vavahady fwaccel stat ΠΈ fw accel stats -s. Manaraka izany dia mila fantarinao hoe karazana fifamoivoizana manafaingana, ary inona no modely hafa azo noforonina.
Ny Drop Templates dia tsy alefa amin'ny alΓ lan'ny default; Mba hanaovana izany, mankanesa any amin'ny fikandrana vavahady sy ny tabilao Optimizations:
Ary koa, rehefa miara-miasa amin'ny cluster mba hanamafisana ny CPU, dia azonao atao ny manafoana ny fampifanarahana ny serivisy tsy mitsikera, toy ny UDP DNS, ICMP ary ny hafa. Mba hanaovana izany, mankanesa any amin'ny serivisy serivisy β Advanced β Synchronize connections of State Synchronization dia alefa amin'ny cluster.
Ny fanao tsara indrindra rehetra dia voalaza ao amin'ny .
3.10. Ahoana ny fampiasana CoreXl?
Ny teknolojia CoreXL, izay mamela ny fampiasana CPU maro ho an'ny firewall (module firewall), dia tena manampy amin'ny fanatsarana ny fiasan'ny fitaovana. Ekipa voalohany fw ctl affinity -l -a dia hampiseho ny tranga firewall ampiasaina sy ny processeur voatendry amin'ny SND (module izay mizara ny fifamoivoizana amin'ny sampan-draharahan'ny firewall). Raha tsy ny processeur rehetra no ampiasaina dia azo ampiana amin'ny baiko cpconfig teo am-bavahady.
Tsara ihany koa ny mametraka tantara mba ahafahana Multi-Queue. Multi-Queue dia mamaha ny olana rehefa ampiasaina amin'ny isan-jato ny processeur miaraka amin'ny SND, ary tsy miasa ny tranga firewall amin'ny processeur hafa. Avy eo ny SND dia hanana fahafahana hamorona filaharana maro ho an'ny NIC iray ary hametraka laharam-pahamehana samihafa ho an'ny fifamoivoizana samihafa amin'ny ambaratonga kernel. Noho izany, ny cores CPU dia hampiasaina amim-pahendrena kokoa. Ny fomba dia voalaza ao amin'ny .
Ho famaranana, tiako ny milaza fa tsy ireo no fomba fanao tsara indrindra amin'ny fanatsarana ny Check Point, fa izy ireo no malaza indrindra. Raha te hanafatra fanaraha-maso ny politikan'ny fiarovana anao ianao na hamaha olana mifandraika amin'ny Check Point dia mifandraisa azafady [email voaaro].
Fidio ny Fiteninao
Source: www.habr.com