Сайн байна уу хамт олон! Өнөөдөр би олон Check Point-ийн администраторуудад маш их хамааралтай сэдвийг хэлэлцэхийг хүсч байна: "CPU болон RAM-г оновчтой болгох". Гарц ба/эсвэл удирдлагын сервер эдгээр нөөцийг санамсаргүйгээр их хэмжээгээр хэрэглэх тохиолдол байдаг бөгөөд би хаана "урсдаг" болохыг ойлгож, боломжтой бол илүү ухаалаг ашиглахыг хүсч байна.
1. Шинжилгээ
Процессорын ачааллыг шинжлэхийн тулд шинжээчийн горимд оруулсан дараах тушаалуудыг ашиглах нь ашигтай байдаг.
шилдэг бүх процессууд, зарцуулсан CPU болон RAM нөөцийн хэмжээ, ажиллах хугацаа, үйл явцын тэргүүлэх чиглэл болон бодит цаг хугацаанди
cpwd_admin жагсаалт Бүх програмын модулиуд, тэдгээрийн PID, статус, эхлэх тоог харуулдаг Check Point WatchDog дэмон
cpstat -f cpu үйлдлийн систем CPU-ийн хэрэглээ, тэдгээрийн тоо, процессорын цагийн хувиарлалт
cpstat -f санах ойн үйлдлийн систем виртуал RAM хэрэглээ, хэр их идэвхтэй, үнэгүй RAM гэх мэт
Зөв тайлбар бол бүх cpstat командуудыг хэрэгслийг ашиглан харж болно cpview. Үүнийг хийхийн тулд та SSH сессийн аль ч горимоос cpview командыг оруулахад л хангалттай.
ps auxwf бүх процессуудын урт жагсаалт, тэдгээрийн ID, эзэлсэн виртуал санах ой, RAM, CPU дахь санах ой
Бусад тушаалын хувилбарууд:
ps-aF хамгийн үнэтэй үйл явцыг харуулах болно
fw ctl ойр дотно байдал -l -a янз бүрийн галт ханын тохиолдлуудад зориулсан цөмийн хуваарилалт, өөрөөр хэлбэл CoreXL технологи
fw ctl pstat RAM-ийн шинжилгээ ба ерөнхий холболтын үзүүлэлтүүд, күүки, NAT
чөлөөт-м RAM буфер
Тус баг онцгой анхаарал хандуулах ёстой netsat ба түүний өөрчлөлтүүд. Жишээлбэл, netstat -i санах ойг хянах асуудлыг шийдвэрлэхэд тусалж чадна. Энэ командын гаралт дахь RX буурсан пакетууд (RX-DRP) параметр нь дүрмээр бол хууль бус протоколууд (IPv6, Муу / Төлөвлөгдөөгүй VLAN хаягууд болон бусад) унаснаас болж өөрөө өсдөг. Гэсэн хэдий ч, хэрэв дусал өөр шалтгаанаар тохиолдвол та үүнийг ашиглах хэрэгтэй Тухайн сүлжээний интерфейс яагаад пакетуудыг хаяж байгааг судалж, ойлгохын тулд. Үүний шалтгааныг олж мэдээд програмын ажиллагааг оновчтой болгох боломжтой.
Хэрэв Хяналтын самбар идэвхжсэн бол та SmartConsole дээрх объект дээр товшиж, "Төхөөрөмж ба лицензийн мэдээлэл"-ийг сонгосноор эдгээр хэмжигдэхүүнийг графикаар харах боломжтой.
Хяналтын ирийг байнга асаахыг зөвлөдөггүй, гэхдээ нэг өдрийн турш турших боломжтой.
Нэмж дурдахад, та хяналт тавихын тулд илүү олон параметрүүдийг нэмж болно, тэдгээрийн нэг нь маш хэрэгтэй байдаг - Bytes Throughput (програмын нэвтрүүлэх чадвар).
Хэрэв өөр хяналтын систем байгаа бол, жишээлбэл, үнэ төлбөргүй , SNMP дээр тулгуурлан эдгээр асуудлыг тодорхойлоход тохиромжтой.
2. RAM нь цаг хугацааны явцад алдагдсан
Цаг хугацаа өнгөрөхөд гарц эсвэл удирдлагын сервер илүү их RAM хэрэглэж эхэлдэг гэсэн асуулт ихэвчлэн гарч ирдэг. Би чамайг тайвшруулахыг хүсч байна: энэ бол Линукстэй төстэй системүүдийн ердийн түүх юм.
Командуудын гаралтыг харж байна чөлөөт-м и cpstat -f санах ойн үйлдлийн систем шинжээчийн горимоос програм дээр та RAM-тай холбоотой бүх параметрүүдийг тооцоолж, үзэх боломжтой.
Одоогийн байдлаар гарц дээр байгаа санах ойд үндэслэн Үнэгүй санах ой + Буфер санах ой + Кэш хийсэн санах ой = +-1.5 ГБ, ихэвчлэн.
CP-ийн хэлснээр, цаг хугацаа өнгөрөх тусам гарц/удирдлагын сервер нь илүү их санах ойг оновчтой болгож, ашигладаг бөгөөд ашиглалтын 80% орчимд хүрч, зогсдог. Та төхөөрөмжийг дахин ачаалж болно, дараа нь индикатор дахин тохируулагдах болно. 1.5 ГБ үнэгүй RAM нь гарц нь бүх ажлыг гүйцэтгэхэд хангалттай бөгөөд удирдлага ийм босго утгад хүрэх нь ховор.
Мөн дурдсан тушаалуудын гаралт нь танд хэр их байгааг харуулах болно Бага санах ой (хэрэглэгчийн зай дахь RAM) ба Өндөр санах ой (Цөмийн зай дахь RAM) ашигласан.
Цөмийн процессууд (Check Point цөмийн модулиуд гэх мэт идэвхтэй модулиудыг оруулаад) зөвхөн Бага санах ой ашигладаг. Гэсэн хэдий ч хэрэглэгчийн процессууд бага болон өндөр санах ойг хоёуланг нь ашиглаж болно. Түүнээс гадна бага санах ой нь ойролцоогоор тэнцүү байна Нийт санах ой.
Бүртгэлд алдаа гарсан тохиолдолд л санаа зовох хэрэгтэй "ООМ (санах ой дутуу)"-ын улмаас санах ойг сэргээхийн тулд модулиудыг дахин ачаалах эсвэл процессыг устгаж байна.". Дараа нь та гарцыг дахин ачаалж, дахин ачаалах нь тус болохгүй бол дэмжлэгтэй холбоо барина уу.
Бүрэн тайлбарыг эндээс авах боломжтой и .
3. Оновчлол
CPU болон RAM-г оновчтой болгох талаар асуулт, хариултыг доор харуулав. Та тэдэнд үнэнчээр хариулж, зөвлөмжийг сонсох хэрэгтэй.
3.1. Өргөдөл зөв сонгогдсон уу? Туршилтын төсөл байсан уу?
Хэмжээ нь зөв байсан ч сүлжээ нь зүгээр л томрох боломжтой бөгөөд энэ төхөөрөмж нь ачааллыг даван туулж чадахгүй. Хоёрдахь сонголт бол ийм хэмжээ байхгүй байсан бол.
3.2. HTTPS шалгалтыг идэвхжүүлсэн үү? Хэрэв тийм бол технологи нь шилдэг туршлагын дагуу тохируулагдсан уу?
Үзнэ үү , хэрэв та манай үйлчлүүлэгч бол, эсвэл .
HTTPS шалгалтын бодлого дахь дүрмийн дараалал нь HTTPS сайтуудын нээлтийг оновчтой болгоход ихээхэн үүрэг гүйцэтгэдэг.
Санал болгож буй дүрмийн дараалал:
- Ангилал/URL-тай дүрмийг тойрч гарах
- Ангилал/URL-тай дүрмийг шалгана уу
- Бусад бүх ангиллын дүрмийг шалгана уу
Галт ханын бодлоготой адилаар Check Point нь багцуудыг дээрээс доош нь эрэлхийлдэг тул гарц нь энэ пакет шаардлагатай бол бүх дүрмийг давахад нөөцийг үрэхгүй тул тойрч гарах дүрмийг дээд талд нь байрлуулах нь дээр. дамжих.
3.3 Хаягийн хүрээний объектуудыг ашигладаг уу?
Хаягийн мужтай объектууд, жишээлбэл, 192.168.0.0-192.168.5.0 сүлжээ нь 5 сүлжээний объектоос хамаагүй их хэмжээний RAM эзэлдэг. Ерөнхийдөө SmartConsole-д ашиглагдаагүй объектуудыг устгах нь сайн туршлага гэж тооцогддог, учир нь бодлогыг суулгах бүрт гарц болон удирдлагын сервер нь нөөцийг зарцуулж, хамгийн чухал нь бодлогыг баталгаажуулах, хэрэгжүүлэхэд цаг зарцуулдаг.
3.4. Аюулаас урьдчилан сэргийлэх бодлого хэрхэн тохируулагдсан бэ?
Юуны өмнө Check Point нь IPS-ийг тусдаа профайл дээр байрлуулж, энэ ирний хувьд тусдаа дүрэм бий болгохыг зөвлөж байна.
Жишээлбэл, администратор DMZ сегментийг зөвхөн IPS ашиглан хамгаалах ёстой гэж үздэг. Тиймээс, гарц нь пакетуудыг бусад ирээр боловсруулахад нөөцийг дэмий үрэхээс урьдчилан сэргийлэхийн тулд зөвхөн IPS-г идэвхжүүлсэн профайл бүхий энэ сегментэд тусгайлан зориулсан дүрмийг бий болгох шаардлагатай.
Профайлыг тохируулахын тулд үүнийг хамгийн сайн туршлагын дагуу тохируулахыг зөвлөж байна (хуудас 17-20).
3.5. IPS тохиргоонд Илрүүлэх горимд хэдэн гарын үсэг байдаг вэ?
Ашиглагдаагүй гарын үсгийг идэвхгүй болгох хэрэгтэй гэсэн утгаараа гарын үсгийг сайтар судлахыг зөвлөж байна (жишээлбэл, Adobe-ийн бүтээгдэхүүнийг ажиллуулах гарын үсэг нь маш их тооцоолох хүч шаарддаг бөгөөд хэрэв үйлчлүүлэгч ийм бүтээгдэхүүнгүй бол гарын үсгийг идэвхгүй болгох нь зүйтэй). Дараа нь боломжтой бол Илрүүлэхийн оронд Prevent-ийг тавь, учир нь гарц нь Илрүүлэх горимд холболтыг бүхэлд нь боловсруулахад нөөцийг зарцуулдаг; Урьдчилан сэргийлэх горимд тэр даруй холболтыг устгаж, багцыг бүрэн боловсруулахад нөөцийг үрэхгүй.
3.6. Threat Emulation, Threat Extraction, Anti-Virus blade зэрэг ямар файлуудыг боловсруулдаг вэ?
Таны хэрэглэгчид татаж авдаггүй, эсвэл сүлжээндээ шаардлагагүй гэж үзсэн өргөтгөлийн файлуудыг дуурайж, дүн шинжилгээ хийх нь утгагүй юм (жишээ нь, bat, exe файлуудыг галт хананы түвшний Content Awareness blade ашиглан хялбархан хааж болно, тиймээс бага гарцтай. нөөцийг зарцуулна). Түүнчлэн, аюулын эмуляцийн тохиргооноос та хамгаалагдсан хязгаарлагдмал орчинд аюул заналыг дуурайхын тулд Environment (үйлдлийн систем) -ийг сонгож, бүх хэрэглэгчид 7-р хувилбартай ажиллаж байх үед Windows 10-г суулгах нь утгагүй юм.
3.7. Галт хана болон Хэрэглээний түвшний дүрмийг шилдэг туршлагын дагуу зохион байгуулсан уу?
Хэрэв дүрэм нь олон цохилттой (тохиролтой) байвал тэдгээрийг хамгийн дээд талд, цөөн тооны цохилттой дүрмийг хамгийн доод хэсэгт байрлуулахыг зөвлөж байна. Хамгийн гол нь тэдгээр нь хоорондоо огтлолцохгүй, давхцахгүй байх явдал юм. Санал болгож буй галт ханын бодлогын архитектур:
Тайлбар:
Эхний дүрмүүд - хамгийн олон тооны таарч байгаа дүрмийг энд байрлуулна
Дуу чимээний дүрэм - NetBIOS гэх мэт хуурамч траффикийг устгах дүрэм
Нууцлах дүрэм - Гарцын баталгаажуулалтын дүрэмд заасан эх сурвалжаас бусад бүх рүү нэвтрэх гарц болон удирдлага руу залгахыг хориглодог.
Цэвэрлэх, сүүлчийн болон орхих дүрмийг ихэвчлэн нэг дүрэмд нэгтгэж, өмнө нь зөвшөөрөгдөөгүй бүх зүйлийг хориглодог.
Шилдэг туршлагын өгөгдлийг тайлбарласан болно .
3.8. Администраторуудын үүсгэсэн үйлчилгээ ямар тохиргоотой вэ?
Жишээлбэл, зарим TCP үйлчилгээ нь тодорхой порт дээр үүсгэгддэг бөгөөд үйлчилгээний Нарийвчилсан тохиргооноос "Аливаа тохирох" гэсэн сонголтыг арилгах нь зүйтэй юм. Энэ тохиолдолд энэ үйлчилгээ нь гарч ирсэн дүрмийн дагуу тусгайлан хамаарах бөгөөд Үйлчилгээний баганад Any-г жагсаасан дүрэмд оролцохгүй.
Үйлчилгээний талаар ярихад заримдаа цаг завсарлах хугацааг тохируулах шаардлагатай байдаг гэдгийг дурдах нь зүйтэй. Энэ тохиргоо нь танд гарцын нөөцийг ухаалгаар ашиглах боломжийг олгоно, ингэснээр их хэмжээний хугацаа шаардагдахгүй TCP/UDP протоколуудын сессүүдэд нэмэлт цаг зарцуулахгүй байх болно. Жишээлбэл, доорх дэлгэцийн агшинд би домэйн-udp үйлчилгээний хугацааг 40 секундээс 30 секунд болгон өөрчилсөн.
3.9. SecureXL ашигладаг уу, хурдасгах хувь хэд вэ?
Та гарц дээрх шинжээчийн горимын үндсэн командуудыг ашиглан SecureXL-ийн чанарыг шалгаж болно фвацел стат и fw хурдатгалын статистик -s. Дараа нь та ямар төрлийн урсгалыг хурдасгаж байгаа, өөр ямар загвар үүсгэж болохыг олж мэдэх хэрэгтэй.
Drop Templates нь анхдагчаар идэвхждэггүй; тэдгээрийг идэвхжүүлснээр SecureXL-д ашигтай болно. Үүнийг хийхийн тулд гарцын тохиргоо болон Оновчлолын таб руу очно уу.
Мөн CPU-г оновчтой болгохын тулд кластертай ажиллахдаа UDP DNS, ICMP болон бусад чухал бус үйлчилгээний синхрончлолыг идэвхгүй болгож болно. Үүнийг хийхийн тулд үйлчилгээний тохиргоо руу очно уу → Нарийвчилсан → Кластер дээр Төрийн синхрончлолын холболтыг синхрончлох.
Бүх шилдэг туршлагыг доор тайлбарласан болно .
3.10. CoreXl-ийг хэрхэн ашигладаг вэ?
Галт хана (галт ханын модулиуд)-д олон CPU ашиглах боломжийг олгодог CoreXL технологи нь төхөөрөмжийн ажиллагааг оновчтой болгоход тусалдаг нь гарцаагүй. Эхлээд баг fw ctl ойр дотно байдал -l -a ашигласан галт ханын тохиолдлууд болон SND-д хуваарилагдсан процессоруудыг харуулах болно (галт ханын нэгжүүдэд траффик түгээдэг модуль). Хэрэв бүх процессор ашиглагдаагүй бол тэдгээрийг тушаалаар нэмж болно cpconfig гарц дээр.
Бас сайхан өгүүллэг тавих хэрэгтэй Олон дарааллыг идэвхжүүлэх. SND-тэй процессор олон хувиар ашиглагдаж, бусад процессорууд дээрх галт ханын инстанцууд идэвхгүй байх үед Multi-Queue нь асуудлыг шийддэг. Дараа нь SND нь нэг NIC-д олон дараалал үүсгэж, цөмийн түвшинд өөр өөр траффикийн хувьд өөр өөр тэргүүлэх чиглэлүүдийг тогтоох чадвартай байх болно. Тиймээс CPU-ийн цөмийг илүү ухаалаг ашиглах болно. Аргуудыг мөн хэсэгт тайлбарласан болно .
Эцэст нь хэлэхэд эдгээр нь Шалгах цэгийг оновчтой болгох шилдэг туршлага биш боловч хамгийн алдартай нь гэдгийг хэлмээр байна. Хэрэв та өөрийн аюулгүй байдлын бодлогод аудит захиалах эсвэл Check Point-тэй холбоотой асуудлыг шийдвэрлэхийг хүсвэл холбогдоно уу [имэйлээр хамгаалагдсан].
Таны анхаарлын төвд баярлалаа!
Эх сурвалж: www.habr.com