Hello kollegi! Illum nixtieq niddiskuti suġġett rilevanti ħafna għal ħafna amministraturi ta' Check Point: "Ottimizzazzjoni tas-CPU u r-RAM." Ħafna drabi jkun hemm każijiet meta l-gateway u/jew is-server tal-ġestjoni jikkonsma b'mod mhux mistenni ħafna minn dawn ir-riżorsi, u nixtieq nifhem fejn "jiċċirkolaw" u, jekk possibbli, nużahom b'mod aktar intelliġenti.
1. Analiżi
Biex tanalizza t-tagħbija tal-proċessur, huwa utli li tuża l-kmandi li ġejjin, li jiddaħħlu fil-modalità espert:
quċċata juri l-proċessi kollha, l-ammont ta 'riżorsi CPU u RAM ikkunsmati bħala perċentwali, uptime, prijorità tal-proċess u fil-ħin realiи
lista cpwd_admin Check Point WatchDog Daemon, li juri l-moduli tal-applikazzjoni kollha, il-PID tagħhom, l-istatus u n-numru tal-bidu
cpstat -f cpu os L-użu tas-CPU, in-numru tagħhom u d-distribuzzjoni tal-ħin tal-proċessur bħala persentaġġ
cpstat -f memorja os użu virtwali RAM, kemm RAM attiva, ħielsa u aktar
Ir-rimarka t-tajba hija li l-kmandi kollha cpstat jistgħu jitqiesu bl-użu tal-utilità cpview. Biex tagħmel dan, għandek bżonn biss li tidħol fil-kmand cpview minn kwalunkwe modalità fis-sessjoni SSH.
ps auxwf lista twila tal-proċessi kollha, l-ID tagħhom, memorja virtwali okkupata u memorja fir-RAM, CPU
Varjazzjonijiet oħra fil-kmand:
ps-aF se juri l-aktar proċess għali
fw ctl affinità -l -a distribuzzjoni ta 'qlub għal każijiet differenti tal-firewall, jiġifieri, teknoloġija CoreXL
fw ctl pstat Analiżi RAM u indikaturi ġenerali tal-konnessjoni, cookies, NAT
b'xejn -m buffer RAM
It-tim jistħoqqlu attenzjoni speċjali netsat u l-varjazzjonijiet tagħha. Pereżempju, netstat -i jista 'jgħin biex issolvi l-problema ta' monitoraġġ clipboards. Il-parametru, RX niżel pakketti (RX-DRP) fl-output ta 'dan il-kmand, bħala regola, jikber waħdu minħabba qtar ta' protokolli illeġittimi (IPv6, Tikketti VLAN Ħażin / Mhux Intenzjonati u oħrajn). Madankollu, jekk il-qtar iseħħ għal raġuni oħra, allura għandek tuża dan biex tibda tinvestiga u tifhem għaliex interface tan-netwerk partikolari qed twaqqa' pakketti. Wara li tkun taf ir-raġuni, it-tħaddim tal-app jista 'jiġi ottimizzat ukoll.
Jekk ix-xafra tal-Monitoraġġ hija attivata, tista’ tara dawn il-metriċi b’mod grafiku fi SmartConsole billi tikklikkja fuq l-oġġett u tagħżel “Informazzjoni dwar l-Apparat u l-Liċenzja”.
Mhux rakkomandat li tixgħel ix-xafra tal-Monitoraġġ fuq bażi permanenti, iżda għal ġurnata għall-ittestjar huwa pjuttost possibbli.
Barra minn hekk, tista 'żżid aktar parametri għall-monitoraġġ, wieħed minnhom huwa utli ħafna - Bytes Throughput (throughput tal-applikazzjoni).
Jekk hemm xi sistema oħra ta 'monitoraġġ, pereżempju, b'xejn , ibbażat fuq SNMP, huwa wkoll adattat għall-identifikazzjoni ta 'dawn il-problemi.
2. RAM tnixxi maż-żmien
Ħafna drabi tqum il-mistoqsija li maż-żmien, il-gateway jew is-server tal-ġestjoni jibda jikkunsma aktar u aktar RAM. Irrid nassigurakom: din hija storja normali għal sistemi bħal Linux.
Ħarsa lejn l-output tal-kmandi b'xejn -m и cpstat -f memorja os fuq l-app mill-modalità espert, tista 'tikkalkula u tara l-parametri kollha relatati mar-RAM.
Ibbażat fuq il-memorja disponibbli fuq il-portal fil-mument Memorja Ħielsa + Buffers Memorja + Memorja Cached = +-1.5 GB, normalment.
Kif jgħid CP, maż-żmien il-gateway/server ta 'ġestjoni jottimizza u juża aktar u aktar memorja, jilħaq madwar 80% utilizzazzjoni, u jieqaf. Tista 'reboot l-apparat, u mbagħad l-indikatur se jiġi reset. 1.5 GB ta 'RAM b'xejn huwa eżattament biżżejjed biex il-portal iwettaq il-kompiti kollha, u l-ġestjoni rarament tilħaq valuri ta' limitu bħal dawn.
Ukoll, l-outputs tal-kmandi msemmija se juru kemm għandek Memorja baxxa (RAM fl-ispazju tal-utent) u Memorja għolja (RAM fl-ispazju tal-kernel) użat.
Il-proċessi tal-kernel (inklużi moduli attivi bħalma huma l-moduli tal-kernel Check Point) jużaw biss memorja Baxxa. Madankollu, il-proċessi tal-utent jistgħu jużaw kemm memorja Baxxa kif ukoll Għolja. Barra minn hekk, il-memorja Baxxa hija bejn wieħed u ieħor ugwali għal Memorja Totali.
Għandek tinkwieta biss jekk ikun hemm żbalji fir-zkuk "Il-moduli jerġgħu jibdew jew il-proċessi jinqatlu biex jirkupraw il-memorja minħabba OOM (Out of memory)". Imbagħad għandek terġa 'tibda l-portal u tikkuntattja l-appoġġ jekk ir-reboot ma jgħinx.
Deskrizzjoni sħiħa tista 'tinstab fi и .
3. Ottimizzazzjoni
Hawn taħt hemm mistoqsijiet u tweġibiet dwar l-ottimizzazzjoni tas-CPU u r-RAM. Għandek twieġebhom onestament lilek innifsek u tisma 'r-rakkomandazzjonijiet.
3.1. L-applikazzjoni ġiet magħżula b'mod korrett? Kien hemm proġett pilota?
Minkejja d-daqs xieraq, in-netwerk jista 'sempliċement jikber, u dan it-tagħmir sempliċement ma jistax ilaħħaq mat-tagħbija. It-tieni għażla hija jekk ma kienx hemm daqs bħala tali.
3.2. L-ispezzjoni HTTPS hija attivata? Jekk iva, it-teknoloġija hija kkonfigurata skont l-Aħjar Prattika?
Irreferi għal , jekk inti klijent tagħna, jew biex .
L-ordni tar-regoli fil-politika ta 'spezzjoni HTTPS għandha rwol kbir fl-ottimizzazzjoni tal-ftuħ tas-siti HTTPS.
Ordni rakkomandat tar-regoli:
- Bypass regoli b'kategoriji/URLs
- Spezzjona r-regoli b'kategoriji/URLs
- Spezzjona r-regoli għall-kategoriji l-oħra kollha
B'analoġija mal-politika tal-firewall, Check Point ifittex taqbila b'pakketti minn fuq għal isfel, għalhekk huwa aħjar li tpoġġi r-regoli tal-bypass fil-quċċata, peress li l-portal mhux se jaħli riżorsi biex jaħdem permezz tar-regoli kollha jekk dan il-pakkett jeħtieġ. li jkun għadda.
3.3 Jintużaw oġġetti ta' firxa ta' indirizzi?
Oġġetti b'firxa ta 'indirizzi, pereżempju, in-netwerk 192.168.0.0-192.168.5.0, jieħdu RAM b'mod sinifikanti aktar minn 5 oġġetti tan-netwerk. B'mod ġenerali, hija kkunsidrata prattika tajba li jitneħħew oġġetti mhux użati fi SmartConsole, peress li kull darba li tiġi installata politika, il-gateway u s-server ta 'ġestjoni jonfqu riżorsi u, l-aktar importanti, ħin, jivverifikaw u japplikaw il-politika.
3.4. Kif hija kkonfigurata l-politika tal-Prevenzjoni tat-Theddid?
L-ewwelnett, Check Point jirrakkomanda li tpoġġi IPS fi profil separat u toħloq regoli separati għal din ix-xafra.
Pereżempju, amministratur jemmen li s-segment DMZ għandu jkun protett biss bl-użu tal-IPS. Għalhekk, biex tevita li l-portal jaħli riżorsi fuq l-ipproċessar ta 'pakketti minn xfafar oħra, huwa meħtieġ li tinħoloq regola speċifikament għal dan is-segment bi profil li fih l-IPS biss huwa attivat.
Rigward it-twaqqif tal-profili, huwa rakkomandat li titwaqqaf skont l-aħjar prattiki f'dan (paġni 17-20).
3.5. Fis-settings tal-IPS, kemm hemm firem fil-modalità Detect?
Huwa rakkomandat li tistudja bir-reqqa l-firem fis-sens li dawk mhux użati għandhom ikunu diżattivati (per eżempju, firem għat-tħaddim ta 'prodotti Adobe jeħtieġu ħafna qawwa tal-kompjuter, u jekk il-klijent ma jkollux prodotti bħal dawn, jagħmel sens li l-firem jiġu diżattivati). Sussegwentement, poġġi Prevent minflok Detect fejn possibbli, minħabba li l-gateway jonfoq riżorsi jipproċessa l-konnessjoni kollha fil-modalità Detect fil-mod Prevent, jarmi immedjatament il-konnessjoni u ma jaħlix ir-riżorsi fuq l-ipproċessar sħiħ tal-pakkett;
3.6. Liema fajls huma pproċessati mill-Emulazzjoni tat-Theddida, l-Estrazzjoni tat-Theddida, xfafar Anti-Virus?
Ma jagħmilx sens li timita u tanalizza fajls ta' estensjonijiet li l-utenti tiegħek ma jniżżlux, jew li tqis li mhumiex meħtieġa fuq in-netwerk tiegħek (pereżempju, fajls bat, exe jistgħu jiġu mblukkati faċilment bl-użu tax-xafra tal-Għarfien tal-Kontenut fil-livell tal-firewall, għalhekk inqas gateway riżorsi se jintefqu). Barra minn hekk, fis-settings tal-Emulazzjoni tat-Theddida tista 'tagħżel Ambjent (sistema operattiva) biex timita theddid fil-kaxxa tar-ramel u l-installazzjoni tal-Ambjent Windows 7 meta l-utenti kollha qed jaħdmu bil-verżjoni 10 lanqas ma tagħmilx sens.
3.7. Ir-regoli tal-firewall u tal-livell tal-Applikazzjoni huma rranġati skont l-aħjar prattika?
Jekk regola għandha ħafna hits (logħbiet), allura huwa rrakkomandat li tpoġġihom fil-quċċata, u regoli b'numru żgħir ta 'hits - fil-qiegħ nett. Il-ħaġa prinċipali hija li tiżgura li ma jaqsmux jew jikkoinċidu lil xulxin. Arkitettura tal-politika tal-firewall rakkomandata:
Spjegazzjoni:
L-Ewwel Regoli - regoli bl-akbar numru ta' logħbiet jitqiegħdu hawn
Regola tal-Istorbju - regola għar-rimi tat-traffiku falz bħal NetBIOS
Stealth Rule - tipprojbixxi sejħiet għal gateways u ġestjoni lil kulħadd ħlief dawk is-sorsi li kienu speċifikati fir-Regoli tal-Awtentikazzjoni għal Gateway
It-tindif, l-aħħar u r-regoli tat-twaqqigħ huma ġeneralment magħquda f'regola waħda biex jipprojbixxu dak kollu li ma kienx permess qabel
Id-dejta tal-aħjar prattika hija deskritta fi .
3.8. X'settings għandhom is-servizzi maħluqa mill-amministraturi?
Pereżempju, xi servizz TCP jinħoloq fuq port speċifiku, u jagħmel sens li tneħħi l-marka "Taqbila għal Kwalunkwe" fis-settings Avvanzati tas-servizz. F'dan il-każ, dan is-servizz jaqa' speċifikament taħt ir-regola li jidher fiha, u mhux se jipparteċipa fir-regoli fejn Kwalunkwe huwa elenkat fil-kolonna Servizzi.
Meta wieħed jitkellem dwar is-servizzi, ta 'min isemmi li xi drabi huwa meħtieġ li jiġu aġġustati l-timeouts. Dan l-issettjar jippermettilek tuża r-riżorsi tal-gateway b'mod għaqli, sabiex ma żżommx ħin żejjed għal sessjonijiet TCP/UDP ta 'protokolli li m'għandhomx bżonn timeout kbir. Pereżempju, fil-screenshot ta 'hawn taħt, biddilt il-timeout tas-servizz tad-domain-udp minn 40 sekonda għal 30 sekonda.
3.9. Jintuża SecureXL u x'inhu l-persentaġġ ta' speedup?
Tista 'tiċċekkja l-kwalità ta' SecureXL billi tuża kmandi bażiċi fil-modalità espert fuq il-portal fwaccel stat и fw accel stats -s. Sussegwentement, trid tifhem x'tip ta 'traffiku qed jiġi aċċellerat, u liema mudelli oħra jistgħu jinħolqu.
Drop Templates mhumiex attivati awtomatikament jekk dawn ikunu ta' benefiċċju għal SecureXL. Biex tagħmel dan, mur fis-settings tal-gateway u fit-tab Ottimizzazzjoni:
Ukoll, meta taħdem ma 'cluster biex tottimizza s-CPU, tista' tiddiżattiva s-sinkronizzazzjoni ta 'servizzi mhux kritiċi, bħal UDP DNS, ICMP u oħrajn. Biex tagħmel dan, mur fis-settings tas-servizz → Avvanzata → Sinkronizza konnessjonijiet ta 'Sinkronizzazzjoni tal-Istat hija attivata fuq il-cluster.
L-Aħjar Prattiki kollha huma deskritti fi .
3.10. Kif jintuża CoreXl?
It-teknoloġija CoreXL, li tippermetti l-użu ta’ CPUs multipli għal istanzi tal-firewall (moduli tal-firewall), żgur li tgħin biex tottimizza l-operat tal-apparat. Tim l-ewwel fw ctl affinità -l -a se juri l-istanzi tal-firewall użati u l-proċessuri assenjati lill-SND (modulu li jqassam it-traffiku lill-entitajiet tal-firewall). Jekk mhux il-proċessuri kollha jintużaw, jistgħu jiġu miżjuda mal-kmand cpconfig fil-portal.
Ukoll storja tajba hija li tpoġġi biex tippermetti Multi-Queue. Multi-Queue issolvi l-problema meta l-proċessur b'SND jintuża f'ħafna fil-mija, u l-istanzi tal-firewall fuq proċessuri oħra huma inattivi. Imbagħad SND ikollu l-abbiltà li joħloq ħafna kjuwijiet għal NIC wieħed u jistabbilixxi prijoritajiet differenti għal traffiku differenti fil-livell tal-kernel. Konsegwentement, CPU cores se jintużaw b'mod aktar intelliġenti. Il-metodi huma deskritti wkoll fi .
Bħala konklużjoni, nixtieq ngħid li dawn mhumiex kollha l-Aħjar Prattiki għall-ottimizzazzjoni tal-Punt ta 'Check, iżda huma l-aktar popolari. Jekk tixtieq tordna verifika tal-politika tas-sigurtà tiegħek jew issolvi problema relatata ma' Check Point, jekk jogħġbok ikkuntattja [protett bl-email].
Grazzi tal-attenzjoni tiegħek!
Sors: www.habr.com