Lumela basebetsi-'moho! Kajeno ke rata ho bua ka sehlooho se bohlokoa haholo ho balaoli ba bangata ba Check Point, "CPU le RAM Optimization". Ke ntho e tloaelehileng hore heke le / kapa seva sa tsamaiso se je bongata ba lisebelisoa tsena ka mokhoa o sa lebelloang, 'me motho a ka rata ho utloisisa hore na "li lutla" hokae,' me, haeba ho khoneha, a li sebelise ka mokhoa o nepahetseng haholoanyane.
1. Tlhahlobo
Ho sekaseka mojaro oa processor, ho bohlokoa ho sebelisa litaelo tse latelang, tse kentsoeng ka mokhoa oa litsebi:
tlhōrōng e bonts'a lits'ebetso tsohle, palo ea lisebelisoa tsa CPU le RAM tse jeoang ka liperesente, ho feta nako, ts'ebetso e tlang pele le ka nako ea sebeleи
cpwd_admin lenane Sheba Point WatchDog Daemon, e bonts'ang li-module tsohle tsa appline, PID ea tsona, boemo le palo ea ho matha.
cpstat -f cpu os Tšebeliso ea CPU, palo ea bona le kabo ea nako ea processor ka liperesente
cpstat -f memori os ts'ebeliso ea RAM ea sebele, e sebetsa hakae, RAM ea mahala le tse ling
Polelo e nepahetseng ke hore litaelo tsohle tsa cpstat li ka bonoa ho sebelisoa sesebelisoa cpview. Ho etsa sena, o hloka feela ho kenya taelo ea cpview ho tsoa ho mokhoa ofe kapa ofe nakong ea SSH.
ps uxwf lethathamo le lelelele la lits'ebetso tsohle, ID ea bona, mohopolo o tšoaretsoeng le memori ho RAM, CPU
Phapang e 'ngoe ea taelo:
ps-aF bonts'a ts'ebetso e theko e boima ka ho fetisisa
fw ctl kamano -l -a kabo ea li-cores bakeng sa maemo a fapaneng a firewall, ke hore, theknoloji ea CoreXL
fw ctl pstat Tlhahlobo ea RAM le matšoao a akaretsang a likhokahano, li-cookies, NAT
mahala -m Sekhahla sa RAM
Sehlopha se lokeloa ke tlhokomelo e khethehileng. netsat le diphapano tsa yona. Ka mohlala, netstat -i e ka thusa ho rarolla bothata ba ho shebella li-clipboards. Paramethara, RX e lahlile lipakete (RX-DRP) tlhahiso ea taelo ena e atisa ho hola ka boeona ka lebaka la marotholi a seng molaong a protocol (IPv6, Bad / Li-tag tsa VLAN tse sa lebelloang, le tse ling). Leha ho le joalo, haeba marotholi a etsahala ka lebaka le leng, joale u lokela ho sebelisa sena ho qala ho batlisisa hore na ke hobane'ng ha sebopeho sena sa marang-rang se lahla lipakete. Ka ho tseba sesosa, ts'ebetso ea appline le eona e ka ntlafatsoa.
Haeba Monitoring blade e laetilwe, o ka sheba dipalo tsena ka ho hlaka ho SmartConsole ka ho tobetsa ntho e itseng ebe o kgetha Boitsebiso ba Sesebediswa & License.
Ha ho kgothaletswe ho etsa hore Monitoring blade e tsoele pele, empa ho ka khoneha bakeng sa letsatsi bakeng sa tlhahlobo.
Ho feta moo, o ka eketsa liparamente tse ling bakeng sa ho beha leihlo, e 'ngoe ea tsona e bohlokoa haholo - Bytes Throughput (appline bandwidth).
Haeba ho na le sistimi e 'ngoe ea ho beha leihlo, mohlala, mahala , e thehiloeng ho SNMP, e boetse e loketse ho khetholla mathata ana.
2. RAM "e lutla" ha nako e ntse e ea
Hangata ho hlaha potso ea hore ha nako e ntse e ea, heke kapa seva sa tsamaiso se qala ho ja RAM e eketsehileng. Ke batla ho u tiisetsa: ena ke pale e tloaelehileng bakeng sa litsamaiso tse kang Linux.
Ho sheba tlhahiso ea taelo mahala -m и cpstat -f memori os ho sesebelisoa ho tsoa ho mokhoa oa litsebi, o ka bala le ho sheba li-parameter tsohle tse amanang le RAM.
Ho ipapisitsoe le memori e teng hekeng hajoale Memori ea Mahala + Memori ea Buffers + Memori e bolokiloeng = + -1.5 GB, hangata.
Joalo ka ha CP e bolela, ha nako e ntse e feta, seva sa heke / taolo ea ntlafatsoa mme se sebelisa mohopolo o eketsehileng, ho fihlela ts'ebeliso ea 80%, 'me ea emisa. O ka reboot sesebediswa ebe pontshi tla reset. 1.5 GB ea RAM ea mahala e hlile e lekane bakeng sa heke ea ho etsa mesebetsi eohle, 'me ke ka seoelo botsamaisi bo fihlelang litekanyetso tse joalo.
Hape, tlhahiso ea litaelo tse boletsoeng e tla bontša hore na u na le bokae mohopolo o tlase (RAM sebakeng sa basebelisi) le mohopolo o phahameng (RAM sebakeng sa kernel) e sebelisitsoeng.
Mekhoa ea Kernel (ho kenyeletsoa le li-module tse sebetsang tse kang Check Point kernel modules) li sebelisa mohopolo o tlaase feela. Leha ho le joalo, lits'ebetso tsa mosebelisi li ka sebelisa memori e tlase le e phahameng. Ho feta moo, memori e tlase e batla e lekana le Kakaretso ea Memori.
U lokela ho tšoenyeha feela haeba ho na le liphoso ho li-log "li-module li qala bocha kapa lits'ebetso li bolaoa ho khutlisa mohopolo ka lebaka la OOM (Ka ntle ho mohopolo)". Ebe o lokela ho qala heke mme o ikopanye le ts'ehetso haeba reboot e sa thuse.
Tlhaloso e feletseng e ka fumanoa ho и .
3. Ho ntlafatsa
Ka tlase ke lipotso le likarabo mabapi le CPU le RAM optimization. U lokela ho li araba ka botšepehi ho uena 'me u mamele litlhahiso.
3.1. Na moralo o khethiloe ka nepo? Ho ne ho na le morero oa teko?
Leha ho na le boholo bo loketseng, marang-rang a ka hola feela, 'me sesebelisoa sena ha se khone ho sebetsana le mojaro. Khetho ea bobeli, haeba ho ne ho se na boholo bo joalo.
3.2. Na tlhahlobo ea HTTPS e lumelletsoe? Haeba ho joalo, na theknoloji e hlophisitsoe ho latela Mokhoa o Molemo ka ho Fetisisa?
Sheba haeba u moreki oa rona, kapa ho .
Taelo ea melao leanong la tlhahlobo ea HTTPS e bapala karolo e kholo ho ntlafatseng ho buloa ha libaka tsa HTTPS.
Melao e khothalelitsoeng:
- Melao ea Bypass e nang le mekhahlelo / li-URL
- hlahloba melao ka mekhahlelo / URLs
- Hlahloba melao bakeng sa lihlopha tse ling kaofela
Ka papiso le pholisi ea li-firewall, Check Point e batla papali ea pakete ho tloha holimo ho ea tlaase, kahoo melao ea ho feta e behiloe hantle ka holimo, kaha heke e ke ke ea senya lisebelisoa ho tsamaisa melao eohle haeba pakete ena e hloka ho tloloa.
3.3 Na ho sebelisoa lintho tse fapaneng tsa liaterese?
Lintho tse nang le liaterese tse ngata, tse kang marang-rang 192.168.0.0-192.168.5.0, li ja RAM ho feta lintho tse 5 tsa marang-rang. Ka kakaretso, ho nkoa e le mokhoa o motle oa ho hlakola lintho tse sa sebelisoeng ho SmartConsole, kaha nako le nako ha pholisi e behoa, li-server tsa heke le tsamaiso li sebelisa lisebelisoa 'me, haholo-holo, nako ea ho netefatsa le ho sebelisa pholisi.
3.4. Leano la Thibelo ea Tšokelo le hlophisoa joang?
Pele ho tsohle, Check Point e khothaletsa ho tsamaisa IPS ho profil e arohaneng le ho theha melao e arohaneng bakeng sa lehare lena.
Ka mohlala, molaoli o nahana hore karolo ea DMZ e lokela ho sireletsoa feela ka IPS. Ka hona, e le hore heke e se ke ea senya lisebelisoa ho sebetsana le lipakete ka li-blades tse ling, ho hlokahala hore ho thehoe molao ka ho khetheha bakeng sa karolo ena e nang le profil eo IPS e leng eona feela e nolofalitsoeng.
Mabapi le ho theha li-profiles, ho kgothaletswa ho e beha ho latela mekhoa e metle ho sena ( leqepheng la 17-20 ).
3.5. Ke li-signature tse kae ho "Detect mode" ho litlhophiso tsa IPS?
Ho kgothaletswa ho sebetsa ka thata ho saena ka kutloisiso ea hore li-signature tse sa sebelisoang li lokela ho holofala (mohlala, li-signature bakeng sa ts'ebetso ea lihlahisoa tsa Adobe li hloka matla a mangata a komporo, 'me haeba moreki a se na lihlahisoa tse joalo, hoa utloahala ho tima. tshaeno). Ebe u beha Thibela sebakeng sa Detect moo ho khonehang, hobane heke e sebelisa lisebelisoa ho sebetsana le khokahanyo eohle ka mokhoa oa Detect, ka mokhoa oa Thibela hang-hang e theola khokahanyo 'me ha e senye lisebelisoa ts'ebetsong e feletseng ea pakete.
3.6. Ke lifaele life tse sebetsoang ke Threat Emulation, Threat Extraction, Anti-Virus blades?
Ha ho utloahale ho etsisa le ho sekaseka lifaele tsa katoloso tseo basebelisi ba hau ba sa li jarolleng kapa u li nka li sa hlokahale ho netweke ea hau (mohlala, lifaele tsa bat, exe li ka thijoa habonolo ho sebelisoa lehare la Tlhokomeliso ea Likahare boemong ba firewall, kahoo lisebelisoa tsa heke li tla ba teng. sebedisitsoe hanyane). Ho feta moo, ho Litlhophiso tsa Threat Emulation, u ka khetha Tikoloho (sistimi ea ts'ebetso) ho etsisa litšokelo ka lebokoseng la lehlabathe le ho kenya Tikoloho Windows 7 ha basebelisi bohle ba sebetsa le mofuta oa 10, le eona ha e utloahale.
3.7. Na melao ea firewall le Application layer e behiloe ho latela mekhoa e metle?
Haeba molao o na le li-hits tse ngata (litšoantšo), joale ho kgothaletswa ho li beha ka holimo haholo, le melao e nang le palo e nyenyane ea ho otla - ka tlaase haholo. Ntho e ka sehloohong ke ho etsa bonnete ba hore ha li kopane ebile ha li kopane. Meaho e khothalelitsoeng ea leano la li-firewall:
Litlhaloso:
Melao ea Pele - melao e nang le lipapali tse ngata e behiloe mona
Noise Rule - molao oa ho theola sephethe-phethe se fosahetseng joalo ka NetBIOS
Stealth Rule - thibelo ea ho kena menyakong le taolong ho bohle, ntle le mehloli e boletsoeng ho Netefatso ea Melao ea Gateway
Melao ea ho Hloekisa, ea ho Qetela le ea ho Lahlela hangata e kopanngoa hore e be molao o le mong ho thibela ntho e 'ngoe le e 'ngoe e neng e sa lumelloe pele.
Lintlha tsa mekhoa e metle li hlalositsoe ho .
3.8. Litlhophiso tsa lits'ebeletso tse entsoeng ke batsamaisi ke life?
Ka mohlala, ts'ebeletso e 'ngoe ea TCP e ntse e etsoa boema-kepe bo itseng,' me hoa utloahala ho hlakola "Match for Any" ho Litlhophiso tse Tsoetseng Pele tsa ts'ebeletso. Tabeng ena, tšebeletso ena e tla oela ka ho khetheha tlas'a molao oo e hlahang ho oona, 'me e ke ke ea kenya letsoho melaong eo Leha e le efe e ka har'a kholomo ea Litšebeletso.
Ha re bua ka lits'ebeletso, ho bohlokoa ho bolela hore ka linako tse ling hoa hlokahala ho fokotsa nako. Tlhophiso ena e tla u lumella ho sebelisa lisebelisoa tsa heke ka bohlale ho feta, e le hore u se ke ua boloka nako e eketsehileng ea kopano ea TCP / UDP bakeng sa liprothokholo tse sa hlokeng nako e ngata. Mohlala, skrineng se ka tlase, ke fetotse nako ea ho qeta tšebeletso ea domain-udp ho tloha ho metsotsoana e 40 ho isa ho metsotsoana e 30.
3.9. Na SecureXL e sebelisoa mme peresente ea ho potlakisa ke efe?
U ka hlahloba boleng ba SecureXL ka litaelo tse ka sehloohong ka mokhoa oa litsebi hekeng palo ea fwaccel и fw accelstats -s. Ka mor'a moo, u lokela ho fumana hore na ke mofuta ofe oa sephethephethe o potlakisang, ke li-template life (li-templates) tseo u ka li etsang ho feta.
Ka nako e sa lekanyetsoang, Drop Templates ha e khonehe, ho ba nolofalletsa ho tla ba le phello e ntle ts'ebetsong ea SecureXL. Ho etsa sena, ea ho litlhophiso tsa heke le tab ea Optimizations:
Hape, ha o sebetsa le sehlopha, ho ntlafatsa CPU, o ka tima khokahano ea lits'ebeletso tse seng tsa bohlokoa, joalo ka UDP DNS, ICMP, le tse ling. Ho etsa sena, ea ho litlhophiso tsa lits'ebeletso → E tsoetseng pele → Amahanya likhokahano tsa Kamahanyo ea Naha e lumelletsoe sehlopheng.
Mekhoa eohle e Molemo ka ho Fetisisa e hlalositsoe ho .
3.10. CoreXl e sebelisoa joang?
Theknoloji ea CoreXL, e u lumellang hore u sebelise li-CPU tse ngata bakeng sa liketsahalo tsa firewall (firewall modules), ka sebele e thusa ho ntlafatsa tshebetso ea lisebelisoa. Sehlopha pele fw ctl kamano -l -a e tla bontša liketsahalo tsa li-firewall tse sebelisitsoeng le li-processor tse fanoeng ho SND e hlokahalang (mojule o tsamaisang sephethephethe ho mekhatlo ea li-firewall). Haeba e se li-processor tsohle tse amehang, li ka eketsoa ka taelo cpconfig hekeng.
Hape pale e monate ke ho beha ho nolofalletsa Multi-Queue. Multi-Queue e rarolla bothata ha processor e nang le SND e sebelisoa ke liperesente tse ngata, 'me liketsahalo tsa firewall ho li-processor tse ling li sa sebetse. Ebe SND e tla khona ho theha mela e mengata bakeng sa NIC e le 'ngoe le ho beha lintho tse tlang pele tse fapaneng bakeng sa sephethephethe se fapaneng boemong ba kernel. Ka lebaka leo, li-cores tsa CPU li tla sebelisoa ka bohlale ho feta. Mekhoa e boetse e hlalosoa ho .
Qetellong, ke rata ho bolela hore tsena li hole le Mekhoa eohle e Molemohali ea ho ntlafatsa Check Point, empa e tsebahalang haholo. Haeba u ka rata ho kopa tlhahlobo ea pholisi ea ts'ireletso ea hau kapa ho rarolla bothata ba Check Point, ka kopo ikopanye [imeile e sirelelitsoe].
Kea le leboha ka tlhokomelo ea hau!
Source: www.habr.com