Halo kolega! Dinten Abdi hoyong ngabahas topik pisan relevan pikeun loba pangurus Check Point, "CPU jeung RAM Optimasi". Teu ilahar pikeun gateway na / atawa server manajemén a meakeun disangka loba sumber ieu, sarta salah sahiji anu hoyong ngartos dimana aranjeunna "bocor" na, lamun mungkin, make eta leuwih neuleu.
1. Analisis
Pikeun nganalisis beban prosesor, gunana nganggo paréntah di handap ieu, anu diasupkeun dina modeu ahli:
puncak nembongkeun sagala prosés, jumlah CPU jeung RAM sumberdaya dihakan dina persen, uptime, prioritas prosés jeung sacara real waktosи
cpwd_admin daptar Pariksa Point WatchDog Daemon, anu nunjukkeun sadaya modul aplikasi, PID, status, sareng jumlah jalanna
cpstat -f cpu os pamakéan CPU, jumlah maranéhanana sarta sebaran waktu processor dina persen
cpstat -f mémori os pamakéan RAM virtual, sabaraha aktip, bebas RAM tur leuwih
Catetan anu leres nyaéta sadaya paréntah cpstat tiasa ditingali nganggo utilitas cpview. Jang ngalampahkeun ieu, anjeun ngan ukur kedah ngalebetkeun paréntah cpview tina mode naon waé dina sési SSH.
ps aux daptar panjang sadaya prosés, ID maranéhna, nempatan memori maya jeung memori dina RAM, CPU
variasi séjén paréntah:
ps-aF némbongkeun prosés paling mahal
fw ctl pangirut -l -a distribusi cores pikeun instansi béda tina firewall, nyaeta, téhnologi CoreXL
fw ctl pstat Analisis RAM sareng indikator umum sambungan, cookies, NAT
bebas -m panyangga RAM
Tim pantes perhatian husus. netsat jeung variasi na. Salaku conto, netstat -i bisa mantuan ngajawab masalah ngawas clipboards. Parameterna, RX dropped packets (RX-DRP) dina kaluaran paréntah ieu condong tumuwuh ku sorangan alatan turunna protokol anu teu sah (IPv6, Bad / Unintended VLAN tags, jeung sajabana). Nanging, upami tetes kajantenan kusabab alesan anu sanés, maka anjeun kedah nganggo ieu pikeun ngamimitian nalungtik naha panganteur jaringan ieu muterna pakét. Nyaho sababna, operasi appline ogé tiasa dioptimalkeun.
Upami sabeulah Monitor diaktipkeun, anjeun tiasa ningali métrik ieu sacara grafis dina SmartConsole ku ngaklik hiji obyék sareng milih Inpormasi Alat & Lisensi.
Ieu henteu dianjurkeun pikeun ngaktipkeun sabeulah Monitor on hiji basis lumangsung, tapi éta rada mungkin pikeun sapoé pikeun test a.
Sumawona, anjeun tiasa nambihan langkung seueur parameter pikeun ngawaskeun, salah sahijina mangpaat pisan - Bytes Throughput (bandwidth appline).
Upami aya sababaraha sistem ngawaskeun anu sanés, contona, gratis , anu dumasar kana SNMP, éta ogé cocog pikeun ngaidentipikasi masalah ieu.
2. RAM "bocor" kana waktu
Sering timbul patarosan yén kana waktosna, gateway atanapi server manajemén mimitian nganggo langkung seueur RAM. Abdi hoyong ngayakinkeun anjeun: ieu mangrupikeun carita normal pikeun sistem sapertos Linux.
Ningali kaluaran paréntah bebas -m и cpstat -f mémori os dina appline tina modeu ahli, anjeun tiasa ngitung sareng ningali sadaya parameter anu aya hubunganana sareng RAM.
Dumasar memori sadia on gateway di momen Memori Gratis + Mémori panyangga + Mémori Cache = +-1.5 GB, biasana.
Salaku CP nyebutkeun, kana waktu gateway / server manajemén meunang dioptimalkeun sarta ngagunakeun beuki loba memori, nepi ka ngeunaan 80% pamakéan, sarta eureun. Anjeun tiasa reboot alat lajeng indikator bakal ngareset. 1.5 GB RAM bébas pasti cukup pikeun gateway nedunan sagala tugas, sarta manajemén jarang ngahontal nilai bangbarung misalna.
Ogé, kaluaran paréntah anu disebatkeun bakal nunjukkeun sabaraha anu anjeun gaduh memori low (RAM dina spasi pamaké) jeung memori luhur (RAM dina spasi kernel) dipaké.
Prosés kernel (kaasup modul aktip kayaning modul kernel Check Point) ngan ngagunakeun memori Low. Nanging, prosés pangguna tiasa nganggo mémori Lemah sareng Luhur. Leuwih ti éta, memori Low kira sarua jeung Total Mémori.
Anjeun ngan kedah hariwang upami aya kasalahan dina log "Modul reboot atanapi prosés dibunuh pikeun ngarebut deui mémori kusabab OOM (Kaluar tina mémori)". Teras anjeun kedah reboot gateway sareng ngahubungi dukungan upami reboot henteu ngabantosan.
Katerangan lengkep tiasa dipendakan dina и .
3. Optimasi
Di handap ieu patarosan sareng waleran ngeunaan optimasi CPU sareng RAM. Anjeun kedah ngajawab aranjeunna jujur ka diri anjeun sareng ngadangukeun saran.
3.1. Naha upline dipilih leres? Naha aya pilot project?
Sanajan ukuran kompeten, jaringan saukur bisa tumuwuh, sarta alat-alat ieu saukur teu bisa Cope jeung beban. Pilihan kadua, upami teu aya ukuran sapertos kitu.
3.2. Naha pamariksaan HTTPS diaktipkeun? Upami kitu, naha téknologi dikonpigurasikeun dumasar kana Praktek Pangalusna?
ngarujuk kana lamun anjeun klien kami, atawa ka .
Urutan aturan dina kawijakan inspeksi HTTPS muterkeun hiji peran badag dina optimizing bubuka situs HTTPS.
Urutan aturan anu disarankeun:
- Aturan bypass sareng kategori/URL
- mariksa aturan jeung kategori / URL
- Mariksa aturan pikeun sakabéh kategori séjén
Ku analogi jeung kawijakan firewall, Check Point néangan hiji patandingan pakét ti luhur ka handap, jadi aturan bypass anu pangalusna ditempatkeun di luhur, saprak gateway moal runtah sumberdaya dina ngajalankeun ngaliwatan sagala aturan lamun pakét ieu perlu skipped.
3.3 Dupi obyék rentang-alamat dipaké?
Objék kalawan sauntuyan alamat, kayaning jaringan 192.168.0.0-192.168.5.0, meakeun RAM nyata leuwih ti 5 objék jaringan. Sacara umum, dianggap prakték anu saé pikeun mupus objék anu henteu dianggo dina SmartConsole, sabab unggal waktos kawijakan diatur, gateway sareng server manajemén nyéépkeun sumber daya sareng, anu paling penting, waktos pikeun pariksa sareng nerapkeun kawijakan.
3.4. Kumaha kawijakan Pencegahan Ancaman dikonpigurasi?
Anu mimiti, Check Point nyarankeun mindahkeun IPS ka profil anu misah sareng nyiptakeun aturan anu misah pikeun sabeulah ieu.
Salaku conto, kuncén mikir yén bagéan DMZ ngan ukur ditangtayungan ku IPS. Kukituna, supados gateway henteu miceunan sumber daya dina ngolah pakét ku wilah anu sanés, peryogi nyiptakeun aturan khusus pikeun bagean ieu kalayan profil anu ngan ukur IPS diaktipkeun.
Ngeunaan nyetel profil, disarankeun pikeun nyetél éta dumasar kana prakték anu pangsaéna dina ieu (kaca 17-20).
3.5. Sabaraha tanda tangan dina modeu Deteksi dina setélan IPS?
Disarankeun pikeun kerja keras dina tanda tangan dina harti yén tanda tangan anu henteu dianggo kedah ditumpurkeun (contona, tanda tangan pikeun operasi produk Adobe ngabutuhkeun kakuatan komputasi anu ageung, sareng upami palanggan henteu gaduh produk sapertos kitu, masuk akal pikeun nganonaktipkeun tanda tangan). Lajeng nempatkeun Nyegah tinimbang ngadeteksi mana mungkin, sabab gateway nu spends sumberdaya pikeun ngolah sakabéh sambungan dina modeu Detect, dina modeu Nyegah eta geuwat pakait sambungan na teu runtah sumberdaya dina ngolah pinuh ku pakét.
3.6. File naon anu diolah ku Threat Emulation, Threat Extraction, Wilah Anti-Virus?
Teu aya akal pikeun niru sareng nganalisa file ekstensi anu henteu diunduh ku pangguna atanapi anu anjeun anggap teu perlu dina jaringan anjeun (contona, file bat, exe tiasa gampang diblokir nganggo sabeulah Kasadaran Kandungan dina tingkat firewall, ku kituna sumber daya gateway bakal aya. spent kirang). Leuwih ti éta, dina setélan Emulation Ancaman, Anjeun bisa milih Lingkungan (sistem operasi) pikeun emulate ancaman dina sandbox tur masang Lingkungan Windows 7 lamun sakabeh pamaké nu gawé bareng versi 10th, éta ogé teu asup akal.
3.7. Naha firewall sareng aturan lapisan Aplikasi disimpen dumasar kana prakték pangsaéna?
Lamun aturan ngabogaan loba hits (cocok), mangka dianjurkeun pikeun nempatkeun aranjeunna dina pisan luhur, sarta aturan kalawan jumlah leutik hits - di handap pisan. Hal utama nyaéta pikeun mastikeun yén aranjeunna henteu motong sareng henteu tumpang tindih. Arsitéktur kawijakan firewall anu disarankeun:
Katerangan:
Aturan munggaran - aturan anu paling cocog disimpen di dieu
Aturan Noise - aturan pikeun ngeureunkeun lalu lintas palsu sapertos NetBIOS
Aturan Siluman - larangan aksés ka gateway sareng manajemén ka sadayana, iwal ti sumber-sumber anu dinyatakeun dina Aturan Auténtikasi kana Gateway
Aturan Bersih-Up, Panungtungan sareng Serelek biasana digabungkeun kana hiji aturan pikeun ngalarang sadayana anu henteu diidinan sateuacanna
Data prakték pangsaéna dijelaskeun dina .
3.8. Naon setélan pikeun jasa anu didamel ku pangurus?
Contona, sababaraha layanan TCP keur dijieun dina port husus, sarta asup akal mun pupus centang "Cocok pikeun Sakur" dina setélan Advanced sahiji layanan. Dina hal ieu, jasa ieu bakal digolongkeun husus dina aturan nu nembongan, sarta moal ilubiung dina aturan mana wae aya dina kolom Layanan.
Nyarioskeun jasa, éta kedah disebatkeun yén kadang-kadang perlu ngarobih waktosna. Setelan ieu bakal ngidinan Anjeun pikeun ngagunakeun sumber gateway leuwih intelligently, ku kituna teu nyimpen TCP / UDP tambahan waktu sési pikeun protokol nu teu merlukeun waktu kaluar badag. Contona, dina screenshot handap, abdi ngarobah domain-udp service timeout tina 40 detik ka 30 detik.
3.9. Naha SecureXL dianggo sareng sabaraha persentase akselerasi?
Anjeun tiasa pariksa kualitas SecureXL kalawan paréntah utama dina modeu ahli dina gateway nu fwaccel stat и fw accelstats -s. Salajengna, anjeun kedah terang naon jinis lalu lintas anu ngagancangkeun, naon témplat (témplat) anjeun tiasa nyiptakeun langkung seueur.
Sacara standar, Drop Templates teu diaktipkeun, sangkan aranjeunna bakal boga pangaruh positif kana operasi SecureXL. Jang ngalampahkeun ieu, buka setélan gateway jeung tab Optimizations:
Ogé, nalika damel sareng klaster, pikeun ngaoptimalkeun CPU, anjeun tiasa nganonaktipkeun sinkronisasi jasa non-kritis, sapertos UDP DNS, ICMP, sareng anu sanésna. Jang ngalampahkeun ieu, buka setélan jasa → Advanced → Singkronkeun sambungan tina Sinkronisasi Propinsi diaktipkeun dina kluster.
Sadaya Praktek Pangalusna dijelaskeun dina .
3.10. Kumaha ngagunakeun CoreXl?
téhnologi CoreXL, nu ngidinan Anjeun pikeun make sababaraha CPUs pikeun instansi firewall (modul firewall), pasti mantuan pikeun ngaoptimalkeun kinerja alat. Tim kahiji fw ctl pangirut -l -a bakal nembongkeun instansi firewall dipaké sarta prosesor dibikeun ka SND diperlukeun (modul nu distributes lalulintas keur entitas firewall). Mun teu kabeh prosesor aub, aranjeunna bisa ditambahkeun jeung paréntah cpconfig di gateway.
Ogé carita alus nyaeta nempatkeun pikeun ngaktipkeun Multi-Antrian. Multi-Antrian solves masalah nalika processor kalawan SND dipaké ku loba persen, sarta instansi firewall on prosesor séjén dianggurkeun. Lajeng SND bakal bisa nyieun loba antrian pikeun hiji NIC tur nyetel prioritas béda pikeun lalulintas béda dina tingkat kernel. Akibatna, inti CPU bakal dianggo langkung cerdas. Métode ogé dijelaskeun dina .
Dina kacindekan, Abdi hoyong disebutkeun yen ieu tebih ti sagala Praktek Best pikeun optimizing Check Point, tapi nu pang populerna. Upami anjeun hoyong nyuhunkeun audit kabijakan kaamanan anjeun atanapi ngabéréskeun masalah Check Point, mangga ngahubungi [email dijaga].
Hatur nuhun kanggo nengetan!
sumber: www.habr.com