Habari wenzangu! Leo ningependa kujadili mada inayofaa sana kwa wasimamizi wengi wa Check Point: "Kuboresha CPU na RAM." Mara nyingi kuna matukio wakati lango na / au seva ya usimamizi hutumia rasilimali hizi bila kutarajia, na ningependa kuelewa wapi "zinapita" na, ikiwa inawezekana, kuzitumia kwa akili zaidi.
1. Uchambuzi
Ili kuchambua mzigo wa processor, ni muhimu kutumia amri zifuatazo, ambazo zimeingizwa kwa hali ya mtaalam:
juu inaonyesha michakato yote, kiasi cha rasilimali za CPU na RAM zinazotumiwa kama asilimia, wakati wa ziada, kipaumbele cha mchakato na kwa wakati halisiΠΈ
cpwd_orodha ya msimamizi Angalia Point WatchDog Daemon, ambayo inaonyesha moduli zote za programu, PID yao, hali na idadi ya kuanza
cpstat -f cpu os Matumizi ya CPU, idadi yao na usambazaji wa wakati wa kichakataji kama asilimia
cpstat -f kumbukumbu os matumizi pepe ya RAM, ni kiasi gani kinachotumika, RAM isiyolipishwa na zaidi
Maoni sahihi ni kwamba amri zote za cpstat zinaweza kutazamwa kwa kutumia matumizi cpview. Ili kufanya hivyo, unahitaji tu kuingiza amri ya cpview kutoka kwa hali yoyote katika kikao cha SSH.
ps auxwf orodha ndefu ya michakato yote, kitambulisho chao, kumbukumbu halisi na kumbukumbu katika RAM, CPU
Tofauti zingine za amri:
ps-aF itaonyesha mchakato wa gharama kubwa zaidi
fw ctl mshikamano -l -a usambazaji wa cores kwa matukio tofauti ya firewall, yaani, teknolojia ya CoreXL
fw ctl pstat Uchambuzi wa RAM na viashiria vya uunganisho wa jumla, vidakuzi, NAT
bure -m Bafa ya RAM
Timu inastahili umakini maalum mtandao na tofauti zake. Kwa mfano, netstat -i inaweza kusaidia kutatua tatizo la ufuatiliaji clipboards. Parameta, RX imeshuka pakiti (RX-DRP) katika matokeo ya amri hii, kama sheria, inakua yenyewe kwa sababu ya matone ya itifaki zisizo halali (IPv6, vitambulisho vya VLAN vibaya / visivyotarajiwa na wengine). Hata hivyo, ikiwa matone hutokea kwa sababu nyingine, basi unapaswa kutumia hii kuanza kuchunguza na kuelewa kwa nini kiolesura fulani cha mtandao kinadondosha pakiti. Baada ya kujua sababu, uendeshaji wa programu pia unaweza kuboreshwa.
Upeo wa Ufuatiliaji ukiwashwa, unaweza kuona vipimo hivi kwa mchoro katika SmartConsole kwa kubofya kipengee na kuchagua "Maelezo ya Kifaa na Leseni."
Haipendekezi kuwasha blade ya Ufuatiliaji kwa misingi ya kudumu, lakini kwa siku ya kupima inawezekana kabisa.
Kwa kuongeza, unaweza kuongeza vigezo zaidi vya ufuatiliaji, mojawapo ni muhimu sana - Bytes throughput (mapitio ya maombi).
Ikiwa kuna mfumo mwingine wa ufuatiliaji, kwa mfano, bure , kulingana na SNMP, pia inafaa kwa kutambua matatizo haya.
2. RAM huvuja kwa muda
Swali mara nyingi hutokea kwamba baada ya muda, lango au seva ya usimamizi huanza kutumia RAM zaidi na zaidi. Ninataka kukuhakikishia: hii ni hadithi ya kawaida kwa mifumo kama Linux.
Kuangalia matokeo ya amri bure -m ΠΈ cpstat -f kumbukumbu os kwenye programu kutoka kwa hali ya mtaalam, unaweza kuhesabu na kutazama vigezo vyote vinavyohusiana na RAM.
Kulingana na kumbukumbu inayopatikana kwenye lango kwa sasa Kumbukumbu ya Bure + Kumbukumbu ya Bafa + Kumbukumbu Iliyohifadhiwa = +-1.5 GB, kwa kawaida.
Kama CP inavyosema, baada ya muda seva ya lango/usimamizi huboresha na hutumia kumbukumbu zaidi na zaidi, kufikia utumiaji wa 80%, na huacha. Unaweza kuanzisha upya kifaa, na kisha kiashiria kitawekwa upya. GB 1.5 ya RAM isiyolipishwa inatosha kabisa kwa lango kufanya kazi zote, na usimamizi mara chache hufikia maadili kama haya.
Pia, matokeo ya amri zilizotajwa yataonyesha ni kiasi gani unacho Kumbukumbu ya chini (RAM katika nafasi ya mtumiaji) na Kumbukumbu ya juu (RAM katika nafasi ya kernel) imetumika.
Michakato ya Kernel (pamoja na moduli amilifu kama vile moduli za kernel ya Angalia) hutumia kumbukumbu ya Chini pekee. Walakini, michakato ya mtumiaji inaweza kutumia kumbukumbu ya Chini na ya Juu. Aidha, kumbukumbu ya chini ni takriban sawa na Jumla ya Kumbukumbu.
Unapaswa kuwa na wasiwasi tu ikiwa kuna makosa katika kumbukumbu "moduli zinawasha tena au michakato kuuawa ili kurejesha kumbukumbu kwa sababu ya OOM (Imeisha kumbukumbu)". Kisha unapaswa kuanzisha upya lango na uwasiliane na usaidizi ikiwa kuanzisha upya hakusaidii.
Maelezo kamili yanaweza kupatikana ndani ΠΈ .
3. Uboreshaji
Yafuatayo ni maswali na majibu kuhusu kuboresha CPU na RAM. Unapaswa kujibu kwa uaminifu kwako mwenyewe na kusikiliza mapendekezo.
3.1. Je, programu ilichaguliwa kwa usahihi? Je, kulikuwa na mradi wa majaribio?
Licha ya ukubwa sahihi, mtandao unaweza kukua tu, na vifaa hivi haviwezi kukabiliana na mzigo. Chaguo la pili ni ikiwa hakukuwa na saizi kama hiyo.
3.2. Je, ukaguzi wa HTTPS umewezeshwa? Ikiwa ndio, je, teknolojia imesanidiwa kulingana na Mazoezi Bora?
Rejea , ikiwa wewe ni mteja wetu, au kwa .
Mpangilio wa sheria katika sera ya ukaguzi wa HTTPS una jukumu kubwa katika kuboresha ufunguaji wa tovuti za HTTPS.
Utaratibu uliopendekezwa wa sheria:
- Sheria za bypass zilizo na kategoria/URL
- Kagua sheria na kategoria/URL
- Kagua sheria za aina zingine zote
Kwa mlinganisho na sera ya firewall, Check Point hutafuta mechi kwa pakiti kutoka juu hadi chini, kwa hivyo ni bora kuweka sheria za kupita juu, kwani lango halitapoteza rasilimali kwa kufuata sheria zote ikiwa pakiti hii inahitaji. kupitishwa.
3.3 Je, vitu vya masafa ya anwani vinatumika?
Vitu vilivyo na anuwai ya anwani, kwa mfano, mtandao 192.168.0.0-192.168.5.0, huchukua RAM zaidi ya vitu 5 vya mtandao. Kwa ujumla, inachukuliwa kuwa mazoezi mazuri ya kuondoa vitu visivyotumiwa katika SmartConsole, kwani kila wakati sera inapowekwa, lango na seva ya usimamizi hutumia rasilimali na, muhimu zaidi, wakati, kuthibitisha na kutumia sera.
3.4. Je, sera ya Kuzuia Tishio imesanidiwa vipi?
Kwanza kabisa, Check Point inapendekeza kuweka IPS katika wasifu tofauti na kuunda sheria tofauti za blade hii.
Kwa mfano, msimamizi anaamini kuwa sehemu ya DMZ inapaswa kulindwa tu kwa kutumia IPS. Kwa hiyo, ili kuzuia lango kutokana na kupoteza rasilimali kwenye pakiti za usindikaji na vile vingine, ni muhimu kuunda sheria mahsusi kwa sehemu hii na wasifu ambao IPS pekee imewezeshwa.
Kuhusu kuweka wasifu, inashauriwa kuiweka kulingana na mazoea bora katika hili (ukurasa wa 17-20).
3.5. Katika mipangilio ya IPS, kuna sahihi ngapi katika hali ya Kugundua?
Inashauriwa kusoma kwa uangalifu saini kwa maana kwamba zile ambazo hazijatumiwa zinapaswa kuzimwa (kwa mfano, saini za kufanya kazi kwa bidhaa za Adobe zinahitaji nguvu nyingi za kompyuta, na ikiwa mteja hana bidhaa kama hizo, ni busara kuzima saini). Ifuatayo, weka Zuia badala ya Tambua inapowezekana, kwa sababu lango linatumia rasilimali kuchakata muunganisho mzima katika modi ya Kugundua; katika hali ya Zuia, hutupa muunganisho mara moja na haipotezi rasilimali katika kuchakata kikamilifu pakiti.
3.6. Ni faili gani zinazochakatwa na Uigaji wa Tishio, Uchimbaji wa Tishio, vile vile vya Kupambana na Virusi?
Haina maana kuiga na kuchanganua faili za viendelezi ambavyo watumiaji wako hawapakui, au unaona kuwa sio lazima kwenye mtandao wako (kwa mfano, faili za bat, exe zinaweza kuzuiwa kwa urahisi kwa kutumia blade ya Uelewa wa Maudhui kwenye kiwango cha ngome, kwa hivyo lango kidogo. rasilimali zitatumika). Zaidi ya hayo, katika mipangilio ya Uigaji wa Tishio unaweza kuchagua Mazingira (mfumo wa uendeshaji) ili kuiga vitisho kwenye sanduku la mchanga na kusakinisha Mazingira ya Windows 7 wakati watumiaji wote wanafanya kazi na toleo la 10 pia haina maana.
3.7. Je, sheria za ngazi ya ngome na Maombi zimepangwa kwa mujibu wa utendaji bora?
Ikiwa sheria ina hits nyingi (mechi), basi inashauriwa kuziweka juu sana, na sheria na idadi ndogo ya hits - chini kabisa. Jambo kuu ni kuhakikisha kwamba haziingiliani au kuingiliana. Usanifu wa sera ya ngome inayopendekezwa:
Maelezo:
Sheria za Kwanza - sheria zilizo na idadi kubwa ya mechi zimewekwa hapa
Sheria ya Kelele - sheria ya kutupa trafiki ya uwongo kama vile NetBIOS
Sheria ya siri - inakataza wito kwa lango na usimamizi na wote isipokuwa vile vyanzo ambavyo vilibainishwa katika Uthibitishaji wa Sheria za Lango
Sheria za Kusafisha, Mwisho na Kuacha kawaida hujumuishwa katika sheria moja ili kupiga marufuku kila kitu ambacho hakikuruhusiwa hapo awali.
Data ya mazoezi bora imeelezewa ndani .
3.8. Je, huduma zinazoundwa na wasimamizi zina mipangilio gani?
Kwa mfano, baadhi ya huduma ya TCP imeundwa kwenye bandari maalum, na ni mantiki ya kufuta "Mechi kwa Yoyote" katika mipangilio ya Juu ya huduma. Katika kesi hii, huduma hii itaanguka mahsusi chini ya sheria ambayo inaonekana, na haitashiriki katika sheria ambapo Yoyote imeorodheshwa kwenye safu ya Huduma.
Kuzungumza juu ya huduma, inafaa kutaja kuwa wakati mwingine ni muhimu kurekebisha wakati wa kuisha. Mpangilio huu utakuruhusu kutumia rasilimali za lango kwa busara, ili usichukue muda wa ziada kwa vikao vya TCP/UDP vya itifaki ambazo hazihitaji muda mwingi wa kuisha. Kwa mfano, katika picha ya skrini iliyo hapa chini, nilibadilisha muda wa huduma ya kikoa-udp kutoka sekunde 40 hadi sekunde 30.
3.9. SecureXL inatumika na ni asilimia ngapi ya kasi?
Unaweza kuangalia ubora wa SecureXL kwa kutumia amri za kimsingi katika hali ya kitaalam kwenye lango takwimu ya fwaccel ΠΈ fw accel takwimu -s. Ifuatayo, unahitaji kujua ni aina gani ya trafiki inayoharakishwa, na ni templeti gani zingine zinaweza kuunda.
Violezo vya Kudondosha havijawezeshwa kwa chaguomsingi; kuviwezesha kutanufaisha SecureXL. Ili kufanya hivyo, nenda kwa mipangilio ya lango na kichupo cha Uboreshaji:
Pia, unapofanya kazi na kikundi ili kuboresha CPU, unaweza kuzima usawazishaji wa huduma zisizo muhimu, kama vile UDP DNS, ICMP na zingine. Ili kufanya hivyo, nenda kwa mipangilio ya huduma β Advanced β Sawazisha miunganisho ya Usawazishaji wa Jimbo imewezeshwa kwenye nguzo.
Mbinu Zote Bora zimefafanuliwa katika .
3.10. CoreXl inatumikaje?
Teknolojia ya CoreXL, ambayo inaruhusu matumizi ya CPU nyingi kwa matukio ya ngome (moduli za firewall), hakika husaidia kuboresha uendeshaji wa kifaa. Timu kwanza fw ctl mshikamano -l -a itaonyesha matukio ya ngome zinazotumika na vichakataji vilivyowekwa kwa SND (moduli inayosambaza trafiki kwa huluki za ngome). Ikiwa sio wasindikaji wote wanaotumiwa, wanaweza kuongezwa kwa amri cpconfig kwenye lango.
Pia hadithi nzuri ni kuweka kuwezesha Foleni nyingi. Multi-Foleni hutatua tatizo wakati kichakataji kilicho na SND kinatumika kwa asilimia nyingi, na matukio ya ngome kwenye vichakataji vingine hayafanyiki. Kisha SND ingekuwa na uwezo wa kuunda foleni nyingi kwa NIC moja na kuweka vipaumbele tofauti kwa trafiki tofauti katika kiwango cha kernel. Kwa hivyo, cores za CPU zitatumika kwa akili zaidi. Mbinu pia zimeelezewa katika .
Kwa kumalizia, ningependa kusema kwamba hizi sio Mbinu zote Bora za kuboresha Pointi ya Kuangalia, lakini ndizo maarufu zaidi. Ikiwa ungependa kuagiza ukaguzi wa sera yako ya usalama au kutatua tatizo linalohusiana na Check Point, tafadhali wasiliana [barua pepe inalindwa].
Asante!
Chanzo: mapenzi.com