Салом ҳамкорон! Имрӯз ман мехоҳам як мавзӯи хеле муҳимро барои бисёре аз маъмурони Check Point муҳокима кунам: "Оптимизатсияи CPU ва RAM." Аксар вақт ҳолатҳое мешаванд, ки сервери шлюз ва/ё сервери идоракунӣ ба таври ғайричашмдошт миқдори зиёди ин захираҳоро истеъмол мекунад ва ман мехостам бифаҳмам, ки онҳо дар куҷо "ҷой" мешаванд ва агар имконпазир бошад, онҳоро оқилонатар истифода баранд.
1. Таҳлил
Барои таҳлили сарбории протсессор истифода бурдани фармонҳои зерин муфид аст, ки дар реҷаи экспертӣ ворид карда мешаванд:
боло нишон медиҳад, ки ҳамаи равандҳо, ҳаҷми CPU ва RAM захираҳои истеъмол ҳамчун фоиз, вақти кор, афзалияти раванд ва дар вақти воқеӣи
cpwd_admin рӯйхати Check Point WatchDog Daemon, ки ҳамаи модулҳои барнома, PID, ҳолат ва шумораи оғозёбиро нишон медиҳад
cpstat -f cpu OS Истифодаи CPU, шумора ва тақсимоти вақти протсессор ҳамчун фоиз
cpstat -f хотираи OS истифодаи RAM виртуалӣ, чӣ қадар фаъол, озод RAM ва бештар
Изҳороти дуруст ин аст, ки ҳама фармонҳои cpstat-ро бо истифода аз утилита дидан мумкин аст cpview. Барои ин ба шумо лозим аст, ки фармони cpview -ро аз ҳама гуна режим дар сессияи SSH ворид кунед.
ps auxwf рӯйхати дарози ҳамаи равандҳо, ID-и онҳо, хотираи виртуалии ишғолшуда ва хотира дар RAM, CPU
Дигар вариантҳои фармон:
ps-aF процесси гаронбахотаринро нишон медихад
fw ctl наздикии -l -a тақсимоти ядроҳо барои мисолҳои гуногуни брандмауэр, яъне технологияи CoreXL
fw ctl pstat Таҳлили RAM ва нишондиҳандаҳои умумии пайвастшавӣ, кукиҳо, NAT
озод -м буфери RAM
Коллектив сазовори диккати махсус аст netsat ва вариантҳои он. Барои намуна, netstat -i метавонад ба халли масъалаи мониторинги буфер кумак расонад. Параметри RX бастаҳои партофташуда (RX-DRP) дар баромади ин фармон, чун қоида, аз ҳисоби қатраҳои протоколҳои ғайриқонунӣ (IPv6, барчаспҳои VLAN-и бад / ғайриқонунӣ ва ғайра) худ ба худ меафзояд. Аммо, агар қатраҳо бо сабаби дигар рух диҳанд, шумо бояд инро истифода баред Барои оғоз кардани таҳқиқ ва фаҳмидани он, ки чаро интерфейси шабакаи додашуда бастаҳоро партофта истодааст. Пас аз фаҳмидани сабаб, кори барномаро низ оптимизатсия кардан мумкин аст.
Агар лавҳаи Мониторинг фаъол бошад, шумо метавонед ин нишондиҳандаҳоро дар SmartConsole тавассути клик кардани объект ва интихоби "Маълумоти дастгоҳ ва литсензия" ба таври графикӣ бубинед.
Тавсия дода намешавад, ки майсаи Мониторингро ба таври доимӣ фурӯзон кунед, аммо барои як рӯз барои санҷиш ин комилан имконпазир аст.
Ғайр аз он, шумо метавонед параметрҳои бештарро барои мониторинг илова кунед, яке аз онҳо хеле муфид аст - Bytes Throughput (гузариши барнома).
Агар ягон системаи мониторинги дигар вуҷуд дошта бошад, масалан, ройгон , дар асоси SNMP, он инчунин барои муайян кардани ин мушкилот мувофиқ аст.
2. RAM бо мурури замон ихроҷ мешавад
Саволе ба миён меояд, ки бо мурури замон сервер ё сервери идоракунӣ ба истеъмоли бештари хотираи оперативӣ шурӯъ мекунад. Ман мехоҳам шуморо итминон диҳам: ин як ҳикояи муқаррарӣ барои системаҳои ба Linux монанд аст.
Назар ба баромади фармонҳо озод -м и cpstat -f хотираи OS дар барнома аз ҳолати коршиносӣ, шумо метавонед ҳамаи параметрҳои марбут ба RAM-ро ҳисоб кунед ва бубинед.
Дар асоси хотираи дастрас дар шлюз дар айни замон Хотираи ройгон + Хотираи буферӣ + Хотираи кэшшуда = +-1.5 ГБ, одатан.
Тавре ки CP мегӯяд, бо мурури замон сервери шлюз/менеҷмент хотираи ҳарчи бештарро оптимизатсия мекунад ва истифода мебарад ва тақрибан ба 80% истифода мерасад ва қатъ мешавад. Шумо метавонед дастгоҳро бозоғоз намоед ва он гоҳ нишондиҳанда аз нав барқарор карда мешавад. 1.5 ГБ RAM-и ройгон барои иҷрои ҳама вазифаҳо маҳз кифоя аст ва идоракунӣ хеле кам ба чунин арзишҳои ҳадди аксар мерасад.
Инчунин натиҷаҳои фармонҳои зикршуда нишон медиҳанд, ки шумо чӣ қадар доред Хотираи паст (RAM дар фазои корбар) ва Хотираи баланд (RAM дар фазои ядро) истифода бурда мешавад.
Равандҳои ядро (аз ҷумла модулҳои фаъол ба монанди модулҳои ядрои Check Point) танҳо хотираи камро истифода мебаранд. Аммо, равандҳои корбар метавонанд ҳам хотираи паст ва ҳам баландро истифода баранд. Гузашта аз ин, Хотираи паст тақрибан ба баробар аст Хотираи умумӣ.
Шумо бояд танҳо дар сурати мавҷуд будани хатогиҳо дар гузоришҳо хавотир шавед "Модулҳо бозоғоз мешаванд ё равандҳо барои барқарор кардани хотира аз сабаби OOM (Хотира берун) кушта мешаванд". Пас шумо бояд шлюзро бозоғоз намоед ва агар бозоғозӣ ёрӣ надиҳад, бо дастгирии тамос тамос гиред.
Тавсифи пурраро метавон дар и .
3. Оптимизатсия
Дар зер саволҳо ва ҷавобҳо оид ба оптимизатсияи CPU ва RAM оварда шудаанд. Шумо бояд ба онҳо ростқавлона ба худ ҷавоб диҳед ва тавсияҳоро гӯш кунед.
3.1. Оё ариза дуруст интихоб карда шуд? Оё лоиҳаи озмоишӣ вуҷуд дошт?
Сарфи назар аз андозаи дуруст, шабака метавонад ба таври оддӣ афзоиш ёбад ва ин таҷҳизот ба сарборӣ тоб оварда наметавонад. Варианти дуюм ин аст, ки агар андозаи чунин андоза вуҷуд надошта бошад.
3.2. Оё санҷиши HTTPS фаъол аст? Агар ҳа, оё технология мувофиқи таҷрибаи беҳтарин танзим карда шудааст?
Муроҷиат кунед , агар шумо муштарии мо бошед, ё ба .
Тартиби қоидаҳо дар сиёсати санҷиши HTTPS дар оптимизатсияи кушодани сайтҳои HTTPS нақши калон мебозад.
Тартиби тавсияшудаи қоидаҳо:
- Қоидаҳоро бо категорияҳо/URLҳо гузаред
- Қоидаҳоро бо категорияҳо/URLҳо тафтиш кунед
- Қоидаҳоро барои ҳамаи категорияҳои дигар тафтиш кунед
Дар муқоиса бо сиёсати брандмауэр, Check Point мувофиқатро аз боло ба поён аз рӯи бастаҳо ҷустуҷӯ мекунад, аз ин рӯ беҳтар аст, ки қоидаҳои гузаришро дар боло ҷойгир кунед, зеро шлюз захираҳоро барои иҷро кардани тамоми қоидаҳо сарф намекунад, агар ин баста лозим бошад. гузаронида шавад.
3.3 Оё объектҳои диапазони адресҳо истифода мешаванд?
Объектҳои дорои диапазони суроғаҳо, масалан, шабакаи 192.168.0.0-192.168.5.0, назар ба 5 объекти шабакавӣ ба таври назаррас бештар RAM мегирад. Умуман, нест кардани объектҳои истифоданашуда дар SmartConsole таҷрибаи хуб ҳисобида мешавад, зеро ҳар боре, ки сиёсат насб карда мешавад, шлюз ва сервери идоракунӣ захираҳо ва муҳимтар аз ҳама вақтро барои тафтиш ва татбиқи сиёсат сарф мекунанд.
3.4. Сиёсати пешгирии таҳдид чӣ гуна танзим карда мешавад?
Пеш аз ҳама, Check Point тавсия медиҳад, ки IPS-ро дар профили алоҳида ҷойгир кунед ва барои ин майса қоидаҳои алоҳида эҷод кунед.
Масалан, администратор боварӣ дорад, ки сегменти DMZ бояд танҳо бо истифода аз IPS ҳифз карда шавад. Аз ин рӯ, барои пешгирӣ кардани шлюз аз беҳуда сарф кардани захираҳо дар коркарди бастаҳои дигар, зарур аст, ки қоидаи махсус барои ин сегмент бо профиле, ки дар он танҳо IPS фаъол аст, эҷод кунед.
Дар мавриди танзими профилҳо, тавсия дода мешавад, ки онро мувофиқи таҷрибаҳои беҳтарин дар ин ҷо танзим кунед (саҳ. 17-20).
3.5. Дар танзимоти IPS, дар ҳолати ошкор чанд имзо мавҷуд аст?
Тавсия дода мешавад, ки имзоҳоро бодиққат омӯхтан ба он маъност, ки имзоҳои истифоданашуда бояд ғайрифаъол карда шаванд (масалан, имзоҳо барои фаъолият кардани маҳсулоти Adobe қудрати зиёди ҳисоббарориро талаб мекунанд ва агар муштарӣ чунин маҳсулот надошта бошад, хомӯш кардани имзоҳо маъно дорад). Баъдан, ба ҷои Муайян кардан -ро дар ҷои имконпазир гузоред, зеро шлюз захираҳоро барои коркарди тамоми пайвастшавӣ дар ҳолати ошкор сарф мекунад; дар ҳолати Пешгирӣ, он пайвастро фавран бекор мекунад ва захираҳоро барои коркарди пурраи баста сарф намекунад.
3.6. Кадом файлҳо тавассути Emulation Threat, Extraction Threat, blades Anti-Virus коркард карда мешаванд?
Тақлид ва таҳлили файлҳои васеъшавие, ки корбарони шумо зеркашӣ намекунанд ё шумо дар шабакаи худ нолозим меҳисобед, маъно надорад (масалан, файлҳои бат, exe-ро бо истифода аз blade Awareness Content дар сатҳи брандмауэр ба осонӣ маҳкам кардан мумкин аст, аз ин рӯ камтар шлюз ресурсхо сарф карда мешаванд). Ғайр аз он, дар танзимоти Emulation Threat, шумо метавонед Муҳити (системаи амалиётӣ) -ро интихоб кунед, то таҳдидҳоро дар қуттии қум тақлид кунед ва насб кардани Муҳити Windows 7, вақте ки ҳамаи корбарон бо версияи 10 кор мекунанд, маъное ҳам надорад.
3.7. Оё қоидаҳои сатҳи брандмауэр ва барномаҳо мувофиқи таҷрибаи беҳтарин тартиб дода шудаанд?
Агар қоида бисёр хитҳо (гӯгирдҳо) дошта бошад, пас тавсия дода мешавад, ки онҳоро дар боло ҷойгир кунед ва қоидаҳоро бо шумораи ками хитҳо - дар поёни он ҷойгир кунед. Чизи асосй он аст, ки онхо ба хамдигар на-мешаванд ва ё ба хам мепайванданд. Архитектураи тавсияшудаи Сиёсати Сипар:
Шарҳҳо:
Қоидаҳои аввал - қоидаҳое, ки шумораи зиёди бозиҳо дар ин ҷо ҷойгир шудаанд
Қоидаи ғавғо - қоида барои партофтани трафики бардурӯғ ба монанди NetBIOS
Қоидаи пинҳонӣ - зангҳоро ба шлюзҳо ва идораҳо ба ҳама, ба истиснои манбаъҳое, ки дар Қоидаҳои аутентификатсия ба шлюз нишон дода шудаанд, манъ мекунад
Қоидаҳои тозакунӣ, охирин ва партофтан одатан дар як қоида муттаҳид карда мешаванд, то ҳама чизеро, ки қаблан иҷозат намедоданд, манъ кунанд.
Маълумоти беҳтарин дар таҷриба тавсиф карда шудааст .
3.8. Хизматҳое, ки маъмурон сохтаанд, кадом танзимот доранд?
Масалан, баъзе хидматҳои TCP дар як бандари мушаххас сохта шудаанд ва аз танзимоти пешрафтаи хадамот аломати "Мувофиқ барои ҳама" -ро хориҷ кардан маъно дорад. Дар ин ҳолат, ин хидмат махсусан ба қоидае, ки дар он пайдо мешавад, дохил мешавад ва дар қоидаҳое, ки Any дар сутуни Хидматҳо номбар шудааст, иштирок намекунад.
Дар бораи хидматҳо сухан ронда, бояд қайд кард, ки баъзан вақтро танзим кардан лозим аст. Ин танзимот ба шумо имкон медиҳад, ки захираҳои дарвозаро оқилона истифода баред, то барои ҷаласаҳои TCP/UDP протоколҳое, ки ба вақти зиёд ниёз надоранд, вақти изофӣ нигоҳ доред. Масалан, дар скриншоти дар поён овардашуда, ман вақти хидматрасонии домен-udpро аз 40 сония ба 30 сония иваз кардам.
3.9. Оё SecureXL истифода мешавад ва фоизи суръат чанд аст?
Шумо метавонед сифати SecureXL-ро бо истифода аз фармонҳои асосӣ дар ҳолати коршиносӣ дар шлюз тафтиш кунед стат и fw stats accel -s. Баъдан, шумо бояд бифаҳмед, ки чӣ гуна трафик суръат мегирад ва кадом қолабҳои дигарро эҷод кардан мумкин аст.
Шаблонҳои партофташуда ба таври нобаёнӣ фаъол нестанд; ба кор андохтани онҳо SecureXL манфиат меорад. Барои ин, ба танзимоти дарвоза ва ҷадвали Optimizations гузаред:
Инчунин, ҳангоми кор бо кластер барои оптимизатсияи CPU, шумо метавонед ҳамоҳангсозии хидматҳои ғайримуқаррариро, ба монанди UDP DNS, ICMP ва ғайраро хомӯш кунед. Барои ин, ба танзимоти хадамот гузаред → Мукаммал → Синхронизатсияи пайвастҳои Синхронизатсияи давлатӣ дар кластер фаъол аст.
Ҳама таҷрибаҳои беҳтарин дар тавсиф шудаанд .
3.10. CoreXl чӣ гуна истифода мешавад?
Технологияи CoreXL, ки имкон медиҳад, ки CPU-ҳои сершумор барои мисолҳои брандмауэр (модулҳои брандмауэр) истифода шаванд, бешубҳа ба оптимизатсияи кори дастгоҳ кӯмак мекунад. Аввал команда fw ctl наздикии -l -a намунаҳои брандмауэри истифодашуда ва протсессори ба SND таъиншударо нишон медиҳад (модул, ки трафикро ба объектҳои брандмауэр тақсим мекунад). Агар на ҳама протсессорҳо истифода шаванд, онҳоро бо фармон илова кардан мумкин аст cpconfig дар дарвоза.
Ҳамчунин як ҳикояи хуб гузошта мешавад Барои фаъол кардани Мулти-навбат. Мулти-навбат мушкилотро ҳал мекунад, вақте ки протсессори дорои SND дар фоизи зиёд истифода мешавад ва намунаҳои брандмауэр дар дигар протсессорҳо бекоранд. Он гоҳ SND имкон дорад, ки барои як NIC навбатҳои зиёд эҷод кунад ва барои трафики гуногун дар сатҳи ядро афзалиятҳои гуногунро муқаррар кунад. Дар натиҷа, ядроҳои CPU оқилонатар истифода мешаванд. Усулҳо инчунин дар мақола тавсиф шудаанд .
Дар охир, ман мехоҳам бигӯям, ки инҳо на ҳама таҷрибаҳои беҳтарин барои оптимизатсияи Check Point мебошанд, аммо маъмултарин мебошанд. Агар шумо хоҳед, ки аудити сиёсати амниятии худро фармоиш диҳед ё мушкилоти марбут ба Check Point-ро ҳал кунед, лутфан тамос гиред [почтаи электронӣ ҳифз карда шудааст].
Ташаккур барои таваҷҷӯҳатон!
Манбаъ: will.com