Salom hamkasblar! Bugun men ko'plab Check Point ma'murlari uchun juda dolzarb mavzuni muhokama qilmoqchiman, "CPU va RAM optimallashtirish". Gateway va/yoki boshqaruv serveri kutilmaganda ushbu resurslarning ko'p qismini iste'mol qilishi odatiy hol emas va ular qayerda "oqib ketishini" tushunishni va iloji bo'lsa, ulardan to'liqroq foydalanishni xohlaydi.
1. Tahlil
Protsessor yukini tahlil qilish uchun ekspert rejimiga kiritilgan quyidagi buyruqlardan foydalanish foydalidir:
eng barcha jarayonlarni, protsessor va operativ xotira resurslari miqdorini foizlarda, ish vaqti, jarayon ustuvorligini va ko'rsatadi real vaqtdaи
cpwd_admin ro'yxati Check Point WatchDog Daemon, barcha ilova modullari, ularning PID, holati va ishga tushirish sonini ko'rsatadi.
cpstat -f CPU operatsion tizimi Protsessordan foydalanish, ularning soni va protsessor vaqtini foizlarda taqsimlash
cpstat -f xotira operatsion tizimi virtual operativ xotiradan foydalanish, qancha faol, bepul RAM va boshqalar
To'g'ri eslatma shundaki, barcha cpstat buyruqlarini yordamchi dastur yordamida ko'rish mumkin cpview. Buni amalga oshirish uchun SSH sessiyasida istalgan rejimdan cpview buyrug'ini kiritish kifoya.
ps auxwf barcha jarayonlarning uzun ro'yxati, ularning identifikatori, ishg'ol qilingan virtual xotira va operativ xotira, protsessordagi xotira
Buyruqning yana bir o'zgarishi:
ps-aF eng qimmat jarayonni ko'rsating
fw ctl yaqinlik -l -a xavfsizlik devorining turli nusxalari uchun yadrolarni taqsimlash, ya'ni CoreXL texnologiyasi
fw ctl pstat RAM tahlili va ulanishlarning umumiy ko'rsatkichlari, cookie fayllari, NAT
ozod -m RAM buferi
Jamoa alohida e'tiborga loyiqdir. netsat va uning xilma-xilligi. Masalan, netstat -i clipboardlarni kuzatish muammosini hal qilishga yordam berishi mumkin. Ushbu buyruqning chiqishidagi RX tushirilgan paketlar (RX-DRP) parametri noqonuniy protokollar (IPv6, Noto'g'ri / Ko'zda tutilmagan VLAN teglari va boshqalar) tushishi tufayli o'z-o'zidan o'sib boradi. Ammo, agar tomchilar boshqa sababga ko'ra sodir bo'lsa, unda siz buni ishlatishingiz kerak ushbu tarmoq interfeysi nima uchun paketlarni tashlab ketayotganini tekshirishni boshlash uchun. Buning sababini bilib, dasturning ishlashini ham optimallashtirish mumkin.
Agar Monitoring blade yoqilgan boʻlsa, siz ushbu koʻrsatkichlarni SmartConsoleʼda obʼyekt ustiga bosish va “Qurilma va litsenziya maʼlumotlari”ni tanlash orqali grafik koʻrinishida koʻrishingiz mumkin.
Monitoring pichog'ini doimiy ravishda yoqish tavsiya etilmaydi, ammo sinov uchun bir kun bo'lishi mumkin.
Bundan tashqari, siz monitoring uchun qo'shimcha parametrlarni qo'shishingiz mumkin, ulardan biri juda foydali - bayt o'tkazuvchanligi (ilova o'tkazish qobiliyati).
Agar boshqa monitoring tizimi mavjud bo'lsa, masalan, bepul , bu SNMP-ga asoslangan bo'lib, ushbu muammolarni aniqlash uchun ham mos keladi.
2. RAM vaqt o'tishi bilan "oqadi"
Ko'pincha savol tug'iladi, vaqt o'tishi bilan shlyuz yoki boshqaruv serveri ko'proq va ko'proq RAM iste'mol qila boshlaydi. Men sizni ishontirib aytmoqchiman: bu Linuxga o'xshash tizimlar uchun oddiy voqea.
Buyruqning chiqishiga qarab ozod -m и cpstat -f xotira operatsion tizimi mutaxassis rejimidan ilovada siz RAM bilan bog'liq barcha parametrlarni hisoblashingiz va ko'rishingiz mumkin.
Ayni paytda shlyuzdagi mavjud xotira asosida Bepul xotira + Bufer xotirasi + Keshlangan xotira = +-1.5 GB, Qoida sifatida.
CP aytganidek, vaqt o'tishi bilan shlyuz/boshqaruv serveri optimallashtiriladi va ko'proq va ko'proq xotiradan foydalanadi, taxminan 80% foydalanish va to'xtaydi. Qurilmani qayta ishga tushirishingiz mumkin, keyin indikator qayta o'rnatiladi. 1.5 Gb bepul operativ xotira, albatta, shlyuzning barcha vazifalarni bajarishi uchun etarli va boshqaruv kamdan-kam hollarda bunday chegara qiymatlariga etadi.
Shuningdek, aytib o'tilgan buyruqlarning chiqishi sizda qancha borligini ko'rsatadi kam xotira (foydalanuvchi maydonida RAM) va yuqori xotira (yadro maydonidagi RAM) ishlatiladi.
Yadro jarayonlari (jumladan, Check Point yadro modullari kabi faol modullar) faqat past xotiradan foydalanadi. Biroq, foydalanuvchi jarayonlari ham past, ham yuqori xotiradan foydalanishi mumkin. Bundan tashqari, past xotira taxminan teng Umumiy xotira.
Jurnallarda xatolar bo'lsa, faqat tashvishlanishingiz kerak "modullar qayta ishga tushiriladi yoki OOM (Xotira yo'qligi) tufayli xotirani tiklash uchun jarayonlar o'chiriladi". Keyin shlyuzni qayta ishga tushirishingiz va agar qayta yuklash yordam bermasa, qo'llab-quvvatlash xizmatiga murojaat qilishingiz kerak.
To'liq tavsifni bo'limda topish mumkin и .
3. Optimallashtirish
Quyida CPU va RAMni optimallashtirish bo'yicha savollar va javoblar mavjud. Siz ularga o'zingizga halol javob berishingiz va tavsiyalarni tinglashingiz kerak.
3.1. Yuqori chiziq to'g'ri tanlanganmi? Pilot loyiha bormi?
Vakolatli o'lchamlarga qaramay, tarmoq shunchaki o'sishi mumkin va bu uskuna oddiygina yukni bardosh bera olmaydi. Ikkinchi variant, agar bunday o'lcham bo'lmasa.
3.2. HTTPS tekshiruvi yoqilganmi? Agar shunday bo'lsa, texnologiya eng yaxshi amaliyotga muvofiq tuzilganmi?
ga murojaat qiling agar siz bizning mijozimiz bo'lsangiz yoki .
HTTPSni tekshirish siyosatidagi qoidalar tartibi HTTPS saytlarini ochishni optimallashtirishda katta rol o'ynaydi.
Tavsiya etilgan qoidalar tartibi:
- Kategoriyalar/URLlar bilan qoidalarni chetlab o'tish
- toifalar/URLlar bilan qoidalarni tekshiring
- Boshqa barcha toifalar uchun qoidalarni tekshiring
Xavfsizlik devori siyosatiga o'xshab, Check Point paketni yuqoridan pastga qarab qidiradi, shuning uchun chetlab o'tish qoidalari eng yuqori qismida joylashgan bo'ladi, chunki shlyuz ushbu paketni o'tkazib yuborish kerak bo'lsa, barcha qoidalarni bajarish uchun resurslarni behuda sarflamaydi.
3.3 Manzil diapazoni obyektlari ishlatiladimi?
192.168.0.0-192.168.5.0 tarmog'i kabi manzillar diapazoniga ega ob'ektlar 5 ta tarmoq ob'ektiga qaraganda sezilarli darajada ko'proq RAM iste'mol qiladi. Umuman olganda, SmartConsole-da foydalanilmagan ob'ektlarni o'chirish yaxshi amaliyot hisoblanadi, chunki har safar siyosat o'rnatilganda, shlyuz va boshqaruv serveri resurslarni va, eng muhimi, siyosatni tekshirish va qo'llash uchun vaqt sarflaydi.
3.4. Tahdidning oldini olish siyosati qanday tuzilgan?
Avvalo, Check Point IPS-ni alohida profilga ko'chirishni va ushbu pichoq uchun alohida qoidalarni yaratishni tavsiya qiladi.
Misol uchun, administrator DMZ segmenti faqat IPS bilan himoyalangan bo'lishi kerak deb o'ylaydi. Shuning uchun, shlyuz boshqa pichoqlar tomonidan paketlarni qayta ishlashda resurslarni isrof qilmasligi uchun, faqat IPS yoqilgan profilga ega ushbu segment uchun maxsus qoida yaratish kerak.
Profillarni o'rnatishga kelsak, uni bu boradagi eng yaxshi amaliyotlarga muvofiq o'rnatish tavsiya etiladi (17-20 betlar).
3.5. IPS sozlamalarida Aniqlash rejimida nechta imzo bor?
Foydalanilmayotgan imzolarni o'chirib qo'yish kerak degan ma'noda imzolar ustida qattiq ishlash tavsiya etiladi (masalan, Adobe mahsulotlarining ishlashi uchun imzolar katta hisoblash quvvatini talab qiladi va agar mijozda bunday mahsulotlar bo'lmasa, o'chirib qo'yish mantiqan to'g'ri keladi. imzolar). Keyin iloji boricha Aniqlash o'rniga Prevent ni qo'ying, chunki shlyuz Aniqlash rejimida butun ulanishni qayta ishlash uchun resurslarni sarflaydi, Prevent rejimida u ulanishni darhol to'xtatadi va paketni to'liq qayta ishlash uchun resurslarni isrof qilmaydi.
3.6. Threat Emulation, Threat Extraction, Antivirus blade yordamida qanday fayllar qayta ishlanadi?
Foydalanuvchilar yuklab olmaydigan yoki siz tarmog'ingizda keraksiz deb hisoblagan kengaytmali fayllarga taqlid qilish va tahlil qilish mantiqiy emas (masalan, bat, exe fayllari xavfsizlik devori darajasidagi Content Awareness blade yordamida osongina bloklanishi mumkin, shuning uchun shlyuz resurslari bo'ladi. kamroq sarflanadi). Bundan tashqari, tahdid emulyatsiyasi sozlamalarida siz sinov muhitidagi tahdidlarga taqlid qilish uchun muhitni (operatsion tizim) tanlashingiz va barcha foydalanuvchilar 7-versiya bilan ishlayotganida Windows 10 muhitini o'rnatishingiz mumkin, bu ham mantiqiy emas.
3.7. Xavfsizlik devori va Ilova qatlami qoidalari eng yaxshi amaliyotga muvofiq joylashtirilganmi?
Agar qoidada juda ko'p xitlar (gugurt) bo'lsa, ularni eng yuqori qismida va oz sonli zarbalar bilan qoidalarni eng pastki qismida qo'yish tavsiya etiladi. Asosiysi, ular kesishmasligi va bir-birining ustiga tushmasligiga ishonch hosil qilishdir. Tavsiya etilgan xavfsizlik devori siyosati arxitekturasi:
Izohlar:
Birinchi qoidalar - bu erda eng ko'p mos keladigan qoidalar joylashtirilgan
Shovqin qoidasi - NetBIOS kabi soxta trafikni to'xtatish qoidasi
Yashirin qoida - shlyuzlarga kirishni taqiqlash va barchaga boshqarish, Shlyuzlarni autentifikatsiya qilish qoidalarida ko'rsatilgan manbalar bundan mustasno
Tozalash, oxirgi va tashlash qoidalari odatda bitta qoidaga birlashtirilib, avval ruxsat etilmagan barcha narsalarni taqiqlaydi.
Eng yaxshi amaliyot ma'lumotlari maqolada tasvirlangan .
3.8. Administratorlar tomonidan yaratilgan xizmatlar uchun qanday sozlamalar mavjud?
Misol uchun, ba'zi TCP xizmatlari ma'lum bir portda yaratilmoqda va xizmatning Kengaytirilgan sozlamalarida "Har kim uchun mos" belgisini olib tashlash mantiqiy. Bunday holda, ushbu xizmat o'zi paydo bo'lgan qoidaga to'g'ri keladi va Xizmatlar ustunida Any bo'lgan qoidalarda qatnashmaydi.
Xizmatlar haqida gapirganda, shuni ta'kidlash kerakki, ba'zida vaqt autlarini sozlash kerak. Ushbu sozlama sizga katta vaqtni talab qilmaydigan protokollar uchun qo'shimcha TCP / UDP seans vaqtini saqlamaslik uchun shlyuz resurslaridan yanada oqilona foydalanish imkonini beradi. Misol uchun, quyidagi skrinshotda men domen-udp xizmatining kutish vaqtini 40 soniyadan 30 soniyaga o'zgartirdim.
3.9. SecureXL ishlatiladimi va tezlashuvning foizi qancha?
Siz SecureXL sifatini shlyuzdagi ekspert rejimida asosiy buyruqlar yordamida tekshirishingiz mumkin fwaccel statistikasi и fw accelstats -s. Keyinchalik, qanday turdagi trafik tezlashayotganini, qanday shablonlarni (shablonlarni) ko'proq yaratishingiz mumkinligini aniqlashingiz kerak.
Odatiy bo'lib, Drop andozalari yoqilmagan, ularni yoqish SecureXL ishlashiga ijobiy ta'sir qiladi. Buni amalga oshirish uchun shlyuz sozlamalari va Optimallashtirish yorlig'iga o'ting:
Bundan tashqari, klaster bilan ishlaganda, protsessorni optimallashtirish uchun siz UDP DNS, ICMP va boshqalar kabi muhim bo'lmagan xizmatlarning sinxronizatsiyasini o'chirib qo'yishingiz mumkin. Buning uchun xizmat sozlamalariga o'ting → Kengaytirilgan → Klasterda Davlat sinxronizatsiyasi yoqilgan ulanishlarni sinxronlash.
Barcha eng yaxshi amaliyotlar maqolada tasvirlangan .
3.10. CoreXl qanday ishlatiladi?
Xavfsizlik devori namunalari (xavfsizlik devori modullari) uchun bir nechta protsessorlardan foydalanish imkonini beruvchi CoreXL texnologiyasi, albatta, qurilma ish faoliyatini optimallashtirishga yordam beradi. Birinchi jamoa fw ctl yaqinlik -l -a foydalanilgan xavfsizlik devori namunalarini va kerakli SND ga berilgan protsessorlarni ko'rsatadi (faervol ob'ektlari uchun trafikni tarqatuvchi modul). Agar barcha protsessorlar ishtirok etmasa, ularni buyruq bilan qo'shish mumkin cpconfig shlyuzda.
Bundan tashqari, yaxshi hikoya qo'yishdir Ko‘p navbatni yoqish uchun. Ko'p navbat SND protsessoridan ko'p foiz foydalanilganda va boshqa protsessorlardagi xavfsizlik devori nusxalari ishlamay qolganda muammoni hal qiladi. Keyin SND bitta NIC uchun ko'plab navbatlarni yaratishi va yadro darajasida turli trafik uchun turli ustuvorliklarni belgilashi mumkin edi. Shunday qilib, protsessor yadrolari yanada oqilona foydalaniladi. Usullar ham tasvirlangan .
Xulosa qilib aytmoqchimanki, bular Check Point-ni optimallashtirish bo'yicha barcha eng yaxshi amaliyotlardan uzoqdir, ammo eng mashhurlari. Agar siz xavfsizlik siyosatingizni tekshirishni talab qilmoqchi bo'lsangiz yoki Check Point muammosini hal qilmoqchi bo'lsangiz, iltimos, murojaat qiling [elektron pochta bilan himoyalangan].
E'tiboringiz uchun tashakkur!
Manba: www.habr.com