Consejos y trucos: Reduciendo la carga del plano de gestión: parte 2

Vamos a continuar con el segundo de una serie y añadir algunos consejos más en su bolsa de trucos para reducir la carga en el plano de gestión. Hace unas semanas comenzamos una serie de Tips & Trucos sobre este tema, por lo que esta semana vamos a continuar con la parte 2.

Una causa común para una carga mayor en el plano de gestión durante las horas de producción son procesos automatizados que se ejecutan en segundo plano, algunos de los cuales pueden ser afinadas para ocurren con menos frecuencia si están causando problemas. Uno de estos procesos es la actualización periódica de objetos FQDN utilizado en la política. Estos activarán búsquedas de DNS para actualizar las direcciones IP asociadas y si ya se grava en el plano de gestión, podrían causar picos. La frecuencia puede reducirse ajustando el tiempo de refresco a un plazo más largo, hasta 4 horas para las actualizaciones regulares y 24 horas para una actualización completa.

> configurar 
entrar en modo de configuración
[editar] 
# establecer el FQDN del sistema deviceconfig-tiempo de actualización <600-14399>
# set deviceconfig FQDN del <14400-86400></14400-86400> sistema-forcerefresh-Time</600-14399>   

En el artículo anterior, discutimos también desactivar el registro para determinadas aplicaciones que son muy habladores pero no requieren necesariamente extensa tala. Esto puede aplicarse también a las normas más genéricas como políticas intrazone en registro de tráfico no es esencial.

Las directivas que requieren un registro detallado sólo deben tener el registro habilitado al final , ya que el registro en Inicio de sesión podría provocar la generación de varios registros para una sola sesión: WebEx, por ejemplo, podría cambiar varias veces en el transcurso de una sesión, desde TLS/SSL a la navegación por la web, a WebEx, a Webex Desktop, y así sucesivamente. Esto crearía varios registro Inicio las entradas del registro, uno para cada tiempo de que la sesión cambia de puesto en una aplicación diferente.

En entornos LDAP más grandes o más complejos, identificación del usuario y más específicamente, asignación del grupo, puede poner una tensión significativa en el sistema cuando grandes cantidades de objetos de grupo se cargan en el servidor de seguridad. Disminuyendo la cantidad de objetos de grupo al filtrar los resultados de la consulta LDAP que sólo los grupos utilizados en la política también puede disminuir la carga en el plano de gestión.

Para lograr esto, después de crear un perfil LDAP para recuperar información de LDAP en un servidor, puede crear un filtro de asignación de grupo de identificación de usuario:

Filtros adicionales se pueden agregar tan sólo los usuarios y grupos que contienen las entradas correspondientes son almacenados. En el ejemplo siguiente, los usuarios necesitan tener la cadena "WebUser" en su campo Descripción Haz agregado.

También se pueden seleccionar grupos específicos como única fuente de información del usuario:

Finalmente, como una mejor práctica en momentos de alta carga, puede ser beneficioso para que los administradores no tienen el ACC o registro de control abierto y sistema de actualización, ya que consulta la base de datos de registro y recompila la salida en pantalla cada pocos segundos.

Espero estos consejos son útiles y ayudan a reducir la carga en el plano de gestión de su firewall.

¡Gracias por leerme!

Tom Piens