Conseils & astuces : Réduire la charge de plan de gestion — partie 2

Nous allons continuer avec le deuxième d’une série et ajouter un peu plus de conseils dans votre sac à malices pour réduire la charge sur le plan de gestion. Il ya quelques semaines, nous avons commencé une série Tips & Tricks sur ce sujet, donc cette semaine, nous allons continuer avec la partie 2.

Une cause commune pour une charge accrue sur le plan de gestion pendant les heures de production sont des processus automatisés fonctionnant en arrière-plan, dont certaines peuvent être réglées pour se produisent moins fréquemment si ils posent des questions. Un de ces processus est l’actualisation périodique d’objets de nom de domaine complet utilisé dans la politique. Ces vont déclencher les recherches DNS pour actualiser les adresses IP associées et si le plan de gestion est déjà taxé, pourraient provoquer des pointes. La fréquence peut être diminuée en affectant le temps d’actualisation pour une période plus longue, jusqu'à 4 heures pour des actualisations régulières et 24 heures pour une actualisation complète.

> configurer 
saisie du mode de configuration
[Edit] 
# Set deviceconfig FQDN système-Refresh-Time <600-14399>
# Set deviceconfig FQDN système-forceRefresh <14400-86400></14400-86400> -Time</600-14399>   

Dans l’article précédent, nous avons discuté aussi désactiver la journalisation pour certaines applications qui sont très bavard, mais ne nécessitent pas forcément de journalisation étendue. Cela peut aussi être appliqué aux règles plus génériques comme intrazone politiques où la journalisation du trafic ne peut-être pas essentielle.

Les stratégies nécessitant une journalisation détaillée ne doivent avoir que la journalisation à la fin activée, car le Journal au démarrage de session peut provoquer la génération de plusieurs journaux pour une seule session: WebEx, par exemple, peut changer plusieurs fois au cours d'une session, à partir de TLS/SSL à la navigation Web, à WebEx, à WebEx Desktop, etc. Cela créerait plusieurs journaux au début des entrées de journal, un pour chaque fois que la session se déplace dans une autre application.

Dans des environnements plus grands ou plus complexes LDAP, Identification de l’utilisateur et plus spécifiquement, mappage de groupe, peut mettre une pression importante sur le système lorsque de grandes quantités d’objets du groupe sont chargées sur le pare-feu. Diminuer la quantité des objets de groupe en filtrant les résultats de la requête LDAP pour que les groupes utilisés dans la politique peut également diminuer la charge sur le plan de gestion.

Pour cela, après avoir créé un profil LDAP afin de récupérer les informations LDAP sur un serveur, un filtre de mappage de groupe d’utilisateurs d’Identification peut être créé :

Des filtres supplémentaires peuvent être ajoutés si seuls les utilisateurs et les groupes contenant les entrées appropriées sont stockées. Dans l’exemple ci-dessous, les utilisateurs doivent avoir la chaîne « WebUser » dans leur champ de description d’avoir ajouté.

Des groupes spécifiques peuvent également être sélectionnées comme seule source d’information de l’utilisateur :

Enfin, il est recommandé durant les périodes de forte charge, il peut être avantageux pour les administrateurs de ne pas avoir le CAC ou surveillance ouverte du journal et réglé sur automatique rafraîchissement, car cela interroge la base de données de journal et RECOMPILE la sortie à l’écran toutes les quelques secondes.

J’espère que ces conseils vont venir dans maniable et vous aider à réduire la charge sur le plan de gestion de votre pare-feu.

Merci pour la lecture!

Tom Piens