本文適用於:
GEN5 系列:NSA E8510,E8500,E7500,NSA E6500,NSA E5500,NSA5000,NSA4500,NSA3500,NSA 2400,NSA2400MX,NSA220240 NSA220W NSA,NSA250M,NSA250MW
GEN5 TZ系列:TZ100,TZ100W,TZ105,TZ105W TZ200,TZ200W,TZ205,TZ205W TZ210,TZ210W,TZ215,TZ215W。
Gen4 系列:PRO系列:PRO5060,PRO4100,PRO4060,PRO3060,PRO 2040,PRO1260
Gen4 TZ系列:TZ190,TZ190W,TZ180,TZ180W,TZ170,TZ170W,TZ170SP Wireless,TZ170,TZ150,TZ150W,TZ150 Wireless(REVB)
韌體版本:所有 SoniOS 韌體版本。
服務:VPN,IPS,Firewall Access Rules
問題定義:
本文提出了在 SonicWALL UTM 設備的吞吐量和性能問題的可能原因列表。該列表是不完整的,只有列舉的一些常見的可能的解決方案。
每個 SonicWALL UTM 設備系列取決於硬體規格具有不同的性能,如CPU,RAM或快閃記憶體。建議檢查特定設備的效能,才能決定問題是否與設備性能相關或由於其他因素。
其他的因素會影響設備的性能是安全服務,如IPS,GAV和GAS。此外,啟用 VPN 通道數等因素,訪問規則等NAT策略,也可能使設備的性能下降。
---------------------------------------------------------------
問題或解決方法:
以下設定可以決定設備的吞吐量和性能相關的問題。
1. SonicWALL WAN 界面最大傳輸單元( MTU )大小是通過網絡設備發送以太網封包的最大尺寸。預設值情況下,該值是 1500bytes,但上層的 xDSL 和 Cable 設備的連接,這個值通常被降低,以實現更穩定的連接或更好的性能。ADSL 大部分共通的設定值是: 1492 / 1460 / 1404。更改 MTU 值增量為 8 個 Bytes。在 SonicWALL WAN 界面,此值預設為 1500bytes。
推薦:更改 MTU 大小為最佳的 MTU 大小。請參考下面的文章,以確定最佳的 MTU 值:確定您的 Internet 連接的 MTU 值。你也可以使用該工具來完成相同的 mturoute 。
2. Fragment non-VPN outbound packets larger than this Interface’s MTU:此設定與 MTU 串聯,預設情況下 GEN5 UTM 韌體的主要 WAN 是啟用的,被認為是最好的做法是啟用它。它可能沒有在 GEN4 的UTM 產品或在 Gen4 升級為 GEN5 UTM 型號設備上啟用。您必須打開它甚至 GEN5 UTM 型號上任何額外的 WAN 界面。
推薦:啟用此選項
3. Ignore Don’t Fragment (DF) Bit:預設情況下,此選項是在 WAN 界面的 advanced 設置,建議保持禁用它。
推薦:保持禁用它。
4. The interface speed settings of WAN and other interfaces:預設情況下,所有在 SonicWALL 的界面皆會被設置為自動檢測鏈路速度。然而,在某些連線問題時,鏈路速度設置應手動設置到界面。不正確的設定你的 WAN 界面將有以下的有害影響:
無法協商與ISP的連接。
中斷網絡連接。
丟棄封包。
緩慢吞吐量。
5. Bandwidth Management:您可以在 WAN 界面設定對外和對內流量上應用頻寬管理。啟用它對內的頻寬值( Kbps)在需要的界面。頻寬管理會導致吞吐量下降,如果配置不當。舉例來說,如果在 BWM 被啟用的界面上沒有設定的頻寬值,即使沒有訪問規則與 BWM 設置配置,對外和對內流量穿越該鏈接將被調整為預設值(384Kbps)。
推薦:如果不需要,禁用 Bandwidth Management。
6. 啟用 Fragmented Packet Handling in VPN Advanced settings:啟用 Fragmented 將有助於 SonicWALL的 處理零散的 IPsec 封包。
推薦:建議啟用此選項,並不勾選 Ignore DF Bit 。
7. Allow Fragmented Packets in Access Rules:此選項是預設啟用的,最好的做法是,保持它的啟用。
8. 檢查 Connections Monitor,以確定是否在網絡中的主機發出大量的連接:如果主機在網絡中已經感染了惡意軟件,它會打開,隨機,數百或數千個連接到互聯網,以及其他內部網絡。Connections Monitor 顯示的實時視圖,並通過 SonicWALL 安全設備的所有連接。
推薦:嘗試隔離主機和從網絡拔下,直到惡意軟件已被刪除。
9. 故障轉移及負載平衡:吞吐量問題已經被發現到當啟用此選項並設為 Round Robin 但沒有設置一個 probe monitoring IP地址。在這樣的情況下,流量會被發送到 WAN 的連接,即使該連接已經中斷,從而造成封包丟棄和惡化的吞吐量。
推薦:配置 probe monitoring 的 IP 地址。
10. Connections:檢查 Connections Monitor 來確定網絡中的主機是否正在大量的下載。
11. 規則和 NAT 策略:刪除不正確的,不必要的訪問規則和 NAT 策略。如果可能的話盡量群組不同的訪問規則,服務群組一起使用。
12. Name Resolution Method under Log > Name Resolution 設置為“None” 。
13. IP Re-assembly:Security Services > IPS > Configure。啟用此選項將確保掃描之前零散的數據包將被重新組裝。 NSA 設備選項已更改為“Enable IP fragment reassembly in DPI”。啟用或禁用此選項會影響整個DPI引擎。
推薦:建議保持默認設置。
14. 最大安全性和性能優化設置下的安全服務設置:這是全局設置的保安服務。在預設情況下 Maximum Security 是啟用的,是推薦設置。然而,為改善性能,安全設置可以設置為 Performance Optimized。通過啟用該選項,將檢查所有的 SonicWALL 含量高或中等威脅概率。此選項是頻寬或 CPU 密集型閘道部署的理想選擇。
15. 設置 DPI 和 TCP 的 diag.html 視窗大小:
在diag.html,
a)勾選“Enable enforcement of a limit on maximum allowed advertised TCP window with any DPI-based service enabled”
b)設置值256。
16. 設定 IPS 以獲得更好的性能:SonicWALL 入侵防護服務的 CPU 利用率和頻寬消耗很大一部分。因此,最好是配置IPS ,使不妨礙網絡性能並擁有很好的保護。
IPS 分為三個特徵組 - 高,中,低優先級攻擊。
高,中等優先級攻擊幾乎總是可以被視為敵對的流量。
另一方面,低優先級攻擊有時可能不會是本身的攻擊,但用戶操作,在網絡環境中,網絡管理員可能認為不需要。對等或即時消息應用程序都使用這種類型的例子。
推薦:以下設置,建議IPS :
使用IPS全局設置以啟用該選項偵測所有的所有三個IPS特徵組。
使用IPS全局設置以啟用該選項阻止所有的高,中等優先級IPS特徵組。
禁用預防低優先級的攻擊。此設置不會防止低優先級流量。
然而,以下的低優先級類別的特徵可以單獨啟用防護:
Attack-Responses
Backdoor
Bad-Traffic
DDOS
DNS
DOS
Exploit
Finger
FTP
IMAP
MS-SQL
20
MS-SQL/SMB
P2P
Proxy-Access
Scan
SMTP
SNMP
Virus (not to be confused with the Gateway Antivirus)
Web-attacks
Web-CGI
Web-Coldfusion
Web-Frontpage
Web-IIS
Web-Misc
Web-PHP
17. 設定 Anti-spyware 以獲得更好的性能優化:建議設置 SonicWALL 防間諜軟件服務:
使用反間諜軟件的全局設置以啟用該選項為所有三個反間諜軟件特徵組,即偵測所有。高,中,低危險度的間諜軟件。
使用反間諜軟件的全局設置,啟用該選項阻止所有高,中危險級間諜軟件特徵組。
禁用預防低危險級間諜軟件。此設置不會阻止低危險級間諜軟件的流量。
啟用 Inbound Inspection 所有列表協議。
啟用 Inspection of Outbound Spyware Communication。
本文來自 SonicWALL 官方 Knowledge Base 網頁,僅進行簡單的翻譯。
來源網址
沒有留言:
張貼留言