Hallo kollegas! Vandag wil ek 'n baie relevante onderwerp vir baie Check Point-administrateurs bespreek: "Optimalisering van SVE en RAM." Daar is dikwels gevalle waar die poort en/of bestuurbediener onverwags baie van hierdie hulpbronne verbruik, en ek wil graag verstaan waarheen hulle “vloei” en, indien moontlik, dit meer intelligent gebruik.
1. Ontleding
Om die verwerkerlading te ontleed, is dit nuttig om die volgende opdragte te gebruik, wat in deskundige modus ingevoer word:
Top wys alle prosesse, die hoeveelheid SVE en RAM-hulpbronne wat as 'n persentasie verbruik word, uptyd, prosesprioriteit en in reële tydи
cpwd_admin lys Check Point WatchDog Daemon, wat alle toepassingsmodules, hul PID, status en aantal begin wys
cpstat -f cpu os SVE-gebruik, hul aantal en verspreiding van verwerkertyd as 'n persentasie
cpstat -f geheue os virtuele RAM-gebruik, hoeveel aktief, gratis RAM en meer
Die korrekte opmerking is dat alle cpstat-opdragte met die hulpprogram bekyk kan word cpview. Om dit te doen, hoef jy net die cpview-opdrag van enige modus in die SSH-sessie in te voer.
ps auxwf 'n lang lys van alle prosesse, hul ID, beset virtuele geheue en geheue in RAM, SVE
Ander opdrag variasies:
ps-aF sal die duurste proses wys
fw ctl affiniteit -l -a verspreiding van kerns vir verskillende firewall-gevalle, dit wil sê CoreXL-tegnologie
fw ctl pstat RAM-analise en algemene verbindingsaanwysers, koekies, NAT
vrye-m RAM buffer
Die span verdien spesiale aandag netsat en sy variasies. Byvoorbeeld, netstat -i kan help om die probleem van monitering van knipborde op te los. Die parameter, RX-verlaat pakkies (RX-DRP) in die uitvoer van hierdie opdrag, groei as 'n reël op sy eie as gevolg van druppels van onwettige protokolle (IPv6, Bad / Onbedoelde VLAN-etikette en ander). As druppels egter om 'n ander rede voorkom, moet u dit gebruik om te begin ondersoek en verstaan waarom 'n gegewe netwerkkoppelvlak pakkies laat val. Nadat die rede uitgevind is, kan die werking van die toepassing ook geoptimaliseer word.
As die moniteringslem geaktiveer is, kan jy hierdie maatstawwe grafies in SmartConsole bekyk deur op die voorwerp te klik en "Toestel- en lisensie-inligting" te kies.
Dit word nie aanbeveel om die moniteringslem permanent aan te skakel nie, maar vir 'n dag vir toetsing is dit heel moontlik.
Boonop kan u meer parameters vir monitering byvoeg, een daarvan is baie nuttig - Bytes-deurset (toepassingsdeurset).
As daar 'n ander moniteringstelsel is, byvoorbeeld, gratis , gebaseer op SNMP, is dit ook geskik om hierdie probleme te identifiseer.
2. RAM lek oor tyd
Die vraag ontstaan dikwels dat die poort- of bestuurbediener met verloop van tyd meer en meer RAM begin verbruik. Ek wil jou gerusstel: dit is 'n normale storie vir Linux-agtige stelsels.
Kyk na die uitvoer van die opdragte vrye-m и cpstat -f geheue os op die toepassing vanaf kundige modus, kan u alle parameters wat met RAM verband hou, bereken en bekyk.
Gebaseer op die beskikbare geheue op die poort op die oomblik Gratis geheue + Buffers Geheue + Gekas geheue = +-1.5 GB, gewoonlik.
Soos CP sê, met verloop van tyd optimaliseer en gebruik die poort/bestuurbediener meer en meer geheue, bereik ongeveer 80% benutting, en stop. Jy kan die toestel herbegin, en dan sal die aanwyser teruggestel word. 1.5 GB gratis RAM is presies genoeg vir die poort om alle take uit te voer, en bestuur bereik selde sulke drempelwaardes.
Die uitsette van die genoemde opdragte sal ook wys hoeveel jy het lae geheue (RAM in gebruikersruimte) en Hoë geheue (RAM in kernspasie) gebruik.
Kernprosesse (insluitend aktiewe modules soos Check Point kernmodules) gebruik slegs Lae geheue. Gebruikersprosesse kan egter beide Lae en Hoë geheue gebruik. Boonop is Lae geheue ongeveer gelyk aan Totale geheue.
Jy moet net bekommerd wees as daar foute in die logs is "modules herlaai of prosesse word doodgemaak om geheue te herwin as gevolg van OOM (Onvol geheue)". Dan moet jy die poort herlaai en ondersteuning kontak as die herlaai nie help nie.
'n Volledige beskrywing kan gevind word in и .
3. Optimalisering
Hieronder is vrae en antwoorde oor die optimalisering van SVE en RAM. Jy moet hulle eerlik teenoor jouself beantwoord en na die aanbevelings luister.
3.1. Is die toepassing korrek gekies? Was daar 'n loodsprojek?
Ten spyte van behoorlike grootte, kan die netwerk eenvoudig groei, en hierdie toerusting kan eenvoudig nie die las hanteer nie. Die tweede opsie is as daar geen grootte as sodanig was nie.
3.2. Is HTTPS-inspeksie geaktiveer? Indien wel, is die tegnologie volgens Beste Praktyk opgestel?
Verwys na , as jy ons kliënt is, of om .
Die volgorde van die reëls in die HTTPS-inspeksiebeleid speel 'n groot rol in die optimalisering van die opening van HTTPS-werwe.
Aanbevole volgorde van reëls:
- Omseil reëls met kategorieë/URL'e
- Inspekteer reëls met kategorieë/URL'e
- Inspekteer reëls vir alle ander kategorieë
In analogie met die firewall-beleid soek Check Point vir 'n passing deur pakkies van bo na onder, dus is dit beter om die omseilreëls bo te plaas, aangesien die poort nie hulpbronne sal mors om deur al die reëls te hardloop as hierdie pakkie nodig het nie. geslaag te word.
3.3 Word adresreeksobjekte gebruik?
Voorwerpe met 'n adresreeks, byvoorbeeld die netwerk 192.168.0.0-192.168.5.0, neem aansienlik meer RAM op as 5 netwerkvoorwerpe. Oor die algemeen word dit as goeie praktyk beskou om ongebruikte voorwerpe in SmartConsole te verwyder, aangesien elke keer as 'n beleid geïnstalleer word, spandeer die poort en bestuurbediener hulpbronne en, die belangrikste, tyd, om die beleid te verifieer en toe te pas.
3.4. Hoe is die Bedreigingsvoorkomingsbeleid opgestel?
Eerstens beveel Check Point aan om IPS in 'n aparte profiel te plaas en aparte reëls vir hierdie lem te skep.
Byvoorbeeld, 'n administrateur glo dat die DMZ-segment slegs met IPS beskerm moet word. Daarom, om te verhoed dat die poort hulpbronne mors op die verwerking van pakkies deur ander lemme, is dit nodig om 'n reël spesifiek vir hierdie segment te skep met 'n profiel waarin slegs IPS geaktiveer is.
Wat die opstel van profiele betref, word dit aanbeveel om dit volgens beste praktyke hierin op te stel (bladsye 17-20).
3.5. Hoeveel handtekeninge is daar in die Bespeur-modus in die IPS-instellings?
Dit word aanbeveel om handtekeninge noukeurig te bestudeer in die sin dat ongebruikte gedeaktiveer moet word (byvoorbeeld, handtekeninge vir die bedryf van Adobe-produkte vereis baie rekenaarkrag, en as die kliënt nie sulke produkte het nie, maak dit sin om handtekeninge te deaktiveer). Plaas dan Voorkom in plaas van Bespeur waar moontlik, want die poort spandeer hulpbronne om die hele verbinding in Bespeur-modus in Voorkom-modus te verwerk, dit gooi die verbinding onmiddellik weg en mors nie hulpbronne op die volledige verwerking van die pakkie nie.
3.6. Watter lêers word deur Threat Emulation, Threat Extraction, Anti-Virus lemme verwerk?
Dit maak geen sin om lêers van uitbreidings wat u gebruikers nie aflaai nie, of wat u as onnodig op u netwerk beskou, na te boots en te ontleed (byvoorbeeld vlermuis-, exe-lêers kan maklik geblokkeer word deur die inhoudbewustheid-lem op die brandmuurvlak te gebruik, dus minder poort hulpbronne bestee sal word). Verder, in die Threat Emulation-instellings kan jy Omgewing (bedryfstelsel) kies om bedreigings in die sandbox na te boots en die installering van Omgewing Windows 7 wanneer alle gebruikers met weergawe 10 werk, maak ook nie sin nie.
3.7. Is firewall- en toepassingsvlakreëls in ooreenstemming met beste praktyk gereël?
As 'n reël baie treffers (wedstryde) het, word dit aanbeveel om dit heel bo te plaas, en reëls met 'n klein aantal treffers - heel onder. Die belangrikste ding is om te verseker dat hulle nie mekaar kruis of oorvleuel nie. Aanbevole brandmuurbeleidargitektuur:
Verduidelikings:
Eerste reëls - reëls met die grootste aantal wedstryde word hier geplaas
Geraasreël - 'n reël vir die weggooi van valse verkeer soos NetBIOS
Stealth Rule - verbied oproepe na gateways en besture na almal behalwe daardie bronne wat in die Authentication to Gateway-reëls gespesifiseer is
Opruim-, Laaste- en Los-reëls word gewoonlik in een reël gekombineer om alles wat nie voorheen toegelaat is nie, te verbied
Beste praktykdata word beskryf in .
3.8. Watter instellings het die dienste wat deur administrateurs geskep is?
Byvoorbeeld, sommige TCP-diens word op 'n spesifieke poort geskep, en dit maak sin om "Pas vir enige" in die Gevorderde instellings van die diens te ontmerk. In hierdie geval sal hierdie diens spesifiek val onder die reël waarin dit verskyn, en sal nie deelneem aan die reëls waar Enige in die Dienste-kolom gelys is nie.
As ons oor dienste praat, is dit die moeite werd om te noem dat dit soms nodig is om uitteltyd aan te pas. Hierdie instelling sal jou toelaat om die gateway-hulpbronne verstandig te gebruik, om nie ekstra tyd te hou vir TCP/UDP-sessies van protokolle wat nie 'n groot time-out benodig nie. Byvoorbeeld, in die skermkiekie hieronder het ek die domein-udp-dienstydperk van 40 sekondes na 30 sekondes verander.
3.9. Word SecureXL gebruik en wat is die versnellingspersentasie?
U kan die kwaliteit van SecureXL nagaan deur basiese opdragte in deskundige modus op die poort te gebruik fwaccel statistiek и fw accel stats -s. Vervolgens moet u uitvind watter soort verkeer versnel word en watter ander sjablone geskep kan word.
Drop Templates is nie by verstek geaktiveer nie, sal SecureXL baat. Om dit te doen, gaan na die poortinstellings en die Optimalisasies-oortjie:
Ook, wanneer jy met 'n groep werk om die SVE te optimaliseer, kan jy sinchronisasie van nie-kritieke dienste, soos UDP DNS, ICMP en ander, deaktiveer. Om dit te doen, gaan na die diensinstellings → Gevorderd → Sinchroniseer verbindings van staatsinchronisasie is geaktiveer op die groepering.
Alle beste praktyke word beskryf in .
3.10. Hoe word CoreXl gebruik?
CoreXL-tegnologie, wat die gebruik van veelvuldige SVE's vir firewall-gevalle (firewall-modules) moontlik maak, help beslis om die werking van die toestel te optimaliseer. Span eerste fw ctl affiniteit -l -a sal die firewall-gevalle wat gebruik word en die verwerkers wat aan die SND toegewys is ('n module wat verkeer na firewall-entiteite versprei) wys. As nie alle verwerkers gebruik word nie, kan hulle bygevoeg word met die opdrag cpconfig by die poort.
Ook 'n goeie storie is om te sit om Multi-Wou te aktiveer. Multi-Wue los die probleem op wanneer die verwerker met SND teen baie persent gebruik word, en firewall-gevalle op ander verwerkers is ledig. Dan sal SND die vermoë hê om baie toue vir een NIC te skep en verskillende prioriteite vir verskillende verkeer op kernvlak te stel. Gevolglik sal SVE-kerns meer intelligent gebruik word. Die metodes word ook beskryf in .
Ten slotte wil ek sê dat dit nie al die beste praktyke is om Check Point te optimaliseer nie, maar dit is die gewildste. As jy 'n oudit van jou sekuriteitsbeleid wil bestel of 'n probleem met betrekking tot Check Point wil oplos, kontak asseblief [e-pos beskerm].
Skep 'n nuwe weergawe!
Bron: will.com