مرحبا زملائي! أود اليوم مناقشة موضوع وثيق الصلة بالعديد من مسؤولي Check Point ، "CPU and RAM Optimization". ليس من غير المألوف أن تستهلك البوابة و / أو خادم الإدارة بشكل غير متوقع العديد من هذه الموارد ، ويود المرء أن يفهم أين "تتسرب" ، وإذا أمكن ، استخدامها بكفاءة أكبر.
1. التحليل
لتحليل حمل المعالج ، من المفيد استخدام الأوامر التالية التي تم إدخالها في وضع الخبير:
تيشرت يعرض جميع العمليات وكمية موارد وحدة المعالجة المركزية وذاكرة الوصول العشوائي المستهلكة في المائة ووقت التشغيل وأولوية العملية و في الوقت الحقيقيи
قائمة cpwd_admin Check Point WatchDog Daemon ، الذي يعرض جميع وحدات appline و PID والحالة وعدد مرات التشغيل
cpstat -f وحدة المعالجة المركزية استخدام وحدة المعالجة المركزية وعددها وتوزيع وقت المعالج بالنسبة المئوية
cpstat -f نظام تشغيل الذاكرة استخدام ذاكرة الوصول العشوائي الافتراضية ، ومدى نشاطها ، وذاكرة الوصول العشوائي المجانية والمزيد
الملاحظة الصحيحة هي أنه يمكن عرض جميع أوامر cpstat باستخدام الأداة المساعدة com.cpview. للقيام بذلك ، ما عليك سوى إدخال الأمر cpview من أي وضع في جلسة SSH.
ملاحظة auxwf قائمة طويلة من جميع العمليات ، معرفهم ، الذاكرة الظاهرية والذاكرة المشغولة في ذاكرة الوصول العشوائي ، وحدة المعالجة المركزية
تباين آخر للأمر:
ps-aF تظهر أغلى عملية
fw ctl تقارب -l -a توزيع النوى لمثيلات مختلفة من جدار الحماية ، أي تقنية CoreXL
مهاجم ctl pstat تحليل ذاكرة الوصول العشوائي والمؤشرات العامة للاتصالات وملفات تعريف الارتباط و NAT
حر م ذاكرة الوصول العشوائي العازلة
الفريق يستحق اهتماما خاصا. نتسات واختلافاته. على سبيل المثال، نتستت -i يمكن أن تساعد في حل مشكلة مراقبة الحافظة. تميل المعلمة ، حزم RX المسقطة (RX-DRP) في إخراج هذا الأمر إلى النمو من تلقاء نفسها بسبب قطرات من البروتوكولات غير المشروعة (IPv6 ، وعلامات VLAN سيئة / غير مقصودة ، وغيرها). ومع ذلك ، إذا حدثت قطرات لسبب آخر ، فعليك استخدام هذا لبدء التحقيق في سبب إسقاط واجهة الشبكة هذه للحزم. معرفة السبب ، يمكن أيضًا تحسين تشغيل التطبيق.
إذا تم تمكين شفرة المراقبة ، فيمكنك عرض هذه المقاييس بيانياً في SmartConsole عن طريق النقر فوق كائن وتحديد معلومات الجهاز والترخيص.
لا يوصى بتمكين شفرة المراقبة بشكل مستمر ، ولكن من الممكن تمامًا إجراء اختبار ليوم واحد.
علاوة على ذلك ، يمكنك إضافة المزيد من المعلمات للمراقبة ، أحدها مفيد جدًا - نقل البايت (عرض النطاق الترددي للتطبيق).
إذا كان هناك نظام مراقبة آخر ، على سبيل المثال ، مجاني ، الذي يعتمد على SNMP ، فهو مناسب أيضًا لتحديد هذه المشكلات.
2. "تسرب" ذاكرة الوصول العشوائي مع مرور الوقت
غالبًا ما يطرح السؤال أنه بمرور الوقت ، تبدأ البوابة أو خادم الإدارة في استهلاك المزيد والمزيد من ذاكرة الوصول العشوائي. أريد أن أطمئنكم: هذه قصة عادية للأنظمة الشبيهة بلينكس.
النظر في إخراج الأمر حر م и cpstat -f نظام تشغيل الذاكرة في التطبيق من وضع الخبير ، يمكنك حساب وعرض جميع المعلمات المتعلقة بذاكرة الوصول العشوائي.
بناءً على الذاكرة المتوفرة على البوابة في الوقت الحالي ذاكرة حرة + ذاكرة مخازن + ذاكرة مخبأة = + -1.5 جيجابايت، عادة.
كما يقول CP ، يتم تحسين خادم البوابة / الإدارة بمرور الوقت ويستخدم المزيد والمزيد من الذاكرة ، واستخدام يصل إلى حوالي 80٪ ، ويتوقف. يمكنك إعادة تشغيل الجهاز ثم إعادة ضبط المؤشر. 1.5 غيغابايت من ذاكرة الوصول العشوائي المجانية كافية بالتأكيد للبوابة لأداء جميع المهام ، ونادرًا ما تصل الإدارة إلى هذه القيم العتبة.
أيضًا ، سيُظهر إخراج الأوامر المذكورة كم لديك ذاكرة منخفضة (ذاكرة الوصول العشوائي في مساحة المستخدم) و ذاكرة عالية (ذاكرة الوصول العشوائي في مساحة النواة) مستخدمة.
عمليات Kernel (بما في ذلك الوحدات النمطية النشطة مثل وحدات Check Point kernel النمطية) تستخدم ذاكرة منخفضة فقط. ومع ذلك ، يمكن أن تستخدم عمليات المستخدم كلاً من الذاكرة المنخفضة والعالية. علاوة على ذلك ، الذاكرة المنخفضة تساوي تقريبًا إجمالي الذاكرة.
لا داعي للقلق إلا في حالة وجود أخطاء في السجلات "إعادة تشغيل الوحدات النمطية أو توقف العمليات لاستعادة الذاكرة بسبب OOM (نفاد الذاكرة)". ثم يجب عليك إعادة تشغيل البوابة والاتصال بالدعم إذا لم تساعد إعادة التشغيل.
يمكن العثور على وصف كامل في и .
3. التحسين
فيما يلي أسئلة وأجوبة حول تحسين وحدة المعالجة المركزية وذاكرة الوصول العشوائي. يجب عليك الإجابة عليها بصدق على نفسك والاستماع إلى التوصيات.
3.1. هل تم اختيار upline بشكل صحيح؟ هل كان هناك مشروع تجريبي؟
على الرغم من الحجم المناسب ، يمكن للشبكة أن تنمو ببساطة ، ولا تستطيع هذه المعدات ببساطة التعامل مع الحمل. الخيار الثاني ، إذا لم يكن هناك تحجيم على هذا النحو.
3.2 هل تم تمكين فحص HTTPS؟ إذا كان الأمر كذلك ، فهل تم تكوين التقنية وفقًا لأفضل الممارسات؟
تشير إلى إذا كنت عميلنا ، أو .
ترتيب القواعد في سياسة فحص HTTPS له أهمية كبيرة في تحسين فتح مواقع HTTPS.
ترتيب القواعد الموصى به:
- تجاوز القواعد بالفئات / عناوين URL
- فحص القواعد بالفئات / عناوين URL
- فحص القواعد لجميع الفئات الأخرى
بالتشابه مع سياسة جدار الحماية ، تبحث Check Point عن حزمة مطابقة من أعلى إلى أسفل ، لذلك من الأفضل وضع قواعد التجاوز في الأعلى ، نظرًا لأن البوابة لن تهدر الموارد عند تشغيل جميع القواعد إذا كانت هذه الحزمة بحاجة إلى تخطي.
3.3 هل كائنات نطاق العنوان مستخدمة؟
الكائنات التي تحتوي على مجموعة من العناوين ، مثل الشبكة 192.168.0.0-192.168.5.0 ، تستهلك ذاكرة وصول عشوائي (RAM) أكبر بكثير من 5 كائنات على الشبكة. بشكل عام ، يُعد حذف الكائنات غير المستخدمة في SmartConsole ممارسة جيدة ، نظرًا لأنه في كل مرة يتم فيها تعيين سياسة ، تنفق البوابة وخادم الإدارة الموارد ، والأهم من ذلك ، الوقت للتحقق من السياسة وتطبيقها.
3.4. كيف يتم تكوين سياسة منع التهديدات؟
بادئ ذي بدء ، توصي Check Point بنقل IPS إلى ملف تعريف منفصل وإنشاء قواعد منفصلة لهذه الشفرة.
على سبيل المثال ، يعتقد المسؤول أنه يجب حماية مقطع DMZ فقط باستخدام IPS. لذلك ، حتى لا تهدر البوابة الموارد على معالجة الحزم بواسطة شفرات أخرى ، من الضروري إنشاء قاعدة خاصة لهذا المقطع بملف تعريف يتم فيه تمكين IPS فقط.
فيما يتعلق بإعداد ملفات التعريف ، يوصى بإعدادها وفقًا لأفضل الممارسات في هذا الشأن (الصفحات 17-20).
3.5 كم عدد التوقيعات في وضع الكشف في إعدادات IPS؟
يوصى بالعمل الجاد على التوقيعات بمعنى أنه يجب تعطيل التوقيعات غير المستخدمة (على سبيل المثال ، تتطلب التوقيعات الخاصة بتشغيل منتجات Adobe قدرًا كبيرًا من القوة الحاسوبية ، وإذا لم يكن لدى العميل مثل هذه المنتجات ، فمن المنطقي تعطيلها التوقيعات). ثم ضع "منع" بدلاً من "كشف" حيثما كان ذلك ممكنًا ، نظرًا لأن البوابة تنفق الموارد على معالجة الاتصال بالكامل في وضع "الكشف" ، في وضع "منع" ، تقوم فورًا بإلغاء الاتصال ولا تهدر الموارد على المعالجة الكاملة للحزمة.
3.6 ما هي الملفات التي تتم معالجتها بواسطة شفرات Threat Emulation ، و Threat Extraction ، و Anti-Virus؟
لا معنى لمحاكاة وتحليل ملفات الامتداد التي لا يقوم المستخدمون بتنزيلها أو تعتبرها غير ضرورية على شبكتك (على سبيل المثال ، يمكن حظر ملفات bat و exe بسهولة باستخدام شفرة Content Awareness على مستوى جدار الحماية ، لذلك ستكون موارد البوابة كذلك أنفقت أقل). علاوة على ذلك ، في إعدادات Threat Emulation ، يمكنك تحديد البيئة (نظام التشغيل) لمحاكاة التهديدات في وضع الحماية وتثبيت بيئة Windows 7 عندما يعمل جميع المستخدمين مع الإصدار العاشر ، فهذا غير منطقي أيضًا.
3.7 هل تم وضع قواعد جدار الحماية وطبقة التطبيقات وفقًا لأفضل الممارسات؟
إذا كانت القاعدة تحتوي على الكثير من النتائج (المطابقات) ، فمن المستحسن وضعها في القمة ، والقواعد مع عدد قليل من النتائج - في الأسفل. الشيء الرئيسي هو التأكد من أنها لا تتقاطع ولا تتداخل مع بعضها البعض. بنية سياسة جدار الحماية الموصى بها:
التفسير:
القواعد الأولى - القواعد التي تحتوي على أكبر عدد من التطابقات موضوعة هنا
قاعدة الضوضاء - قاعدة لإسقاط حركة المرور الزائفة مثل NetBIOS
قاعدة التخفي - حظر الوصول إلى البوابات والإدارة للجميع ، باستثناء تلك المصادر التي تم تحديدها في قواعد المصادقة على البوابة
عادةً ما يتم دمج قواعد التنظيف و Last و Drop في قاعدة واحدة لحظر كل ما لم يكن مسموحًا به من قبل
تم وصف بيانات أفضل الممارسات في .
3.8 ما هي إعدادات الخدمات التي أنشأها المسؤولون؟
على سبيل المثال ، يتم إنشاء بعض خدمات TCP على منفذ معين ، ومن المنطقي إلغاء تحديد "مطابقة لأي شيء" في الإعدادات المتقدمة للخدمة. في هذه الحالة ، ستندرج هذه الخدمة على وجه التحديد ضمن القاعدة التي تظهر فيها ، ولن تشارك في القواعد حيث يوجد Any في عمود الخدمات.
عند الحديث عن الخدمات ، تجدر الإشارة إلى أنه في بعض الأحيان يكون من الضروري تعديل المهلات. سيسمح لك هذا الإعداد باستخدام موارد البوابة بشكل أكثر ذكاءً ، حتى لا تحتفظ بوقت جلسة TCP / UDP إضافي للبروتوكولات التي لا تحتاج إلى مهلة كبيرة. على سبيل المثال ، في لقطة الشاشة أدناه ، قمت بتغيير مهلة خدمة domain-udp من 40 ثانية إلى 30 ثانية.
3.9 هل يتم استخدام SecureXL وما هي نسبة التسريع؟
يمكنك التحقق من جودة SecureXL من خلال الأوامر الرئيسية في وضع الخبراء على البوابة stats и مهاجم تسريع -s. بعد ذلك ، تحتاج إلى معرفة نوع حركة المرور التي تتسارع ، وما هي القوالب (القوالب) التي يمكنك إنشاء المزيد منها.
افتراضيًا ، لا يتم تمكين إفلات القوالب ، وسيكون لتمكينها تأثير إيجابي على تشغيل SecureXL. للقيام بذلك ، انتقل إلى إعدادات البوابة وعلامة التبويب التحسينات:
أيضًا ، عند العمل مع مجموعة ، لتحسين وحدة المعالجة المركزية ، يمكنك تعطيل مزامنة الخدمات غير الهامة ، مثل UDP DNS و ICMP وغيرها. للقيام بذلك ، انتقل إلى إعدادات الخدمة → متقدم → تم تمكين مزامنة اتصالات مزامنة الحالة على الكتلة.
جميع أفضل الممارسات موصوفة في .
3.10. كيف يتم استخدام CoreXl؟
تساعد تقنية CoreXL ، التي تتيح لك استخدام وحدات المعالجة المركزية المتعددة لمثيلات جدار الحماية (وحدات جدار الحماية) ، بالتأكيد على تحسين أداء الجهاز. الفريق أولا fw ctl تقارب -l -a سيعرض مثيلات جدار الحماية المستخدمة والمعالجات التي تم تسليمها إلى SND المطلوب (وحدة توزع حركة المرور إلى كيانات جدار الحماية). إذا لم يتم تضمين جميع المعالجات ، فيمكن إضافتها بالأمر cpconfig عند البوابة.
أيضا قصة جيدة لوضعها لتمكين Multi-Queue. تعمل خاصية Multi-Queue على حل المشكلة عند استخدام المعالج المزود بـ SND بنسبة كبيرة ، وتكون مثيلات جدار الحماية في المعالجات الأخرى خاملة. عندئذٍ ، سيكون SND قادرًا على إنشاء العديد من قوائم الانتظار لبطاقة NIC واحدة وتعيين أولويات مختلفة لحركة مرور مختلفة على مستوى kernel. وبالتالي ، سيتم استخدام نوى وحدة المعالجة المركزية بشكل أكثر ذكاءً. الطرق موصوفة أيضًا في .
في الختام ، أود أن أقول إن هذه ليست أفضل الممارسات لتحسين Check Point ، ولكنها الأكثر شيوعًا. إذا كنت ترغب في طلب تدقيق سياسة الأمان الخاصة بك أو حل مشكلة Check Point ، فيرجى الاتصال [البريد الإلكتروني محمي].
شكرا لك!
المصدر: www.habr.com