Salam həmkarlar! Bu gün bir çox Check Point inzibatçıları üçün çox aktual bir mövzu olan "CPU və RAM Optimizasiyası" mövzusunu müzakirə etmək istərdim. Şluz və/və ya idarəetmə serverinin gözlənilmədən bu resursların çoxunu istehlak etməsi qeyri-adi deyil və onların harada “sızdığını” anlamaq və mümkünsə, onlardan daha bacarıqlı istifadə etmək istərdik.
1. Təhlil
Prosessor yükünü təhlil etmək üçün ekspert rejimində daxil edilən aşağıdakı əmrlərdən istifadə etmək faydalıdır:
yuxarı bütün prosesləri, istehlak olunan CPU və RAM resurslarının miqdarını faizlə, iş vaxtını, proses prioritetini və göstərir real vaxtdaи
cpwd_admin siyahısı Bütün tətbiq modullarını, onların PID-lərini, statusunu və qaçış sayını göstərən Check Point WatchDog Daemon
cpstat -f cpu əməliyyat sistemi CPU istifadəsi, onların sayı və prosessor vaxtının faizlə paylanması
cpstat -f yaddaş əməliyyat sistemi virtual RAM-dan istifadə, nə qədər aktiv, pulsuz RAM və s
Düzgün qeyd odur ki, bütün cpstat əmrlərinə yardımçı proqramdan istifadə etməklə baxmaq olar cpview. Bunun üçün sadəcə SSH sessiyasında istənilən rejimdən cpview əmrini daxil etməlisiniz.
ps auxwf bütün proseslərin uzun siyahısı, onların ID-si, işğal edilmiş virtual yaddaş və RAM, CPU-da yaddaş
Komandanın başqa bir variantı:
ps-aF ən bahalı prosesi göstərin
fw ctl yaxınlıq -l -a firewallun müxtəlif nümunələri üçün nüvələrin paylanması, yəni CoreXL texnologiyası
fw ctl pstat RAM təhlili və əlaqələrin ümumi göstəriciləri, kukilər, NAT
pulsuz -m RAM buferi
Komanda xüsusi diqqətə layiqdir. netsat və onun variasiyaları. Misal üçün, netstat -i panoların monitorinqi problemini həll etməyə kömək edə bilər. Bu əmrin çıxışında RX buraxılmış paketlər (RX-DRP) parametri qeyri-qanuni protokol düşməsi (IPv6, Bad / Uninteded VLAN tags və s.) səbəbindən öz-özünə böyüməyə meyllidir. Ancaq damlalar başqa bir səbəbdən baş verərsə, bundan istifadə etməlisiniz bu şəbəkə interfeysinin niyə paketləri buraxdığını araşdırmağa başlamaq üçün. Səbəbini bilməklə, tətbiqin işini də optimallaşdırmaq olar.
Monitorinq bıçağı aktivdirsə, siz obyektin üzərinə klikləyərək və Cihaz və Lisenziya Məlumatını seçməklə SmartConsole-da bu göstəricilərə qrafik olaraq baxa bilərsiniz.
Monitorinq bıçağının davamlı olaraq aktivləşdirilməsi tövsiyə edilmir, lakin sınaq üçün bir gün ərzində olduqca mümkündür.
Üstəlik, monitorinq üçün daha çox parametr əlavə edə bilərsiniz, onlardan biri çox faydalıdır - Bytes Throughput (tətbiq bant genişliyi).
Başqa bir monitorinq sistemi varsa, məsələn, pulsuz SNMP-ə əsaslanan , bu problemləri müəyyən etmək üçün də uyğundur.
2. RAM zamanla “sızır”
Tez-tez sual yaranır ki, zaman keçdikcə şlüz və ya idarəetmə serveri getdikcə daha çox RAM istehlak etməyə başlayır. Sizi əmin etmək istəyirəm: bu, Linux-a bənzər sistemlər üçün normal bir hekayədir.
Komanda çıxışına baxırıq pulsuz -m и cpstat -f yaddaş əməliyyat sistemi Tətbiqdə ekspert rejimində RAM ilə bağlı bütün parametrləri hesablaya və baxa bilərsiniz.
Hal-hazırda şlüzdə mövcud yaddaş əsasında Pulsuz yaddaş + Bufer Yaddaş + Keşlənmiş Yaddaş = +-1.5 GB, adətən.
CP-nin dediyi kimi, zaman keçdikcə şlüz/idarəetmə serveri optimallaşdırılır və getdikcə daha çox yaddaş istifadə edir, təxminən 80%-ə qədər istifadə edir və dayanır. Siz cihazı yenidən işə sala bilərsiniz və bundan sonra göstərici sıfırlanacaq. Şluzun bütün tapşırıqları yerinə yetirməsi üçün 1.5 GB pulsuz RAM mütləq kifayətdir və idarəetmə nadir hallarda belə həddə çatır.
Həmçinin qeyd olunan əmrlərin çıxışı sizin nə qədəriniz olduğunu göstərəcək aşağı yaddaş (istifadəçi məkanında RAM) və yüksək yaddaş (kernel məkanında RAM) istifadə olunur.
Nüvə prosesləri (Check Point kernel modulları kimi aktiv modullar daxil olmaqla) yalnız Aşağı yaddaşdan istifadə edir. Bununla belə, istifadəçi prosesləri həm Aşağı, həm də Yüksək yaddaşdan istifadə edə bilər. Üstəlik, Aşağı yaddaş təxminən bərabərdir Ümumi Yaddaş.
Yalnız qeydlərdə səhvlər olduqda narahat olmalısınız "modullar yenidən işə salınır və ya OOM (Yaddaş bitdi) səbəbindən yaddaşı bərpa etmək üçün proseslər məhv edilir". Sonra şlüzü yenidən başlatmalı və yenidən yükləmə kömək etmədikdə dəstək xidməti ilə əlaqə saxlamalısınız.
Tam təsviri burada tapa bilərsiniz и .
3. Optimallaşdırma
Aşağıda CPU və RAM optimallaşdırılması ilə bağlı suallar və cavablar var. Onlara özünüzə dürüst cavab verməli və tövsiyələrə qulaq asmalısınız.
3.1. Üst xətt düzgün seçilibmi? Pilot layihə olubmu?
Bacarıqlı ölçülərə baxmayaraq, şəbəkə sadəcə böyüyə bilər və bu avadanlıq sadəcə yükün öhdəsindən gələ bilmir. İkinci seçim, əgər belə bir ölçü olmasaydı.
3.2. HTTPS yoxlaması aktivdir? Əgər belədirsə, texnologiya Ən Yaxşı Təcrübəyə uyğun olaraq konfiqurasiya edilibmi?
istinad edin Əgər bizim müştərimizsinizsə və ya .
HTTPS yoxlama siyasətində qaydaların ardıcıllığı HTTPS saytlarının açılmasının optimallaşdırılmasında böyük əhəmiyyət kəsb edir.
Tövsiyə olunan qaydalar sırası:
- Kateqoriyalar/URL-lərlə qaydaları yan keçin
- kateqoriyalar/URL-lərlə qaydaları yoxlayın
- Bütün digər kateqoriyalar üçün qaydaları yoxlayın
Firewall siyasətinə bənzətməklə, Check Point yuxarıdan aşağıya paket uyğunluğu axtarır, ona görə də bypass qaydaları ən yaxşı şəkildə yuxarıda yerləşdirilir, çünki bu paketi atlamaq lazım gələrsə, şlüz bütün qaydalardan keçmək üçün resursları sərf etməyəcək.
3.3 Ünvan diapazonu obyektləri istifadə olunurmu?
Şəbəkə 192.168.0.0-192.168.5.0 kimi bir sıra ünvanları olan obyektlər 5 şəbəkə obyektindən xeyli çox operativ yaddaş istehlak edir. Ümumiyyətlə, SmartConsole-da istifadə olunmamış obyektlərin silinməsi yaxşı təcrübə hesab olunur, çünki hər dəfə siyasət təyin edildikdə, şlüz və idarəetmə serveri resursları və ən əsası siyasəti yoxlamaq və tətbiq etmək üçün vaxt sərf edir.
3.4. Təhlükənin qarşısının alınması siyasəti necə konfiqurasiya edilir?
İlk növbədə, Check Point IPS-ni ayrı bir profilə köçürməyi və bu bıçaq üçün ayrıca qaydalar yaratmağı tövsiyə edir.
Məsələn, idarəçi hesab edir ki, DMZ seqmenti yalnız IPS ilə qorunmalıdır. Buna görə də, şlüzün digər bıçaqlar tərəfindən paketləri emal etmək üçün resursları sərf etməməsi üçün yalnız IPS-in aktiv olduğu bir profil ilə bu seqment üçün xüsusi bir qayda yaratmaq lazımdır.
Profillərin qurulmasına gəldikdə, onu bu sahədə ən yaxşı təcrübələrə uyğun qurmaq tövsiyə olunur (səhifələr 17-20).
3.5. IPS parametrlərində Aşkarlama rejimində neçə imza var?
İmzalar üzərində çox işləmək o mənada tövsiyə olunur ki, istifadə olunmamış imzalar deaktiv edilməlidir (məsələn, Adobe məhsullarının işləməsi üçün imzalar çoxlu hesablama gücü tələb edir və əgər müştəridə belə məhsullar yoxdursa, onu söndürmək mənasızdır. imzalar). Sonra Mümkün olan yerdə Detect əvəzinə Prevent qoyun, çünki şlüz bütün əlaqəni Detect rejimində emal etməyə resurslar sərf edir, Prevent rejimində o, dərhal əlaqəni kəsir və paketin tam işlənməsi üçün resursları sərf etmir.
3.6. Hansı fayllar Təhlükə Emulyasiyası, Təhdid Çıxarışı, Anti-Virus bıçaqları ilə işlənir?
İstifadəçilərinizin yükləmədiyi və ya şəbəkənizdə lazımsız hesab etdiyiniz genişləndirmə fayllarını təqlid etmək və təhlil etmək mənasızdır (məsələn, bat, exe faylları firewall səviyyəsində Content Awareness blade istifadə edərək asanlıqla bloklana bilər, beləliklə, şlüz resursları az xərclənmişdir). Üstəlik, Təhlükə Emulyasiyası parametrlərində siz sandboxdakı təhdidləri təqlid etmək üçün Mühiti (əməliyyat sistemi) seçə və bütün istifadəçilər 7-cu versiya ilə işləyərkən Windows 10 Environmentini quraşdıra bilərsiniz, bunun da mənası yoxdur.
3.7. Firewall və Tətbiq səviyyəsi qaydaları ən yaxşı təcrübəyə uyğun olaraq yerləşdirilibmi?
Bir qaydada çox sayda vuruş (matç) varsa, onları ən yuxarıda, az sayda vuruşla qaydaları isə ən aşağıya qoymaq tövsiyə olunur. Əsas odur ki, onların kəsişməməsinə və bir-birini üst-üstə düşməməsinə əmin olun. Tövsiyə olunan təhlükəsizlik divarı siyasəti arxitekturası:
Şərhlər:
Birinci Qaydalar - ən çox uyğun gələn qaydalar burada yerləşdirilir
Səs-küy Qaydası - NetBIOS kimi saxta trafiki azaltmaq üçün bir qayda
Gizli Qayda - Şlüzlərə Giriş Qaydalarında göstərilən mənbələr istisna olmaqla, hamıya şlüzlərə girişin və idarəetmənin qadağan edilməsi
Təmizləmə, Son və Düşmə Qaydaları əvvəllər icazə verilməyən hər şeyi qadağan etmək üçün adətən bir qaydada birləşdirilir.
Ən yaxşı təcrübə məlumatları aşağıda təsvir edilmişdir .
3.8. Administratorlar tərəfindən yaradılan xidmətlər üçün parametrlər hansılardır?
Məsələn, müəyyən bir portda bəzi TCP xidməti yaradılır və xidmətin Qabaqcıl parametrlərində “Hər kəs üçün uyğunluq” seçimini silməyin mənası var. Bu halda, bu xidmət xüsusi olaraq göründüyü qaydaya düşəcək və Hər hansının Xidmətlər sütununda olduğu qaydalarda iştirak etməyəcək.
Xidmətlərdən danışarkən qeyd etmək lazımdır ki, bəzən fasilələri düzəltmək lazımdır. Bu parametr böyük fasiləyə ehtiyacı olmayan protokollar üçün əlavə TCP/UDP sessiya vaxtını saxlamamaq üçün şlüz resurslarından daha ağıllı istifadə etməyə imkan verəcək. Məsələn, aşağıdakı ekran görüntüsündə domen-udp xidmətinin fasiləsini 40 saniyədən 30 saniyəyə dəyişdim.
3.9. SecureXL istifadə olunur və sürətlənmə faizi neçədir?
SecureXL keyfiyyətini şlüzdə ekspert rejimində əsas əmrlərlə yoxlaya bilərsiniz fwaccel stat и fw accelstats -s. Sonra, hansı növ trafikin sürətləndiyini, daha çox hansı şablonları (şablonları) yarada biləcəyinizi anlamaq lazımdır.
Defolt olaraq Düşmə Şablonları aktiv deyil, onların işə salınması SecureXL-in işinə müsbət təsir göstərəcək. Bunu etmək üçün şlüz parametrlərinə və Optimallaşdırma sekmesine keçin:
Həmçinin, klasterlə işləyərkən CPU-nu optimallaşdırmaq üçün UDP DNS, ICMP və digərləri kimi qeyri-kritik xidmətlərin sinxronizasiyasını söndürə bilərsiniz. Bunu etmək üçün xidmət parametrlərinə keçin → Qabaqcıl → Çoxluqda Dövlət Sinxronizasiyasının qoşulmalarını sinxronlaşdırın.
Bütün Ən Yaxşı Təcrübələr burada təsvir edilmişdir .
3.10. CoreXl necə istifadə olunur?
Firewall instansiyaları (firewall modulları) üçün çoxlu CPU istifadə etməyə imkan verən CoreXL texnologiyası mütləq cihazın işini optimallaşdırmağa kömək edir. Əvvəlcə komanda fw ctl yaxınlıq -l -a lazımi SND-yə (firewall obyektlərinə trafik paylayan modul) verilən istifadə olunan firewall nümunələrini və prosessorları göstərəcək. Bütün prosessorlar iştirak etmirsə, onlar əmrlə əlavə edilə bilər cpconfig darvazada.
Həmçinin yaxşı bir hekayə qoymaq üçün Çox növbəni aktivləşdirmək üçün. SND ilə prosessor çox faiz istifadə edildikdə və digər prosessorlarda firewall nümunələri boş olduqda Multi-Növbə problemi həll edir. Onda SND bir NIC üçün çoxlu növbə yarada və nüvə səviyyəsində müxtəlif trafik üçün fərqli prioritetlər təyin edə bilərdi. Beləliklə, CPU nüvələri daha ağıllı şəkildə istifadə ediləcək. Metodlar da təsvir edilmişdir .
Sonda demək istərdim ki, bunlar Check Point-i optimallaşdırmaq üçün ən yaxşı təcrübələrdən uzaqdır, lakin ən populyardır. Təhlükəsizlik siyasətinizin auditini tələb etmək və ya Check Point problemini həll etmək istəyirsinizsə, lütfən əlaqə saxlayın [e-poçt qorunur].
Diqqətiniz üçün təşəkkür edirik!
Mənbə: www.habr.com