Zdravo kolege! Danas bih želio razgovarati o veoma relevantnoj temi za mnoge Check Point administratore, "Optimizacija CPU-a i RAM-a". Nije neuobičajeno da gateway i/ili server za upravljanje neočekivano troše mnogo ovih resursa, a neko bi želio razumjeti gdje oni „cure“ i, ako je moguće, koristiti ih kompetentnije.
1. Analiza
Za analizu opterećenja procesora korisno je koristiti sljedeće naredbe koje se unose u stručnom modu:
vrh prikazuje sve procese, količinu CPU i RAM resursa potrošenih u procentima, vrijeme rada, prioritet procesa i u realnom vremenuи
cpwd_admin lista Check Point WatchDog Daemon, koji prikazuje sve module aplikacije, njihov PID, status i broj pokretanja
cpstat -f cpu os Potrošnja CPU-a, njihov broj i raspodjela procesorskog vremena u postocima
cpstat -f memorija os korištenje virtuelne RAM-a, koliko aktivnog, slobodnog RAM-a i još mnogo toga
Ispravna napomena je da se sve cpstat komande mogu vidjeti pomoću uslužnog programa cpview. Da biste to učinili, samo trebate unijeti naredbu cpview iz bilo kojeg načina u SSH sesiji.
ps auxwf duga lista svih procesa, njihov ID, zauzeta virtuelna memorija i memorija u RAM-u, CPU-u
Druga varijanta naredbe:
ps-aF pokazati najskuplji proces
fw ctl afinitet -l -a distribucija jezgri za različite instance firewall-a, odnosno CoreXL tehnologije
fw ctl pstat Analiza RAM-a i opći indikatori veza, kolačići, NAT
free -m RAM bafer
Tim zaslužuje posebnu pažnju. netsat i njegove varijacije. Na primjer, netstat -i može pomoći u rješavanju problema praćenja međuspremnika. Parametar, RX ispušteni paketi (RX-DRP) u izlazu ove naredbe ima tendenciju da raste sam od sebe zbog pada nelegitimnih protokola (IPv6, Bad / Nenamjerni VLAN tagovi i drugi). Međutim, ako se padovi dese iz nekog drugog razloga, trebali biste koristiti ovaj da započnete istraživanje zašto ovo mrežno sučelje ispušta pakete. Poznavajući uzrok, rad aplikacije se također može optimizirati.
Ako je blade Monitoring omogućen, ove metrike možete vidjeti grafički u SmartConsole klikom na objekt i odabirom Informacije o uređaju i licenci.
Ne preporučuje se stalno omogućavanje Monitoring blade-a, ali je sasvim moguće za jedan dan za testiranje.
Štaviše, možete dodati još parametara za praćenje, jedan od njih je vrlo koristan - Bytes Throughput (appline bandwidth).
Ako postoji neki drugi sistem za praćenje, na primjer, besplatan , koji je baziran na SNMP-u, pogodan je i za identifikaciju ovih problema.
2. RAM „curi“ tokom vremena
Često se postavlja pitanje da s vremenom gateway ili upravljački server počinje da troši sve više i više RAM-a. Želim da vas uvjerim: ovo je normalna priča za sisteme slične Linuxu.
Gledajući izlaz komande free -m и cpstat -f memorija os na aplikaciji iz stručnog moda, možete izračunati i pogledati sve parametre vezane za RAM.
Na osnovu raspoložive memorije na mrežnom prolazu u ovom trenutku Slobodna memorija + Buffers Memory + Keširana memorija = +-1.5 GB, obično.
Kao što CP kaže, vremenom se gateway/server za upravljanje optimizira i koristi sve više memorije, do oko 80% korištenja, i prestaje. Možete ponovo pokrenuti uređaj i tada će indikator biti resetovan. 1.5 GB besplatnog RAM-a je definitivno dovoljno za gateway za obavljanje svih zadataka, a upravljanje rijetko dostiže takve granične vrijednosti.
Također, izlaz navedenih komandi će pokazati koliko imate Mala memorija (RAM u korisničkom prostoru) i visoka memorija (RAM u prostoru kernela) se koristi.
Procesi kernela (uključujući aktivne module kao što su Check Point moduli kernela) koriste samo malo memorije. Međutim, korisnički procesi mogu koristiti i nisku i visoku memoriju. Štaviše, Low memory je približno jednak Ukupna memorija.
Trebalo bi da brinete samo ako postoje greške u evidenciji "moduli se ponovo pokreću ili procesi se ubijaju kako bi povratili memoriju zbog OOM-a (Nema memorije)". Zatim biste trebali ponovo pokrenuti gateway i kontaktirati podršku ako ponovno pokretanje ne pomogne.
Kompletan opis možete pronaći u и .
3. Optimizacija
Ispod su pitanja i odgovori o optimizaciji CPU-a i RAM-a. Na njih treba iskreno odgovoriti sebi i poslušati preporuke.
3.1. Da li je gornja linija pravilno odabrana? Da li je postojao pilot projekat?
Unatoč kompetentnom dimenzioniranju, mreža bi jednostavno mogla rasti, a ova oprema jednostavno ne može podnijeti opterećenje. Druga opcija, ako nije bilo veličine kao takve.
3.2. Da li je omogućena HTTPS inspekcija? Ako jeste, da li je tehnologija konfigurisana u skladu sa najboljom praksom?
Pogledajte ako ste naš klijent, ili da .
Redoslijed pravila u politici HTTPS inspekcije igra veliku ulogu u optimizaciji otvaranja HTTPS stranica.
Preporučeni redoslijed pravila:
- Zaobići pravila sa kategorijama/URL-ovima
- provjerite pravila s kategorijama/URL-ovima
- Pregledajte pravila za sve ostale kategorije
Po analogiji sa politikom zaštitnog zida, Check Point traži podudarnost paketa od vrha do dna, tako da je pravila zaobilaženja najbolje postaviti na vrh, pošto gateway neće trošiti resurse na provođenje svih pravila ako ovaj paket treba preskočiti.
3.3 Da li se koriste objekti raspona adresa?
Objekti s rasponom adresa, kao što je mreža 192.168.0.0-192.168.5.0, troše znatno više RAM-a od 5 mrežnih objekata. Općenito, smatra se dobrom praksom brisanja nekorištenih objekata u SmartConsole, budući da svaki put kada se postavi politika, gateway i server za upravljanje troše resurse i, što je najvažnije, vrijeme za provjeru i primjenu politike.
3.4. Kako je konfigurirana politika prevencije prijetnji?
Prije svega, Check Point preporučuje premještanje IPS-a na poseban profil i kreiranje zasebnih pravila za ovaj blade.
Na primjer, administrator misli da bi DMZ segment trebao biti zaštićen samo IPS-om. Stoga, kako gateway ne bi trošio resurse na obradu paketa drugim blejdovima, potrebno je kreirati pravilo posebno za ovaj segment sa profilom u kojem je omogućen samo IPS.
Što se tiče postavljanja profila, preporučuje se da ga postavite u skladu sa najboljim praksama u ovome (stranice 17-20).
3.5. Koliko potpisa u načinu otkrivanja u IPS postavkama?
Preporučuje se naporan rad na potpisima u smislu da neiskorištene potpise treba onemogućiti (na primjer, potpisi za rad Adobe proizvoda zahtijevaju veliku računarsku snagu, a ako kupac nema takve proizvode, ima smisla onemogućiti potpisi). Zatim stavite Prevent umesto Detect gde je moguće, jer gateway troši resurse na obradu cele veze u Detect modu, u Prevent modu odmah prekida vezu i ne troši resurse na punu obradu paketa.
3.6. Koje datoteke obrađuju blejdovi za emulaciju pretnje, ekstrakciju pretnji, antivirusni alat?
Nema smisla oponašati i analizirati datoteke ekstenzija koje vaši korisnici ne preuzimaju ili smatrate nepotrebnim na vašoj mreži (na primjer, bat, exe datoteke mogu se lako blokirati korištenjem bladea za svijest o sadržaju na nivou zaštitnog zida, tako da će resursi pristupnika biti potrošio manje). Štaviše, u postavkama Threat Emulation, možete odabrati okruženje (operativni sistem) da emulira prijetnje u sandboxu i instalirati okruženje Windows 7 kada svi korisnici rade sa 10. verzijom, to također nema smisla.
3.7. Da li su pravila zaštitnog zida i sloja aplikacije postavljena u skladu sa najboljom praksom?
Ako pravilo ima mnogo pogodaka (poklapanja), onda je preporučljivo staviti ih na sam vrh, a pravila s malim brojem pogodaka - na samo dno. Glavna stvar je osigurati da se ne sijeku i da se ne preklapaju. Preporučena arhitektura politike zaštitnog zida:
Objašnjenja:
Prva pravila - ovdje se nalaze pravila sa najviše utakmica
Pravilo o buci - pravilo za izbacivanje lažnog saobraćaja kao što je NetBIOS
Stealth Rule - zabrana pristupa pristupnicima i upravljanju svima, osim za one izvore koji su navedeni u Pravilima autentikacije na pristupnicima
Pravila čišćenja, posljednjeg i ispuštanja obično se kombiniraju u jedno pravilo kako bi se zabranilo sve što prije nije bilo dozvoljeno
Podaci o najboljoj praksi opisani su u .
3.8. Koja su podešavanja za usluge koje kreiraju administratori?
Na primjer, neka TCP usluga se kreira na određenom portu i ima smisla poništiti izbor opcije "Match for Any" u Naprednim postavkama usluge. U ovom slučaju, ova usluga će potpasti izričito pod pravilo u kojem se pojavljuje i neće učestvovati u pravilima u kojima se bilo koje nalazi u koloni Usluge.
Govoreći o uslugama, vrijedi spomenuti da je ponekad potrebno podesiti vrijeme čekanja. Ova postavka će vam omogućiti da inteligentnije koristite resurse mrežnog prolaza, kako ne biste zadržali dodatno vrijeme TCP/UDP sesije za protokole kojima nije potrebno veliko vremensko ograničenje. Na primjer, na slici ispod, promijenio sam timeout usluge domen-udp sa 40 sekundi na 30 sekundi.
3.9. Da li se koristi SecureXL i koliki je postotak ubrzanja?
Možete provjeriti kvalitetu SecureXL pomoću glavnih naredbi u stručnom modu na pristupniku fwaccel stat и fw accelstats -s. Zatim morate shvatiti kakav promet se ubrzava, koje šablone (šablone) možete kreirati više.
Po defaultu, Drop Templates nisu omogućeni, njihovo omogućavanje će imati pozitivan učinak na rad SecureXL. Da biste to učinili, idite na postavke mrežnog prolaza i karticu Optimizacije:
Također, kada radite s klasterom, da biste optimizirali CPU, možete onemogućiti sinhronizaciju nekritičnih usluga, kao što su UDP DNS, ICMP i drugi. Da biste to uradili, idite na podešavanja servisa → Napredno → Sinhronizujte veze stanja Sinhronizacija je omogućena na klasteru.
Sve najbolje prakse su opisane u .
3.10. Kako se koristi CoreXl?
CoreXL tehnologija, koja vam omogućava da koristite više CPU-a za instance zaštitnog zida (moduli zaštitnog zida), definitivno pomaže u optimizaciji performansi uređaja. Tim prvi fw ctl afinitet -l -a će pokazati korišćene instance zaštitnog zida i procesore predate potrebnom SND-u (modul koji distribuira saobraćaj entitetima zaštitnog zida). Ako nisu uključeni svi procesori, oni se mogu dodati naredbom cpconfig na kapiji.
Takođe je dobra priča da omogućite više redova. Multi-Queue rješava problem kada se procesor sa SND-om koristi mnogo posto, a instance zaštitnog zida na drugim procesorima ne rade. Tada bi SND mogao kreirati mnogo redova za jednu NIC i postaviti različite prioritete za različit promet na nivou kernela. Shodno tome, CPU jezgra će se koristiti inteligentnije. Metode su također opisane u .
U zaključku, želio bih reći da su ovo daleko od svih najboljih praksi za optimizaciju Check Pointa, ali su najpopularniji. Ako želite da zatražite reviziju vaše sigurnosne politike ili da riješite problem Check Point-a, kontaktirajte [email zaštićen].
Spasibo za vnimanie!
izvor: www.habr.com