Salutami i culleghi ! Oghje vogliu discutiri un tema assai pertinenti per parechji amministratori di Check Point, "Ottimisazione CPU è RAM". Ùn hè pocu cumu per un gateway è / o un servitore di gestione di cunsumà inesperu assai di sti risorse, è unu vuleria capisce induve "fughjenu" è, se pussibule, l'utilizanu più cumpetente.
1. Analisi
Per analizà a carica di u processatore, hè utile aduprà i seguenti cumandamenti, chì sò inseriti in modu espertu:
cima mostra tutti i prucessi, a quantità di risorse CPU è RAM cunsumate in percentuale, uptime, priorità di prucessu è in tempu realeи
cpwd_admin list Check Point WatchDog Daemon, chì mostra tutti i moduli di l'appline, u so PID, u statutu è u numeru di corse
cpstat -f cpu os L'usu di CPU, u so numeru è a distribuzione di u tempu di u processatore in percentuale
cpstat -f memoria os usu di RAM virtuale, quantu attiva, RAM libera è più
A rimarca curretta hè chì tutti i cumandamenti cpstat ponu esse vistu cù l'utilità cpview. Per fà questu, basta à entre in u cumandimu cpview da ogni modu in a sessione SSH.
ps auxwf una longa lista di tutti i prucessi, u so ID, memoria virtuale occupata è memoria in RAM, CPU
Un'altra variazione di u cumandamentu:
ps-aF mostra u prucessu più caru
fw ctl affinità -l -a distribuzione di core per diverse istanze di u firewall, vale à dì, a tecnulugia CoreXL
fw ctl pstat Analisi RAM è indicatori generale di cunnessione, cookies, NAT
senza -m buffer RAM
A squadra meriteghja una attenzione particulari. netsat è e so variazioni. Per esempiu, netstat -i pò aiutà à risolve u prublema di surviglianza clipboards. U paràmetru, RX dropped packets (RX-DRP) in l'output di sta cumanda tende à cresce da ellu stessu per via di gocce di protokolli illegittimi (IPv6, Bad / Unintended VLAN tags, è altri). Tuttavia, se gocce accade per un altru mutivu, allura duvete aduprà questu per cumincià à investigà perchè sta interfaccia di rete abbanduneghja i pacchetti. Sapendu a causa, u funziunamentu di l'appline pò ancu esse ottimisatu.
Se a lama di Monitoring hè attivata, pudete vede queste metriche graficamente in a SmartConsole clicchendu nantu à un ughjettu è selezziunate Dispositivi è Informazioni di Licenza.
Ùn hè cunsigliatu per attivà a Blade Monitoring in una basa cuntinua, ma hè abbastanza pussibule per un ghjornu per una prova.
Inoltre, pudete aghjunghje più parametri per u monitoraghju, unu di elli hè assai utile - Bytes Throughput (ampiezza di banda di l'applicazioni).
Se ci hè un altru sistema di surviglianza, per esempiu, liberu , chì hè basatu annantu à SNMP, hè ancu adattatu per identificà questi prublemi.
2. RAM "perte" cù u tempu
Spessu sorge a quistione chì cù u tempu, u gateway o u servitore di gestione principia à cunsumà più è più RAM. Vogliu assicuratevi: questa hè una storia normale per i sistemi Linux-like.
Fighjendu l'output di cumandamentu senza -m и cpstat -f memoria os nantu à l'appline da u modu espertu, pudete calculà è vede tutti i paràmetri ligati à a RAM.
Basatu nantu à a memoria dispunibule nantu à a porta in u mumentu Memoria Libera + Memoria di buffers + Memoria in cache = +-1.5 GB, di solitu.
Cum'è SR dice, cù u tempu u servitore di gateway / gestione hè ottimizatu è usa più è più memoria, finu à circa 80% di usu, è si ferma. Pudete reboot u dispusitivu è tandu l'indicatore serà resettatu. 1.5 GB di RAM libera hè certamente abbastanza per u gateway per eseguisce tutti i travaglii, è a gestione raramente righjunghji tali valori di soglia.
Inoltre, l'output di i cumandamenti citati mostrarà quantu avete memoria bassa (RAM in u spaziu di l'utilizatori) è alta memoria (RAM in u spaziu kernel) utilizatu.
I prucessi di kernel (cumpresi i moduli attivi cum'è i moduli di kernel di Check Point) usanu solu a memoria bassa. Tuttavia, i prucessi di l'utilizatori ponu utilizà a memoria bassa è alta. Inoltre, a memoria bassa hè apprussimatamente uguale à Memoria Totale.
Duvete esse preoccupatu solu s'ellu ci sò errori in i logs "I moduli riavvianu o prucessi chì sò stati uccisi per ricuperà a memoria per via di OOM (Out of memory)". Allora duvete riavvià u gateway è cuntattate u supportu se u reboot ùn aiuta micca.
Una descrizzione completa pò esse truvata in и .
3. Optimization
Quì sottu sò dumande è risposte nantu à l'optimizazione di CPU è RAM. Duvete rispondi onestamente à sè stessu è ascolta i cunsiglii.
3.1. A upline hè stata scelta currettamente? Ci hè statu un prughjettu pilotu ?
Malgradu u dimensionamentu cumpetente, a reta puderia simpricimenti cresce, è questu equipamentu ùn pò micca solu affruntà a carica. A seconda opzione, s'ellu ùn ci era micca dimensionamentu cum'è tali.
3.2. L'ispezione HTTPS hè attivata? Sì cusì, a tecnulugia hè cunfigurata secondu a Best Practice?
Riferite à s'è tù sì u nostru cliente, o à .
L'ordine di e regule in a pulitica d'ispezione HTTPS hè di grande impurtanza per ottimisà l'apertura di i siti HTTPS.
Ordine di regule cunsigliatu:
- Evite e regule cù categurie / URL
- inspeccionà e regule cù categurie / URL
- Inspeccione e regule per tutte l'altri categurie
Per analogia cù a pulitica di firewall, Check Point cerca una partita di pacchettu da u cima à u fondu, cusì e regule di bypass sò megliu pusate in cima, postu chì a porta ùn perderà risorse per passà tutte e regule se stu pacchettu deve esse saltatu.
3.3 Sò l'oggetti di l'indirizzu-range usati ?
L'uggetti cù una varietà di indirizzi, cum'è a rete 192.168.0.0-192.168.5.0, cunsuma significativamente più RAM di 5 oggetti di rete. In generale, hè cunsideratu una bona pratica per sguassà l'uggetti inutilizati in a SmartConsole, postu chì ogni volta chì una pulitica hè stabilita, u gateway è u servitore di gestione spende risorse è, più impurtante, tempu per verificà è applicà a pulitica.
3.4. Cumu hè cunfigurata a pulitica di Prevenzione di Minacce?
Prima di tuttu, Check Point ricumanda di trasfurmà IPS à un prufilu separatu è di creà reguli separati per questa lama.
Per esempiu, un amministratore pensa chì un segmentu DMZ deve esse prutettu solu cù IPS. Dunque, per chì u gateway ùn perdi micca risorse nantu à u processu di pacchetti da altre lame, hè necessariu di creà una regula specificamente per questu segmentu cù un prufilu in quale solu IPS hè attivatu.
In quantu à a creazione di profili, hè cunsigliatu di cunfigurà secondu e migliori pratiche in questu (pagine 17-20).
3.5. Quante firme in modalità Detect in i paràmetri IPS?
Hè ricumandemu di travaglià dura nantu à e firme in u sensu chì e firme inutilizate devenu esse disattivate (per esempiu, e signature per l'operazione di i prudutti Adobe necessitanu assai putenza di computing, è se u cliente ùn hà micca tali prudutti, hè sensu di disattivà). firme). Allora mette Prevenzione invece di Detect induve pussibule, perchè u gateway spende risorse per trasfurmà tutta a cunnessione in u modu Detect, in u modu Prevent abbanduneghja immediatamente a cunnessione è ùn perde micca risorse nantu à u processu tutale di u pacchettu.
3.6. Chì fugliali sò processati da l'emulazione di minaccia, l'estrazione di minaccia, e lame antivirus?
Ùn hà micca sensu per emulà è analizà i fugliali di estensione chì i vostri utilizatori ùn scaricanu micca o chì considerate micca necessarii nantu à a vostra reta (per esempiu, bat, i schedari exe ponu esse facilmente bluccati cù a lama di Cuscenza di u cuntenutu à u livellu di u firewall, cusì e risorse di gateway saranu. spesi menu). Inoltre, in i paràmetri di Emulazione di Minaccia, pudete selezziunà l'Ambiente (sistema operatore) per emulà e minacce in u sandbox è installà Ambiente Windows 7 quandu tutti l'utilizatori travaglianu cù a 10a versione, ancu ùn hà micca sensu.
3.7. Sò u firewall è e regule di u stratu di l'Applicazione posti in cunfurmità cù a megghiu pratica?
Se una regula hà assai hits (match), allora hè cunsigliatu di mette in cima, è regule cù un picculu numeru di hits - à u fondu assai. A cosa principal hè di assicurà chì ùn si intersectanu è ùn si superponu micca. Architettura di pulitica firewall cunsigliata:
Пояснения:
First Rules - e regule cù u più partiti sò posti quì
Noise Rule - una regula per caccià u trafficu spuriu cum'è NetBIOS
Stealth Rule - a pruibizione di l'accessu à i gateway è a gestione à tutti, eccettu quelli fonti chì sò stati specificati in l'Autentificazione à e Regoli di Gateway
Clean-Up, Last and Drop Rules sò generalmente cumminati in una regula per pruibisce tuttu ciò chì ùn era micca permessu prima
I dati di e migliori pratiche sò descritti in .
3.8. Chì sò i paràmetri per i servizii creati da l'amministratori?
Per esempiu, qualchì serviziu TCP hè statu creatu nantu à un portu specificu, è hè sensu di desmarcate "Match for Any" in i paràmetri avanzati di u serviziu. In questu casu, stu serviziu hà da cascà specificamente sottu à a regula in quale si prisenta, è ùn participà micca à e regule induve Qualchese hè in a colonna di servizii.
Parlendu di servizii, vale à dì chì qualchì volta hè necessariu di tweak timeouts. Stu paràmetru vi permetterà di utilizà e risorse di a porta in modu più intelligente, per ùn mantene micca u tempu di sessione TCP / UDP extra per i protokolli chì ùn anu micca bisognu di un grande timeout. Per esempiu, in a screenshot sottu, aghju cambiatu u tempu di u serviziu di u duminiu di u duminiu da 40 seconde à 30 seconde.
3.9. Hè SecureXL utilizatu è quale hè u percentuale di accelerazione?
Pudete verificà a qualità di SecureXL cù i cumandamenti principali in modu espertu nantu à a porta fwaccel stat и fw accelstats -s. In seguitu, avete bisognu di sapè chì tipu di trafficu hè acceleratu, chì mudelli (templates) pudete creà più.
Per automaticamente, i Template Drop ùn sò micca attivati, l'attivazione di elli avarà un effettu pusitivu nantu à u funziunamentu di SecureXL. Per fà questu, andate à i paràmetri di a porta è a tabulazione Optimizations:
Inoltre, quandu u travagliu cù un cluster, per ottimisà u CPU, pudete disattivà a sincronizazione di servizii non critichi, cum'è UDP DNS, ICMP è altri. Per fà questu, andate à i paràmetri di u serviziu → Avanzate → Sincronizza e cunnessione di a Sincronizazione di u Statu hè attivata nantu à u cluster.
Tutte e Best Practices sò descritte in .
3.10. Cumu si usa CoreXl?
A tecnulugia CoreXL, chì permette di utilizà parechje CPU per istanze di firewall (moduli di firewall), certamente aiuta à ottimisà u rendiment di u dispusitivu. Prima squadra fw ctl affinità -l -a mostrarà l'istanze di u firewall utilizatu è i prucessori dati à u SND necessariu (un modulu chì distribuisce u trafficu à l'entità firewall). Se micca tutti i prucessori sò implicati, ponu esse aghjuntu cù u cumandamentu cpconfig à a porta.
Ancu una bona storia hè di mette per attivà Multi-Queue. Multi-Queue risolve u prublema quandu u processatore cù SND hè utilizatu da parechji per centu, è l'istanze di firewall in altri processori sò inattivi. Allora SND puderia creà parechje file per un NIC è stabilisce priorità diverse per u trafficu diffirenti à u livellu di u kernel. In cunseguenza, i core di CPU seranu utilizati più intelligente. I metudi sò ancu descritti in .
In cunclusioni, vogliu dì chì questi sò luntanu da tutte e Best Practices per ottimisà u Check Point, ma i più populari. Se vulete dumandà un auditu di a vostra pulitica di sicurezza o risolve un prublema di Check Point, per piacè cuntattate [email prutettu].
Ti ringraziu per a vostra attenzione!
Source: www.habr.com