Ahoj kolegové! Dnes bych rád probral velmi důležité téma pro mnoho správců Check Point, „Optimalizace CPU a RAM“. Není neobvyklé, že brána a/nebo server pro správu spotřebovávají neočekávaně mnoho těchto zdrojů a člověk by rád porozuměl, kam „unikají“, a pokud je to možné, využil je kompetentněji.
1. Analýza
Pro analýzu zatížení procesoru je užitečné použít následující příkazy, které se zadávají v expertním režimu:
AutoCruitment LLC („Společnost“ nebo „My“ nebo „AutoCruitment“) respektuje ochranu vašeho soukromí a je odhodlaná ho dodržováním těchto zásad chránit. Tyto zásady popisují typy informací, které můžeme shromažďovat od vás nebo které vy můžete poskytnout, když navštívíte webové stránky zobrazuje všechny procesy, množství spotřebovaných zdrojů CPU a RAM v procentech, dobu provozuschopnosti, prioritu procesu a v reálném časeи
seznam cpwd_admin Check Point WatchDog Daemon, který zobrazuje všechny moduly aplikace, jejich PID, stav a počet spuštění
cpstat -f cpu os Využití CPU, jejich počet a rozložení času procesoru v procentech
cpstat -f paměť os využití virtuální RAM, kolik aktivní, volné RAM a další
Správná poznámka je, že všechny příkazy cpstat lze zobrazit pomocí nástroje cpview. Chcete-li to provést, stačí zadat příkaz cpview z libovolného režimu v relaci SSH.
ps auxwf dlouhý seznam všech procesů, jejich ID, obsazené virtuální paměti a paměti v RAM, CPU
Další varianta příkazu:
ps-aF ukázat nejdražší proces
fw ctl afinita -l -a distribuce jader pro různé instance firewallu, tedy technologie CoreXL
fw ctl pstat Analýza RAM a obecné indikátory připojení, cookies, NAT
free -m vyrovnávací paměť RAM
Tým si zaslouží zvláštní pozornost. netsat a její variace. Například, netstat -i může pomoci vyřešit problém sledování schránek. Parametr RX zahozené pakety (RX-DRP) ve výstupu tohoto příkazu má tendenci narůstat sám o sobě kvůli nelegitimním výpadkům protokolu (IPv6, Bad / Unintended VLAN tags a další). Pokud však dojde k poklesu z jiného důvodu, měli byste použít toto začít zkoumat, proč toto síťové rozhraní zahazuje pakety. Díky znalosti příčiny lze také optimalizovat provoz aplikace.
Pokud je povoleno Monitorovací blade, můžete tyto metriky zobrazit graficky v konzole SmartConsole kliknutím na objekt a výběrem Device & License Information.
Nedoporučuje se zapínat Monitoring blade průběžně, ale je to docela možné na jeden den na zkoušku.
Navíc můžete přidat další parametry pro monitorování, jeden z nich je velmi užitečný - Bytes Throughput (šířka pásma aplikace).
Pokud existuje nějaký jiný monitorovací systém, např. zdarma , který je založen na SNMP, je vhodný i pro identifikaci těchto problémů.
2. RAM časem „uniká“.
Často vyvstává otázka, že v průběhu času brána nebo server pro správu začne spotřebovávat stále více paměti RAM. Chci vás uklidnit: toto je normální příběh pro systémy podobné Linuxu.
Při pohledu na výstup příkazu free -m и cpstat -f paměť os na aplikaci z expertního režimu můžete vypočítat a zobrazit všechny parametry související s RAM.
Na základě aktuálně dostupné paměti na bráně Volná paměť + Vyrovnávací paměti + Mezipaměť = +-1.5 GB, obvykle.
Jak říká CP, postupem času se brána/server pro správu optimalizuje a využívá stále více paměti, až na 80% využití, a zastaví se. Zařízení můžete restartovat a poté se indikátor resetuje. 1.5 GB volné paměti RAM rozhodně stačí k tomu, aby brána zvládla všechny úkoly, a na takové prahové hodnoty management jen málokdy dosáhne.
Také výstup zmíněných příkazů ukáže, kolik máte Nízká paměť (RAM v uživatelském prostoru) a vysoká paměť (RAM v prostoru jádra).
Procesy jádra (včetně aktivních modulů, jako jsou moduly jádra Check Point) používají pouze nízkou paměť. Uživatelské procesy však mohou používat nízkou i vysokou paměť. Kromě toho je nízká paměť přibližně stejná Celková paměť.
Měli byste se obávat pouze v případě, že jsou v protokolech chyby "moduly se restartují nebo jsou procesy zabity, aby znovu získaly paměť kvůli OOM (nedostatek paměti)". Potom byste měli restartovat bránu a kontaktovat podporu, pokud restart nepomůže.
Kompletní popis najdete v и .
3. Optimalizace
Níže jsou uvedeny otázky a odpovědi týkající se optimalizace CPU a RAM. Měli byste si na ně upřímně odpovědět a naslouchat doporučením.
3.1. Byla horní linie vybrána správně? Existoval nějaký pilotní projekt?
Navzdory kompetentnímu dimenzování by síť mohla jednoduše růst a toto zařízení se jednoduše nemůže vyrovnat se zátěží. Druhá možnost, pokud by neexistovala velikost jako taková.
3.2. Je povolena kontrola HTTPS? Pokud ano, je technologie nakonfigurována podle Best Practice?
Odkazují na pokud jste naším klientem, popř .
Pořadí pravidel v zásadách kontroly HTTPS hraje velkou roli při optimalizaci otevírání HTTPS stránek.
Doporučené pořadí pravidel:
- Obejít pravidla s kategoriemi/adresami URL
- kontrolovat pravidla s kategoriemi/adresami URL
- Zkontrolujte pravidla pro všechny ostatní kategorie
Analogicky se zásadami brány firewall hledá Check Point shodu paketů shora dolů, takže pravidla pro obcházení jsou nejlépe umístěna nahoře, protože brána nebude plýtvat prostředky na procházení všemi pravidly, pokud je třeba tento paket přeskočit.
3.3 Používají se objekty rozsahu adres?
Objekty s rozsahem adres, jako je síť 192.168.0.0-192.168.5.0, spotřebují výrazně více paměti RAM než 5 síťových objektů. Obecně se považuje za dobrou praxi odstranění nepoužívaných objektů v konzole SmartConsole, protože pokaždé, když je nastavena politika, brána a server pro správu utrácejí prostředky, a co je nejdůležitější, čas na ověření a aplikaci zásady.
3.4. Jak je nakonfigurována zásada prevence hrozeb?
Check Point v první řadě doporučuje přesunout IPS do samostatného profilu a vytvořit samostatná pravidla pro tento blade.
Správce si například myslí, že segment DMZ by měl být chráněn pouze pomocí IPS. Proto, aby brána neplýtvala prostředky na zpracování paketů jinými blade servery, je nutné vytvořit pravidlo speciálně pro tento segment s profilem, ve kterém je povoleno pouze IPS.
Pokud jde o nastavení profilů, doporučuje se nastavit jej podle osvědčených postupů v tomto (strany 17-20).
3.5. Kolik podpisů v režimu Detekce v nastavení IPS?
Doporučuje se na podpisech tvrdě pracovat v tom smyslu, že nepoužívané podpisy by měly být deaktivovány (např. podpisy pro provoz produktů Adobe vyžadují velký výpočetní výkon, a pokud zákazník takové produkty nemá, má smysl zakázat podpisy). Pak tam, kde je to možné, dejte Prevent místo Detect, protože brána utrácí prostředky na zpracování celého připojení v režimu Detect, v režimu Prevent připojení okamžitě ukončí a neplýtvá prostředky na plné zpracování paketu.
3.6. Jaké soubory zpracovávají blade servery Threat Emulation, Threat Extraction, Anti-Virus?
Nemá smysl emulovat a analyzovat soubory rozšíření, které si vaši uživatelé nestahují nebo které považujete ve vaší síti za zbytečné (například soubory bat, exe lze snadno zablokovat pomocí nástroje Content Awareness na úrovni brány firewall, takže zdroje brány budou utratili méně). Navíc v nastavení Threat Emulation můžete vybrat Prostředí (operační systém) pro emulaci hrozeb v sandboxu a nainstalovat Environment Windows 7, když všichni uživatelé pracují s 10. verzí, to také nedává smysl.
3.7. Jsou pravidla firewallu a aplikační vrstvy umístěna podle osvědčených postupů?
Pokud má pravidlo hodně zásahů (shod), doporučuje se umístit je úplně nahoře a pravidla s malým počtem zásahů úplně dole. Hlavní je dbát na to, aby se nekřížily a nepřekrývaly. Doporučená architektura zásad brány firewall:
Vysvětlení:
První pravidla - zde jsou umístěna pravidla s největším počtem shod
Noise Rule – pravidlo pro odstranění rušivého provozu, jako je NetBIOS
Pravidlo utajení – zákaz přístupu k branám a správě všem, s výjimkou těch zdrojů, které byly specifikovány v pravidlech autentizace k bráně
Pravidla čištění, posledního a vypuštění jsou obvykle spojena do jednoho pravidla, které zakazuje vše, co dříve nebylo povoleno
Údaje o osvědčených postupech jsou popsány v .
3.8. Jaká jsou nastavení pro služby vytvořené administrátory?
Například se na konkrétním portu vytváří nějaká služba TCP a má smysl zrušit zaškrtnutí políčka „Match for Any“ v Rozšířeném nastavení služby. V tomto případě bude tato služba spadat konkrétně pod pravidlo, ve kterém se vyskytuje, a nebude se účastnit pravidel, kde je ve sloupci Služby Libovolná.
Když už jsme u služeb, stojí za zmínku, že někdy je potřeba vyladit timeouty. Toto nastavení vám umožní používat prostředky brány inteligentněji, abyste nezdržovali čas relace TCP/UDP navíc pro protokoly, které nepotřebují velký časový limit. Například na níže uvedeném snímku obrazovky jsem změnil časový limit služby domain-udp ze 40 sekund na 30 sekund.
3.9. Používá se SecureXL a jaké je procento zrychlení?
Kvalitu SecureXL můžete zkontrolovat pomocí hlavních příkazů v expertním režimu na bráně statistika fwaccel и fw accelstats -s. Dále musíte zjistit, jaký druh provozu se zrychluje, jakých šablon (šablon) můžete vytvořit více.
Ve výchozím nastavení nejsou Drop Templates povoleny, jejich povolení bude mít pozitivní vliv na provoz SecureXL. Chcete-li to provést, přejděte do nastavení brány a na kartu Optimalizace:
Při práci s clusterem můžete za účelem optimalizace CPU zakázat synchronizaci nekritických služeb, jako je UDP DNS, ICMP a další. Chcete-li to provést, přejděte do nastavení služby → Upřesnit → Synchronizovat připojení na clusteru je povolena synchronizace stavu.
Všechny osvědčené postupy jsou popsány v .
3.10. Jak se CoreXl používá?
K optimalizaci výkonu zařízení rozhodně pomáhá technologie CoreXL, která umožňuje používat více CPU pro instance firewallu (moduly firewallu). Nejprve tým fw ctl afinita -l -a zobrazí použité instance firewallu a procesory předané potřebnému SND (modul, který distribuuje provoz na firewallové entity). Pokud nejsou zapojeny všechny procesory, lze je přidat pomocí příkazu cpconfig u brány.
Také dobrý příběh je dát pro aktivaci funkce Multi-Queue. Multi-Queue řeší problém, kdy je procesor s SND využíván z mnoha procent a instance firewallu na jiných procesorech jsou nečinné. Pak by SND bylo schopno vytvořit mnoho front pro jedno NIC a nastavit různé priority pro různý provoz na úrovni jádra. V důsledku toho budou jádra CPU využívána inteligentněji. Metody jsou také popsány v .
Na závěr bych chtěl říci, že to zdaleka nejsou všechny Best Practices pro optimalizaci Check Point, ale nejoblíbenější. Pokud byste chtěli požádat o audit vaší bezpečnostní politiky nebo vyřešit problém Check Point, kontaktujte nás [chráněno e-mailem].
Спасибо за внимание!
Zdroj: www.habr.com