Hallo Kollegen! Heute möchte ich ein für viele Check Point-Administratoren sehr relevantes Thema besprechen: „CPU- und RAM-Optimierung“. Es ist nicht ungewöhnlich, dass ein Gateway und/oder ein Verwaltungsserver unerwartet viele dieser Ressourcen verbraucht, und man möchte verstehen, wo sie „lecken“, und sie, wenn möglich, kompetenter nutzen.
1. Analyse
Zur Analyse der Prozessorauslastung ist es sinnvoll, die folgenden Befehle zu verwenden, die im Expertenmodus eingegeben werden:
Top Zeigt alle Prozesse, die Menge der verbrauchten CPU- und RAM-Ressourcen in Prozent, die Betriebszeit, die Prozesspriorität usw. an in Echtzeitи
cpwd_admin-Liste Check Point WatchDog Daemon, der alle Appline-Module, ihre PID, ihren Status und die Anzahl der Läufe anzeigt
cpstat -f CPU-Betriebssystem CPU-Auslastung, deren Anzahl und Verteilung der Prozessorzeit in Prozent
cpstat -f Speicherbetriebssystem Nutzung des virtuellen RAM, wie viel aktiver, freier RAM und mehr
Die richtige Bemerkung ist, dass alle cpstat-Befehle mit dem Dienstprogramm angezeigt werden können cpview. Dazu müssen Sie lediglich in einem beliebigen Modus der SSH-Sitzung den Befehl cpview eingeben.
PS auxwf eine lange Liste aller Prozesse, ihrer ID, belegtem virtuellen Speicher und Speicher im RAM, CPU
Andere Befehlsvarianten:
ps-aF Zeigen Sie den teuersten Prozess an
fw ctl affinity -l -a Verteilung der Kerne für verschiedene Instanzen der Firewall, also CoreXL-Technologie
fw ctl pstat RAM-Analyse und allgemeine Indikatoren für Verbindungen, Cookies, NAT
frei -m RAM-Puffer
Besondere Aufmerksamkeit verdient das Team. netsat und seine Variationen. Zum Beispiel, netstat -i kann helfen, das Problem der Überwachung von Zwischenablagen zu lösen. Der Parameter „RX verworfene Pakete“ (RX-DRP) in der Ausgabe dieses Befehls neigt aufgrund des Verlusts unzulässiger Protokolle (IPv6, fehlerhafte/unbeabsichtigte VLAN-Tags und andere) dazu, von selbst zu wachsen. Sollte es jedoch aus einem anderen Grund zu Stürzen kommen, dann sollten Sie dies nutzen um mit der Untersuchung zu beginnen, warum diese Netzwerkschnittstelle Pakete verwirft. Wenn man die Ursache kennt, kann auch der Betrieb der Appline optimiert werden.
Wenn das Überwachungsblatt aktiviert ist, können Sie diese Metriken grafisch in der SmartConsole anzeigen, indem Sie auf ein Objekt klicken und Geräte- und Lizenzinformationen auswählen.
Es wird nicht empfohlen, das Überwachungsblatt dauerhaft zu aktivieren, es ist jedoch durchaus möglich, einen Tag lang einen Test durchzuführen.
Darüber hinaus können Sie weitere Parameter zur Überwachung hinzufügen. Einer davon ist sehr nützlich – Bytes Throughput (Appline-Bandbreite).
Wenn es beispielsweise ein anderes Überwachungssystem gibt, das kostenlos ist , das auf SNMP basiert, eignet es sich ebenfalls zur Identifizierung dieser Probleme.
2. RAM „leckt“ im Laufe der Zeit
Oft stellt sich die Frage, dass der Gateway- oder Management-Server mit der Zeit immer mehr RAM verbraucht. Ich möchte Sie beruhigen: Das ist eine normale Geschichte für Linux-ähnliche Systeme.
Schauen Sie sich die Befehlsausgabe an frei -m и cpstat -f Speicherbetriebssystem Auf der Appline im Expertenmodus können Sie alle RAM-bezogenen Parameter berechnen und anzeigen.
Basierend auf dem derzeit verfügbaren Speicher auf dem Gateway Freier Speicher + Puffert den Speicher + Zwischengespeicherter Speicher = +-1.5 GB, allgemein.
Wie CP sagt, wird der Gateway-/Verwaltungsserver im Laufe der Zeit optimiert und verbraucht immer mehr Speicher, bis zu etwa 80 % der Auslastung, und stoppt dann. Sie können das Gerät neu starten und dann wird die Anzeige zurückgesetzt. 1.5 GB freier RAM reichen dem Gateway auf jeden Fall aus, um alle Aufgaben zu erledigen, und die Verwaltung erreicht solche Grenzwerte selten.
Außerdem zeigt die Ausgabe der genannten Befehle, wie viel Sie haben Wenig Speicher (RAM im Benutzerbereich) und Hoher Speicher (RAM im Kernel-Space) verwendet.
Kernelprozesse (einschließlich aktiver Module wie Check Point-Kernelmodule) verwenden nur wenig Speicher. Benutzerprozesse können jedoch sowohl Low- als auch High-Speicher verwenden. Darüber hinaus ist „Low Memory“ ungefähr gleich Gesamtspeicher.
Sie sollten sich nur Sorgen machen, wenn die Protokolle Fehler enthalten „Module werden neu gestartet oder Prozesse werden aufgrund von OOM (Nicht genügend Speicher) abgebrochen, um Speicher zurückzugewinnen“. Anschließend sollten Sie das Gateway neu starten und sich an den Support wenden, wenn der Neustart nicht hilft.
Eine vollständige Beschreibung finden Sie in и .
3. Optimierung
Nachfolgend finden Sie Fragen und Antworten zur CPU- und RAM-Optimierung. Sie sollten diese ehrlich zu sich selbst beantworten und sich die Empfehlungen anhören.
3.1. Wurde die Upline richtig ausgewählt? Gab es ein Pilotprojekt?
Trotz kompetenter Dimensionierung könnte das Netzwerk einfach wachsen, und diese Ausrüstung ist der Belastung einfach nicht gewachsen. Die zweite Option, wenn es keine Größenangabe als solche gab.
3.2. Ist die HTTPS-Inspektion aktiviert? Wenn ja, ist die Technologie nach Best Practice konfiguriert?
Beziehen auf wenn Sie unser Kunde sind, oder zu .
Die Reihenfolge der Regeln in der HTTPS-Inspektionsrichtlinie spielt eine große Rolle bei der Optimierung des Öffnens von HTTPS-Sites.
Empfohlene Reihenfolge der Regeln:
- Umgehen Sie Regeln mit Kategorien/URLs
- Überprüfen Sie Regeln mit Kategorien/URLs
- Überprüfen Sie die Regeln für alle anderen Kategorien
In Analogie zur Firewall-Richtlinie sucht Check Point von oben nach unten nach einer Paketübereinstimmung, sodass Umgehungsregeln am besten oben platziert werden, da das Gateway keine Ressourcen für die Durcharbeitung aller Regeln verschwendet, wenn dieses Paket übersprungen werden muss.
3.3 Werden Adressbereichsobjekte verwendet?
Objekte mit einem Adressbereich, wie z. B. Netzwerk 192.168.0.0-192.168.5.0, verbrauchen deutlich mehr RAM als 5 Netzwerkobjekte. Im Allgemeinen gilt es als bewährte Vorgehensweise, nicht verwendete Objekte in der SmartConsole zu löschen, da das Gateway und der Verwaltungsserver jedes Mal, wenn eine Richtlinie festgelegt wird, Ressourcen und vor allem Zeit für die Überprüfung und Anwendung der Richtlinie aufwenden.
3.4. Wie ist die Bedrohungsschutzrichtlinie konfiguriert?
Check Point empfiehlt zunächst, IPS in ein separates Profil zu verschieben und separate Regeln für dieses Blade zu erstellen.
Ein Administrator ist beispielsweise der Meinung, dass ein DMZ-Segment nur mit IPS geschützt werden sollte. Damit das Gateway keine Ressourcen für die Verarbeitung von Paketen durch andere Blades verschwendet, muss daher speziell für dieses Segment eine Regel mit einem Profil erstellt werden, in dem nur IPS aktiviert ist.
Bezüglich der Einrichtung von Profilen wird empfohlen, diese gemäß den Best Practices in diesem Bereich einzurichten (Seiten 17-20).
3.5. Wie viele Signaturen gibt es im Erkennungsmodus in den IPS-Einstellungen?
Es wird empfohlen, intensiv an Signaturen zu arbeiten, in dem Sinne, dass ungenutzte Signaturen deaktiviert werden sollten (z. B. erfordern Signaturen für den Betrieb von Adobe-Produkten viel Rechenleistung, und wenn der Kunde nicht über solche Produkte verfügt, ist es sinnvoll, sie zu deaktivieren Unterschriften). Setzen Sie dann nach Möglichkeit „Verhindern“ anstelle von „Erkennen“, da das Gateway im Erkennungsmodus Ressourcen für die Verarbeitung der gesamten Verbindung aufwendet. Im Verhinderungsmodus bricht es die Verbindung sofort ab und verschwendet keine Ressourcen für die vollständige Verarbeitung des Pakets.
3.6. Welche Dateien werden von den Blades Threat Emulation, Threat Extraction und Anti-Virus verarbeitet?
Es macht keinen Sinn, Erweiterungsdateien zu emulieren und zu analysieren, die Ihre Benutzer nicht herunterladen oder die Sie in Ihrem Netzwerk für unnötig halten (z. B. Bat- und Exe-Dateien können mithilfe des Content Awareness-Blades auf Firewall-Ebene problemlos blockiert werden, sodass Gateway-Ressourcen vorhanden sind). weniger ausgegeben). Darüber hinaus können Sie in den Einstellungen zur Bedrohungsemulation die Umgebung (Betriebssystem) auswählen, um Bedrohungen in der Sandbox zu emulieren, und die Umgebung Windows 7 installieren, wenn alle Benutzer mit der 10. Version arbeiten. Dies ist ebenfalls nicht sinnvoll.
3.7. Werden die Firewall- und Anwendungsebenenregeln gemäß Best Practices platziert?
Wenn eine Regel viele Treffer (Übereinstimmungen) aufweist, empfiehlt es sich, diese ganz oben und Regeln mit wenigen Treffern ganz unten zu platzieren. Die Hauptsache ist, sicherzustellen, dass sie sich nicht überschneiden oder überlappen. Empfohlene Firewall-Richtlinienarchitektur:
Erklärung:
Erste Regeln – hier werden die Regeln mit den meisten Übereinstimmungen platziert
Noise Rule – eine Regel zum Unterdrücken von unerwünschtem Datenverkehr wie NetBIOS
Stealth-Regel – Verbot des Zugriffs auf Gateways und der Verwaltung für alle, mit Ausnahme der Quellen, die in den Authentifizierungsregeln für Gateways angegeben sind
Clean-Up-, Last- und Drop-Regeln werden meist in einer Regel zusammengefasst, um alles zu verbieten, was vorher nicht erlaubt war
Best-Practice-Daten werden in beschrieben .
3.8. Welche Einstellungen werden für die von Administratoren erstellten Dienste vorgenommen?
Beispielsweise wird ein TCP-Dienst an einem bestimmten Port erstellt und es ist sinnvoll, „Match for Any“ in den erweiterten Einstellungen des Dienstes zu deaktivieren. In diesem Fall fällt dieser Dienst speziell unter die Regel, in der er erscheint, und nimmt nicht an den Regeln teil, bei denen „Beliebig“ in der Spalte „Dienste“ steht.
Apropos Dienste: Es ist erwähnenswert, dass es manchmal notwendig ist, Timeouts anzupassen. Mit dieser Einstellung können Sie die Gateway-Ressourcen intelligenter nutzen, um keine zusätzliche TCP/UDP-Sitzungszeit für Protokolle zu behalten, die keine große Zeitüberschreitung benötigen. Im Screenshot unten habe ich beispielsweise das Zeitlimit für den Domain-UDP-Dienst von 40 Sekunden auf 30 Sekunden geändert.
3.9. Wird SecureXL verwendet und wie hoch ist der Prozentsatz der Beschleunigung?
Sie können die Qualität von SecureXL mit den Hauptbefehlen im Expertenmodus am Gateway überprüfen Fwaccel-Stat и fw accelstats -s. Als Nächstes müssen Sie herausfinden, welche Art von Datenverkehr zunimmt und welche Vorlagen (Vorlagen) Sie mehr erstellen können.
Standardmäßig sind Drop-Vorlagen nicht aktiviert. Ihre Aktivierung wirkt sich daher positiv auf den Betrieb von SecureXL aus. Gehen Sie dazu in die Gateway-Einstellungen und auf den Reiter Optimierungen:
Wenn Sie mit einem Cluster arbeiten, können Sie zur Optimierung der CPU außerdem die Synchronisierung unkritischer Dienste wie UDP DNS, ICMP und andere deaktivieren. Gehen Sie dazu zu den Diensteinstellungen → Erweitert → Verbindungen synchronisieren von State Synchronization ist auf dem Cluster aktiviert.
Alle Best Practices sind in beschrieben .
3.10. Wie wird CoreXl verwendet?
Die CoreXL-Technologie, die die Verwendung mehrerer CPUs für Firewall-Instanzen (Firewall-Module) ermöglicht, trägt definitiv zur Optimierung der Geräteleistung bei. Team zuerst fw ctl affinity -l -a zeigt die verwendeten Firewall-Instanzen und die Prozessoren an, die dem benötigten SND (einem Modul, das den Datenverkehr an Firewall-Entitäten verteilt) zugewiesen sind. Sollten nicht alle Prozessoren beteiligt sein, können diese mit dem Befehl hinzugefügt werden cpconfig am Tor.
Auch eine gute Geschichte gehört dazu um Multi-Queue zu aktivieren. Multi-Queue löst das Problem, wenn der Prozessor mit SND zu vielen Prozent ausgelastet ist und Firewall-Instanzen auf anderen Prozessoren im Leerlauf sind. Dann wäre SND in der Lage, viele Warteschlangen für eine Netzwerkkarte zu erstellen und auf Kernel-Ebene unterschiedliche Prioritäten für unterschiedlichen Datenverkehr festzulegen. Dadurch werden die CPU-Kerne intelligenter genutzt. Methoden werden auch in beschrieben .
Abschließend möchte ich sagen, dass dies bei weitem nicht alle Best Practices zur Optimierung von Check Point sind, sondern die beliebtesten. Wenn Sie eine Prüfung Ihrer Sicherheitsrichtlinie anfordern oder ein Check Point-Problem lösen möchten, wenden Sie sich bitte an [E-Mail geschützt] .
Danke!
Source: habr.com