Γεια σας συνάδελφοι! Σήμερα θα ήθελα να συζητήσω ένα πολύ σχετικό θέμα για πολλούς διαχειριστές Check Point: "Βελτιστοποίηση CPU και RAM". Υπάρχουν συχνά περιπτώσεις που η πύλη ή/και ο διακομιστής διαχείρισης καταναλώνει απροσδόκητα πολλούς από αυτούς τους πόρους και θα ήθελα να καταλάβω πού «ρέουν» και, αν είναι δυνατόν, να τους χρησιμοποιήσω πιο έξυπνα.
1. Ανάλυση
Για την ανάλυση του φορτίου του επεξεργαστή, είναι χρήσιμο να χρησιμοποιήσετε τις ακόλουθες εντολές, οι οποίες εισάγονται σε λειτουργία ειδικού:
κορυφή δείχνει όλες τις διεργασίες, την ποσότητα των πόρων CPU και RAM που καταναλώνονται ως ποσοστό, χρόνο λειτουργίας, προτεραιότητα διαδικασίας και σε πραγματικό χρόνοи
λίστα cpwd_admin Ελέγξτε το Point WatchDog Daemon, το οποίο εμφανίζει όλες τις μονάδες εφαρμογής, το PID, την κατάσταση και τον αριθμό των εκκινήσεων
cpstat -f cpu os Η χρήση της CPU, ο αριθμός τους και η κατανομή του χρόνου του επεξεργαστή ως ποσοστό
cpstat -f μνήμη os εικονική χρήση RAM, πόση ενεργή, δωρεάν RAM και πολλά άλλα
Η σωστή παρατήρηση είναι ότι όλες οι εντολές cpstat μπορούν να προβληθούν χρησιμοποιώντας το βοηθητικό πρόγραμμα cpview. Για να το κάνετε αυτό, απλά πρέπει να εισαγάγετε την εντολή cpview από οποιαδήποτε λειτουργία στη συνεδρία SSH.
ps auxwf μια μακρά λίστα με όλες τις διεργασίες, το αναγνωριστικό τους, την κατειλημμένη εικονική μνήμη και τη μνήμη σε RAM, CPU
Άλλες παραλλαγές εντολών:
ps-aF θα δείξει την πιο ακριβή διαδικασία
fw ctl συγγένεια -l -a διανομή πυρήνων για διαφορετικές περιπτώσεις τείχους προστασίας, δηλαδή τεχνολογία CoreXL
fw ctl pstat Ανάλυση RAM και γενικές ενδείξεις σύνδεσης, cookies, NAT
δωρεάν -m Ενδιάμεση μνήμη RAM
Η ομάδα αξίζει ιδιαίτερης προσοχής netsat και οι παραλλαγές του. Για παράδειγμα, netstat -ι μπορεί να βοηθήσει στην επίλυση του προβλήματος της παρακολούθησης των πρόχειρων. Η παράμετρος, πακέτα που έχουν απορριφθεί RX (RX-DRP) στην έξοδο αυτής της εντολής, κατά κανόνα, αυξάνεται από μόνη της λόγω πτώσης αθέμιτων πρωτοκόλλων (IPv6, Bad / Unintended VLAN tags και άλλα). Ωστόσο, εάν οι πτώσεις συμβαίνουν για άλλο λόγο, τότε θα πρέπει να το χρησιμοποιήσετε για να ξεκινήσετε τη διερεύνηση και την κατανόηση γιατί μια δεδομένη διεπαφή δικτύου απορρίπτει πακέτα. Έχοντας ανακαλύψει τον λόγο, η λειτουργία της εφαρμογής μπορεί επίσης να βελτιστοποιηθεί.
Εάν η λεπίδα παρακολούθησης είναι ενεργοποιημένη, μπορείτε να προβάλετε αυτές τις μετρήσεις γραφικά στο SmartConsole κάνοντας κλικ στο αντικείμενο και επιλέγοντας «Πληροφορίες συσκευής και άδειας χρήσης».
Δεν συνιστάται η ενεργοποίηση της λεπίδας παρακολούθησης σε μόνιμη βάση, αλλά για μια ημέρα για δοκιμή είναι αρκετά πιθανό.
Επιπλέον, μπορείτε να προσθέσετε περισσότερες παραμέτρους για παρακολούθηση, μία από αυτές είναι πολύ χρήσιμη - Bytes Throughput (διακίνηση εφαρμογής).
Εάν υπάρχει κάποιο άλλο σύστημα παρακολούθησης, για παράδειγμα, δωρεάν , με βάση το SNMP, είναι επίσης κατάλληλο για τον εντοπισμό αυτών των προβλημάτων.
2. Η RAM διαρρέει με την πάροδο του χρόνου
Συχνά τίθεται το ερώτημα ότι με την πάροδο του χρόνου, η πύλη ή ο διακομιστής διαχείρισης αρχίζει να καταναλώνει όλο και περισσότερη μνήμη RAM. Θέλω να σας καθησυχάσω: αυτή είναι μια συνηθισμένη ιστορία για συστήματα που μοιάζουν με Linux.
Κοιτάζοντας την έξοδο των εντολών δωρεάν -m и cpstat -f μνήμη os στην εφαρμογή από τη λειτουργία ειδικού, μπορείτε να υπολογίσετε και να προβάλετε όλες τις παραμέτρους που σχετίζονται με τη μνήμη RAM.
Με βάση τη διαθέσιμη μνήμη στην πύλη αυτή τη στιγμή Ελεύθερη μνήμη + Buffers Memory + Αποθηκευμένη μνήμη = +-1.5 GB, συνήθως.
Όπως λέει ο CP, με την πάροδο του χρόνου ο διακομιστής πύλης/διαχείρισης βελτιστοποιεί και χρησιμοποιεί όλο και περισσότερη μνήμη, φτάνοντας περίπου το 80% της χρήσης και σταματά. Μπορείτε να επανεκκινήσετε τη συσκευή και, στη συνέχεια, θα γίνει επαναφορά της ένδειξης. 1.5 GB ελεύθερης μνήμης RAM είναι ακριβώς αρκετά για την πύλη για την εκτέλεση όλων των εργασιών και η διαχείριση σπάνια φτάνει σε τέτοιες οριακές τιμές.
Επίσης οι έξοδοι των αναφερόμενων εντολών θα δείχνουν πόσα έχετε Χαμηλή μνήμη (RAM στο χώρο χρήστη) και Υψηλή μνήμη (RAM στο χώρο του πυρήνα) που χρησιμοποιείται.
Οι διεργασίες πυρήνα (συμπεριλαμβανομένων των ενεργών λειτουργικών μονάδων, όπως οι μονάδες πυρήνα του Check Point) χρησιμοποιούν μόνο Χαμηλή μνήμη. Ωστόσο, οι διεργασίες χρήστη μπορούν να χρησιμοποιούν τόσο χαμηλή όσο και υψηλή μνήμη. Επιπλέον, η χαμηλή μνήμη είναι περίπου ίση με Συνολική μνήμη.
Θα πρέπει να ανησυχείτε μόνο εάν υπάρχουν σφάλματα στα αρχεία καταγραφής "Επανεκκίνηση μονάδων ή σκοτώνονται διεργασίες για ανάκτηση μνήμης λόγω OOM (Εκτός μνήμης)". Στη συνέχεια, θα πρέπει να επανεκκινήσετε την πύλη και να επικοινωνήσετε με την υποστήριξη εάν η επανεκκίνηση δεν βοηθήσει.
Μια πλήρης περιγραφή μπορεί να βρεθεί στο и .
3. Βελτιστοποίηση
Ακολουθούν ερωτήσεις και απαντήσεις σχετικά με τη βελτιστοποίηση της CPU και της RAM. Θα πρέπει να τους απαντήσετε με ειλικρίνεια και να ακούσετε τις συστάσεις.
3.1. Επιλέχθηκε σωστά η εφαρμογή; Υπήρχε πιλοτικό έργο;
Παρά το σωστό μέγεθος, το δίκτυο θα μπορούσε απλώς να αναπτυχθεί και αυτός ο εξοπλισμός απλά δεν μπορεί να αντιμετωπίσει το φορτίο. Η δεύτερη επιλογή είναι εάν δεν υπήρχε μέγεθος ως τέτοιο.
3.2. Είναι ενεργοποιημένη η επιθεώρηση HTTPS; Εάν ναι, η τεχνολογία έχει διαμορφωθεί σύμφωνα με τις Βέλτιστες Πρακτικές;
Αναφέρομαι σε , εάν είστε πελάτης μας ή να .
Η σειρά των κανόνων στην πολιτική επιθεώρησης HTTPS παίζει μεγάλο ρόλο στη βελτιστοποίηση του ανοίγματος των τοποθεσιών HTTPS.
Συνιστώμενη σειρά κανόνων:
- Παράκαμψη κανόνων με κατηγορίες/URL
- Επιθεωρήστε κανόνες με κατηγορίες/URL
- Επιθεωρήστε τους κανόνες για όλες τις άλλες κατηγορίες
Κατ' αναλογία με την πολιτική του τείχους προστασίας, το Check Point αναζητά μια αντιστοίχιση ανά πακέτα από πάνω προς τα κάτω, επομένως είναι καλύτερο να τοποθετήσετε τους κανόνες παράκαμψης στην κορυφή, καθώς η πύλη δεν θα σπαταλήσει πόρους για την εκτέλεση όλων των κανόνων, εάν αυτό το πακέτο χρειάζεται να περάσει.
3.3 Χρησιμοποιούνται αντικείμενα εύρους διευθύνσεων;
Αντικείμενα με εύρος διευθύνσεων, για παράδειγμα, το δίκτυο 192.168.0.0-192.168.5.0, καταλαμβάνουν σημαντικά περισσότερη μνήμη RAM από 5 αντικείμενα δικτύου. Γενικά, θεωρείται καλή πρακτική η κατάργηση αχρησιμοποίητων αντικειμένων στο SmartConsole, καθώς κάθε φορά που εγκαθίσταται μια πολιτική, η πύλη και ο διακομιστής διαχείρισης ξοδεύουν πόρους και, κυρίως, χρόνο, επαληθεύοντας και εφαρμόζοντας την πολιτική.
3.4. Πώς διαμορφώνεται η πολιτική αποτροπής απειλών;
Πρώτα απ 'όλα, το Check Point συνιστά να τοποθετήσετε το IPS σε ξεχωριστό προφίλ και να δημιουργήσετε ξεχωριστούς κανόνες για αυτό το blade.
Για παράδειγμα, ένας διαχειριστής πιστεύει ότι το τμήμα DMZ πρέπει να προστατεύεται μόνο με χρήση IPS. Επομένως, για να αποτραπεί η σπατάλη πόρων στην πύλη για την επεξεργασία πακέτων από άλλα blades, είναι απαραίτητο να δημιουργηθεί ένας κανόνας ειδικά για αυτό το τμήμα με ένα προφίλ στο οποίο είναι ενεργοποιημένο μόνο το IPS.
Όσον αφορά τη ρύθμιση προφίλ, συνιστάται η ρύθμιση του σύμφωνα με τις βέλτιστες πρακτικές σε αυτό (σελίδες 17-20).
3.5. Στις ρυθμίσεις IPS, πόσες υπογραφές υπάρχουν στη λειτουργία εντοπισμού;
Συνιστάται να μελετάτε προσεκτικά τις υπογραφές με την έννοια ότι οι αχρησιμοποίητες πρέπει να απενεργοποιούνται (για παράδειγμα, οι υπογραφές για τη λειτουργία προϊόντων Adobe απαιτούν μεγάλη υπολογιστική ισχύ και εάν ο πελάτης δεν έχει τέτοια προϊόντα, είναι λογικό να απενεργοποιούνται οι υπογραφές). Στη συνέχεια, βάλτε το Prevent αντί για το Detect όπου είναι δυνατόν, επειδή η πύλη ξοδεύει πόρους για την επεξεργασία ολόκληρης της σύνδεσης σε λειτουργία ανίχνευσης· στη λειτουργία Prevent, απορρίπτει αμέσως τη σύνδεση και δεν σπαταλά πόρους για την πλήρη επεξεργασία του πακέτου.
3.6. Ποια αρχεία υποβάλλονται σε επεξεργασία από Threat Emulation, Threat Extraction, Anti-Virus blades;
Δεν έχει νόημα να μιμούνται και να αναλύονται αρχεία επεκτάσεων που οι χρήστες σας δεν κατεβάζουν ή θεωρείτε περιττές στο δίκτυό σας (για παράδειγμα, τα αρχεία bat, exe μπορούν εύκολα να αποκλειστούν χρησιμοποιώντας τη λεπίδα Content Awareness σε επίπεδο τείχους προστασίας, άρα λιγότερη πύλη θα δαπανηθούν πόροι). Επιπλέον, στις ρυθμίσεις Threat Emulation μπορείτε να επιλέξετε Environment (λειτουργικό σύστημα) για εξομοίωση απειλών στο sandbox και η εγκατάσταση του Environment Windows 7 όταν όλοι οι χρήστες εργάζονται με την έκδοση 10 δεν έχει νόημα επίσης.
3.7. Οι κανόνες του τείχους προστασίας και του επιπέδου εφαρμογής είναι διατεταγμένοι σύμφωνα με τις βέλτιστες πρακτικές;
Εάν ένας κανόνας έχει πολλά χτυπήματα (ταιριάσματα), τότε συνιστάται να τα βάζετε στην κορυφή και κανόνες με μικρό αριθμό επιτυχιών - στο κάτω μέρος. Το κύριο πράγμα είναι να διασφαλιστεί ότι δεν τέμνονται ή επικαλύπτονται μεταξύ τους. Προτεινόμενη αρχιτεκτονική πολιτικής τείχους προστασίας:
Επεξήγηση:
Πρώτοι Κανόνες - οι κανόνες με τον μεγαλύτερο αριθμό αγώνων τοποθετούνται εδώ
Κανόνας θορύβου - κανόνας για την απόρριψη ψευδούς κίνησης όπως το NetBIOS
Stealth Rule - απαγορεύει κλήσεις σε πύλες και διαχειριστές προς όλους εκτός από εκείνες τις πηγές που καθορίζονται στους κανόνες ελέγχου ταυτότητας σε πύλη
Οι κανόνες εκκαθάρισης, τελευταίας και απόθεσης συνήθως συνδυάζονται σε έναν κανόνα για να απαγορεύσουν οτιδήποτε δεν επιτρεπόταν προηγουμένως
Τα δεδομένα βέλτιστης πρακτικής περιγράφονται στο .
3.8. Τι ρυθμίσεις έχουν οι υπηρεσίες που δημιουργούνται από τους διαχειριστές;
Για παράδειγμα, κάποια υπηρεσία TCP δημιουργείται σε μια συγκεκριμένη θύρα και είναι λογικό να καταργήσετε την επιλογή "Match for Any" στις Προηγμένες ρυθμίσεις της υπηρεσίας. Σε αυτήν την περίπτωση, αυτή η υπηρεσία θα εμπίπτει συγκεκριμένα στον κανόνα στον οποίο εμφανίζεται και δεν θα συμμετέχει στους κανόνες όπου το Any αναφέρεται στη στήλη Υπηρεσίες.
Μιλώντας για υπηρεσίες, αξίζει να αναφέρουμε ότι μερικές φορές είναι απαραίτητο να προσαρμόσετε τα χρονικά όρια. Αυτή η ρύθμιση θα σας επιτρέψει να χρησιμοποιήσετε τους πόρους της πύλης με σύνεση, ώστε να μην κρατάτε επιπλέον χρόνο για συνεδρίες TCP/UDP πρωτοκόλλων που δεν χρειάζονται μεγάλο χρονικό όριο. Για παράδειγμα, στο παρακάτω στιγμιότυπο οθόνης, άλλαξα το χρονικό όριο λήξης της υπηρεσίας domain-udp από 40 δευτερόλεπτα σε 30 δευτερόλεπτα.
3.9. Χρησιμοποιείται το SecureXL και ποιο είναι το ποσοστό επιτάχυνσης;
Μπορείτε να ελέγξετε την ποιότητα του SecureXL χρησιμοποιώντας βασικές εντολές σε λειτουργία ειδικού στην πύλη fwaccel stat и fw accel stats -s. Στη συνέχεια, πρέπει να υπολογίσετε τι είδους επισκεψιμότητα επιταχύνεται και ποια άλλα πρότυπα μπορούν να δημιουργηθούν.
Τα Πρότυπα απόθεσης δεν είναι ενεργοποιημένα από προεπιλογή· η ενεργοποίησή τους θα ωφελήσει το SecureXL. Για να το κάνετε αυτό, μεταβείτε στις ρυθμίσεις πύλης και στην καρτέλα Βελτιστοποιήσεις:
Επίσης, όταν εργάζεστε με ένα σύμπλεγμα για τη βελτιστοποίηση της CPU, μπορείτε να απενεργοποιήσετε το συγχρονισμό μη κρίσιμων υπηρεσιών, όπως UDP DNS, ICMP και άλλες. Για να το κάνετε αυτό, μεταβείτε στις ρυθμίσεις υπηρεσίας → Για προχωρημένους → Συγχρονισμός συνδέσεων κατάστασης Ο συγχρονισμός κατάστασης είναι ενεργοποιημένος στο σύμπλεγμα.
Όλες οι Βέλτιστες Πρακτικές περιγράφονται στο .
3.10. Πώς χρησιμοποιείται το CoreXl;
Η τεχνολογία CoreXL, η οποία επιτρέπει τη χρήση πολλαπλών CPU για στιγμιότυπα τείχους προστασίας (ενότητες τείχους προστασίας), σίγουρα βοηθά στη βελτιστοποίηση της λειτουργίας της συσκευής. Ομάδα πρώτα fw ctl συγγένεια -l -a θα εμφανίσει τα στιγμιότυπα του τείχους προστασίας που χρησιμοποιούνται και τους επεξεργαστές που έχουν εκχωρηθεί στο SND (μια λειτουργική μονάδα που κατανέμει την κυκλοφορία σε οντότητες τείχους προστασίας). Εάν δεν χρησιμοποιούνται όλοι οι επεξεργαστές, μπορούν να προστεθούν με την εντολή cpconfig στην πύλη.
Επίσης μια καλή ιστορία είναι να βάλουμε για να ενεργοποιήσετε το Multi-Queue. Το Multi-Queue λύνει το πρόβλημα όταν ο επεξεργαστής με SND χρησιμοποιείται σε μεγάλο ποσοστό και οι παρουσίες του τείχους προστασίας σε άλλους επεξεργαστές είναι αδρανείς. Τότε το SND θα είχε τη δυνατότητα να δημιουργήσει πολλές ουρές για ένα NIC και να ορίσει διαφορετικές προτεραιότητες για διαφορετική κίνηση σε επίπεδο πυρήνα. Κατά συνέπεια, οι πυρήνες της CPU θα χρησιμοποιούνται πιο έξυπνα. Οι τεχνικές περιγράφονται επίσης στο .
Εν κατακλείδι, θα ήθελα να πω ότι αυτές δεν είναι όλες οι Βέλτιστες πρακτικές για τη βελτιστοποίηση του Check Point, αλλά είναι οι πιο δημοφιλείς. Εάν θέλετε να παραγγείλετε έλεγχο της πολιτικής ασφαλείας σας ή να επιλύσετε ένα πρόβλημα που σχετίζεται με το Check Point, επικοινωνήστε [προστασία μέσω email].
Спасибо за внимание!
Πηγή: www.habr.com