¡Hola colegas! Hoy me gustaría tratar un tema muy relevante para muchos administradores de Check Point, "Optimización de CPU y RAM". No es raro que una puerta de enlace y/o un servidor de administración consuman inesperadamente muchos de estos recursos, y uno quisiera entender dónde se “filtran” y, si es posible, usarlos de manera más competente.
1. Análisis
Para analizar la carga del procesador, es útil usar los siguientes comandos, que se ingresan en modo experto:
parte superior muestra todos los procesos, la cantidad de recursos de CPU y RAM consumidos en porcentaje, el tiempo de actividad, la prioridad del proceso y en tiempo realи
lista cpwd_admin Check Point WatchDog Daemon, que muestra todos los módulos de la aplicación, su PID, estado y número de ejecuciones
cpstat -f sistema operativo de la CPU Uso de la CPU, su número y distribución del tiempo del procesador en porcentaje
cpstat -f sistema operativo de memoria uso de RAM virtual, cuánta RAM activa, libre y más
El comentario correcto es que todos los comandos cpstat se pueden ver usando la utilidad vista cp. Para hacer esto, solo necesita ingresar el comando cpview desde cualquier modo en la sesión SSH.
pd auxwf una larga lista de todos los procesos, su ID, memoria virtual ocupada y memoria en RAM, CPU
Otra variación del comando:
ps-aF mostrar el proceso más caro
fw ctl afinidad -l -a distribución de núcleos para diferentes instancias del firewall, es decir, tecnología CoreXL
fw ctl pstat Análisis de RAM e indicadores generales de conexiones, cookies, NAT
Libre Búfer RAM
El equipo merece una atención especial. satelital y sus variaciones. Por ejemplo, netstat-i puede ayudar a resolver el problema de monitorear portapapeles. El parámetro Paquetes descartados de RX (RX-DRP) en la salida de este comando tiende a crecer por sí mismo debido a la caída de protocolos ilegítimos (IPv6, etiquetas de VLAN incorrectas/involuntarias y otros). Sin embargo, si las caídas ocurren por otro motivo, entonces debe usar este para comenzar a investigar por qué esta interfaz de red descarta paquetes. Conociendo la causa, también se puede optimizar el funcionamiento de la appline.
Si la hoja Supervisión está habilitada, puede ver estas métricas gráficamente en SmartConsole haciendo clic en un objeto y seleccionando Información de dispositivo y licencia.
No se recomienda habilitar la hoja de Supervisión de forma continua, pero es bastante posible durante un día para una prueba.
Además, puede agregar más parámetros para monitorear, uno de ellos es muy útil: el rendimiento de bytes (ancho de banda de la aplicación).
Si hay algún otro sistema de monitoreo, por ejemplo, gratis , que se basa en SNMP, también es adecuado para identificar estos problemas.
2. RAM "pierde" con el tiempo
A menudo surge la duda de que, con el tiempo, la puerta de enlace o el servidor de gestión empiezan a consumir cada vez más RAM. Quiero asegurarles: esta es una historia normal para sistemas similares a Linux.
Mirando la salida del comando Libre и cpstat -f sistema operativo de memoria en la aplicación desde el modo experto, puede calcular y ver todos los parámetros relacionados con la memoria RAM.
Según la memoria disponible en la puerta de enlace en este momento Memoria libre + Memoria de búfer + Memoria en caché = +-1.5GB, generalmente.
Como dice CP, con el tiempo, la puerta de enlace/servidor de administración se optimiza y usa más y más memoria, hasta aproximadamente un 80 % de uso, y se detiene. Puede reiniciar el dispositivo y luego el indicador se restablecerá. 1.5 GB de RAM libre es definitivamente suficiente para que la puerta de enlace realice todas las tareas, y la administración rara vez alcanza tales valores de umbral.
Además, la salida de los comandos mencionados mostrará cuánto tiene Memoria baja (RAM en el espacio de usuario) y Memoria alta (RAM en el espacio del núcleo) utilizado.
Los procesos del kernel (incluidos los módulos activos, como los módulos del kernel de Check Point) solo usan poca memoria. Sin embargo, los procesos de usuario pueden usar memoria baja y alta. Además, Low memory es aproximadamente igual a La memoria total.
Solo debes preocuparte si hay errores en los logs "los módulos se reinician o los procesos se eliminan para recuperar la memoria debido a OOM (memoria insuficiente)". Luego, debe reiniciar la puerta de enlace y ponerse en contacto con el soporte si el reinicio no ayuda.
Se puede encontrar una descripción completa en и .
3. Optimización
A continuación hay preguntas y respuestas sobre la optimización de CPU y RAM. Debes responderlas honestamente a ti mismo y escuchar las recomendaciones.
3.1. ¿Se eligió correctamente la línea ascendente? ¿Hubo un proyecto piloto?
A pesar de un dimensionamiento competente, la red simplemente podría crecer y este equipo simplemente no puede hacer frente a la carga. La segunda opción, si no existiera el dimensionamiento como tal.
3.2. ¿Está habilitada la inspección HTTPS? Si es así, ¿la tecnología está configurada de acuerdo con las mejores prácticas?
Referirse a si eres nuestro cliente, o para .
El orden de las reglas en la política de inspección de HTTPS juega un papel importante en la optimización de la apertura de sitios HTTPS.
Orden de reglas recomendado:
- Omitir reglas con categorías/URL
- inspeccionar reglas con categorías/URL
- Inspeccionar reglas para todas las demás categorías
Por analogía con la política de firewall, Check Point busca una coincidencia de paquetes de arriba a abajo, por lo que las reglas de omisión se colocan mejor en la parte superior, ya que la puerta de enlace no desperdiciará recursos ejecutando todas las reglas si es necesario omitir este paquete.
3.3 ¿Se utilizan objetos de rango de direcciones?
Los objetos con un rango de direcciones, como la red 192.168.0.0-192.168.5.0, consumen significativamente más RAM que 5 objetos de red. En general, se considera una buena práctica eliminar los objetos no utilizados en la SmartConsole, ya que cada vez que se establece una política, la puerta de enlace y el servidor de administración gastan recursos y, lo que es más importante, tiempo para verificar y aplicar la política.
3.4. ¿Cómo se configura la política de prevención de amenazas?
En primer lugar, Check Point recomienda mover IPS a un perfil separado y crear reglas separadas para esta hoja.
Por ejemplo, un administrador piensa que un segmento DMZ solo debe protegerse con IPS. Por lo tanto, para que la puerta de enlace no desperdicie recursos en el procesamiento de paquetes por parte de otros blades, es necesario crear una regla específica para este segmento con un perfil en el que solo se habilite IPS.
Con respecto a la configuración de perfiles, se recomienda configurarlo de acuerdo con las mejores prácticas en este (páginas 17-20).
3.5. ¿Cuántas firmas en el modo de detección en la configuración de IPS?
Se recomienda trabajar mucho en las firmas en el sentido de que las firmas no utilizadas deben deshabilitarse (por ejemplo, las firmas para el funcionamiento de los productos de Adobe requieren mucha potencia informática y, si el cliente no tiene dichos productos, tiene sentido deshabilitarlas). firmas). Luego, coloque Prevenir en lugar de Detectar cuando sea posible, ya que la puerta de enlace gasta recursos en procesar toda la conexión en el modo Detectar, en el modo Prevenir corta inmediatamente la conexión y no desperdicia recursos en el procesamiento completo del paquete.
3.6. ¿Qué archivos son procesados por las cuchillas Threat Emulation, Threat Extraction, Anti-Virus?
No tiene sentido emular y analizar archivos de extensión que sus usuarios no descargan o que considera innecesarios en su red (por ejemplo, los archivos bat, exe se pueden bloquear fácilmente usando la hoja de reconocimiento de contenido en el nivel del firewall, por lo que los recursos de la puerta de enlace serán gastó menos). Además, en la configuración de Emulación de amenazas, puede seleccionar el Entorno (sistema operativo) para emular amenazas en el espacio aislado e instalar el Entorno Windows 7 cuando todos los usuarios están trabajando con la versión 10, tampoco tiene sentido.
3.7. ¿Las reglas de la capa de aplicación y del cortafuegos se colocan de acuerdo con las mejores prácticas?
Si una regla tiene muchos aciertos (coincidencias), se recomienda colocarlos en la parte superior y reglas con una pequeña cantidad de aciertos, en la parte inferior. Lo principal es asegurarse de que no se crucen y no se superpongan entre sí. Arquitectura de política de firewall recomendada:
Explicación:
Primeras reglas: las reglas con la mayor cantidad de coincidencias se colocan aquí
Regla de ruido: una regla para descartar tráfico espurio como NetBIOS
Regla de sigilo: prohibición de acceso a puertas de enlace y administración para todos, excepto para aquellas fuentes que se especificaron en las Reglas de autenticación para puertas de enlace.
Las reglas de limpieza, último y soltar generalmente se combinan en una sola regla para prohibir todo lo que no estaba permitido antes
Los datos de mejores prácticas se describen en .
3.8. ¿Cuáles son las configuraciones para los servicios creados por los administradores?
Por ejemplo, algún servicio TCP se está creando en un puerto específico y tiene sentido desmarcar "Coincidir con cualquiera" en la configuración avanzada del servicio. En este caso, este servicio se regirá específicamente por la regla en la que aparece y no participará en las reglas donde Cualquiera está en la columna Servicios.
Hablando de servicios, vale la pena mencionar que a veces es necesario modificar los tiempos de espera. Esta configuración le permitirá utilizar los recursos de la puerta de enlace de manera más inteligente, para no mantener un tiempo de sesión TCP / UDP adicional para los protocolos que no necesitan un tiempo de espera prolongado. Por ejemplo, en la captura de pantalla a continuación, cambié el tiempo de espera del servicio UDP de dominio de 40 segundos a 30 segundos.
3.9. ¿Se usa SecureXL y cuál es el porcentaje de aceleración?
Puede verificar la calidad de SecureXL con los comandos principales en modo experto en la puerta de enlace estadísticas de fwaccel и fw aceleradores -s. A continuación, debe averiguar qué tipo de tráfico se está acelerando, qué plantillas (plantillas) puede crear más.
De forma predeterminada, las Plantillas de eliminación no están habilitadas; habilitarlas tendrá un efecto positivo en el funcionamiento de SecureXL. Para hacer esto, vaya a la configuración de la puerta de enlace y a la pestaña Optimizaciones:
Además, cuando trabaje con un clúster, para optimizar la CPU, puede deshabilitar la sincronización de servicios no críticos, como UDP DNS, ICMP y otros. Para hacer esto, vaya a la configuración del servicio → Avanzado → Sincronizar conexiones de Estado La sincronización está habilitada en el clúster.
Todas las mejores prácticas se describen en .
3.10. ¿Cómo se usa CoreXl?
La tecnología CoreXL, que le permite usar múltiples CPU para instancias de firewall (módulos de firewall), definitivamente ayuda a optimizar el rendimiento del dispositivo. equipo primero fw ctl afinidad -l -a mostrará las instancias de firewall utilizadas y los procesadores entregados al SND necesario (un módulo que distribuye el tráfico a las entidades de firewall). Si no todos los procesadores están involucrados, se pueden agregar con el comando cpconfig en la puerta de entrada
También una buena historia es poner para habilitar Multi-Cola. Multi-Queue resuelve el problema cuando el procesador con SND se usa en un gran porcentaje y las instancias de firewall en otros procesadores están inactivas. Luego, SND podría crear muchas colas para una NIC y establecer diferentes prioridades para diferentes tráficos a nivel de kernel. En consecuencia, los núcleos de la CPU se utilizarán de forma más inteligente. Los métodos también se describen en .
En conclusión, me gustaría decir que estas están lejos de ser todas las mejores prácticas para optimizar Check Point, pero son las más populares. Si desea solicitar una auditoría de su política de seguridad o resolver un problema de Check Point, comuníquese con [email protected].
Gracias por su atención!
Fuente: habr.com