سلام همکاران! امروز می خواهم یک موضوع بسیار مرتبط را برای بسیاری از مدیران Check Point مطرح کنم: "بهینه سازی CPU و RAM". اغلب مواردی وجود دارد که دروازه و/یا سرور مدیریت به طور غیرمنتظره مقدار زیادی از این منابع را مصرف می کند، و من می خواهم بدانم آنها کجا "جریان" می کنند و در صورت امکان از آنها هوشمندانه تر استفاده کنم.
1. تجزیه و تحلیل
برای تجزیه و تحلیل بار پردازنده، استفاده از دستورات زیر مفید است که در حالت خبره وارد می شوند:
بالا تمام فرآیندها، میزان مصرف منابع CPU و RAM را به صورت درصد، زمان آپدیت، اولویت فرآیند و در زمان واقعیи
لیست cpwd_admin Point WatchDog Daemon را بررسی کنید، که تمام ماژول های برنامه، PID، وضعیت و تعداد شروع را نشان می دهد
cpstat -f cpu os استفاده از CPU، تعداد آنها و توزیع زمان پردازنده به صورت درصد
سیستم عامل حافظه cpstat -f استفاده از رم مجازی، میزان فعال بودن، رم رایگان و موارد دیگر
نکته صحیح این است که تمام دستورات cpstat را می توان با استفاده از ابزار مشاهده کرد cpview. برای این کار کافیست دستور cpview را از هر حالتی در جلسه SSH وارد کنید.
ps auxwf لیستی طولانی از تمام فرآیندها، شناسه آنها، حافظه مجازی اشغال شده و حافظه در RAM، CPU
سایر تغییرات دستور:
ps-aF گران ترین فرآیند را نشان می دهد
fw ctl میل -l -a توزیع هسته ها برای نمونه های مختلف فایروال، یعنی فناوری CoreXL
fw ctl pstat تجزیه و تحلیل RAM و نشانگرهای اتصال عمومی، کوکی ها، NAT
رایگان -m بافر RAM
این تیم مستحق توجه ویژه است نت ست و تغییرات آن مثلا، netstat -i می تواند به حل مشکل مانیتورینگ کلیپ بورد کمک کند. پارامتر بسته های رها شده RX (RX-DRP) در خروجی این دستور، به عنوان یک قاعده، به دلیل افت پروتکل های نامشروع (IPv6، برچسب های VLAN بد / ناخواسته و غیره) به خودی خود رشد می کند. با این حال، اگر افت به دلیل دیگری اتفاق بیفتد، باید از آن استفاده کنید شروع به بررسی و درک اینکه چرا یک رابط شبکه معین بسته ها را حذف می کند. پس از فهمیدن دلیل، می توان عملکرد برنامه را نیز بهینه کرد.
اگر تیغه مانیتورینگ فعال باشد، میتوانید با کلیک بر روی شی و انتخاب «اطلاعات دستگاه و مجوز»، این معیارها را به صورت گرافیکی در کنسول هوشمند مشاهده کنید.
توصیه نمی شود که تیغه مانیتورینگ را به طور دائم روشن کنید، اما برای یک روز آزمایش کاملاً امکان پذیر است.
علاوه بر این، شما می توانید پارامترهای بیشتری را برای نظارت اضافه کنید، یکی از آنها بسیار مفید است - Bytes Throughput (عملکرد برنامه).
اگر سیستم نظارت دیگری وجود دارد، مثلاً رایگان بر اساس SNMP نیز برای شناسایی این مشکلات مناسب است.
2. رم به مرور زمان نشت می کند
اغلب این سوال پیش می آید که با گذشت زمان، دروازه یا سرور مدیریت شروع به مصرف بیشتر و بیشتر RAM می کند. من می خواهم به شما اطمینان دهم: این یک داستان عادی برای سیستم های لینوکس مانند است.
نگاهی به خروجی دستورات رایگان -m и سیستم عامل حافظه cpstat -f در برنامه از حالت متخصص، می توانید تمام پارامترهای مربوط به RAM را محاسبه و مشاهده کنید.
بر اساس حافظه موجود در دروازه در حال حاضر حافظه خالی + حافظه بافر + حافظه کش = +-1.5 گیگابایت، معمولا.
همانطور که CP میگوید، با گذشت زمان، سرور دروازه/مدیریت بهینهسازی میشود و از حافظه بیشتر و بیشتری استفاده میکند و به حدود 80 درصد استفاده میرسد و متوقف میشود. می توانید دستگاه را راه اندازی مجدد کنید و سپس نشانگر بازنشانی می شود. 1.5 گیگابایت رم رایگان دقیقاً برای انجام تمام وظایف دروازه کافی است و مدیریت به ندرت به چنین مقادیر آستانه ای می رسد.
همچنین خروجی دستورات ذکر شده نشان می دهد که شما چقدر دارید حافظه کم (رم در فضای کاربری) و حافظه بالا (رم در فضای هسته) استفاده می شود.
فرآیندهای هسته (از جمله ماژول های فعال مانند ماژول های هسته Check Point) فقط از حافظه کم استفاده می کنند. با این حال، فرآیندهای کاربر می توانند از حافظه کم و زیاد استفاده کنند. علاوه بر این، حافظه کم تقریباً برابر است کل حافظه.
فقط در صورت وجود خطا در گزارش ها باید نگران باشید "ماژول ها راه اندازی مجدد می شوند یا پردازش ها برای بازیابی حافظه به دلیل OOM (خارج از حافظه) کشته می شوند". سپس باید گیتوی را راهاندازی مجدد کنید و اگر راهاندازی مجدد کمکی نکرد، با پشتیبانی تماس بگیرید.
توضیحات کامل را می توان در и .
3. Optimization
در زیر سوالات و پاسخ هایی در مورد بهینه سازی CPU و RAM وجود دارد. شما باید صادقانه به آنها پاسخ دهید و به توصیه ها گوش دهید.
3.1. آیا برنامه به درستی انتخاب شده است؟ آیا پروژه آزمایشی وجود داشت؟
با وجود اندازه مناسب، شبکه به سادگی می تواند رشد کند و این تجهیزات به سادگی نمی توانند با بار مقابله کنند. گزینه دوم این است که اگر اندازه ای وجود نداشته باشد.
3.2. آیا بازرسی HTTPS فعال است؟ اگر بله، آیا فناوری بر اساس بهترین روش پیکربندی شده است؟
رجوع شود به ، اگر مشتری ما هستید یا به .
ترتیب قوانین در سیاست بازرسی HTTPS در بهینه سازی باز کردن سایت های HTTPS از اهمیت بالایی برخوردار است.
ترتیب توصیه شده قوانین:
- دور زدن قوانین با دستهها/URLها
- قوانین را با دسته ها/URL ها بررسی کنید
- قوانین را برای همه دسته های دیگر بررسی کنید
با تشبیه سیاست دیوار آتش، Check Point مطابق با بسته ها را از بالا به پایین جستجو می کند، بنابراین بهتر است قوانین بای پس را در بالا قرار دهید، زیرا در صورت نیاز این بسته، دروازه منابع را برای اجرای همه قوانین هدر نمی دهد. تصویب شود.
3.3 آیا از اشیاء محدوده آدرس استفاده می شود؟
اشیاء با محدوده آدرس، به عنوان مثال، شبکه 192.168.0.0-192.168.5.0، به طور قابل توجهی RAM بیشتری نسبت به 5 شیء شبکه اشغال می کنند. به طور کلی، حذف اشیاء استفاده نشده در SmartConsole عمل خوبی در نظر گرفته می شود، زیرا هر بار که یک خط مشی نصب می شود، دروازه و سرور مدیریت منابع و مهمتر از همه زمان را برای تأیید و اعمال خط مشی صرف می کند.
3.4. سیاست پیشگیری از تهدید چگونه پیکربندی می شود؟
اول از همه، Check Point توصیه می کند که IPS را در یک پروفایل جداگانه قرار دهید و قوانین جداگانه ای برای این تیغه ایجاد کنید.
به عنوان مثال، یک مدیر معتقد است که بخش DMZ فقط باید با استفاده از IPS محافظت شود. بنابراین، برای جلوگیری از هدر رفتن منابع گیتوی برای پردازش بستهها توسط تیغههای دیگر، لازم است یک قانون بهطور خاص برای این سگمنت با نمایهای ایجاد شود که در آن فقط IPS فعال باشد.
با توجه به راه اندازی پروفایل ها، توصیه می شود آن را بر اساس بهترین روش ها در این مورد تنظیم کنید (صفحات 17-20).
3.5. در تنظیمات IPS در حالت Detect چند امضا وجود دارد؟
توصیه می شود امضاها را با دقت مطالعه کنید به این معنا که امضاهای استفاده نشده باید غیرفعال شوند (مثلاً امضاها برای عملکرد محصولات Adobe به قدرت محاسباتی زیادی نیاز دارند و اگر مشتری چنین محصولاتی نداشته باشد، غیرفعال کردن امضاها منطقی است). در مرحله بعد، در صورت امکان، Prevent را به جای Detect قرار دهید، زیرا دروازه منابع را برای پردازش کل اتصال در حالت Detect صرف می کند؛ در حالت Prevent، بلافاصله اتصال را حذف می کند و منابع را برای پردازش کامل بسته هدر نمی دهد.
3.6. چه فایل هایی توسط Threat Emulation، Threat Extraction، Anti-Virus blade پردازش می شوند؟
شبیه سازی و تجزیه و تحلیل فایل های پسوندهایی که کاربران شما دانلود نمی کنند یا در شبکه خود غیرضروری می دانید (به عنوان مثال، فایل های bat، exe را می توان به راحتی با استفاده از Content Awareness در سطح فایروال مسدود کرد، منطقی نیست، بنابراین دروازه کمتری دارد. منابع هزینه خواهد شد). علاوه بر این، در تنظیمات Threat Emulation می توانید Environment (سیستم عامل) را برای شبیه سازی تهدیدات در sandbox انتخاب کنید و نصب Environment Windows 7 زمانی که همه کاربران با نسخه 10 کار می کنند نیز منطقی نیست.
3.7. آیا قوانین سطح فایروال و برنامه مطابق با بهترین عملکرد تنظیم شده اند؟
اگر یک قانون دارای تعداد زیادی بازدید (مطابقات) باشد، توصیه می شود آنها را در بالای صفحه قرار دهید و قوانین را با تعداد کمی بازدید - در پایین ترین قسمت قرار دهید. نکته اصلی این است که اطمینان حاصل شود که آنها با یکدیگر تلاقی یا همپوشانی ندارند. معماری خط مشی فایروال پیشنهادی:
شرح:
قوانین اول - قوانین با بیشترین تعداد مطابق در اینجا قرار می گیرند
قانون نویز - قانونی برای دور انداختن ترافیک جعلی مانند NetBIOS
قانون مخفی - تماس با دروازه ها و مدیریت ها را به همه به جز منابعی که در قوانین احراز هویت به دروازه مشخص شده اند ممنوع می کند.
قوانین پاکسازی، آخرین و رها کردن معمولاً در یک قانون ترکیب می شوند تا همه چیزهایی را که قبلا مجاز نبودند ممنوع کنند.
داده های بهترین عملکرد در شرح داده شده است .
3.8. سرویس های ایجاد شده توسط مدیران چه تنظیماتی دارند؟
به عنوان مثال، برخی از سرویسهای TCP بر روی یک پورت خاص ایجاد میشوند و منطقی است که تیک "Match for Any" را در تنظیمات پیشرفته سرویس بردارید. در این صورت، این سرویس به طور خاص تحت قاعدهای قرار میگیرد که در آن ظاهر میشود و در قوانینی که Any در ستون Services فهرست شده است، شرکت نخواهد کرد.
در مورد خدمات، لازم به ذکر است که گاهی اوقات لازم است تایم اوت ها را تنظیم کنید. این تنظیم به شما این امکان را می دهد که از منابع دروازه به طور هوشمندانه استفاده کنید، به طوری که زمان اضافی برای جلسات TCP/UDP پروتکل هایی که نیازی به تایم اوت زیاد ندارند، نگه ندارید. به عنوان مثال، در تصویر زیر، مدت زمان سرویس domain-udp را از 40 ثانیه به 30 ثانیه تغییر دادم.
3.9. آیا از SecureXL استفاده می شود و درصد افزایش سرعت آن چقدر است؟
می توانید کیفیت SecureXL را با استفاده از دستورات اولیه در حالت متخصص در دروازه بررسی کنید آمار fwaccel и fw accel stats -s. در مرحله بعد، باید بفهمید که چه نوع ترافیکی در حال افزایش است و چه قالب های دیگری را می توان ایجاد کرد.
Drop Templates به طور پیشفرض فعال نیستند؛ فعال کردن آنها به نفع SecureXL خواهد بود. برای انجام این کار، به تنظیمات دروازه و تب Optimizations بروید:
همچنین، هنگام کار با یک کلاستر برای بهینه سازی CPU، می توانید همگام سازی سرویس های غیر حیاتی مانند UDP DNS، ICMP و غیره را غیرفعال کنید. برای انجام این کار، به تنظیمات سرویس بروید → پیشرفته → همگام سازی اتصالات حالت همگام سازی در خوشه فعال است.
همه بهترین شیوه ها در شرح داده شده است .
3.10. CoreXl چگونه استفاده می شود؟
فناوری CoreXL که امکان استفاده از چندین CPU را برای نمونه های فایروال (ماژول های دیوار آتش) می دهد، قطعا به بهینه سازی عملکرد دستگاه کمک می کند. اول تیم fw ctl میل -l -a نمونه های فایروال استفاده شده و پردازنده های اختصاص داده شده به SND (ماژولی که ترافیک را بین موجودیت های فایروال توزیع می کند) را نشان می دهد. اگر از همه پردازنده ها استفاده نمی شود، می توان آنها را با دستور اضافه کرد cpconfig در دروازه
همچنین یک داستان خوب برای قرار دادن است برای فعال کردن چند صف Multi-Queue زمانی که پردازنده دارای SND با درصد زیادی استفاده میشود و نمونههای فایروال روی پردازندههای دیگر بیحرکت هستند، مشکل را حل میکند. سپس SND توانایی ایجاد صف های زیادی برای یک NIC و تعیین اولویت های مختلف برای ترافیک های مختلف در سطح هسته را خواهد داشت. در نتیجه، از هستههای CPU هوشمندتر استفاده میشود. روش ها نیز در شرح داده شده است .
در پایان، میخواهم بگویم که اینها همه بهترین روشها برای بهینهسازی Check Point نیستند، اما محبوبترین آنها هستند. اگر می خواهید دستور بازرسی خط مشی امنیتی خود را بدهید یا مشکل مربوط به Check Point را حل کنید، لطفاً تماس بگیرید [ایمیل محافظت شده].
با تشکر از شما!
منبع: www.habr.com