Hei kollegat! Tänään haluaisin keskustella erittäin tärkeästä aiheesta monille Check Pointin ylläpitäjille, "CPU- ja RAM-optimointi". Ei ole harvinaista, että yhdyskäytävä ja/tai hallintapalvelin kuluttavat yllättäen monia näistä resursseista, ja halutaan ymmärtää, mistä ne "vuotavat" ja, jos mahdollista, käyttää niitä pätevämmin.
1. Analyysi
Prosessorin kuormituksen analysoimiseksi on hyödyllistä käyttää seuraavia komentoja, jotka syötetään asiantuntijatilassa:
ylin näyttää kaikki prosessit, kulutettujen CPU- ja RAM-resurssien määrän prosentteina, käytettävyyden, prosessien prioriteetin ja oikeassa ajassaи
cpwd_admin luettelo Check Point WatchDog Daemon, joka näyttää kaikki sovellusmoduulit, niiden PID:n, tilan ja ajojen määrän
cpstat -f prosessorikäyttöjärjestelmä CPU-käyttö, niiden lukumäärä ja prosessoriajan jakautuminen prosentteina
cpstat -f -muistikäyttöjärjestelmä virtuaalisen RAM-muistin käyttö, kuinka paljon aktiivista muistia, ilmainen RAM ja paljon muuta
Oikea huomautus on, että kaikki cpstat-komennot voidaan tarkastella apuohjelmalla cpview. Tätä varten sinun tarvitsee vain kirjoittaa cpview-komento mistä tahansa SSH-istunnon tilasta.
ps auxwf pitkä luettelo kaikista prosesseista, niiden tunnukset, varattu virtuaalimuisti ja muisti RAM-muistissa, CPU
Toinen komennon muunnelma:
ps-aF näytä kallein prosessi
fw ctl-affiniteetti -l -a ytimien jakelu palomuurin eri instansseille eli CoreXL-teknologialle
fw ctl pstat RAM-analyysi ja yleiset yhteyksien indikaattorit, evästeet, NAT
vapaa-m RAM-puskuri
Joukkue ansaitsee erityistä huomiota. netsat ja sen muunnelmia. Esimerkiksi, netstat -i voi auttaa ratkaisemaan leikepöydän valvontaongelman. Tämän komennon lähdössä oleva parametri RX dropped packets (RX-DRP) kasvaa itsestään johtuen laittomien protokollien (IPv6, huonot / tahattomat VLAN-tunnisteet ja muut) putoamisesta. Jos putoaminen kuitenkin tapahtuu jostain muusta syystä, sinun tulee käyttää tätä alkaa tutkia, miksi tämä verkkoliitäntä pudottaa paketteja. Syyn tuntemalla sovelluksen toimintaa voidaan myös optimoida.
Jos Monitoring blade on käytössä, voit tarkastella näitä mittareita graafisesti SmartConsolessa napsauttamalla objektia ja valitsemalla Laite- ja lisenssitiedot.
Monitoring bladea ei ole suositeltavaa ottaa käyttöön jatkuvasti, mutta se on täysin mahdollista päivän ajan testiä varten.
Lisäksi voit lisätä valvontaa varten lisää parametreja, joista yksi on erittäin hyödyllinen - Bytes Throughput (sovelluskaistanleveys).
Jos on olemassa jokin muu valvontajärjestelmä, esimerkiksi ilmainen , joka perustuu SNMP:hen, soveltuu myös näiden ongelmien tunnistamiseen.
2. RAM "vuotoja" ajan myötä
Usein herää kysymys, että ajan myötä yhdyskäytävä tai hallintapalvelin alkaa kuluttaa yhä enemmän RAM-muistia. Haluan vakuuttaa teille: tämä on normaali tarina Linuxin kaltaisille järjestelmille.
Katsotaan komentotulostusta vapaa-m и cpstat -f -muistikäyttöjärjestelmä sovelluksella asiantuntijatilasta voit laskea ja tarkastella kaikkia RAM-muistiin liittyviä parametreja.
Perustuu yhdyskäytävän tällä hetkellä käytettävissä olevaan muistiin Vapaa muisti + Puskurit Muisti + Välimuisti = +-1.5 Gt, yleensä.
Kuten CP sanoo, ajan myötä yhdyskäytävä/hallintapalvelin optimoi ja käyttää yhä enemmän muistia saavuttaen noin 80 %:n käytön ja pysähtyen. Voit käynnistää laitteen uudelleen, jolloin ilmaisin nollautuu. 1.5 Gt ilmaista RAM-muistia riittää ehdottomasti yhdyskäytävälle suorittamaan kaikki tehtävät, ja hallinta harvoin saavuttaa tällaisia kynnysarvoja.
Myös mainittujen komentojen tulos näyttää, kuinka paljon sinulla on Muisti vähissä (RAM käyttäjätilassa) ja Korkea muisti (RAM kerneltilassa) käytetty.
Ydinprosessit (mukaan lukien aktiiviset moduulit, kuten Check Pointin ydinmoduulit) käyttävät vain vähän muistia. Käyttäjäprosessit voivat kuitenkin käyttää sekä vähän että korkeaa muistia. Lisäksi Alhainen muisti on suunnilleen yhtä suuri yhteensä Muisti.
Sinun pitäisi olla huolissaan vain, jos lokeissa on virheitä "moduulit käynnistyvät uudelleen tai prosesseja lopetetaan muistin palauttamiseksi OOM:n vuoksi (muisti lopussa)". Sitten sinun tulee käynnistää yhdyskäytävä uudelleen ja ottaa yhteyttä tukeen, jos uudelleenkäynnistys ei auta.
Täydellinen kuvaus löytyy osoitteesta и .
3. Optimointi
Alla on kysymyksiä ja vastauksia CPU- ja RAM-optimoinnista. Sinun tulee vastata niihin rehellisesti itsellesi ja kuunnella suosituksia.
3.1. Oliko ylälinja valittu oikein? Oliko pilottiprojekti?
Pätevästä mitoituksesta huolimatta verkko voi yksinkertaisesti kasvaa, ja tämä laite ei yksinkertaisesti kestä kuormaa. Toinen vaihtoehto, jos kokoa ei olisi sellaisenaan.
3.2. Onko HTTPS-tarkastus käytössä? Jos on, onko tekniikka määritetty Best Practice -käytännön mukaan?
Viitata jos olet asiakkaamme tai .
HTTPS-tarkastuskäytännön sääntöjen järjestyksellä on suuri rooli HTTPS-sivustojen avaamisen optimoinnissa.
Suositeltu sääntöjen järjestys:
- Ohita säännöt luokkien/URL-osoitteiden avulla
- tarkista säännöt luokkien/URL-osoitteiden avulla
- Tarkista kaikkien muiden luokkien säännöt
Analogisesti palomuurikäytännön kanssa Check Point etsii pakettien yhteensopivuutta ylhäältä alas, joten ohitussäännöt sijoitetaan parhaiten yläreunaan, koska yhdyskäytävä ei tuhlaa resursseja kaikkien sääntöjen läpikäymiseen, jos tämä paketti on ohitettava.
3.3 Käytetäänkö osoitealueen objekteja?
Objektit, joilla on useita osoitteita, kuten verkko 192.168.0.0-192.168.5.0, kuluttavat huomattavasti enemmän RAM-muistia kuin viisi verkkoobjektia. Yleisesti katsotaan hyväksi käytännöksi poistaa käyttämättömät objektit SmartConsolesta, koska joka kerta, kun käytäntö asetetaan, yhdyskäytävä ja hallintapalvelin käyttävät resursseja ja mikä tärkeintä, aikaa käytännön tarkistamiseen ja soveltamiseen.
3.4. Miten uhkien ehkäisykäytäntö on määritetty?
Ensinnäkin Check Point suosittelee IPS:n siirtämistä erilliseen profiiliin ja erillisten sääntöjen luomista tälle bladelle.
Esimerkiksi järjestelmänvalvojan mielestä DMZ-segmentti tulisi suojata vain IPS:llä. Siksi, jotta yhdyskäytävä ei tuhlaa resursseja muiden korttien pakettien käsittelyyn, on tarpeen luoda sääntö erityisesti tälle segmentille profiililla, jossa vain IPS on käytössä.
Mitä tulee profiilien asettamiseen, on suositeltavaa määrittää se parhaiden käytäntöjen mukaisesti (sivut 17-20).
3.5. Kuinka monta allekirjoitusta IPS-asetuksissa on havaittavissa?
Allekirjoitusten parissa on suositeltavaa työskennellä lujasti siinä mielessä, että käyttämättömät allekirjoitukset on poistettava käytöstä (esimerkiksi Adobe-tuotteiden toiminnan allekirjoitukset vaativat paljon laskentatehoa ja jos asiakkaalla ei ole sellaisia tuotteita, on järkevää poistaa käytöstä allekirjoitukset). Laita sitten Detectin sijaan Esto mahdollisuuksien mukaan, koska yhdyskäytävä käyttää resursseja koko yhteyden käsittelyyn Detect-tilassa, estotilassa se katkaisee yhteyden välittömästi eikä tuhlaa resursseja paketin koko käsittelyyn.
3.6. Mitä tiedostoja Threat Emulation, Threat Extraction, Anti-Virus blade käsittelee?
Ei ole mitään järkeä emuloida ja analysoida laajennustiedostoja, joita käyttäjäsi eivät lataa tai joita pidät tarpeettomina verkossasi (esimerkiksi bat-, exe-tiedostot voidaan helposti estää palomuuritason Content Awareness -terän avulla, joten yhdyskäytäväresurssit kuluttanut vähemmän). Lisäksi Uhkien emulointiasetuksissa voit valita ympäristön (käyttöjärjestelmän) emuloidaksesi uhkia hiekkalaatikossa ja asentaa ympäristön Windows 7:n, kun kaikki käyttäjät työskentelevät 10. version kanssa, se ei myöskään ole järkevää.
3.7. Onko palomuuri- ja sovellustason säännöt asetettu parhaiden käytäntöjen mukaisesti?
Jos säännössä on paljon osumia (osumia), on suositeltavaa sijoittaa ne ylhäältä ja säännöt, joissa on pieni määrä osumia - aivan alareunaan. Tärkeintä on varmistaa, että ne eivät leikkaa eivätkä mene päällekkäin. Suositeltu palomuurikäytäntöarkkitehtuuri:
Selitys:
Ensimmäiset säännöt - säännöt, joilla on eniten otteluita, on sijoitettu tähän
Noise Rule - sääntö harhaanjohtavan liikenteen, kuten NetBIOSin, poistamiseksi
Stealth Rule - kielto kutsua yhdyskäytäviä ja hallintaa kaikille, paitsi niille lähteille, jotka on määritelty Authentication to Gateway Rules -säännöissä
Puhdistus-, viimeinen- ja pudotussäännöt yhdistetään yleensä yhdeksi säännöksi estämään kaikki, mikä ei ollut sallittua ennen
Parhaan käytännön tiedot on kuvattu kohdassa .
3.8. Mitkä ovat järjestelmänvalvojien luomien palveluiden asetukset?
Esimerkiksi tiettyyn porttiin luodaan jokin TCP-palvelu, ja on järkevää poistaa valinta "Match for Any" palvelun lisäasetuksista. Tässä tapauksessa tämä palvelu kuuluu nimenomaan sen säännön piiriin, jossa se esiintyy, eikä se osallistu sääntöihin, joissa Palvelut-sarakkeessa Mikä tahansa on.
Palveluista puheen ollen on syytä mainita, että joskus on tarpeen säätää aikakatkaisuja. Tämän asetuksen avulla voit käyttää yhdyskäytävän resursseja älykkäämmin, jotta et tarvitse ylimääräistä TCP/UDP-istuntoa protokollille, jotka eivät tarvitse suurta aikakatkaisua. Esimerkiksi alla olevassa kuvakaappauksessa vaihdoin domain-udp-palvelun aikakatkaisun 40 sekunnista 30 sekuntiin.
3.9. Käytetäänkö SecureXL:ää ja mikä on kiihtyvyysprosentti?
Voit tarkistaa SecureXL:n laadun pääkäskyillä asiantuntijatilassa yhdyskäytävässä fwaccel stat и fw accelstats -s. Seuraavaksi sinun on selvitettävä, millainen liikenne kiihtyy, mitä malleja (malleja) voit luoda lisää.
Drop Templates -mallit eivät ole oletuksena käytössä, joten niiden ottaminen käyttöön vaikuttaa myönteisesti SecureXL:n toimintaan. Voit tehdä tämän siirtymällä yhdyskäytävän asetuksiin ja Optimoinnit-välilehteen:
Lisäksi, kun työskentelet klusterin kanssa, voit optimoida suorittimen poistamalla käytöstä ei-kriittisten palvelujen, kuten UDP DNS:n, ICMP:n ja muiden, synkronoinnin. Voit tehdä tämän siirtymällä palveluasetuksiin → Lisäasetukset → Synkronoi yhteydet Tilasynkronointi on käytössä klusterissa.
Kaikki parhaat käytännöt on kuvattu kohdassa .
3.10. Miten CoreXliä käytetään?
CoreXL-tekniikka, jonka avulla voit käyttää useita suorittimia palomuuriinstanssien (palomuurimoduulien) kanssa, auttaa ehdottomasti optimoimaan laitteen suorituskykyä. Joukkue ensin fw ctl-affiniteetti -l -a näyttää käytetyt palomuurin ilmentymät ja tarvittavalle SND:lle (moduuli, joka jakaa liikennettä palomuurin entiteeteille) annetut prosessorit. Jos kaikki prosessorit eivät ole mukana, ne voidaan lisätä komennolla cpconfig portilla.
Myös hyvä tarina on laittaa ottaaksesi Multi-Queuen käyttöön. Multi-Queue ratkaisee ongelman, kun SND:tä sisältävä prosessori on käytössä useissa prosenteissa ja muiden prosessorien palomuuriesiintymät ovat käyttämättömänä. Silloin SND voisi luoda useita jonoja yhdelle NIC:lle ja asettaa eri prioriteetit eri liikenteelle ytimen tasolla. Tämän seurauksena CPU-ytimiä käytetään älykkäämmin. Menetelmät on myös kuvattu kohdassa .
Lopuksi haluaisin sanoa, että nämä eivät ole kaukana kaikista Check Pointin optimoinnin parhaista käytännöistä, mutta suosituimpia. Jos haluat pyytää tietoturvakäytäntösi tarkastusta tai ratkaista Check Point -ongelman, ota yhteyttä [sähköposti suojattu].
Спасибо за внимание!
Lähde: will.com