Bonjour collègues! Aujourd'hui, je voudrais aborder un sujet très pertinent pour de nombreux administrateurs de Check Point, "l'optimisation du processeur et de la RAM". Il n'est pas rare qu'une passerelle et/ou un serveur de gestion consomment de manière inattendue bon nombre de ces ressources, et on aimerait comprendre où elles « fuient » et, si possible, les utiliser de manière plus compétente.
1. Analyse
Pour analyser la charge processeur, il est utile d'utiliser les commandes suivantes, saisies en mode expert :
top affiche tous les processus, la quantité de ressources CPU et RAM consommées en pourcentage, la disponibilité, la priorité du processus et en temps réelи
liste cpwd_admin Check Point WatchDog Daemon, qui affiche tous les modules d'application, leur PID, leur état et le nombre d'exécutions
cpstat -f système d'exploitation du processeur Utilisation du processeur, leur nombre et répartition du temps processeur en pourcentage
cpstat -f système d'exploitation de la mémoire utilisation de la RAM virtuelle, quantité de RAM active, libre et plus
La remarque correcte est que toutes les commandes cpstat peuvent être visualisées à l'aide de l'utilitaire cpview. Pour ce faire, il vous suffit d'entrer la commande cpview depuis n'importe quel mode de la session SSH.
ps auxwf une longue liste de tous les processus, leur ID, la mémoire virtuelle occupée et la mémoire en RAM, CPU
Une autre variante de la commande :
ps-aF montrer le processus le plus coûteux
fw ctl affinité -l -a répartition des cœurs pour différentes instances du pare-feu, c'est-à-dire la technologie CoreXL
fw ctl pstat Analyse RAM et indicateurs généraux de connexions, cookies, NAT
Free -m Tampon RAM
L'équipe mérite une attention particulière. netsat et ses variantes. Par exemple, netstat -je peut aider à résoudre le problème de la surveillance des presse-papiers. Le paramètre RX abandonné les paquets (RX-DRP) dans la sortie de cette commande a tendance à augmenter de lui-même en raison des abandons de protocoles illégitimes (IPv6, balises VLAN incorrectes/involontaires et autres). Cependant, si des chutes se produisent pour une autre raison, vous devez utiliser ce pour commencer à rechercher pourquoi cette interface réseau abandonne des paquets. Connaissant la cause, le fonctionnement de l'application peut également être optimisé.
Si le panneau Surveillance est activé, vous pouvez afficher ces métriques graphiquement dans la SmartConsole en cliquant sur un objet et en sélectionnant Informations sur l'appareil et la licence.
Il n'est pas recommandé d'activer la lame Monitoring en continu, mais c'est tout à fait possible une journée pour un test.
De plus, vous pouvez ajouter plus de paramètres pour la surveillance, l'un d'eux est très utile - Bytes Throughput (bande passante appliquée).
S'il existe un autre système de surveillance, par exemple, gratuit , qui est basé sur SNMP, il convient également pour identifier ces problèmes.
2. La RAM « fuit » avec le temps
Souvent, la question se pose qu'au fil du temps, la passerelle ou le serveur de gestion commence à consommer de plus en plus de RAM. Je veux vous rassurer : c'est une histoire normale pour les systèmes de type Linux.
En regardant la sortie de la commande Free -m и cpstat -f système d'exploitation de la mémoire sur l'application depuis le mode expert, vous pouvez calculer et visualiser tous les paramètres liés à la RAM.
Basé sur la mémoire disponible sur la passerelle pour le moment Mémoire libre + Tampons Mémoire + Mémoire cache = +-1.5 Go, généralement.
Comme le dit SR, au fil du temps, la passerelle/le serveur de gestion est optimisé et utilise de plus en plus de mémoire, jusqu'à environ 80 % d'utilisation, et s'arrête. Vous pouvez redémarrer l'appareil, puis l'indicateur sera réinitialisé. 1.5 Go de RAM libre suffisent certainement à la passerelle pour effectuer toutes les tâches, et la gestion atteint rarement de telles valeurs seuils.
De plus, la sortie des commandes mentionnées montrera combien vous avez Peu de mémoire (RAM en espace utilisateur) et Haute mémoire (RAM dans l'espace du noyau) utilisé.
Les processus du noyau (y compris les modules actifs tels que les modules du noyau Check Point) utilisent uniquement la mémoire faible. Cependant, les processus utilisateur peuvent utiliser à la fois la mémoire basse et la mémoire haute. De plus, la mémoire faible est approximativement égale à Mémoire totale.
Vous ne devriez vous inquiéter que s'il y a des erreurs dans les journaux "les modules redémarrent ou les processus sont tués pour récupérer de la mémoire en raison de OOM (mémoire insuffisante)". Ensuite, vous devez redémarrer la passerelle et contacter l'assistance si le redémarrage n'aide pas.
Une description complète se trouve dans и .
3. Optimisation
Vous trouverez ci-dessous des questions et réponses sur l'optimisation du processeur et de la RAM. Vous devez y répondre honnêtement et écouter les recommandations.
3.1. L'upline a-t-il été choisi correctement ? Y avait-il un projet pilote?
Malgré un dimensionnement compétent, le réseau pourrait simplement se développer et cet équipement ne peut tout simplement pas faire face à la charge. La deuxième option, s'il n'y avait pas de dimensionnement en tant que tel.
3.2. L'inspection HTTPS est-elle activée ? Si oui, la technologie est-elle configurée selon les meilleures pratiques ?
Faire référence à si vous êtes notre client, ou pour .
L'ordre des règles dans la politique d'inspection HTTPS est d'une grande importance pour optimiser l'ouverture des sites HTTPS.
Ordre des règles recommandé :
- Contourner les règles avec des catégories/URL
- inspecter les règles avec des catégories/URL
- Inspecter les règles pour toutes les autres catégories
Par analogie avec la politique de pare-feu, Check Point recherche une correspondance de paquet de haut en bas, il est donc préférable de placer les règles de contournement en haut, car la passerelle ne gaspillera pas de ressources en parcourant toutes les règles si ce paquet doit être ignoré.
3.3 Des objets de plage d'adresses sont-ils utilisés ?
Les objets avec une plage d'adresses, comme le réseau 192.168.0.0-192.168.5.0, consomment beaucoup plus de RAM que 5 objets réseau. En général, il est considéré comme une bonne pratique de supprimer les objets inutilisés dans la SmartConsole, car chaque fois qu'une stratégie est définie, la passerelle et le serveur de gestion dépensent des ressources et, surtout, du temps pour vérifier et appliquer la stratégie.
3.4. Comment la stratégie de prévention contre les menaces est-elle configurée ?
Tout d'abord, Check Point recommande de déplacer IPS vers un profil distinct et de créer des règles distinctes pour cette lame.
Par exemple, un administrateur pense qu'un segment DMZ ne doit être protégé qu'avec IPS. Par conséquent, pour que la passerelle ne gaspille pas de ressources sur le traitement des paquets par d'autres lames, il est nécessaire de créer une règle spécifiquement pour ce segment avec un profil dans lequel seul IPS est activé.
Concernant la configuration des profils, il est recommandé de la paramétrer selon les bonnes pratiques en la matière. (pages 17-20).
3.5. Combien de signatures en mode Détecter dans les paramètres IPS ?
Il est recommandé de travailler dur sur les signatures dans le sens où les signatures non utilisées doivent être désactivées (par exemple, les signatures pour le fonctionnement des produits Adobe nécessitent beaucoup de puissance de calcul, et si le client ne possède pas de tels produits, il est logique de désactiver signatures). Ensuite, mettez Prevent au lieu de Detect dans la mesure du possible, car la passerelle dépense des ressources pour traiter l'intégralité de la connexion en mode Detect. En mode Prevent, elle abandonne immédiatement la connexion et ne gaspille pas de ressources pour le traitement complet du paquet.
3.6. Quels fichiers sont traités par les blades Threat Emulation, Threat Extraction et Anti-Virus ?
Cela n'a aucun sens d'émuler et d'analyser des fichiers d'extension que vos utilisateurs ne téléchargent pas ou que vous considérez comme inutiles sur votre réseau (par exemple, les fichiers bat, exe peuvent être facilement bloqués à l'aide du panneau Content Awareness au niveau du pare-feu, de sorte que les ressources de la passerelle seront dépensé moins). De plus, dans les paramètres d'émulation des menaces, vous pouvez sélectionner l'environnement (système d'exploitation) pour émuler les menaces dans le bac à sable et installer l'environnement Windows 7 lorsque tous les utilisateurs travaillent avec la 10e version, cela n'a pas non plus de sens.
3.7. Les règles du pare-feu et de la couche application sont-elles placées conformément aux meilleures pratiques ?
Si une règle a beaucoup de résultats (correspondances), il est recommandé de les placer tout en haut et les règles avec un petit nombre de résultats - tout en bas. L'essentiel est de s'assurer qu'ils ne se croisent pas et ne se chevauchent pas. Architecture de stratégie de pare-feu recommandée :
Explication:
Premières règles - les règles avec le plus de correspondances sont placées ici
Règle de bruit - une règle pour abandonner le trafic parasite tel que NetBIOS
Règle furtive - interdiction d'accès aux passerelles et de gestion à tous, à l'exception des sources spécifiées dans les règles d'authentification aux passerelles
Les règles de nettoyage, de dernier et de dépôt sont généralement combinées en une seule règle pour interdire tout ce qui n'était pas autorisé auparavant.
Les données sur les meilleures pratiques sont décrites dans .
3.8. Quels sont les paramètres des services créés par les administrateurs ?
Par exemple, un service TCP est créé sur un port spécifique, et il est logique de décocher "Match for Any" dans les paramètres avancés du service. Dans ce cas, ce service relèvera spécifiquement de la règle dans laquelle il apparaît et ne participera pas aux règles où Any se trouve dans la colonne Services.
En parlant de services, il convient de mentionner qu'il est parfois nécessaire de modifier les délais d'attente. Ce paramètre vous permettra d'utiliser plus intelligemment les ressources de la passerelle, afin de ne pas conserver de temps de session TCP/UDP supplémentaire pour les protocoles qui n'ont pas besoin d'un timeout important. Par exemple, dans la capture d'écran ci-dessous, j'ai changé le délai d'attente du service domain-udp de 40 secondes à 30 secondes.
3.9. SecureXL est-il utilisé et quel est le pourcentage d'accélération ?
Vous pouvez vérifier la qualité de SecureXL avec les principales commandes en mode expert sur la passerelle stat fwaccel и fw accelstats -s. Ensuite, vous devez déterminer quel type de trafic s'accélère, quels modèles (modèles) vous pouvez créer davantage.
Par défaut, les modèles de dépôt ne sont pas activés, leur activation aura un effet positif sur le fonctionnement de SecureXL. Pour cela, rendez-vous dans les paramètres de la passerelle et l'onglet Optimisations :
De plus, lorsque vous travaillez avec un cluster, pour optimiser le processeur, vous pouvez désactiver la synchronisation des services non critiques, tels que UDP DNS, ICMP et autres. Pour cela, rendez-vous dans les paramètres du service → Avancé → Synchroniser les connexions lorsque la synchronisation d'état est activée sur le cluster.
Toutes les bonnes pratiques sont décrites dans .
3.10. Comment CoreXl est-il utilisé ?
La technologie CoreXL, qui vous permet d'utiliser plusieurs processeurs pour les instances de pare-feu (modules de pare-feu), contribue certainement à optimiser les performances de l'appareil. L'équipe d'abord fw ctl affinité -l -a affichera les instances de pare-feu utilisées et les processeurs affectés au SND nécessaire (un module qui distribue le trafic aux entités de pare-feu). Si tous les processeurs ne sont pas impliqués, ils peuvent être ajoutés avec la commande cpconfig à la passerelle.
Aussi une bonne histoire est de mettre pour activer la multi-file d'attente. Multi-Queue résout le problème lorsque le processeur avec SND est utilisé à plusieurs pour cent et que les instances de pare-feu sur d'autres processeurs sont inactives. Ensuite, SND serait en mesure de créer de nombreuses files d'attente pour une carte réseau et de définir différentes priorités pour différents trafics au niveau du noyau. Par conséquent, les cœurs du processeur seront utilisés de manière plus intelligente. Les méthodes sont également décrites dans .
En conclusion, je voudrais dire que ce sont loin d'être toutes les meilleures pratiques pour optimiser Check Point, mais les plus populaires. Si vous souhaitez demander un audit de votre politique de sécurité ou résoudre un problème Check Point, veuillez contacter [email protected].
Je vous remercie!
Source: habr.com