Hallo kollega's! Hjoed wol ik in heul relevant ûnderwerp besprekke foar in protte Check Point-behearders: "Optimalisearje fan CPU en RAM." Der binne faak gefallen as de poarte en / of behear tsjinner konsumearret ûnferwachts in protte fan dizze middels, en ik soe graach begripe wêr't se "streame" en, as it mooglik is, brûke se mear yntelligint.
1. Analyse
Om de prosessorlading te analysearjen, is it handich om de folgjende kommando's te brûken, dy't yn 'e saakkundige modus ynfierd wurde:
top toant alle prosessen, de hoemannichte CPU- en RAM-boarnen konsumearre as persintaazje, uptime, prosesprioriteit en yn echte tiidи
cpwd_admin list Check Point WatchDog Daemon, dy't alle applikaasjemodules toant, har PID, status en oantal starts
cpstat -f cpu os CPU-gebrûk, har oantal en ferdieling fan prosessortiid as persintaazje
cpstat -f ûnthâld os firtuele RAM gebrûk, hoefolle aktyf, frije RAM en mear
De juste opmerking is dat alle cpstat-kommando's kinne wurde besjoen mei it helpprogramma cpview. Om dit te dwaan, moatte jo gewoan it kommando cpview ynfiere fan elke modus yn 'e SSH-sesje.
ps wyb in lange list fan alle prosessen, harren ID, beset firtuele ûnthâld en ûnthâld yn RAM, CPU
Oare kommando farianten:
ps-aF sil de djoerste proses sjen litte
fw ctl affiniteit -l -a ferdieling fan kearnen foar ferskate brânmuorre eksimplaren, dat is CoreXL technology
fw ctl pstat RAM analyze en algemiene ferbining yndikatoaren, koekjes, NAT
frije -m RAM buffer
It team fertsjinnet spesjale oandacht netsat en syn fariaasjes. Bygelyks, netstat -i kin helpe by it oplossen fan it probleem fan tafersjoch op klamboerden. De parameter, RX sakke pakketten (RX-DRP) yn 'e útfier fan dit kommando, groeit yn' e regel op har eigen troch drippen fan illegitime protokollen (IPv6, Bad / Unbedoelde VLAN-tags en oaren). As drippen lykwols om in oare reden foarkomme, dan moatte jo dit brûke om te begjinnen te ûndersykjen en te begripen wêrom't in opjûne netwurkynterface pakketten sakket. Nei't de reden fûn is, kin de wurking fan 'e app ek wurde optimalisearre.
As it tafersjochblêd ynskeakele is, kinne jo dizze metriken grafysk besjen yn SmartConsole troch op it objekt te klikken en "Apparaat- en lisinsjeynformaasje" te selektearjen.
It is net oan te rieden om te skeakeljen de Monitoring blade op in permaninte basis, mar foar in dei foar testen is it hiel goed mooglik.
Boppedat kinne jo mear parameters tafoegje foar tafersjoch, ien fan har is heul nuttich - Bytes Throughput (applikaasje trochfier).
As d'r wat oare tafersjochsysteem is, bygelyks fergees , basearre op SNMP, it is ek geskikt foar it identifisearjen fan dizze problemen.
2. RAM lekkage oer de tiid
De fraach ûntstiet faak dat oer de tiid de poarte of behearserver mear en mear RAM begjint te konsumearjen. Ik wol jo gerêststelle: dit is in normaal ferhaal foar Linux-like systemen.
Sjoch nei de útfier fan 'e kommando's frije -m и cpstat -f ûnthâld os op 'e app fan' e saakkundige modus kinne jo alle parameters relatearre oan RAM berekkenje en besjen.
Op grûn fan it beskikbere ûnthâld op 'e poarte op it stuit Fergees ûnthâld + Buffers Unthâld + Cached Unthâld = +-1.5 GB, meastal.
Lykas CP seit, oer de tiid optimalisearret en brûkt de poarte-/behearserver mear en mear ûnthâld, berikke sawat 80% gebrûk, en stopet. Jo kinne it apparaat opnij opstarte, en dan sil de yndikator weromset wurde. 1.5 GB frije RAM is krekt genôch foar de poarte om alle taken út te fieren, en behear komt selden sokke drompelwearden.
Ek de útgongen fan de neamde kommando's sille sjen litte hoefolle jo hawwe Leech ûnthâld (RAM yn brûkersromte) en Hege ûnthâld (RAM yn kernel romte) brûkt.
Kernelprosessen (ynklusyf aktive modules lykas Check Point kernel modules) brûke allinich Low ûnthâld. Brûkersprosessen kinne lykwols sawol leech as heech ûnthâld brûke. Boppedat, Low ûnthâld is likernôch gelyk oan Totaal ûnthâld.
Jo moatte allinich soargen meitsje as d'r flaters binne yn 'e logs "modules opnij opstarte of prosessen wurde fermoarde om ûnthâld werom te winnen fanwege OOM (Out of memory)". Dan moatte jo de gateway opnij starte en kontakt opnimme mei stipe as it opnij opstarten net helpt.
In folsleine beskriuwing is te finen yn и .
3. Optimalisaasje
Hjirûnder binne fragen en antwurden oer it optimalisearjen fan CPU en RAM. Jo moatte se earlik foar josels beantwurdzje en harkje nei de oanbefellings.
3.1. Is de applikaasje korrekt keazen? Wie der in proefprojekt?
Nettsjinsteande de goede grutte, it netwurk koe gewoan groeie, en dizze apparatuer kin gewoan net omgean mei de lading. De twadde opsje is as d'r gjin maat as sadanich wie.
3.2. Is HTTPS-ynspeksje ynskeakele? As ja, is de technology konfigurearre neffens Best Practice?
Ferwize nei , as jo binne ús klant, of oan .
De folchoarder fan de regels yn it HTTPS-ynspeksjebelied spilet in grutte rol by it optimalisearjen fan de iepening fan HTTPS-siden.
Oanrikkemandearre folchoarder fan regels:
- Bypass regels mei kategoryen / URL's
- Ynspektearje regels mei kategoryen / URL's
- Kontrolearje regels foar alle oare kategoryen
Troch analogy mei it brânmuorrebelied siket Check Point foar in wedstriid troch pakketten fan boppen nei ûnderen, dus it is better om de bypassregels boppe te pleatsen, om't de poarte gjin boarnen fergrieme sil om alle regels troch te rinnen as dit pakket nedich is trochjûn wurde.
3.3 Wurde adresberikobjekten brûkt?
Objekten mei in adresberik, bygelyks it netwurk 192.168.0.0-192.168.5.0, nimt signifikant mear RAM op as 5 netwurkobjekten. Yn 't algemien wurdt it beskôge as in goede praktyk om net brûkte objekten yn SmartConsole te ferwiderjen, om't elke kear in belied wurdt ynstalleare, besteegje de poarte en behearserver boarnen en, wichtichste, tiid, ferifiearje en tapassen fan it belied.
3.4. Hoe is it belied foar bedrigingsprevinsje ynsteld?
Earst fan alle, Check Point advisearret in pleatsen IPS yn in apart profyl en meitsje aparte regels foar dit blêd.
Bygelyks, in behearder is fan betinken dat it DMZ-segment allinich moat wurde beskerme mei IPS. Dêrom, om te foarkommen dat de poarte boarnen fergrieme op it ferwurkjen fan pakketten troch oare blêden, is it nedich om in regel spesifyk foar dit segmint te meitsjen mei in profyl wêryn allinich IPS ynskeakele is.
Oangeande it opsetten fan profilen is it oan te rieden om it yn te stellen neffens best practices yn dit (side 17-20).
3.5. Yn 'e IPS-ynstellingen, hoefolle hantekeningen binne d'r yn Detect-modus?
It is oan te rieden om hantekeningen soarchfâldich te studearjen yn 'e betsjutting dat net brûkte wurde útskeakele (bygelyks hantekeningen foar it operearjen fan Adobe-produkten fereaskje in protte kompjûterkrêft, en as de klant gjin sokke produkten hat, is it sinfol om hantekeningen út te skeakeljen). Folgjende, set Prevent ynstee fan Detect wêr mooglik, omdat de gateway besteget middels ferwurkjen fan de hiele ferbining yn Detect modus yn Prevent modus, it smyt de ferbining fuortendaliks en fergrieme gjin middels op it folslein ferwurkjen fan it pakket.
3.6. Hokker bestannen wurde ferwurke troch Threat Emulation, Threat Extraction, Anti-Firus blades?
It hat gjin sin om bestannen fan tafoegings te emulearjen en te analysearjen dy't jo brûkers net downloade, of jo beskôgje dat jo net nedich binne op jo netwurk (bygelyks bat, exe-bestannen kinne maklik blokkeare wurde mei it Blade Content Awareness op it firewallnivo, dus minder gateway middels sille wurde bestege). Boppedat kinne jo yn 'e Threat Emulation-ynstellingen Miljeu (bestjoeringssysteem) selektearje om bedrigingen yn' e sânbak te emulearjen en Omjouwing te ynstallearjen Windows 7 as alle brûkers wurkje mei ferzje 10 hat ek gjin sin.
3.7. Binne firewall- en applikaasjesnivo regels regele yn oerienstimming mei bêste praktyk?
As in regel in protte hits (wedstriden) hat, dan is it oan te rieden om se oan 'e boppekant te setten, en regels mei in lyts oantal hits - heul ûnder. It wichtichste is om te soargjen dat se net krúsje of oerlaapje. Oanrikkemandearre arsjitektuer foar firewallbelied:
Explanations:
Earste regels - regels mei it grutste oantal wedstriden wurde hjir pleatst
Noise Rule - in regel foar it wegerjen fan falsk ferkear lykas NetBIOS
Stealth Rule - ferbiedt oproppen nei poarten en behearen oan allegear útsein dy boarnen dy't waarden oantsjutte yn 'e Autentikaasje nei Gateway Rules
Clean-Up, Last en Drop Regels wurde meastentiids kombinearre yn ien regel te ferbieden alles dat wie net earder tastien
Best practice gegevens wurde beskreaun yn .
3.8. Hokker ynstellingen hawwe de tsjinsten makke troch behearders?
Bygelyks, guon TCP-tsjinst is makke op in spesifike haven, en it makket sin om "Match for Any" út te skeakeljen yn 'e Avansearre ynstellings fan' e tsjinst. Yn dit gefal, dizze tsjinst sil falle spesifyk ûnder de regel dêr't it ferskynt, en sil net meidwaan oan de regels dêr't Any stiet yn de kolom Tsjinsten.
It praten oer tsjinsten, it is it neamen wurdich dat soms is it nedich om te passen timeouts. Dizze ynstelling lit jo de gateway-boarnen ferstannich brûke, sadat jo gjin ekstra tiid hâlde foar TCP/UDP-sesjes fan protokollen dy't gjin grutte time-out nedich binne. Bygelyks, yn 'e skermôfbylding hjirûnder, feroare ik de tiidslimyt foar domein-udp-tsjinst fan 40 sekonden nei 30 sekonden.
3.9. Wurdt SecureXL brûkt en wat is it fersnellingspersintaazje?
Jo kinne de kwaliteit fan SecureXL kontrolearje mei basisopdrachten yn ekspertmodus op 'e poarte fwaccel stat и fw accel stats -s. Dêrnei moatte jo útfine hokker soarte ferkear wurdt fersneld, en hokker oare sjabloanen kinne wurde makke.
Drop Templates binne standert net ynskeakele as se se ynskeakelje sille SecureXL profitearje. Om dit te dwaan, gean nei de gateway-ynstellingen en it ljepblêd Optimisaasjes:
Ek as jo wurkje mei in kluster om de CPU te optimalisearjen, kinne jo syngronisaasje fan net-krityske tsjinsten útskeakelje, lykas UDP DNS, ICMP en oaren. Om dit te dwaan, gean nei de tsjinstynstellingen → Avansearre → Syngronisearje ferbiningen fan steatsyngronisaasje is ynskeakele op it kluster.
Alle Best Practices wurde beskreaun yn .
3.10. Hoe wurdt CoreXl brûkt?
CoreXL-technology, wêrtroch it gebrûk fan meardere CPU's foar firewall-eksimplaren (firewall-modules) mooglik makket, helpt perfoarst de wurking fan it apparaat te optimalisearjen. Team earst fw ctl affiniteit -l -a sil de brânmuorre-eksimplaren sjen litte dy't brûkt wurde en de processors dy't oan 'e SND binne tawiisd (in module dy't ferkear ferspriedt nei brânmuorre-entiteiten). As net alle processors wurde brûkt, kinne se tafoege wurde mei it kommando cpconfig by de poarte.
Ek in goed ferhaal is te setten om Multi-Queue yn te skeakeljen. Multi-Queue lost it probleem op as de prosessor mei SND wurdt brûkt op in protte prosint, en brânmuorre eksimplaren op oare Prozessoren binne idle. Dan soe SND de mooglikheid hawwe om in protte wachtrijen foar ien NIC te meitsjen en ferskate prioriteiten yn te stellen foar ferskate ferkear op it kernelnivo. Dêrtroch sille CPU-kearnen slimmer wurde brûkt. De metoaden wurde ek beskreaun yn .
Ta beslút wol ik sizze dat dit net allegear de bêste praktiken binne foar it optimalisearjen fan Check Point, mar se binne de populêrste. As jo wolle bestelle in kontrôle fan jo feiligens belied of oplosse in probleem yn ferbân mei Check Point, nim dan kontakt op [e-post beskerme].
Спасибо за внимание!
Boarne: www.habr.com