Ola compañeiros! Hoxe gustaríame falar dun tema moi relevante para moitos administradores de Check Point: "Optimizar CPU e RAM". Moitas veces hai casos nos que a pasarela e/ou o servidor de xestión consome de forma inesperada moitos destes recursos, e gustaríame entender por onde "flúen" e, se é posible, utilizalos de forma máis intelixente.
1. Análise
Para analizar a carga do procesador, é útil utilizar os seguintes comandos, que se introducen no modo experto:
arriba mostra todos os procesos, a cantidade de recursos de CPU e RAM consumidos como porcentaxe, tempo de actividade, prioridade do proceso e en tempo realи
lista cpwd_admin Check Point WatchDog Daemon, que mostra todos os módulos da aplicación, o seu PID, estado e número de inicios
cpstat -f cpu os Uso da CPU, o seu número e distribución do tempo do procesador en porcentaxe
cpstat -f memoria os uso de RAM virtual, canta RAM activa, libre e moito máis
A observación correcta é que todos os comandos cpstat poden verse usando a utilidade cpview. Para iso, só precisa introducir o comando cpview desde calquera modo da sesión SSH.
ps auxwf unha longa lista de todos os procesos, o seu ID, memoria virtual ocupada e memoria en RAM, CPU
Outras variacións do comando:
ps-aF mostrará o proceso máis caro
fw ctl afinidade -l -a distribución de núcleos para diferentes instancias de firewall, é dicir, tecnoloxía CoreXL
fw ctl pstat Análise de RAM e indicadores xerais de conexión, cookies, NAT
libre -m Memoria RAM
O equipo merece unha atención especial netsat e as súas variacións. Por exemplo, netstat -i pode axudar a resolver o problema da vixilancia dos portapapeis. O parámetro, RX dropped packets (RX-DRP) na saída deste comando, por regra xeral, crece por si só debido á caída de protocolos ilexítimos (IPv6, etiquetas VLAN incorrectas / non intencionadas e outros). Non obstante, se as caídas ocorren por outro motivo, deberías usar isto para comezar a investigar e comprender por que unha determinada interface de rede está soltando paquetes. Despois de descubrir o motivo, tamén se pode optimizar o funcionamento da aplicación.
Se a lámina de monitorización está activada, pode ver estas métricas graficamente en SmartConsole facendo clic no obxecto e seleccionando "Información de dispositivo e licenza".
Non se recomenda activar a lámina de monitorización de forma permanente, pero durante un día para probar é bastante posible.
Ademais, pode engadir máis parámetros para o seguimento, un deles é moi útil: Bytes Throughput (rendemento da aplicación).
Se hai algún outro sistema de vixilancia, por exemplo, gratuíto , baseado en SNMP, tamén é adecuado para identificar estes problemas.
2. A memoria RAM pérdese co paso do tempo
A miúdo xorde a pregunta de que co paso do tempo, a pasarela ou o servidor de xestión comeza a consumir cada vez máis memoria RAM. Quero tranquilizarvos: esta é unha historia normal para sistemas similares a Linux.
Mirando a saída dos comandos libre -m и cpstat -f memoria os na aplicación desde o modo experto, pode calcular e ver todos os parámetros relacionados coa memoria RAM.
Baseado na memoria dispoñible na pasarela neste momento Memoria gratuíta + Buffers de memoria + Memoria caché = +-1.5 GB, normalmente.
Como di CP, co paso do tempo a pasarela/servidor de xestión optimízase e utiliza cada vez máis memoria, acadando preto do 80% de utilización e detense. Podes reiniciar o dispositivo e, a continuación, restablecerase o indicador. 1.5 GB de RAM libre son exactamente suficientes para que a pasarela realice todas as tarefas e a xestión raramente chega a tales valores límite.
Ademais, as saídas dos comandos mencionados mostrarán canto tes Memoria baixa (RAM no espazo de usuario) e Alta memoria (RAM no espazo do núcleo) utilizada.
Os procesos do núcleo (incluíndo módulos activos como os módulos do núcleo de Check Point) só usan memoria pouca. Non obstante, os procesos de usuario poden usar tanto a memoria baixa como a alta. Ademais, a memoria baixa é aproximadamente igual a Memoria total.
Só deberías preocuparte se hai erros nos rexistros "Os módulos reinician ou se eliminan procesos para recuperar memoria debido a OOM (memoria sen memoria)". A continuación, debes reiniciar a pasarela e contactar co servizo de asistencia técnica se o reinicio non axuda.
Pódese atopar unha descrición completa en и .
3. Optimización
Abaixo amósanse preguntas e respostas sobre a optimización da CPU e da RAM. Debes respondelos honestamente a ti mesmo e escoitar as recomendacións.
3.1. Escolleuse a aplicación correctamente? Houbo un proxecto piloto?
A pesar do tamaño adecuado, a rede podería simplemente crecer e este equipo simplemente non pode soportar a carga. A segunda opción é se non houbese talla como tal.
3.2. Está habilitada a inspección HTTPS? En caso afirmativo, a tecnoloxía está configurada segundo as mellores prácticas?
Refírense a , se es o noso cliente, ou para .
A orde das regras na política de inspección HTTPS xoga un papel importante na optimización da apertura dos sitios HTTPS.
Orde de regras recomendada:
- Evita as regras con categorías/URL
- Inspecciona as regras con categorías/URL
- Inspeccionar as regras para todas as outras categorías
Por analoxía coa política de firewall, Check Point busca unha coincidencia por paquetes de arriba a abaixo, polo que é mellor colocar as regras de derivación na parte superior, xa que a pasarela non desperdiciará recursos en executar todas as regras se este paquete precisa. para ser aprobado.
3.3 Utilízanse obxectos de rango de enderezos?
Os obxectos cun rango de enderezos, por exemplo, a rede 192.168.0.0-192.168.5.0, ocupan significativamente máis RAM que 5 obxectos de rede. En xeral, considérase unha boa práctica eliminar obxectos non utilizados en SmartConsole, xa que cada vez que se instala unha política, a pasarela e o servidor de xestión gastan recursos e, o máis importante, tempo, verificando e aplicando a política.
3.4. Como se configura a política de prevención de ameazas?
En primeiro lugar, Check Point recomenda colocar IPS nun perfil separado e crear regras separadas para esta lámina.
Por exemplo, un administrador cre que o segmento DMZ só debería protexerse mediante IPS. Polo tanto, para evitar que a pasarela desperdicie recursos no procesamento de paquetes por outros blades, é necesario crear unha regra específica para este segmento cun perfil no que só estea habilitado IPS.
En canto á configuración de perfís, recoméndase configuralo segundo as mellores prácticas neste (páxinas 17-20).
3.5. Na configuración IPS, cantas sinaturas hai no modo Detectar?
Recoméndase estudar coidadosamente as sinaturas no sentido de que as sinaturas non utilizadas deben estar desactivadas (por exemplo, as sinaturas para operar produtos de Adobe requiren moita potencia informática e, se o cliente non ten tales produtos, ten sentido desactivar as sinaturas). A continuación, coloque Prevención en lugar de Detectar sempre que sexa posible, porque a pasarela gasta recursos procesando toda a conexión no modo Detect; no modo Prevent, descarta inmediatamente a conexión e non desperdicia recursos ao procesar o paquete por completo.
3.6. Que ficheiros procesan a emulación de ameazas, a extracción de ameazas e as láminas antivirus?
Non ten sentido emular e analizar ficheiros de extensións que os teus usuarios non descargan ou que consideras innecesarios na túa rede (por exemplo, os ficheiros bat, exe poden bloquearse facilmente usando a lámina de Concienciación de contido no nivel do firewall, polo que menos pasarela). gastaranse recursos). Ademais, na configuración de Emulación de ameazas pode seleccionar Ambiente (sistema operativo) para emular ameazas no sandbox e instalar o Ambiente Windows 7 cando todos os usuarios están a traballar coa versión 10 tampouco ten sentido.
3.7. Están organizadas as regras de nivel de aplicación e de firewall de acordo coas mellores prácticas?
Se unha regra ten moitos acertos (combinacións), recoméndase poñelos na parte superior e regras cun pequeno número de acertos, na parte inferior. O principal é asegurarse de que non se crucen nin se superpoñan. Arquitectura de política de firewall recomendada:
Explicacións:
Primeiras regras: aquí colócanse as regras co maior número de partidas
Noise Rule - unha regra para descartar tráfico espurio como NetBIOS
Regra furtiva: prohibe chamadas a pasarelas e xestións a todos, excepto a aquelas fontes que se especificaron nas regras de autenticación para pasarela.
As regras de limpeza, última e eliminación adoitan combinarse nunha soa regra para prohibir todo o que non estaba permitido anteriormente
Os datos das mellores prácticas descríbense en .
3.8. Que configuración teñen os servizos creados polos administradores?
Por exemplo, algún servizo TCP créase nun porto específico e ten sentido desmarcar "Coincidir con calquera" na configuración avanzada do servizo. Neste caso, este servizo recaerá especificamente baixo a norma na que aparece, e non participará nas regras onde Calquera figura na columna Servizos.
Falando de servizos, cómpre mencionar que ás veces é necesario axustar os tempos de espera. Esta configuración permitirache utilizar os recursos da pasarela de forma intelixente, para non deter tempo extra para sesións TCP/UDP de protocolos que non precisan un tempo de espera grande. Por exemplo, na captura de pantalla que aparece a continuación, cambiei o tempo de espera do servizo domain-udp de 40 segundos a 30 segundos.
3.9. Utilízase SecureXL e cal é a porcentaxe de aceleración?
Podes comprobar a calidade de SecureXL usando comandos básicos no modo experto na pasarela estatística de fwaccel и fw accel stats -s. A continuación, cómpre descubrir que tipo de tráfico se está acelerando e que outros modelos se poden crear.
Os modelos de eliminación non están activados por defecto; habilitalos beneficiará a SecureXL. Para iso, vai á configuración da pasarela e á pestana Optimizacións:
Ademais, ao traballar cun clúster para optimizar a CPU, pode desactivar a sincronización de servizos non críticos, como UDP DNS, ICMP e outros. Para iso, vaia á configuración do servizo → Avanzado → Sincronizar conexións da Sincronización do estado está activada no clúster.
Todas as boas prácticas descríbense en .
3.10. Como se usa CoreXl?
A tecnoloxía CoreXL, que permite o uso de varias CPU para instancias de firewall (módulos de firewall), definitivamente axuda a optimizar o funcionamento do dispositivo. Equipo primeiro fw ctl afinidade -l -a mostrará as instancias do firewall empregadas e os procesadores asignados ao SND (un módulo que distribúe o tráfico ás entidades do firewall). Se non se usan todos os procesadores, pódense engadir co comando cpconfig na pasarela.
Tamén unha boa historia é poñer para activar Multi-Queue. Multi-Queue resolve o problema cando o procesador con SND se usa en moitos por cento e as instancias do firewall noutros procesadores están inactivas. Entón SND tería a capacidade de crear moitas colas para unha NIC e establecer diferentes prioridades para diferentes tráficos a nivel do núcleo. En consecuencia, os núcleos da CPU utilizaranse de forma máis intelixente. Os métodos tamén se describen en .
En conclusión, gustaríame dicir que estas non son todas as mellores prácticas para optimizar Check Point, pero son as máis populares. Se desexa solicitar unha auditoría da súa política de seguridade ou resolver un problema relacionado con Check Point, póñase en contacto [protexido por correo electrónico].
Спасибо за внимание!
Fonte: www.habr.com