Pozdrav kolege! Danas bih želio raspravljati o vrlo relevantnoj temi za mnoge Check Point administratore: "Optimiziranje CPU-a i RAM-a." Česti su slučajevi kada gateway i/ili poslužitelj za upravljanje troše neočekivano puno tih resursa, a ja bih želio razumjeti kamo oni "teku" i, ako je moguće, koristiti ih inteligentnije.
1. Analiza
Za analizu opterećenja procesora korisno je koristiti sljedeće naredbe koje se unose u stručnom načinu rada:
vrh prikazuje sve procese, količinu potrošenih CPU i RAM resursa kao postotak, vrijeme rada, prioritet procesa i u stvarnom vremenuи
popis cpwd_admin Check Point WatchDog Daemon, koji prikazuje sve aplikacijske module, njihov PID, status i broj pokretanja
cpstat -f cpu os Zauzetost procesora, njihov broj i raspodjela procesorskog vremena u postocima
cpstat -f memorijski os korištenje virtualnog RAM-a, koliko aktivnog, slobodnog RAM-a i više
Točna primjedba je da se sve cpstat naredbe mogu vidjeti pomoću uslužnog programa cpview. Da biste to učinili, samo trebate unijeti naredbu cpview iz bilo kojeg načina u SSH sesiji.
ps auxwf dugačak popis svih procesa, njihov ID, zauzeta virtualna memorija i memorija u RAM-u, CPU
Ostale varijacije naredbi:
ps-aF pokazat će najskuplji proces
fw ctl afinitet -l -a distribuciju jezgri za različite instance vatrozida, odnosno CoreXL tehnologiju
fw ctl pstat Analiza RAM-a i opći indikatori veze, kolačići, NAT
slobodno -m RAM međuspremnik
Tim zaslužuje posebnu pozornost netsat i njegove varijacije. Na primjer, netstat -i može pomoći u rješavanju problema praćenja međuspremnika. Parametar, RX dropped packets (RX-DRP) u izlazu ove naredbe, u pravilu, raste sam od sebe zbog pada nelegitimnih protokola (IPv6, Bad / Untentended VLAN tags i drugi). Međutim, ako do pada dođe iz drugog razloga, trebali biste upotrijebiti ovo za početak istraživanja i razumijevanja zašto određeno mrežno sučelje odbacuje pakete. Nakon što se otkrije razlog, rad aplikacije također se može optimizirati.
Ako je oštrica za praćenje omogućena, možete vidjeti ove metrike grafički u SmartConsoleu klikom na objekt i odabirom "Informacije o uređaju i licenci".
Ne preporučuje se trajno uključivanje oštrice za praćenje, ali za jedan dan za testiranje sasvim je moguće.
Štoviše, možete dodati više parametara za praćenje, jedan od njih je vrlo koristan - Bytes Throughput (propusnost aplikacije).
Ako postoji neki drugi sustav nadzora, npr. besplatan , temeljen na SNMP-u, također je prikladan za prepoznavanje ovih problema.
2. RAM curi tijekom vremena
Često se postavlja pitanje da s vremenom gateway ili poslužitelj za upravljanje počinje trošiti sve više RAM-a. Želim vas uvjeriti: ovo je normalna priča za sustave slične Linuxu.
Gledajući izlaz naredbi slobodno -m и cpstat -f memorijski os u aplikaciji iz stručnog načina rada možete izračunati i pregledati sve parametre koji se odnose na RAM.
Na temelju raspoložive memorije na pristupniku u ovom trenutku Slobodno pamćenje + Međuspremnici memorije + Predmemorirana memorija = +-1.5 GB, obično.
Kao što CP kaže, s vremenom gateway/poslužitelj za upravljanje optimizira i koristi sve više memorije, dostižući iskorištenost od oko 80% i prestaje. Možete ponovno pokrenuti uređaj, a zatim će se indikator resetirati. 1.5 GB slobodnog RAM-a sasvim je dovoljno da pristupnik obavi sve zadatke, a upravljanje rijetko dostiže takve granične vrijednosti.
Također, rezultati spomenutih naredbi pokazat će koliko imate Slaba memorija (RAM u korisničkom prostoru) i Visoka memorija (RAM u prostoru jezgre).
Kernel procesi (uključujući aktivne module kao što su Check Point kernel moduli) koriste samo Low memory. Međutim, korisnički procesi mogu koristiti i Low i High memoriju. Štoviše, Low memory približno je jednak ukupna memorija.
Trebali biste se brinuti samo ako postoje pogreške u zapisima "moduli se ponovno pokreću ili se procesi zatvaraju kako bi se povratila memorija zbog OOM (Out of memory)". Zatim biste trebali ponovno pokrenuti gateway i kontaktirati podršku ako ponovno pokretanje ne pomogne.
Potpuni opis možete pronaći u и .
3. Optimizacija
Ispod su pitanja i odgovori o optimizaciji procesora i RAM-a. Trebali biste sami sebi iskreno odgovoriti na njih i poslušati preporuke.
3.1. Je li aplikacija ispravno odabrana? Je li postojao pilot projekt?
Unatoč pravilnom dimenzioniranju, mreža bi jednostavno mogla rasti, a ova oprema jednostavno ne može podnijeti opterećenje. Druga opcija je ako nije bilo dimenzioniranja kao takvog.
3.2. Je li omogućena HTTPS inspekcija? Ako da, je li tehnologija konfigurirana u skladu s najboljom praksom?
Odnosi se na , ako ste naš klijent, ili do .
Redoslijed pravila u politici inspekcije HTTPS-a igra veliku ulogu u optimizaciji otvaranja HTTPS stranica.
Preporučeni redoslijed pravila:
- Zaobiđite pravila s kategorijama/URL-ovima
- Provjerite pravila s kategorijama/URL-ovima
- Provjerite pravila za sve ostale kategorije
Po analogiji s pravilima vatrozida, Check Point traži podudaranje po paketima od vrha prema dolje, tako da je bolje postaviti pravila zaobilaženja na vrh, budući da pristupnik neće uzalud trošiti resurse na prolazak kroz sva pravila ako ovaj paket treba da se položi.
3.3 Koriste li se objekti raspona adresa?
Objekti s rasponom adresa, na primjer, mreža 192.168.0.0-192.168.5.0, zauzimaju znatno više RAM-a od 5 mrežnih objekata. Općenito, smatra se dobrom praksom uklanjanje neiskorištenih objekata u SmartConsoleu, jer svaki put kada se politika instalira, pristupnik i poslužitelj za upravljanje troše resurse i, što je najvažnije, vrijeme, provjeravajući i primjenjujući politiku.
3.4. Kako je konfigurirana politika prevencije prijetnji?
Prije svega, Check Point preporučuje postavljanje IPS-a u poseban profil i stvaranje zasebnih pravila za ovaj blade.
Na primjer, administrator vjeruje da bi DMZ segment trebao biti zaštićen samo pomoću IPS-a. Stoga, kako bi se spriječilo da pristupnik troši resurse na obradu paketa od strane drugih bladeova, potrebno je kreirati pravilo posebno za ovaj segment s profilom u kojem je omogućen samo IPS.
Što se tiče postavljanja profila, preporučuje se postavljanje u skladu s najboljom praksom (stranice 17-20).
3.5. U postavkama IPS-a, koliko potpisa ima u Detect modu?
Preporuča se pažljivo proučiti potpise u smislu da one koji se ne koriste treba onemogućiti (npr. potpisi za rad Adobe proizvoda zahtijevaju veliku računalnu snagu, a ako kupac nema takve proizvode, ima smisla onemogućiti potpise). Zatim, stavite Spriječi umjesto Otkrij gdje je to moguće, jer pristupnik troši resurse na obradu cijele veze u načinu rada Otkrivanje; u načinu rada Sprečavanje odmah odbacuje vezu i ne troši resurse na potpunu obradu paketa.
3.6. Koje datoteke obrađuju Threat Emulation, Threat Extraction, Anti-Virus blade?
Nema smisla oponašati i analizirati datoteke ekstenzija koje vaši korisnici ne preuzimaju ili ih smatrate nepotrebnima na vašoj mreži (na primjer, bat, exe datoteke mogu se lako blokirati pomoću oštrice Svjesnost sadržaja na razini vatrozida, tako da je manje pristupnika resursi će biti potrošeni). Štoviše, u postavkama Threat Emulation možete odabrati Environment (operativni sustav) za emulaciju prijetnji u sandboxu, a instaliranje Environment Windows 7 kada svi korisnici rade s verzijom 10 također nema smisla.
3.7. Jesu li pravila vatrozida i razine aplikacije uređena u skladu s najboljom praksom?
Ako pravilo ima mnogo pogodaka (podudaranja), preporučuje se da ih postavite na sam vrh, a pravila s malim brojem pogodaka - na samo dno. Glavna stvar je osigurati da se ne presijecaju ili preklapaju. Preporučena arhitektura pravila vatrozida:
Objašnjenje:
Prva pravila - ovdje se nalaze pravila s najvećim brojem podudaranja
Noise Rule - pravilo za odbacivanje lažnog prometa kao što je NetBIOS
Stealth Rule - zabranjuje pozive pristupnicima i upravljanje svima osim onim izvorima koji su navedeni u Pravilima autentifikacije za pristupnike
Pravila čišćenja, posljednjeg i ispuštanja obično se kombiniraju u jedno pravilo kako bi se zabranilo sve što prethodno nije bilo dopušteno
Podaci o najboljoj praksi opisani su u .
3.8. Koje postavke imaju usluge koje su izradili administratori?
Na primjer, neka TCP usluga stvorena je na određenom priključku i ima smisla poništiti odabir "Match for Any" u naprednim postavkama usluge. U tom će slučaju ova usluga posebno potpadati pod pravilo u kojem se pojavljuje i neće sudjelovati u pravilima u kojima je Bilo koja navedena u stupcu Usluge.
Govoreći o uslugama, vrijedi spomenuti da je ponekad potrebno prilagoditi timeouts. Ova postavka omogućit će vam mudro korištenje resursa pristupnika kako ne biste zadržavali dodatno vrijeme za TCP/UDP sesije protokola kojima nije potrebno veliko vremensko ograničenje. Na primjer, na snimci zaslona u nastavku promijenio sam vrijeme čekanja usluge domene-udp s 40 sekundi na 30 sekundi.
3.9. Koristi li se SecureXL i koji je postotak ubrzanja?
Kvalitetu SecureXL-a možete provjeriti pomoću osnovnih naredbi u stručnom načinu rada na pristupniku fwaccel stat и fw statistika ubrzanja -s. Zatim morate shvatiti koja vrsta prometa se ubrzava i koji se drugi predlošci mogu izraditi.
Drop Templates nisu omogućeni prema zadanim postavkama; njihovo omogućavanje koristit će SecureXL-u. Da biste to učinili, idite na postavke pristupnika i karticu Optimizacije:
Također, kada radite s klasterom za optimizaciju CPU-a, možete onemogućiti sinkronizaciju nekritičnih usluga, kao što su UDP DNS, ICMP i drugi. Da biste to učinili, idite na postavke usluge → Napredno → Sinkroniziraj veze za Sinkronizacija stanja je omogućena na klasteru.
Sve najbolje prakse opisane su u .
3.10. Kako se koristi CoreXl?
CoreXL tehnologija koja omogućuje korištenje više CPU-a za instance vatrozida (firewall module) svakako pomaže optimizirati rad uređaja. Tim prvi fw ctl afinitet -l -a pokazat će korištene instance vatrozida i procesore dodijeljene SND-u (modul koji distribuira promet entitetima vatrozida). Ako se ne koriste svi procesori, mogu se dodati naredbom cpconfig na prolazu.
Također je dobra priča za staviti da omogućite Multi-Queue. Multi-Queue rješava problem kada se procesor sa SND-om koristi na mnogo postotaka, a instance vatrozida na drugim procesorima miruju. Tada bi SND imao mogućnost kreirati mnoge redove za jedan NIC i postaviti različite prioritete za različiti promet na razini kernela. Posljedično, CPU jezgre će se koristiti inteligentnije. Metode su također opisane u .
Zaključno, želio bih reći da ovo nisu sve najbolje prakse za optimizaciju Check Pointa, ali su najpopularnije. Ako želite naručiti reviziju svoje sigurnosne politike ili riješiti problem vezan uz Check Point, obratite se [e-pošta zaštićena].
Hvala vam!
Izvor: www.habr.com