Halo rekan-rekan! Hari ini saya ingin membahas topik yang sangat relevan bagi banyak administrator Check Point: “Mengoptimalkan CPU dan RAM.” Seringkali ada kasus ketika gateway dan/atau server manajemen menghabiskan banyak sumber daya ini secara tidak terduga, dan saya ingin memahami ke mana sumber daya tersebut “mengalir” dan, jika memungkinkan, menggunakannya dengan lebih cerdas.
1. Analisis
Untuk menganalisis beban prosesor, sebaiknya gunakan perintah berikut, yang dimasukkan dalam mode ahli:
puncak menunjukkan semua proses, jumlah sumber daya CPU dan RAM yang dikonsumsi sebagai persentase, waktu aktif, prioritas proses, dan dalam waktu nyataи
daftar cpwd_admin Periksa Point WatchDog Daemon, yang menampilkan semua modul aplikasi, PID-nya, status, dan jumlah permulaan
cpstat -f cpu os Penggunaan CPU, jumlahnya dan distribusi waktu prosesor sebagai persentase
cpstat -f memori os penggunaan RAM virtual, berapa banyak yang aktif, RAM bebas dan banyak lagi
Pernyataan yang benar adalah bahwa semua perintah cpstat dapat dilihat menggunakan utilitas tampilan cp. Untuk melakukan ini, Anda hanya perlu memasukkan perintah cpview dari mode apa pun di sesi SSH.
ps auxwf daftar panjang semua proses, ID-nya, memori virtual yang ditempati dan memori dalam RAM, CPU
Variasi perintah lainnya:
ps-aF akan menunjukkan proses yang paling mahal
fw ctl afinitas -l -a distribusi inti untuk berbagai contoh firewall, yaitu teknologi CoreXL
fw ctl pstat Analisis RAM dan indikator koneksi umum, cookie, NAT
bebas-m penyangga RAM
Tim ini patut mendapat perhatian khusus netsat dan variasinya. Misalnya, status bersih -i dapat membantu memecahkan masalah pemantauan clipboard. Parameternya, paket RX yang dijatuhkan (RX-DRP) dalam keluaran perintah ini, biasanya, tumbuh dengan sendirinya karena penurunan protokol yang tidak sah (IPv6, tag VLAN yang Buruk / Tidak Diinginkan, dan lainnya). Namun, jika drop terjadi karena alasan lain, maka Anda harus menggunakan ini untuk mulai menyelidiki dan memahami mengapa antarmuka jaringan tertentu menghapus paket. Setelah mengetahui alasannya, pengoperasian aplikasi juga dapat dioptimalkan.
Jika bilah Pemantauan diaktifkan, Anda dapat melihat metrik ini secara grafis di SmartConsole dengan mengklik objek dan memilih “Informasi Perangkat & Lisensi.”
Tidak disarankan untuk menyalakan Monitoring blade secara permanen, namun untuk seharian untuk pengujian sangat memungkinkan.
Selain itu, Anda dapat menambahkan lebih banyak parameter untuk pemantauan, salah satunya sangat berguna - Bytes Throughput (throughput aplikasi).
Kalau ada sistem monitoring lain, misalnya gratis , berdasarkan SNMP, juga cocok untuk mengidentifikasi masalah ini.
2. RAM bocor seiring berjalannya waktu
Pertanyaan yang sering muncul adalah seiring berjalannya waktu, gateway atau server manajemen mulai mengkonsumsi lebih banyak RAM. Saya ingin meyakinkan Anda: ini adalah cerita normal untuk sistem mirip Linux.
Melihat output dari perintah bebas-m и cpstat -f memori os pada aplikasi dari mode ahli, Anda dapat menghitung dan melihat semua parameter yang terkait dengan RAM.
Berdasarkan memori yang tersedia di gateway saat ini Memori Gratis + Memori Buffer + Memori yang Di-cache = +-1.5GB, biasanya.
Seperti yang dikatakan CP, seiring berjalannya waktu, gateway/server manajemen mengoptimalkan dan menggunakan lebih banyak memori, mencapai pemanfaatan sekitar 80%, dan berhenti. Anda dapat me-reboot perangkat, dan kemudian indikator akan diatur ulang. RAM kosong sebesar 1.5 GB sudah cukup bagi gateway untuk melakukan semua tugas, dan manajemen jarang mencapai nilai ambang batas tersebut.
Selain itu, keluaran dari perintah yang disebutkan akan menunjukkan berapa banyak yang Anda miliki Memori rendah (RAM di ruang pengguna) dan Memori tinggi (RAM di ruang kernel) digunakan.
Proses kernel (termasuk modul aktif seperti modul kernel Check Point) hanya menggunakan memori rendah. Namun, proses pengguna dapat menggunakan memori Rendah dan Tinggi. Selain itu, Memori rendah kira-kira sama Memori Total.
Anda hanya perlu khawatir jika ada kesalahan di log “Modul di-boot ulang atau proses dihentikan untuk mendapatkan kembali memori karena OOM (Memori habis)”. Maka Anda harus me-reboot gateway dan menghubungi dukungan jika reboot tidak membantu.
Deskripsi lengkap dapat ditemukan di и .
3. Optimasi
Di bawah ini adalah pertanyaan dan jawaban tentang optimasi CPU dan RAM. Anda harus menjawabnya dengan jujur pada diri sendiri dan mendengarkan rekomendasinya.
3.1. Apakah aplikasi yang dipilih benar? Apakah ada proyek percontohan?
Meskipun ukurannya tepat, jaringan dapat berkembang dengan mudah, dan peralatan ini tidak dapat mengatasi beban tersebut. Opsi kedua adalah jika tidak ada ukuran seperti itu.
3.2. Apakah pemeriksaan HTTPS diaktifkan? Jika ya, apakah teknologi dikonfigurasikan sesuai dengan Praktik Terbaik?
Mengacu pada , jika Anda adalah klien kami, atau untuk .
Urutan aturan dalam kebijakan inspeksi HTTPS berperan besar dalam mengoptimalkan pembukaan situs HTTPS.
Urutan aturan yang disarankan:
- Lewati aturan dengan kategori/URL
- Periksa aturan dengan kategori/URL
- Periksa aturan untuk semua kategori lainnya
Dengan analogi dengan kebijakan firewall, Check Point mencari kecocokan berdasarkan paket dari atas ke bawah, jadi lebih baik menempatkan aturan bypass di atas, karena gateway tidak akan membuang sumber daya untuk menjalankan semua aturan jika paket ini diperlukan. untuk dilewati.
3.3 Apakah objek rentang alamat digunakan?
Objek dengan rentang alamat, misalnya jaringan 192.168.0.0-192.168.5.0, menggunakan lebih banyak RAM secara signifikan daripada 5 objek jaringan. Secara umum, menghapus objek yang tidak digunakan di SmartConsole dianggap sebagai praktik yang baik, karena setiap kali kebijakan diinstal, gateway dan server manajemen menghabiskan sumber daya dan, yang paling penting, waktu, memverifikasi dan menerapkan kebijakan.
3.4. Bagaimana kebijakan Pencegahan Ancaman dikonfigurasi?
Pertama-tama, Check Point merekomendasikan untuk menempatkan IPS di profil terpisah dan membuat aturan terpisah untuk blade ini.
Misalnya, seorang administrator percaya bahwa segmen DMZ seharusnya hanya dilindungi menggunakan IPS. Oleh karena itu, untuk mencegah gateway membuang-buang sumber daya dalam memproses paket oleh blade lain, perlu dibuat aturan khusus untuk segmen ini dengan profil yang hanya mengaktifkan IPS.
Mengenai pengaturan profil, disarankan untuk mengaturnya sesuai dengan praktik terbaik dalam hal ini (halaman 17-20).
3.5. Di pengaturan IPS, berapa banyak tanda tangan yang ada di mode Deteksi?
Disarankan untuk mempelajari tanda tangan dengan cermat dalam arti bahwa tanda tangan yang tidak digunakan harus dinonaktifkan (misalnya, tanda tangan untuk mengoperasikan produk Adobe memerlukan banyak daya komputasi, dan jika pelanggan tidak memiliki produk tersebut, masuk akal untuk menonaktifkan tanda tangan). Selanjutnya, masukkan Cegah alih-alih Deteksi jika memungkinkan, karena gateway menghabiskan sumber daya untuk memproses seluruh koneksi dalam mode Deteksi; dalam mode Cegah, gateway segera membuang koneksi dan tidak menyia-nyiakan sumber daya untuk memproses paket sepenuhnya.
3.6. File apa saja yang diproses oleh bilah Emulasi Ancaman, Ekstraksi Ancaman, dan Anti-Virus?
Tidak masuk akal untuk meniru dan menganalisis file ekstensi yang tidak diunduh pengguna Anda, atau Anda anggap tidak diperlukan di jaringan Anda (misalnya, file bat, exe dapat dengan mudah diblokir menggunakan bilah Kesadaran Konten di tingkat firewall, jadi lebih sedikit gateway sumber daya akan dihabiskan). Selain itu, dalam pengaturan Emulasi Ancaman Anda dapat memilih Lingkungan (sistem operasi) untuk meniru ancaman di kotak pasir dan menginstal Lingkungan Windows 7 ketika semua pengguna bekerja dengan versi 10 juga tidak masuk akal.
3.7. Apakah aturan tingkat firewall dan Aplikasi disusun sesuai dengan praktik terbaik?
Jika suatu aturan memiliki banyak pukulan (kecocokan), maka disarankan untuk meletakkannya di bagian paling atas, dan aturan dengan jumlah pukulan yang sedikit - di bagian paling bawah. Hal utama adalah memastikan bahwa mereka tidak saling berpotongan atau tumpang tindih. Arsitektur kebijakan firewall yang direkomendasikan:
Penjelasan:
Aturan Pertama - aturan dengan jumlah pertandingan terbanyak ditempatkan di sini
Aturan Kebisingan - aturan untuk membuang lalu lintas palsu seperti NetBIOS
Aturan Stealth - melarang panggilan ke gateway dan manajemen ke semua kecuali sumber yang ditentukan dalam Aturan Otentikasi ke Gateway
Clean-Up, Last dan Drop Rules biasanya digabungkan menjadi satu aturan untuk melarang segala sesuatu yang sebelumnya tidak diperbolehkan
Data praktik terbaik dijelaskan dalam .
3.8. Pengaturan apa yang dimiliki layanan yang dibuat oleh administrator?
Misalnya, beberapa layanan TCP dibuat pada port tertentu, dan masuk akal untuk menghapus centang “Match for Any” di pengaturan Lanjutan layanan. Dalam hal ini, layanan ini akan secara khusus berada di bawah aturan yang muncul, dan tidak akan berpartisipasi dalam aturan di mana Any tercantum di kolom Layanan.
Berbicara tentang layanan, perlu disebutkan bahwa terkadang perlu menyesuaikan batas waktu. Pengaturan ini akan memungkinkan Anda untuk menggunakan sumber daya gateway dengan bijak, sehingga tidak memerlukan waktu tambahan untuk sesi protokol TCP/UDP yang tidak memerlukan waktu tunggu yang lama. Misalnya, pada tangkapan layar di bawah, saya mengubah batas waktu layanan domain-udp dari 40 detik menjadi 30 detik.
3.9. Apakah SecureXL digunakan dan berapa persentase percepatannya?
Anda dapat memeriksa kualitas SecureXL menggunakan perintah dasar dalam mode ahli di gateway status fwaccel и fw statistik percepatan -s. Selanjutnya, Anda perlu mencari tahu jenis lalu lintas apa yang dipercepat, dan template lain apa yang bisa dibuat.
Drop Templates tidak diaktifkan secara default; mengaktifkannya akan menguntungkan SecureXL. Untuk melakukan ini, buka pengaturan gateway dan tab Optimasi:
Selain itu, saat bekerja dengan cluster untuk mengoptimalkan CPU, Anda dapat menonaktifkan sinkronisasi layanan yang tidak penting, seperti UDP DNS, ICMP, dan lainnya. Untuk melakukan ini, buka pengaturan layanan → Lanjutan → Sinkronisasi koneksi Sinkronisasi Status diaktifkan pada cluster.
Semua Praktik Terbaik dijelaskan dalam .
3.10. Bagaimana CoreXl digunakan?
Teknologi CoreXL, yang memungkinkan penggunaan beberapa CPU untuk instance firewall (modul firewall), tentunya membantu mengoptimalkan pengoperasian perangkat. Tim dulu fw ctl afinitas -l -a akan menampilkan instance firewall yang digunakan dan prosesor yang ditugaskan ke SND (modul yang mendistribusikan lalu lintas ke entitas firewall). Jika tidak semua prosesor digunakan, dapat ditambahkan dengan perintah cpconfig di pintu gerbang.
Juga cerita yang bagus untuk disampaikan untuk mengaktifkan Multi-Antrian. Multi-Antrian memecahkan masalah ketika prosesor dengan SND digunakan dalam persentase tertentu, dan instance firewall pada prosesor lain tidak digunakan. Kemudian SND akan memiliki kemampuan untuk membuat banyak antrian untuk satu NIC dan menetapkan prioritas berbeda untuk lalu lintas berbeda di tingkat kernel. Akibatnya, inti CPU akan digunakan dengan lebih cerdas. Metodenya juga dijelaskan di .
Sebagai kesimpulan, saya ingin mengatakan bahwa ini bukanlah Praktik Terbaik untuk mengoptimalkan Check Point, namun ini adalah yang paling populer. Jika Anda ingin memesan audit kebijakan keamanan Anda atau menyelesaikan masalah terkait Check Point, silakan hubungi [email dilindungi].
Terima kasih!
Sumber: www.habr.com