Сәлем әріптестер! Бүгін мен көптеген Check Point әкімшілері үшін өте өзекті тақырыпты талқылағым келеді: «Процессор мен жедел жадты оңтайландыру». Шлюз және/немесе басқару сервері күтпеген жерден осы ресурстардың көп бөлігін тұтынатын жағдайлар жиі кездеседі және мен олардың қай жерде «ағып жатқанын» түсінгім келеді және мүмкіндігінше оларды ақылдырақ пайдаланғым келеді.
1. Талдау
Процессор жүктемесін талдау үшін сарапшы режимінде енгізілген келесі пәрмендерді пайдалану пайдалы:
TOP барлық процестерді, пайыз ретінде тұтынылатын CPU және RAM ресурстарының көлемін, жұмыс уақытын, процесс басымдылығын және көрсетеді нақты уақыттаи
cpwd_admin тізімі Check Point WatchDog Daemon, ол барлық қолданба модульдерін, олардың PID, күйі мен іске қосылу санын көрсетеді
cpstat -f cpu операциялық жүйесі Орталық процессорды пайдалану, олардың саны және процессор уақытының пайызбен бөлінуі
cpstat -f жады операциялық жүйесі виртуалды жедел жадты пайдалану, қаншалықты белсенді, бос ЖЖҚ және т.б
Дұрыс ескерту барлық cpstat пәрмендерін қызметтік бағдарлама арқылы көруге болады cpview. Ол үшін SSH сеансында кез келген режимнен cpview пәрменін енгізу жеткілікті.
ps auxwf барлық процестердің ұзын тізімі, олардың идентификаторы, орналасқан виртуалды жады және жедел жадтағы, процессордағы жады
Басқа команда нұсқалары:
ps-aF ең қымбат процесті көрсетеді
fw ctl жақындығы -l -a әртүрлі брандмауэр даналары үшін ядроларды тарату, яғни CoreXL технологиясы
fw ctl pstat ЖЖҚ талдауы және жалпы қосылым көрсеткіштері, cookie файлдары, NAT
тегін -м ЖЖҚ буфері
Ұжым ерекше назар аударуға лайық netsat және оның вариациялары. Мысалы, netstat -i алмасу буферін бақылау мәселесін шешуге көмектесе алады. Бұл пәрменнің шығысындағы RX түсірілген пакеттер (RX-DRP) параметрі, әдетте, заңсыз хаттамалардың (IPv6, нашар / күтпеген VLAN тегтері және т.б.) түсуіне байланысты өздігінен өседі. Алайда, егер тамшылар басқа себеппен болса, оны пайдалану керек Берілген желілік интерфейс неліктен пакеттерді тастап жатқанын зерттеуді және түсінуді бастау. Себебін анықтап, қолданбаның жұмысын оңтайландыруға болады.
Мониторинг тақтасы қосылған болса, нысанды нұқу және «Құрылғы және лицензия туралы ақпарат» опциясын таңдау арқылы SmartConsole қолданбасында осы көрсеткіштерді графикалық түрде көруге болады.
Бақылау пышағын тұрақты түрде қосу ұсынылмайды, бірақ тестілеу үшін бір күн ішінде бұл әбден мүмкін.
Сонымен қатар, бақылау үшін қосымша параметрлерді қосуға болады, олардың бірі өте пайдалы - Bytes Throughput (қолданбаның өткізу қабілеті).
Басқа бақылау жүйесі болса, мысалы, тегін , SNMP негізінде ол осы мәселелерді анықтау үшін де қолайлы.
2. ЖЖҚ уақыт өте келе ағып кетеді
Уақыт өте келе шлюз немесе басқару сервері жедел жадты көбірек тұтына бастайды деген сұрақ жиі туындайды. Мен сізді сендіргім келеді: бұл Linux тәрізді жүйелер үшін қалыпты оқиға.
Командалардың шығуын қарастыру тегін -м и cpstat -f жады операциялық жүйесі сарапшы режиміндегі қолданбада жедел жадқа қатысты барлық параметрлерді есептеуге және көруге болады.
Қазіргі уақытта шлюздегі қолжетімді жадқа негізделген Тегін жад + Буфер жады + Кэштелген жад = +-1.5 ГБ, ереже бойынша.
CP айтқандай, уақыт өте келе шлюз/басқару сервері көбірек жадты оңтайландырады және пайдаланады, шамамен 80% пайдалануына жетеді және тоқтайды. Құрылғыны қайта жүктеуге болады, содан кейін индикатор қалпына келтіріледі. Шлюз барлық тапсырмаларды орындау үшін 1.5 ГБ бос жедел жады жеткілікті және басқару мұндай шекті мәндерге сирек жетеді.
Сондай-ақ аталған командалардың шығыстары сізде қанша бар екенін көрсетеді Төмен жады (пайдаланушы кеңістігіндегі RAM) және Жоғары жады (ядро кеңістігіндегі RAM) пайдаланылады.
Ядро процестері (тексеру нүктесі ядро модульдері сияқты белсенді модульдерді қоса) тек Төмен жадты пайдаланады. Дегенмен, пайдаланушы процестері Төмен және Жоғары жадты пайдалана алады. Сонымен қатар, Төмен жады шамамен тең Жалпы жад.
Журналдарда қателер болса ғана алаңдау керек «Модульдер қайта жүктеледі немесе OOM (жады жоқ) себебінен жадты қалпына келтіру үшін процестер жойылуда». Содан кейін шлюзді қайта жүктеп, қайта жүктеу көмектеспесе, қолдау қызметіне хабарласуыңыз керек.
Толық сипаттаманы мына жерден табуға болады и .
3. Оңтайландыру
Төменде CPU мен жедел жадты оңтайландыру бойынша сұрақтар мен жауаптар берілген. Сіз оларға адал жауап беріп, ұсыныстарды тыңдауыңыз керек.
3.1. Өтініш дұрыс таңдалды ма? Пилоттық жоба болды ма?
Тиісті өлшемдерге қарамастан, желі жай ғана өсе алады және бұл жабдық жүктемені көтере алмайды. Екінші нұсқа - егер мұндай өлшем болмаса.
3.2. HTTPS тексеруі қосылды ма? Иә болса, технология үздік тәжірибеге сәйкес конфигурацияланған ба?
қараңыз , егер сіз біздің клиент болсаңыз, немесе .
HTTPS сайттарын ашуды оңтайландыруда HTTPS тексеру саясатындағы ережелердің реті үлкен рөл атқарады.
Ұсынылатын ережелер тәртібі:
- Санаттар/URL мекенжайлары бар ережелерді айналып өту
- Санаттар/URL мекенжайлары бар ережелерді тексеріңіз
- Барлық басқа санаттар үшін ережелерді тексеріңіз
Брандмауэр саясатына ұқсас, Check Point жоғарыдан төменге қарай пакеттер бойынша сәйкестікті іздейді, сондықтан айналып өту ережелерін жоғарыға қойған дұрыс, өйткені шлюз бұл пакет қажет болса, барлық ережелерді орындау үшін ресурстарды ысырап етпейді. өту керек.
3.3 Мекенжай диапазонының объектілері пайдаланылады ма?
Мекенжай диапазоны бар объектілер, мысалы, 192.168.0.0-192.168.5.0 желісі, 5 желі объектісіне қарағанда оперативті жадты едәуір көп алады. Жалпы, SmartConsole қолданбасында пайдаланылмаған нысандарды жою жақсы тәжірибе болып саналады, өйткені саясат орнатылған сайын шлюз және басқару сервері ресурстарды және, ең бастысы, саясатты тексеруге және қолдануға уақыт жұмсайды.
3.4. Қауіптердің алдын алу саясаты қалай конфигурацияланады?
Ең алдымен, Check Point IPS-ті бөлек профильге орналастыруды және осы жолақ үшін бөлек ережелерді жасауды ұсынады.
Мысалы, әкімші DMZ сегменті тек IPS арқылы қорғалуы керек деп санайды. Сондықтан, шлюздің басқа жолақтар арқылы пакеттерді өңдеуге ресурстарды ысырап етуіне жол бермеу үшін тек IPS қосылған профилі бар осы сегмент үшін арнайы ереже жасау қажет.
Профильдерді орнатуға келетін болсақ, оны ең жақсы тәжірибелерге сәйкес орнату ұсынылады (17-20 беттер).
3.5. IPS параметрлерінде анықтау режимінде қанша қолтаңба бар?
Қолтаңбаларды пайдаланылмағандарын өшіру керек деген мағынада мұқият зерделеу ұсынылады (мысалы, Adobe өнімдерін пайдалану үшін қолтаңбалар үлкен есептеу қуатын қажет етеді, ал егер тұтынушыда мұндай өнімдер болмаса, қолтаңбаларды өшіру мағынасы бар). Әрі қарай, мүмкіндігінше Анықтау орнына Prevent қойыңыз, себебі шлюз алдын алу режимінде барлық қосылымды өңдеуге жұмсайды, ол қосылымды бірден алып тастайды және пакетті толық өңдеуге ресурстарды жұмсамайды;
3.6. Қандай файлдар Threat Emulation, Threat Extraction, Anti-Virus тақталары арқылы өңделеді?
Пайдаланушылар жүктеп алмайтын немесе желіде қажет емес деп санайтын кеңейтімдердің файлдарын эмуляциялау және талдаудың мағынасы жоқ (мысалы, bat, exe файлдарын брандмауэр деңгейіндегі Content Awareness жолағын пайдаланып оңай бұғаттауға болады, сондықтан шлюз аз. ресурстар жұмсалады). Сонымен қатар, Қауіпті эмуляциялау параметрлерінде құм жәшігіндегі қауіптерді эмуляциялау үшін Ортаны (операциялық жүйе) таңдауға болады және барлық пайдаланушылар 7 нұсқасымен жұмыс істеген кезде Windows 10 ортасын орнатудың да мағынасы жоқ.
3.7. Брандмауэр және Қолданба деңгейінің ережелері ең жақсы тәжірибеге сәйкес реттеледі ме?
Егер ережеде көп соққылар (сәйкестіктер) болса, онда оларды ең жоғарғы жағына, ал аз соққылар саны бар ережелерді - ең төменгі жағына қою ұсынылады. Ең бастысы, олардың бір-бірімен қиылыспауын немесе қабаттаспауын қамтамасыз ету. Ұсынылатын желіаралық қалқан саясаты архитектурасы:
Түсіндірмелер:
Бірінші ережелер - ең көп сәйкестіктер саны бар ережелер осында орналастырылған
Шу ережесі - NetBIOS сияқты жалған трафикті жою ережесі
Жасырын ереже - шлюзге аутентификация ережелерінде көрсетілген көздерден басқа барлық шлюздерге және басқаруларға қоңырау шалуға тыйым салады.
Тазалау, соңғы және тастау ережелері әдетте бұрын рұқсат етілмеген барлық нәрселерге тыйым салу үшін бір ережеге біріктіріледі.
Үздік тәжірибе деректерінде сипатталған .
3.8. Әкімшілер жасаған қызметтерде қандай параметрлер бар?
Мысалы, кейбір TCP қызметі белгілі бір портта жасалған және қызметтің Кеңейтілген параметрлерінде «Кез келгенге сәйкестендіру» құсбелгісін алып тастаған дұрыс. Бұл жағдайда бұл қызмет ол пайда болатын ережеге сәйкес келеді және Қызметтер бағанында Any көрсетілген ережелерге қатыспайды.
Қызметтер туралы айтатын болсақ, кейде күту уақытын реттеу қажет екенін атап өткен жөн. Бұл параметр үлкен күту уақытын қажет етпейтін хаттамалардың TCP/UDP сеанстары үшін қосымша уақытты өткізбеу үшін шлюз ресурстарын ұқыпты пайдалануға мүмкіндік береді. Мысалы, төмендегі скриншотта домен-udp қызметінің күту уақытын 40 секундтан 30 секундқа өзгерттім.
3.9. SecureXL қолданылады ма және жылдамдықты арттыру пайызы қандай?
Шлюздегі сарапшы режиміндегі негізгі пәрмендерді пайдаланып SecureXL сапасын тексеруге болады фвацел статистикасы и fw жеделдету статистикасы -s. Әрі қарай, трафиктің қандай түрі жеделдетіліп жатқанын және басқа қандай үлгілерді жасауға болатынын анықтау керек.
Drop шаблондары әдепкі бойынша қосылмаған; оларды қосу SecureXL үшін пайдалы болады. Мұны істеу үшін шлюз параметрлеріне және Оңтайландырулар қойындысына өтіңіз:
Сондай-ақ, орталық процессорды оңтайландыру үшін кластермен жұмыс істегенде, UDP DNS, ICMP және басқалары сияқты маңызды емес қызметтерді синхрондауды өшіруге болады. Ол үшін қызмет параметрлері → Қосымша → Кластерде күйді синхрондау қосылған қосылымдарды синхрондау тармағына өтіңіз.
Барлық үздік тәжірибелер бөлімінде сипатталған .
3.10. CoreXl қалай қолданылады?
Брандмауэр даналары (брандмауэр модульдері) үшін бірнеше процессорларды пайдалануға мүмкіндік беретін CoreXL технологиясы құрылғының жұмысын оңтайландыруға міндетті түрде көмектеседі. Алдымен команда fw ctl жақындығы -l -a пайдаланылатын желіаралық қалқан даналарын және SND (брандмауэр нысандарына трафикті тарататын модуль) тағайындалған процессорларды көрсетеді. Барлық процессорлар пайдаланылмаса, оларды пәрмен арқылы қосуға болады cpconfig шлюзде.
Сондай-ақ жақсы әңгіме қоюға болады Көп кезекті қосу үшін. SND бар процессор көп пайыз пайдаланылғанда және басқа процессорлардағы брандмауэр даналары бос тұрғанда Multi-Queue мәселені шешеді. Сонда SND бір NIC үшін көптеген кезектерді құру және ядро деңгейінде әртүрлі трафик үшін әртүрлі басымдықтарды орнату мүмкіндігіне ие болар еді. Демек, процессордың өзектері анағұрлым интеллектуалды пайдаланылады. Әдістер де сипатталған .
Қорытындылай келе, бұл Check Point-ті оңтайландырудың барлық ең жақсы тәжірибелері емес екенін айтқым келеді, бірақ олар ең танымал. Қауіпсіздік саясатыңыздың аудитіне тапсырыс бергіңіз келсе немесе Check Point қызметіне қатысты мәселені шешкіңіз келсе, хабарласыңыз [электрондық пошта қорғалған].
Назарларыңызға рахмет!
Ақпарат көзі: www.habr.com