Сәлем әріптестер! Бүгін мен көптеген Check Point әкімшілері үшін өте өзекті тақырыпты талқылағым келеді: «Процессор мен жедел жадты оңтайландыру». Шлюз және/немесе басқару сервері күтпеген жерден осы ресурстардың көп бөлігін тұтынатын жағдайлар жиі кездеседі және мен олардың қай жерде «ағып жатқанын» түсінгім келеді және мүмкіндігінше оларды ақылдырақ пайдаланғым келеді.
1. Талдау
Для анализа загрузки процессора полезно использовать следующие команды, которые вводятся в экспертном режиме:
TOP барлық процестерді, пайыз ретінде тұтынылатын CPU және RAM ресурстарының көлемін, жұмыс уақытын, процесс басымдылығын және көрсетеді нақты уақыттаи
cpwd_admin тізімі Check Point WatchDog Daemon, который показывает все модули апплайнса, их PID, состояние и количество запусков
cpstat -f cpu операциялық жүйесі Орталық процессорды пайдалану, олардың саны және процессор уақытының пайызбен бөлінуі
cpstat -f жады операциялық жүйесі виртуалды жедел жадты пайдалану, қаншалықты белсенді, бос ЖЖҚ және т.б
Дұрыс ескерту барлық cpstat пәрмендерін қызметтік бағдарлама арқылы көруге болады cpview. Для этого просто нужно ввести команду cpview из любого режима в SSH-сессии.
ps auxwf барлық процестердің ұзын тізімі, олардың идентификаторы, орналасқан виртуалды жады және жедел жадтағы, процессордағы жады
Басқа команда нұсқалары:
ps-aF ең қымбат процесті көрсетеді
fw ctl жақындығы -l -a әртүрлі брандмауэр даналары үшін ядроларды тарату, яғни CoreXL технологиясы
fw ctl pstat ЖЖҚ талдауы және жалпы қосылым көрсеткіштері, cookie файлдары, NAT
тегін -м ЖЖҚ буфері
Ұжым ерекше назар аударуға лайық netsat және оның вариациялары. Мысалы, netstat -i алмасу буферін бақылау мәселесін шешуге көмектесе алады. Бұл пәрменнің шығысындағы RX түсірілген пакеттер (RX-DRP) параметрі, әдетте, заңсыз хаттамалардың (IPv6, нашар / күтпеген VLAN тегтері және т.б.) түсуіне байланысты өздігінен өседі. Алайда, егер тамшылар басқа себеппен болса, оны пайдалану керек Берілген желілік интерфейс неліктен пакеттерді тастап жатқанын зерттеуді және түсінуді бастау. Себебін анықтап, қолданбаның жұмысын оңтайландыруға болады.
Мониторинг тақтасы қосылған болса, нысанды нұқу және «Құрылғы және лицензия туралы ақпарат» опциясын таңдау арқылы SmartConsole қолданбасында осы көрсеткіштерді графикалық түрде көруге болады.
Бақылау пышағын тұрақты түрде қосу ұсынылмайды, бірақ тестілеу үшін бір күн ішінде бұл әбден мүмкін.
Сонымен қатар, бақылау үшін қосымша параметрлерді қосуға болады, олардың бірі өте пайдалы - Bytes Throughput (қолданбаның өткізу қабілеті).
Басқа бақылау жүйесі болса, мысалы, тегін , SNMP негізінде ол осы мәселелерді анықтау үшін де қолайлы.
2. ЖЖҚ уақыт өте келе ағып кетеді
Уақыт өте келе шлюз немесе басқару сервері жедел жадты көбірек тұтына бастайды деген сұрақ жиі туындайды. Мен сізді сендіргім келеді: бұл Linux тәрізді жүйелер үшін қалыпты оқиға.
Командалардың шығуын қарастыру тегін -м и cpstat -f жады операциялық жүйесі сарапшы режиміндегі қолданбада жедел жадқа қатысты барлық параметрлерді есептеуге және көруге болады.
Қазіргі уақытта шлюздегі қолжетімді жадқа негізделген Тегін жад + Буфер жады + Кэштелген жад = +-1.5 ГБ, ереже бойынша.
CP айтқандай, уақыт өте келе шлюз/басқару сервері көбірек жадты оңтайландырады және пайдаланады, шамамен 80% пайдалануына жетеді және тоқтайды. Құрылғыны қайта жүктеуге болады, содан кейін индикатор қалпына келтіріледі. Шлюз барлық тапсырмаларды орындау үшін 1.5 ГБ бос жедел жады жеткілікті және басқару мұндай шекті мәндерге сирек жетеді.
Также выводы упомянутых команд покажут, сколько у вас Төмен жады (пайдаланушы кеңістігіндегі RAM) және Жоғары жады (ядро кеңістігіндегі RAM) пайдаланылады.
Процессы kernel (включая active modules, такие как Check Point kernel modules) используют только Low memory. Однако пользовательские процессы могут использовать как Low, так и High memory. Более того, Low memory примерно равна Жалпы жад.
Журналдарда қателер болса ғана алаңдау керек «Модульдер қайта жүктеледі немесе OOM (жады жоқ) себебінен жадты қалпына келтіру үшін процестер жойылуда». Содан кейін шлюзді қайта жүктеп, қайта жүктеу көмектеспесе, қолдау қызметіне хабарласуыңыз керек.
Толық сипаттаманы мына жерден табуға болады и .
3. Оңтайландыру
Ниже приведены вопросы и ответы по оптимизации CPU и RAM. На них стоит честно ответить самому себе и прислушаться к рекомендациям.
3.1. Өтініш дұрыс таңдалды ма? Пилоттық жоба болды ма?
Несмотря на грамотный сайзинг, сеть могла банально разрастись, и данное оборудование просто не справляется с нагрузкой. Второй вариант, если сайзинга как такового не было.
3.2. Включена ли HTTPS инспекция? Если да, то настроена ли технология по Best Practice?
қараңыз , егер сіз біздің клиент болсаңыз, немесе .
HTTPS сайттарын ашуды оңтайландыруда HTTPS тексеру саясатындағы ережелердің реті үлкен рөл атқарады.
Рекомендуемый порядок расположения правил:
- Санаттар/URL мекенжайлары бар ережелерді айналып өту
- Санаттар/URL мекенжайлары бар ережелерді тексеріңіз
- Барлық басқа санаттар үшін ережелерді тексеріңіз
Брандмауэр саясатына ұқсас, Check Point жоғарыдан төменге қарай пакеттер бойынша сәйкестікті іздейді, сондықтан айналып өту ережелерін жоғарыға қойған дұрыс, өйткені шлюз бұл пакет қажет болса, барлық ережелерді орындау үшін ресурстарды ысырап етпейді. өту керек.
3.3 Используются ли address-range объекты?
Мекенжай диапазоны бар объектілер, мысалы, 192.168.0.0-192.168.5.0 желісі, 5 желі объектісіне қарағанда оперативті жадты едәуір көп алады. Жалпы, SmartConsole қолданбасында пайдаланылмаған нысандарды жою жақсы тәжірибе болып саналады, өйткені саясат орнатылған сайын шлюз және басқару сервері ресурстарды және, ең бастысы, саясатты тексеруге және қолдануға уақыт жұмсайды.
3.4. Қауіптердің алдын алу саясаты қалай конфигурацияланады?
В первую очередь, Check Point рекомендует выносить IPS в отдельный профиль и создавать отдельные правила под этот блейд.
Мысалы, әкімші DMZ сегменті тек IPS арқылы қорғалуы керек деп санайды. Сондықтан, шлюздің басқа жолақтар арқылы пакеттерді өңдеуге ресурстарды ысырап етуіне жол бермеу үшін тек IPS қосылған профилі бар осы сегмент үшін арнайы ереже жасау қажет.
Профильдерді орнатуға келетін болсақ, оны ең жақсы тәжірибелерге сәйкес орнату ұсынылады (17-20 беттер).
3.5. IPS параметрлерінде анықтау режимінде қанша қолтаңба бар?
Рекомендуется усиленно проработать сигнатуры в том плане, что следует отключить неиспользуемые (например, сигнатуры на эксплуатацию продуктов Adobe требуют много вычислительной мощности, и если у заказчика таких продуктов нет, сигнатуры имеет смысл отключить). Далее поставить Prevent вместо Detect там, где возможно, потому что шлюз тратит ресурсы на обработку всего соединения в режиме Detect, в режиме Prevent он сразу отбрасывает соединение и не тратит ресурсы на полную обработку пакета.
3.6. Қандай файлдар Threat Emulation, Threat Extraction, Anti-Virus тақталары арқылы өңделеді?
Пайдаланушылар жүктеп алмайтын немесе желіде қажет емес деп санайтын кеңейтімдердің файлдарын эмуляциялау және талдаудың мағынасы жоқ (мысалы, bat, exe файлдарын брандмауэр деңгейіндегі Content Awareness жолағын пайдаланып оңай бұғаттауға болады, сондықтан шлюз аз. ресурстар жұмсалады). Сонымен қатар, Қауіпті эмуляциялау параметрлерінде құм жәшігіндегі қауіптерді эмуляциялау үшін Ортаны (операциялық жүйе) таңдауға болады және барлық пайдаланушылар 7 нұсқасымен жұмыс істеген кезде Windows 10 ортасын орнатудың да мағынасы жоқ.
3.7. Брандмауэр және Қолданба деңгейінің ережелері ең жақсы тәжірибеге сәйкес реттеледі ме?
Егер ережеде көп соққылар (сәйкестіктер) болса, онда оларды ең жоғарғы жағына, ал аз соққылар саны бар ережелерді - ең төменгі жағына қою ұсынылады. Ең бастысы, олардың бір-бірімен қиылыспауын немесе қабаттаспауын қамтамасыз ету. Ұсынылатын желіаралық қалқан саясаты архитектурасы:
Түсіндірмелер:
Бірінші ережелер - ең көп сәйкестіктер саны бар ережелер осында орналастырылған
Шу ережесі - NetBIOS сияқты жалған трафикті жою ережесі
Жасырын ереже - шлюзге аутентификация ережелерінде көрсетілген көздерден басқа барлық шлюздерге және басқаруларға қоңырау шалуға тыйым салады.
Тазалау, соңғы және тастау ережелері әдетте бұрын рұқсат етілмеген барлық нәрселерге тыйым салу үшін бір ережеге біріктіріледі.
Үздік тәжірибе деректерінде сипатталған .
3.8. Какие настройки стоят у созданных администраторами сервисов?
Мысалы, кейбір TCP қызметі белгілі бір портта жасалған және қызметтің Кеңейтілген параметрлерінде «Кез келгенге сәйкестендіру» құсбелгісін алып тастаған дұрыс. Бұл жағдайда бұл қызмет ол пайда болатын ережеге сәйкес келеді және Қызметтер бағанында Any көрсетілген ережелерге қатыспайды.
Қызметтер туралы айтатын болсақ, кейде күту уақытын реттеу қажет екенін атап өткен жөн. Бұл параметр үлкен күту уақытын қажет етпейтін хаттамалардың TCP/UDP сеанстары үшін қосымша уақытты өткізбеу үшін шлюз ресурстарын ұқыпты пайдалануға мүмкіндік береді. Мысалы, төмендегі скриншотта домен-udp қызметінің күту уақытын 40 секундтан 30 секундқа өзгерттім.
3.9. SecureXL қолданылады ма және жылдамдықты арттыру пайызы қандай?
Шлюздегі сарапшы режиміндегі негізгі пәрмендерді пайдаланып SecureXL сапасын тексеруге болады фвацел статистикасы и fw жеделдету статистикасы -s. Әрі қарай, трафиктің қандай түрі жеделдетіліп жатқанын және басқа қандай үлгілерді жасауға болатынын анықтау керек.
Drop шаблондары әдепкі бойынша қосылмаған; оларды қосу SecureXL үшін пайдалы болады. Мұны істеу үшін шлюз параметрлеріне және Оңтайландырулар қойындысына өтіңіз:
Также при работе с кластером для оптимизации CPU можно отключить синхронизацию некритичных сервисов, таких как UDP DNS, ICMP и другие. Для этого стоит зайти в настройки сервиса → Advanced → Synchronize connections of State Synchronization is enabled on the cluster.
Барлық үздік тәжірибелер бөлімінде сипатталған .
3.10. CoreXl қалай қолданылады?
Брандмауэр даналары (брандмауэр модульдері) үшін бірнеше процессорларды пайдалануға мүмкіндік беретін CoreXL технологиясы құрылғының жұмысын оңтайландыруға міндетті түрде көмектеседі. Алдымен команда fw ctl жақындығы -l -a пайдаланылатын желіаралық қалқан даналарын және SND (брандмауэр нысандарына трафикті тарататын модуль) тағайындалған процессорларды көрсетеді. Барлық процессорлар пайдаланылмаса, оларды пәрмен арқылы қосуға болады cpconfig шлюзде.
Сондай-ақ жақсы әңгіме қоюға болады на включение Multi-Queue. Multi-Queue решает проблему, когда процессор с SND используется на много процентов, а firewall instances на других процессорах простаивают. Тогда у SND появилась бы возможность создавать много очередей для одной NIC и ставить разные приоритеты для разного трафика на уровне ядра. Следовательно, ядра CPU станут использоваться грамотнее. Методики описаны также в .
Қорытындылай келе, бұл Check Point-ті оңтайландырудың барлық ең жақсы тәжірибелері емес екенін айтқым келеді, бірақ олар ең танымал. Қауіпсіздік саясатыңыздың аудитіне тапсырыс бергіңіз келсе немесе Check Point қызметіне қатысты мәселені шешкіңіз келсе, хабарласыңыз [электрондық пошта қорғалған].
Назарларыңызға рахмет!
Ақпарат көзі: www.habr.com