Moien Kollegen! Haut wëll ech e ganz relevant Thema fir vill Check Point Administrateuren diskutéieren: "CPU an RAM optimiséieren." Et ginn dacks Fäll, wou de Paart an / oder Gestioun Server onerwaart vill vun dëse Ressourcen verbraucht, an ech géif gären verstoen wou se "fléissendem" an, wa méiglech, benotzen se méi intelligent.
1. Analyse
Fir d'Prozessorbelaaschtung ze analyséieren, ass et nëtzlech déi folgend Kommandoen ze benotzen, déi am Expert Modus agefouert ginn:
erop weist all Prozesser, d'Quantitéit u CPU an RAM Ressourcen verbraucht als Prozentsaz, Uptime, Prozess Prioritéit an
cpwd_admin Lëscht Check Point WatchDog Daemon, deen all Applikatiounsmoduler weist, hir PID, Status an Unzuel vun Starten
cpstat -f cpu os CPU Notzung, hir Zuel an Verdeelung vun Prozessor Zäit als Prozentsaz
cpstat -f Erënnerung os virtuell RAM Benotzung, wéi vill aktiv, fräi RAM a méi
Déi richteg Bemierkung ass datt all cpstat Kommandoen mat dem Utility gekuckt kënne ginn cpview. Fir dëst ze maachen, musst Dir just de Kommando cpview aus all Modus an der SSH Sessioun aginn.
ps vuf eng laang Lëscht vun all Prozesser, hir ID, besat virtuell Erënnerung an Erënnerung am RAM, CPU
Aner Kommando Variatiounen:
ps-aF wäert déi deierste Prozess weisen
fw ctl Affinitéit -l -a Verdeelung vu Käre fir verschidde Firewall Instanzen, dat ass CoreXL Technologie
fw ctl pstat RAM Analyse an allgemeng Verbindung Indicateuren, Cookien, NAT
gratis -m RAM Puffer
D'Equipe verdéngt besonnesch Opmierksamkeet netz a seng Variatiounen. Zum Beispill, netstat -i kann hëllefen de Problem vun der Iwwerwaachung vu Clipboards ze léisen. De Parameter, RX erofgefall Pakete (RX-DRP) an der Ausgab vun dësem Kommando, wächst als Regel op sech selwer wéinst Drëpsen vun illegitime Protokoller (IPv6, Bad / Unintended VLAN Tags an anerer). Wéi och ëmmer, wann Drëpsen aus engem anere Grond geschéien, da sollt Dir dëst benotzen
Wann d'Iwwerwaachungsblade aktivéiert ass, kënnt Dir dës Metriken grafesch an der SmartConsole kucken andeems Dir op den Objet klickt a wielt "Device & License Information."
Et ass net recommandéiert d'Iwwerwaachungsblade permanent opzemaachen, awer fir en Dag fir ze testen ass et ganz méiglech.
Ausserdeem kënnt Dir méi Parameteren fir d'Iwwerwaachung addéieren, ee vun hinnen ass ganz nëtzlech - Bytes Throughput (Applikatioun Duerchput).
Wann et eng aner Iwwerwachung System, zum Beispill, fräi
2. RAM Fuite iwwer Zäit
D'Fro stellt sech dacks datt mat der Zäit de Paart oder de Managementserver ufänkt méi a méi RAM ze konsuméieren. Ech wëll Iech berouegen: dëst ass eng normal Geschicht fir Linux-ähnlech Systemer.
Kuckt d'Ausgab vun de Kommandoen gratis -m и cpstat -f Erënnerung os op der App aus Expert Modus, Dir kënnt all Parameteren am Zesummenhang mat RAM berechnen an Vue.
Baséierend op der verfügbarer Erënnerung op der Paart am Moment Gratis Memory + Buffer Erënnerung + Cache Memory = +-1.5 GB, normalerweis.
Wéi CP seet, mat der Zäit optiméiert de Gateway / Management Server a benotzt ëmmer méi Erënnerung, erreecht ongeféier 80% Notzung, a stoppt. Dir kënnt den Apparat nei starten, an da gëtt den Indikator zréckgesat. 1.5 GB gratis RAM ass genee genuch fir de Paart fir all Aufgaben ze maachen, an d'Gestioun erreecht selten esou Schwellwäerter.
Och d'Ausgänge vun de genannte Kommandoen weisen wéi vill Dir hutt Niddereg Erënnerung (RAM am Benotzerraum) an Héich Erënnerung (RAM am Kernelraum) benotzt.
Kernel Prozesser (inklusiv aktiv Moduler wéi Check Point Kernel Moduler) benotzen nëmmen Low Erënnerung. Wéi och ëmmer, Benotzerprozesser kënne souwuel Low wéi High Memory benotzen. Ausserdeem ass Low Memory ongeféier gläich wéi Total Erënnerung.
Dir sollt Iech nëmmen Suergen maachen wann et Feeler an de Logbicher sinn "Modulen nei starten oder Prozesser ginn ëmbruecht fir Erënnerung zréckzebréngen wéinst OOM (Out of Memory)". Da sollt Dir de Paart nei starten an d'Ënnerstëtzung kontaktéieren wann de Restart net hëlleft.
Eng voll Beschreiwung kann fonnt ginn an
3. Optimisatioun
Drënner sinn Froen an Äntwerten iwwer d'Optimisatioun vun CPU an RAM. Dir sollt se éierlech fir Iech selwer beäntweren an d'Empfehlungen lauschteren.
3.1. War d'Applikatioun richteg gewielt? War et e Pilotprojet?
Trotz der adäquater Gréisst kann d'Netz einfach wuessen, an dës Ausrüstung kann einfach net mat der Laascht eens. Déi zweet Optioun ass wann et keng Gréisst als solch war.
3.2. Ass HTTPS Inspektioun aktivéiert? Wa jo, ass d'Technologie no Best Practice konfiguréiert?
Referenz op
D'Uerdnung vun de Regelen an der HTTPS Inspektiounspolitik spillt eng grouss Roll bei der Optimisatioun vun der Ouverture vun HTTPS Siten.
Recommandéiert Uerdnung vun Regelen:
- Bypass Regele mat Kategorien / URLen
- Inspektéiere Regele mat Kategorien / URLen
- Kontrolléiere Regele fir all aner Kategorien
An Analogie mat der Firewall Politik, sicht Check Point no engem Match vu Pakete vun uewe bis ënnen, also ass et besser d'Bypass-Reegelen uewen ze setzen, well de Paart keng Ressourcen verschwende fir duerch all d'Regele ze lafen wann dëse Paket brauch. passéiert ginn.
3.3 Ginn Adressberäich Objete benotzt?
Objete mat enger Adress Gamme, Zum Beispill, Reseau 192.168.0.0-192.168.5.0, huelen däitlech méi RAM wéi 5 Reseau Objete. Am Allgemengen gëtt et als gutt Praxis ugesinn fir onbenotzt Objeten an SmartConsole ze läschen, well all Kéier wann eng Politik installéiert ass, verbréngt de Paart a Managementserver Ressourcen an, am wichtegsten, Zäit, d'Politik z'iwwerpréiwen an ëmzesetzen.
3.4. Wéi ass d'Bedrohungspräventiounspolitik konfiguréiert?
Éischtens, Check Point recommandéiert IPS an engem getrennten Profil ze setzen an separat Reegele fir dës Blade ze kreéieren.
Zum Beispill mengt en Administrateur datt den DMZ Segment nëmme mat IPS geschützt soll ginn. Dofir, fir ze verhënneren datt de Paart Ressourcen op d'Veraarbechtung vu Pakete vun anere Blades verschwenden, ass et néideg eng Regel speziell fir dëst Segment mat engem Profil ze kreéieren an deem nëmmen IPS aktivéiert ass.
Wat d'Opstelle vu Profiler ugeet, ass et recommandéiert et no beschten Praktiken an dësem opzestellen
3.5. An den IPS-Astellungen, wéivill Ënnerschrëfte ginn et am Detect-Modus?
Et ass recommandéiert d'Ënnerschrëfte suergfälteg ze studéieren am Sënn datt onbenotzt solle behënnert ginn (zum Beispill Ënnerschrëfte fir Adobe Produkter ze bedreiwen erfuerderen vill Rechenkraaft, a wann de Client keng sou Produkter huet, mécht et Sënn fir Ënnerschrëften auszeschalten). Als nächst, setzt Verhënneren amplaz z'entdecken wou et méiglech ass, well de Paart verbréngt Ressourcen fir d'ganz Verbindung am Detect-Modus am Prevent-Modus ze veraarbechten, entlooss d'Verbindung direkt a verschwendt keng Ressourcen op d'Veraarbechtung vum Paket.
3.6. Wéi eng Dateie ginn duerch Threat Emulation, Threat Extraction, Anti-Virus Blades veraarbecht?
Et mécht kee Sënn fir Dateie vun Extensiounen ze emuléieren an ze analyséieren déi Är Benotzer net eroflueden, oder Dir betruecht als onnéideg op Ärem Netz (zum Beispill Fliedermaus, exe Dateien kënne ganz einfach blockéiert ginn mat der Content Awareness Blade um Firewall Niveau, also manner Paart Ressourcen ausginn). Ausserdeem, an den Threat Emulation Astellunge kënnt Dir Ëmwelt (Betriebssystem) auswielen fir Geforen an der Sandkëscht ze emuléieren an Ëmfeld z'installéieren Windows 7 wann all Benotzer mat der Versioun 10 schaffen, mécht och net Sënn.
3.7. Sinn Firewall an Uwendungsniveau Regelen am Aklang mat beschten Praxis arrangéiert?
Wann eng Regel vill Hits (Mätscher) huet, ass et recommandéiert se ganz uewen ze setzen, a Regele mat enger klenger Zuel vun Hits - ganz ënnen. Den Haapt Saach ass sécherzestellen datt se net géigesäiteg intersectéieren oder iwwerlappen. Recommandéiert Firewall Politik Architektur:
Erklärungen:
Éischt Regelen - Regele mat der gréisst Zuel vu Matcher sinn hei gesat
Noise Rule - eng Regel fir spurious Traffic wéi NetBIOS ze verwerfen
Stealth Rule - verbitt Uruff un Gateways a Gestioune fir all ausser déi Quellen déi an der Authentifikatioun zu Gateway Regele spezifizéiert goufen
Clean-Up, Last an Drop Regele ginn normalerweis an eng Regel kombinéiert fir alles ze verbidden wat net virdru erlaabt war
Bescht Praxis Donnéeën ginn an
3.8. Wéi eng Astellungen hunn d'Servicer erstallt vun Administrateuren?
Zum Beispill gëtt e puer TCP-Service op engem spezifeschen Hafen erstallt, an et mécht Sënn fir "Match for Any" an den Advanced Astellunge vum Service auszeschalten. An dësem Fall wäert dëse Service speziell ënner der Regel falen an där et erschéngt, a wäert net un de Regelen deelhuelen wou Any an der Kolonn Servicer opgezielt ass.
Schwätzen iwwer Servicer, ass et derwäert ze ernimmen, datt et heiansdo néideg ass, Timeouts unzepassen. Dës Astellung erlaabt Iech d'Gateway Ressourcen clever ze benotzen, fir net extra Zäit fir TCP / UDP Sessiounen vu Protokoller ze halen, déi net e groussen Timeout brauchen. Zum Beispill, am Screenshot hei ënnen, hunn ech den Domain-udp Service Timeout vun 40 Sekonnen op 30 Sekonnen geännert.
3.9. Ass SecureXL benotzt a wat ass de Speedup Prozentsaz?
Dir kënnt d'Qualitéit vu SecureXL iwwerpréiwen mat Basisbefehle am Expertmodus op der Paart fwaccel stat и fw Accel Statistiken -s. Als nächst musst Dir erausfannen wéi eng Zort Traffic beschleunegt gëtt a wéi eng aner Templates erstallt kënne ginn.
Drop Templates sinn net par défaut aktivéiert wann se se aktivéiert ginn, profitéiert SecureXL. Fir dëst ze maachen, gitt op d'Gateway Astellungen an d'Optimisatiounen Tab:
Och wann Dir mat engem Cluster schafft fir d'CPU ze optimiséieren, kënnt Dir d'Synchroniséierung vun net-kriteschen Servicer deaktivéieren, wéi UDP DNS, ICMP an anerer. Fir dëst ze maachen, gitt op d'Service-Astellungen → Fortgeschratt → Synchroniséiert Verbindunge vu Staat Synchroniséierung ass am Cluster aktivéiert.
All Best Practices ginn an
3.10. Wéi gëtt CoreXl benotzt?
CoreXL Technologie, déi d'Benotzung vu verschidde CPUs fir Firewall Instanzen (Firewall Moduler) erlaabt, hëlleft definitiv d'Operatioun vum Apparat ze optimiséieren. Equipe éischt fw ctl Affinitéit -l -a weist d'Firewall Instanzen benotzt an d'Prozessoren, déi dem SND zougewisen sinn (e Modul deen Traffic op Firewall Entitéiten verdeelt). Wann net all Prozessoren benotzt ginn, kënne se mam Kommando bäigefüügt ginn cpconfig an der Paart.
Och eng gutt Geschicht ass ze setzen
Als Conclusioun géif ech gär soen datt dëst net all déi Bescht Praktiken fir d'Optimiséierung vum Check Point sinn, awer si sinn déi populär. Wann Dir wëllt en Audit vun Ärer Sécherheetspolitik bestellen oder e Problem am Zesummenhang mam Check Point léisen, kontaktéiert w.e.g [Email geschützt].
Merci fir Är Opmierksamkeet!
Source: will.com