Sveiki kolegos! Šiandien norėčiau aptarti daugeliui „Check Point“ administratorių labai svarbią temą: „CPU ir RAM optimizavimas“. Neretai pasitaiko atvejų, kai vartai ir/ar valdymo serveris sunaudoja netikėtai daug šių resursų, todėl norėtųsi suprasti, kur jie „teka“ ir, esant galimybei, protingiau panaudoti.
1. Analizė
Norint analizuoti procesoriaus apkrovą, naudinga naudoti šias komandas, kurios įvedamos eksperto režimu:
viršų rodomi visi procesai, sunaudotų procesoriaus ir RAM išteklių kiekis procentais, veikimo laikas, proceso prioritetas ir realiu laikuи
cpwd_admin sąrašas Check Point WatchDog Daemon, kuris rodo visus programos modulius, jų PID, būseną ir paleidimų skaičių
cpstat -f cpu os CPU naudojimas, jų skaičius ir procesoriaus laiko pasiskirstymas procentais
cpstat -f atminties OS virtualios RAM naudojimas, kiek aktyvios atminties, nemokama RAM ir kt
Teisinga pastaba yra ta, kad visas cpstat komandas galima peržiūrėti naudojant įrankį cpview. Norėdami tai padaryti, jums tereikia įvesti komandą cpview iš bet kurio SSH seanso režimo.
ps auxwf ilgas sąrašas visų procesų, jų ID, užimta virtualioji atmintis ir atmintis RAM, CPU
Kiti komandų variantai:
ps-aF parodys brangiausią procesą
fw ctl giminingumas -l -a branduolių paskirstymas skirtingiems ugniasienės egzemplioriams, ty CoreXL technologijai
fw ctl pstat RAM analizė ir bendrieji ryšio indikatoriai, slapukai, NAT
nemokamai -m RAM buferis
Komanda nusipelno ypatingo dėmesio netsat ir jo variacijos. Pavyzdžiui, netstat -i gali padėti išspręsti iškarpinių stebėjimo problemą. Parametras RX numestų paketų (RX-DRP) šios komandos išvestyje, kaip taisyklė, auga savaime dėl neteisėtų protokolų (IPv6, Bad / Unintended VLAN žymų ir kitų) kritimo. Tačiau jei lašai nukrenta dėl kitos priežasties, turėtumėte naudoti tai pradėti tirti ir suprasti, kodėl tam tikra tinklo sąsaja numeta paketus. Išsiaiškinus priežastį, galima optimizuoti ir programėlės veikimą.
Jei įjungtas stebėjimo elementas, galite peržiūrėti šias metrikas grafiškai „SmartConsole“ spustelėdami objektą ir pasirinkę „Įrenginio ir licencijos informacija“.
Nerekomenduojama nuolat įjungti stebėjimo ašmenų, tačiau vieną dieną bandymui tai visiškai įmanoma.
Be to, galite pridėti daugiau stebėjimo parametrų, vienas iš jų yra labai naudingas - Bytes Throughput (programos pralaidumas).
Jei yra kokia nors kita stebėjimo sistema, pavyzdžiui, nemokama , remiantis SNMP, taip pat tinka šioms problemoms nustatyti.
2. RAM nutekėjimas laikui bėgant
Dažnai kyla klausimas, kad laikui bėgant šliuzas arba valdymo serveris pradeda vartoti vis daugiau RAM. Noriu jus nuraminti: tai įprasta į Linux panašių sistemų istorija.
Žiūrint į komandų išvestį nemokamai -m и cpstat -f atminties OS programoje eksperto režimu galite apskaičiuoti ir peržiūrėti visus su RAM susijusius parametrus.
Remiantis šiuo metu turima šliuzo atmintimi Laisva atmintis + Buferiai atmintis + Talpyklos atmintis = +-1.5 GB, paprastai.
Kaip sako CP, laikui bėgant vartai / valdymo serveris optimizuoja ir naudoja vis daugiau atminties, pasiekdamas apie 80% panaudojimo ir sustoja. Galite iš naujo paleisti įrenginį, tada indikatorius bus nustatytas iš naujo. 1.5 GB laisvos RAM tiksliai pakanka, kad vartai galėtų atlikti visas užduotis, o valdymas retai pasiekia tokias ribines reikšmes.
Taip pat minėtų komandų išėjimai parodys, kiek turite Mažai atminties (RAM vartotojo erdvėje) ir Didelė atmintis (RAM branduolio erdvėje) naudojama.
Branduolio procesai (įskaitant aktyvius modulius, tokius kaip Check Point branduolio moduliai) naudoja tik mažai atminties. Tačiau vartotojo procesai gali naudoti tiek mažą, tiek didelę atmintį. Be to, mažai atminties yra maždaug lygi bendra atmintis.
Turėtumėte nerimauti tik tuo atveju, jei žurnaluose yra klaidų „Moduliai paleidžiami iš naujo arba procesai užmušami, kad atgautų atmintį dėl OOM (baigos atminties)“. Tada turėtumėte iš naujo paleisti šliuzą ir susisiekti su palaikymo komanda, jei perkrovimas nepadeda.
Visą aprašymą galite rasti и .
3. Optimizavimas
Žemiau pateikiami klausimai ir atsakymai apie procesoriaus ir RAM optimizavimą. Turėtumėte sau sąžiningai į juos atsakyti ir įsiklausyti į rekomendacijas.
3.1. Ar paraiška buvo pasirinkta teisingai? Ar buvo bandomasis projektas?
Nepaisant tinkamo dydžio, tinklas gali tiesiog augti, o ši įranga tiesiog negali susidoroti su apkrova. Antrasis variantas yra, jei nebuvo tokio dydžio nustatymo.
3.2. Ar HTTPS tikrinimas įjungtas? Jei taip, ar technologija sukonfigūruota pagal geriausią praktiką?
Atsižvelgti į , jei esate mūsų klientas, arba į .
HTTPS tikrinimo politikos taisyklių tvarka atlieka svarbų vaidmenį optimizuojant HTTPS svetainių atidarymą.
Rekomenduojama taisyklių tvarka:
- Apeiti taisykles naudodami kategorijas / URL
- Patikrinkite taisykles su kategorijomis / URL
- Patikrinkite visų kitų kategorijų taisykles
Analogiškai su ugniasienės politika „Check Point“ ieško atitikmenų pagal paketus iš viršaus į apačią, todėl apėjimo taisykles geriau išdėstyti viršuje, nes šliuzas neeikvotų išteklių vykdydamas visas taisykles, jei to reikia šiam paketui. būti perduota.
3.3 Ar naudojami adresų diapazono objektai?
Objektai su adresų diapazonu, pavyzdžiui, tinklas 192.168.0.0-192.168.5.0, užima žymiai daugiau RAM nei 5 tinklo objektai. Apskritai laikoma, kad gera praktika pašalinti nenaudojamus objektus iš SmartConsole, nes kiekvieną kartą įdiegus politiką šliuzas ir valdymo serveris išleidžia išteklius ir, svarbiausia, laiką, tikrindamas ir taikydamas politiką.
3.4. Kaip sukonfigūruota grėsmių prevencijos politika?
Visų pirma, „Check Point“ rekomenduoja įdėti IPS į atskirą profilį ir sukurti atskiras taisykles šiam peiliui.
Pavyzdžiui, administratorius mano, kad DMZ segmentas turėtų būti apsaugotas tik naudojant IPS. Todėl, kad šliuzas nešvaistytų resursų apdorojant paketus kitais ašmenimis, būtina sukurti taisyklę specialiai šiam segmentui su profiliu, kuriame įjungtas tik IPS.
Kalbant apie profilių nustatymą, rekomenduojama juos nustatyti pagal geriausią praktiką (17-20 psl.).
3.5. Kiek parašų yra IPS nustatymuose aptikimo režimu?
Rekomenduojama atidžiai išstudijuoti parašus ta prasme, kad nenaudojamus reikėtų išjungti (pavyzdžiui, parašai, skirti veikti Adobe produktams, reikalauja daug skaičiavimo galios, o jei klientas tokių produktų neturi, prasminga parašus išjungti). Tada, kur įmanoma, įdėkite Prevent, o ne Detect, nes šliuzas išleidžia išteklius visam ryšiui aptikti, o prevencijos režimu jis iš karto atmeta ryšį ir nešvaisto resursų iki galo apdoroti paketą.
3.6. Kokius failus apdoroja grėsmių emuliacija, grėsmių pašalinimas, antivirusinės priemonės?
Nėra prasmės mėgdžioti ir analizuoti plėtinių, kurių naudotojai neatsisiunčia arba manote, kad jie nereikalingi jūsų tinkle, failus (pvz., bat, exe failus galima lengvai užblokuoti naudojant turinio suvokimo mentę ugniasienės lygiu, taigi mažiau šliuzo. bus išleisti ištekliai). Be to, grėsmių emuliacijos nustatymuose galite pasirinkti Aplinką (operacinė sistema), kad imituotumėte grėsmes smėlio dėžėje, o diegti aplinką Windows 7, kai visi vartotojai dirba su 10 versija, taip pat nėra prasmės.
3.7. Ar ugniasienės ir taikomųjų programų lygio taisyklės išdėstytos pagal geriausią praktiką?
Jei taisyklė turi daug smūgių (atitikimų), rekomenduojama juos dėti pačiame viršuje, o taisykles su nedideliu pataikymo skaičiumi – pačiame apačioje. Svarbiausia yra užtikrinti, kad jie nesikirstų ir nesutaptų vienas su kitu. Rekomenduojama ugniasienės politikos architektūra:
Paaiškinimas:
Pirmosios taisyklės – čia patalpintos taisyklės su daugiausiai rungtynių
Triukšmo taisyklė – klaidingo srauto, pvz., NetBIOS, atmetimo taisyklė
Stealth Rule – draudžia skambučius į šliuzus ir valdymą į visus, išskyrus tuos šaltinius, kurie buvo nurodyti autentifikavimo į šliuzą taisyklėse
Išvalymo, paskutinio ir numetimo taisyklės paprastai sujungiamos į vieną taisyklę, kad būtų uždrausta viskas, kas anksčiau nebuvo leidžiama
Geriausios praktikos duomenys aprašyti .
3.8. Kokius nustatymus turi administratorių sukurtos paslaugos?
Pavyzdžiui, tam tikra TCP paslauga sukurta tam tikrame prievade, todėl prasminga panaikinti žymėjimą „Match for Any“ paslaugos išplėstiniuose nustatymuose. Tokiu atveju šiai paslaugai konkrečiai bus taikoma taisyklė, kurioje ji pateikiama, ir nedalyvaus taisyklėse, kuriose Paslaugų stulpelyje nurodyta Bet kuri.
Kalbant apie paslaugas, verta paminėti, kad kartais tenka koreguoti skirtuosius laikus. Šis nustatymas leis jums protingai naudoti šliuzo išteklius, kad neužtruktumėte papildomo laiko TCP/UDP protokolų sesijoms, kurioms nereikia didelio skirtojo laiko. Pavyzdžiui, toliau pateiktoje ekrano kopijoje pakeičiau domeno-udp paslaugos skirtąjį laiką nuo 40 sekundžių iki 30 sekundžių.
3.9. Ar naudojamas SecureXL ir koks pagreitinimo procentas?
Galite patikrinti SecureXL kokybę naudodami pagrindines komandas eksperto režimu šliuze fwaccel stat и fw accel stats -s. Tada turite išsiaiškinti, koks srautas yra pagreitinamas ir kokius kitus šablonus galima sukurti.
Drop šablonai pagal numatytuosius nustatymus neįjungti; juos įjungus bus naudinga SecureXL. Norėdami tai padaryti, eikite į šliuzo nustatymus ir skirtuką Optimizavimas:
Be to, dirbdami su klasteriumi, norėdami optimizuoti procesorių, galite išjungti nekritinių paslaugų, tokių kaip UDP DNS, ICMP ir kt., sinchronizavimą. Norėdami tai padaryti, eikite į paslaugos nustatymus → Išplėstinė → Sinchronizuoti ryšius, kai klasteryje įjungtas būsenos sinchronizavimas.
Visa geriausia praktika aprašyta .
3.10. Kaip naudojamas CoreXl?
CoreXL technologija, leidžianti užkardos egzemplioriams (ugniasienės moduliams) naudoti kelis CPU, neabejotinai padeda optimizuoti įrenginio veikimą. Komanda pirma fw ctl giminingumas -l -a parodys naudojamus ugniasienės egzempliorius ir SND (moduliui, paskirstančiam srautą ugniasienės objektams) priskirtus procesorius. Jei naudojami ne visi procesoriai, juos galima pridėti su komanda cpconfig prie vartų.
Taip pat gera istorija yra įdėti norėdami įjungti kelių eilę. „Multi-Queue“ išsprendžia problemą, kai procesorius su SND naudojamas daugeliu procentų, o kituose procesoriuose esantys ugniasienės egzemplioriai neveikia. Tada SND turėtų galimybę sukurti daug eilių vienam NIC ir nustatyti skirtingus prioritetus skirtingiems srautams branduolio lygiu. Vadinasi, procesoriaus branduoliai bus naudojami protingiau. Metodai taip pat aprašyti .
Baigdamas norėčiau pasakyti, kad tai ne visos geriausios „Check Point“ optimizavimo praktikos, tačiau jos yra populiariausios. Jei norite užsisakyti savo saugos politikos auditą arba išspręsti su Check Point susijusią problemą, susisiekite [apsaugotas el. paštu].
Dėkojame už dėmesį!
Šaltinis: www.habr.com