Sveiki kolēģi! Šodien vēlos apspriest daudziem Check Point administratoriem ļoti aktuālu tēmu "CPU un RAM optimizācija". Nav nekas neparasts, ka vārteja un/vai pārvaldības serveris negaidīti patērē daudzus no šiem resursiem, un gribētos saprast, kur tie “noplūst”, un, ja iespējams, izmantot tos lietpratīgāk.
1. Analīze
Lai analizētu procesora slodzi, ir lietderīgi izmantot šādas komandas, kas tiek ievadītas eksperta režīmā:
tops parāda visus procesus, patērēto CPU un RAM resursu daudzumu procentos, darbspējas laiku, procesa prioritāti un reālajā laikāи
cpwd_admin saraksts Check Point WatchDog Daemon, kas parāda visus lietojumprogrammu moduļus, to PID, statusu un palaišanas reižu skaitu
cpstat -f CPU OS CPU lietojums, to skaits un procesora laika sadalījums procentos
cpstat -f atmiņas operētājsistēma virtuālās RAM izmantošana, cik daudz aktīvās, bezmaksas RAM un vairāk
Pareizā piezīme ir tāda, ka visas cpstat komandas var skatīt, izmantojot utilītu cpview. Lai to izdarītu, jums vienkārši jāievada komanda cpview no jebkura režīma SSH sesijā.
ps auxwf garš saraksts ar visiem procesiem, to ID, aizņemtā virtuālā atmiņa un atmiņa RAM, CPU
Vēl viens komandas variants:
ps-aF parādīt visdārgāko procesu
fw ctl afinitāte -l -a kodolu izplatīšana dažādiem ugunsmūra gadījumiem, tas ir, CoreXL tehnoloģija
fw ctl pstat RAM analīze un vispārīgie savienojumu rādītāji, sīkfaili, NAT
bez-m RAM buferis
Komanda ir pelnījusi īpašu uzmanību. netsat un tās variācijas. Piemēram, netstat -i var palīdzēt atrisināt starpliktuvju uzraudzības problēmu. Parametrs RX nomestās paketes (RX-DRP) šīs komandas izvadē mēdz augt pats par sevi nelikumīgu protokola kritumu dēļ (IPv6, slikti / neparedzēti VLAN tagi un citi). Tomēr, ja pilieni rodas cita iemesla dēļ, izmantojiet šo lai sāktu izmeklēšanu, kāpēc šī tīkla saskarne nolaiž paketes. Zinot cēloni, var optimizēt arī aplikācijas darbību.
Ja ir iespējots pārraudzības panelis, varat grafiski skatīt šos rādītājus programmā SmartConsole, noklikšķinot uz objekta un atlasot Ierīces un licences informācija.
Nav ieteicams pastāvīgi iespējot Monitoringa lāpstiņu, taču tas ir pilnīgi iespējams vienu dienu, lai veiktu pārbaudi.
Turklāt jūs varat pievienot vairāk parametru uzraudzībai, viens no tiem ir ļoti noderīgs - Bytes Throughput (lietojumprogrammas joslas platums).
Ja ir kāda cita uzraudzības sistēma, piemēram, bezmaksas , kas ir balstīts uz SNMP, tas ir piemērots arī šo problēmu identificēšanai.
2. RAM "noplūde" laika gaitā
Bieži vien rodas jautājums, ka laika gaitā vārtejas vai pārvaldības serveris sāk patērēt arvien vairāk RAM. Es gribu jūs nomierināt: tas ir parasts stāsts par Linux līdzīgām sistēmām.
Apskatot komandas izvadi bez-m и cpstat -f atmiņas operētājsistēma Lietojumprogrammā no ekspertu režīma varat aprēķināt un apskatīt visus parametrus, kas saistīti ar RAM.
Pamatojoties uz pašlaik vārtejā pieejamo atmiņu Brīva atmiņa + Buferi Atmiņa + Kešatmiņa = +-1.5 GB, parasti.
Kā saka CP, laika gaitā vārtejas/pārvaldības serveris tiek optimizēts un izmanto arvien vairāk atmiņas, līdz aptuveni 80% un apstājas. Varat restartēt ierīci, un indikators tiks atiestatīts. 1.5 GB brīvas RAM noteikti ir pietiekami, lai vārteja veiktu visus uzdevumus, un pārvaldība reti sasniedz šādas sliekšņa vērtības.
Arī minēto komandu izvade parādīs, cik daudz jums ir Zema atmiņa (RAM lietotāja telpā) un augsta atmiņa (RAM kodola telpā).
Kodola procesi (tostarp aktīvie moduļi, piemēram, Check Point kodola moduļi) izmanto tikai maz atmiņas. Tomēr lietotāju procesos var izmantot gan zemu, gan lielu atmiņu. Turklāt zems atmiņas apjoms ir aptuveni vienāds ar Kopējais Atmiņas.
Uztraucieties tikai tad, ja žurnālos ir kļūdas "Moduļi tiek atsāknēti vai procesi tiek iznīcināti, lai atgūtu atmiņu OOM dēļ (beigusies atmiņa)". Pēc tam pārstartējiet vārteju un sazinieties ar atbalsta dienestu, ja atsāknēšana nepalīdz.
Pilnu aprakstu var atrast и .
3. Optimizācija
Zemāk ir jautājumi un atbildes par CPU un RAM optimizāciju. Uz tiem jāatbild godīgi sev un jāuzklausa ieteikumi.
3.1. Vai augšlīnija tika izvēlēta pareizi? Vai bija pilotprojekts?
Neskatoties uz kompetento izmēru, tīkls varētu vienkārši augt, un šis aprīkojums vienkārši nevar tikt galā ar slodzi. Otrs variants, ja nebūtu izmēru noteikšanas kā tādas.
3.2. Vai ir iespējota HTTPS pārbaude? Ja tā, vai tehnoloģija ir konfigurēta saskaņā ar labāko praksi?
Atsaukties uz ja esat mūsu klients, vai uz .
HTTPS pārbaudes politikas noteikumu secībai ir liela nozīme HTTPS vietņu atvēršanas optimizēšanā.
Ieteicamā noteikumu secība:
- Apiet kārtulas ar kategorijām/URL
- pārbaudiet noteikumus ar kategorijām/URL
- Pārbaudiet noteikumus visām pārējām kategorijām
Pēc analoģijas ar ugunsmūra politiku Check Point meklē pakešu atbilstību no augšas uz leju, tāpēc apiešanas noteikumus vislabāk novietot augšpusē, jo vārteja netērēs resursus visu noteikumu izpildei, ja šī pakete ir jāizlaiž.
3.3. Vai tiek izmantoti adrešu diapazona objekti?
Objekti ar dažādu adrešu diapazonu, piemēram, tīkls 192.168.0.0-192.168.5.0, patērē ievērojami vairāk RAM nekā 5 tīkla objekti. Kopumā tiek uzskatīta par labu praksi dzēst neizmantotos objektus SmartConsole, jo katru reizi, kad tiek iestatīta politika, vārteja un pārvaldības serveris tērē resursus un, pats galvenais, laiku, lai pārbaudītu un piemērotu politiku.
3.4. Kā tiek konfigurēta draudu novēršanas politika?
Pirmkārt, Check Point iesaka pārvietot IPS uz atsevišķu profilu un izveidot šim asmenim atsevišķus noteikumus.
Piemēram, administrators uzskata, ka DMZ segmentam jābūt aizsargātam tikai ar IPS. Tāpēc, lai vārteja netērētu resursus citu asmeņu pakešu apstrādei, ir jāizveido kārtula tieši šim segmentam ar profilu, kurā ir iespējota tikai IPS.
Kas attiecas uz profilu iestatīšanu, ieteicams to iestatīt saskaņā ar labāko praksi šajā jomā (17.-20. lpp.).
3.5. Cik parakstu ir noteikšanas režīmā IPS iestatījumos?
Ieteicams nopietni piestrādāt pie parakstiem tādā nozīmē, ka neizmantotos parakstus vajadzētu atspējot (piemēram, parakstiem Adobe produktu darbībai ir nepieciešama liela skaitļošanas jauda, un, ja klientam šādu produktu nav, ir jēga atspējot paraksti). Tad Detect vietā, kur iespējams, ielieciet Prevent, jo vārteja Detect režīmā tērē resursus visa savienojuma apstrādei, Prevent režīmā nekavējoties pārtrauc savienojumu un netērē resursus pilnai paketes apstrādei.
3.6. Kādus failus apstrādā draudu emulācijas, draudu ekstrakcijas un pretvīrusu asmeņi?
Nav jēgas atdarināt un analizēt paplašinājumu failus, kurus lietotāji nelejupielādē vai uzskatāt par nevajadzīgiem jūsu tīklā (piemēram, nūju, exe failus var viegli bloķēt, izmantojot Content Awareness lāpstiņu ugunsmūra līmenī, tāpēc vārtejas resursi tiks izmantoti iztērēja mazāk). Turklāt draudu emulācijas iestatījumos varat atlasīt vidi (operētājsistēmu), lai smilškastes emulētu draudus un instalētu vidi Windows 7, kad visi lietotāji strādā ar 10. versiju, tas arī nav jēgas.
3.7. Vai ugunsmūris un lietojumprogrammas slāņa noteikumi ir izvietoti saskaņā ar labāko praksi?
Ja noteikumam ir daudz trāpījumu (atbilstību), tad ieteicams tos ievietot pašā augšā, bet noteikumus ar nelielu trāpījumu skaitu - pašā apakšā. Galvenais ir pārliecināties, ka tie nekrustojas un nepārklājas viens ar otru. Ieteicamā ugunsmūra politikas arhitektūra:
Paskaidrojums:
Pirmie noteikumi — šeit ir ievietoti noteikumi, kuros ir visvairāk atbilstības
Trokšņa noteikums — noteikums viltus trafika, piemēram, NetBIOS, atmešanai
Stealth Rule — piekļuves vārtejām un pārvaldības aizliegums visiem, izņemot tos avotus, kas norādīti vārtejas autentifikācijas noteikumos
Tīrīšanas, pēdējās un nomešanas kārtulas parasti tiek apvienotas vienā noteikumā, lai aizliegtu visu, kas iepriekš nebija atļauts
Paraugprakses dati ir aprakstīti .
3.8. Kādi ir administratoru izveidoto pakalpojumu iestatījumi?
Piemēram, daži TCP pakalpojumi tiek izveidoti noteiktā portā, un pakalpojuma papildu iestatījumos ir lietderīgi noņemt atzīmi “Match for Any”. Šajā gadījumā uz šo pakalpojumu attieksies īpaši noteikumi, kuros tas parādās, un tas nepiedalīsies noteikumos, kuru slejā Pakalpojumi ir norādīts Jebkurš.
Runājot par pakalpojumiem, ir vērts pieminēt, ka dažreiz ir nepieciešams pielāgot taimautus. Šis iestatījums ļaus saprātīgāk izmantot vārtejas resursus, lai nepaturētu papildu TCP/UDP sesijas laiku protokoliem, kuriem nav nepieciešams liels taimauts. Piemēram, zemāk esošajā ekrānuzņēmumā es mainīju domēna-udp pakalpojuma taimautu no 40 sekundēm uz 30 sekundēm.
3.9. Vai tiek izmantots SecureXL un kāds ir paātrinājuma procents?
Varat pārbaudīt SecureXL kvalitāti, izmantojot galvenās komandas vārtejas ekspertu režīmā fwaccel stat и fw accelstats -s. Tālāk jums ir jāizdomā, kāda veida trafika paātrinās, kādas veidnes (veidnes) varat izveidot vairāk.
Pēc noklusējuma Drop Templates nav iespējotas, to iespējošana pozitīvi ietekmēs SecureXL darbību. Lai to izdarītu, atveriet vārtejas iestatījumus un cilni Optimizācija:
Turklāt, strādājot ar klasteri, lai optimizētu centrālo procesoru, varat atspējot nekritisku pakalpojumu, piemēram, UDP DNS, ICMP un citu, sinhronizāciju. Lai to izdarītu, dodieties uz pakalpojuma iestatījumiem → Papildu → Sinhronizēt savienojumus, un klasterī ir iespējota stāvokļa sinhronizācija.
Visas labākās prakses ir aprakstītas .
3.10. Kā lieto CoreXl?
CoreXL tehnoloģija, kas ļauj izmantot vairākus CPU ugunsmūra gadījumiem (ugunsmūra moduļiem), noteikti palīdz optimizēt ierīces veiktspēju. Komanda pirmā fw ctl afinitāte -l -a parādīs izmantotos ugunsmūra gadījumus un procesorus, kas ir nodoti vajadzīgajam SND (modulim, kas sadala trafiku ugunsmūra entītijām). Ja nav iesaistīti visi procesori, tos var pievienot ar komandu cpconfig pie vārtiem.
Arī labs stāsts ir likt lai iespējotu Multi-Queue. Multi-Queue atrisina problēmu, ja procesoru ar SND izmanto daudzi procenti un ugunsmūra gadījumi citos procesoros ir dīkstāvē. Tad SND varētu izveidot daudzas rindas vienam NIC un iestatīt dažādas prioritātes dažādām trafika kodola līmenī. Līdz ar to CPU kodoli tiks izmantoti saprātīgāk. Metodes ir aprakstītas arī .
Nobeigumā es vēlos teikt, ka šī ir tālu no visām Check Point optimizēšanas paraugprakses, bet vispopulārākā. Ja vēlaties pieprasīt savas drošības politikas auditu vai atrisināt Check Point problēmu, lūdzu, sazinieties [e-pasts aizsargāts].
Спасибо за внимание!
Avots: www.habr.com