Hello rakan sekerja! Hari ini saya ingin membincangkan topik yang sangat relevan untuk banyak pentadbir Check Point: "Mengoptimumkan CPU dan RAM." Selalunya terdapat kes apabila gerbang masuk dan/atau pelayan pengurusan menggunakan banyak sumber ini secara tidak dijangka, dan saya ingin memahami ke mana ia "mengalir" dan, jika boleh, menggunakannya dengan lebih bijak.
1. Analisis
Untuk menganalisis beban pemproses, adalah berguna untuk menggunakan arahan berikut, yang dimasukkan dalam mod pakar:
bahagian menunjukkan semua proses, jumlah sumber CPU dan RAM yang digunakan sebagai peratusan, masa operasi, keutamaan proses dan dalam masa nyataΠΈ
senarai cpwd_admin Check Point WatchDog Daemon, yang menunjukkan semua modul aplikasi, PID, status dan bilangan permulaannya
cpstat -f cpu os Penggunaan CPU, bilangannya dan pengagihan masa pemproses sebagai peratusan
os memori cpstat -f penggunaan RAM maya, berapa banyak aktif, RAM percuma dan banyak lagi
Teguran yang betul ialah semua arahan cpstat boleh dilihat menggunakan utiliti cpview. Untuk melakukan ini, anda hanya perlu memasukkan arahan cpview dari mana-mana mod dalam sesi SSH.
ps auxwf senarai panjang semua proses, ID mereka, memori maya yang diduduki dan memori dalam RAM, CPU
Variasi arahan lain:
ps-aF akan menunjukkan proses yang paling mahal
fw ctl pertalian -l -a pengedaran teras untuk contoh firewall yang berbeza, iaitu teknologi CoreXL
fw ctl pstat Analisis RAM dan penunjuk sambungan umum, kuki, NAT
percuma -m Penampan RAM
Pasukan ini patut diberi perhatian khusus netsat dan variasinya. Sebagai contoh, netstat -i boleh membantu menyelesaikan masalah papan keratan pemantauan. Parameter, RX menjatuhkan paket (RX-DRP) dalam output arahan ini, sebagai peraturan, berkembang dengan sendirinya disebabkan oleh titisan protokol yang tidak sah (IPv6, teg VLAN Buruk / Tidak Diingini dan lain-lain). Walau bagaimanapun, jika titisan berlaku atas sebab lain, maka anda harus menggunakan ini untuk mula menyiasat dan memahami sebab antara muka rangkaian tertentu menjatuhkan paket. Setelah mengetahui sebabnya, operasi aplikasi juga boleh dioptimumkan.
Jika bilah Pemantauan didayakan, anda boleh melihat metrik ini secara grafik dalam SmartConsole dengan mengklik pada objek dan memilih "Maklumat Peranti & Lesen."
Ia tidak disyorkan untuk menghidupkan bilah Pemantauan secara kekal, tetapi untuk satu hari untuk ujian adalah agak mungkin.
Lebih-lebih lagi, anda boleh menambah lebih banyak parameter untuk pemantauan, salah satunya adalah sangat berguna - Bytes Throughput (application throughput).
Jika terdapat beberapa sistem pemantauan lain, sebagai contoh, percuma , berdasarkan SNMP, ia juga sesuai untuk mengenal pasti masalah ini.
2. RAM bocor dari semasa ke semasa
Persoalan sering timbul bahawa dari masa ke masa, gerbang atau pelayan pengurusan mula menggunakan lebih banyak RAM. Saya ingin meyakinkan anda: ini adalah cerita biasa untuk sistem seperti Linux.
Melihat kepada output arahan percuma -m ΠΈ os memori cpstat -f pada apl daripada mod pakar, anda boleh mengira dan melihat semua parameter yang berkaitan dengan RAM.
Berdasarkan memori yang tersedia pada gerbang pada masa ini Memori Percuma + Memori Penampan + Memori Cache = +-1.5 GB, biasanya.
Seperti yang dikatakan CP, dari masa ke masa, pelayan gerbang/pengurusan mengoptimumkan dan menggunakan lebih banyak memori, mencapai penggunaan kira-kira 80% dan berhenti. Anda boleh but semula peranti, dan kemudian penunjuk akan ditetapkan semula. 1.5 GB RAM percuma cukup tepat untuk get laluan melaksanakan semua tugas dan pengurusan jarang mencapai nilai ambang sedemikian.
Juga output arahan yang disebutkan akan menunjukkan berapa banyak yang anda ada Ingatan yang lemah (RAM dalam ruang pengguna) dan Daya ingatan tinggi (RAM dalam ruang kernel) digunakan.
Proses kernel (termasuk modul aktif seperti modul kernel Check Point) hanya menggunakan memori Rendah. Walau bagaimanapun, proses pengguna boleh menggunakan kedua-dua memori Rendah dan Tinggi. Lebih-lebih lagi, Ingatan rendah adalah lebih kurang sama dengan Jumlah Memori.
Anda hanya perlu bimbang jika terdapat ralat dalam log "modul but semula atau proses dibunuh untuk menuntut semula ingatan kerana OOM (Kehabisan ingatan)". Kemudian anda perlu but semula get laluan dan hubungi sokongan jika but semula tidak membantu.
Penerangan penuh boleh didapati di ΠΈ .
3. Pengoptimuman
Di bawah ialah soalan dan jawapan tentang mengoptimumkan CPU dan RAM. Anda harus menjawabnya dengan jujur ββkepada diri sendiri dan mendengar cadangannya.
3.1. Adakah permohonan dipilih dengan betul? Adakah terdapat projek perintis?
ΠΠ΅ΡΠΌΠΎΡΡΡ Π½Π° Π³ΡΠ°ΠΌΠΎΡΠ½ΡΠΉ ΡΠ°ΠΉΠ·ΠΈΠ½Π³, ΡΠ΅ΡΡ ΠΌΠΎΠ³Π»Π° Π±Π°Π½Π°Π»ΡΠ½ΠΎ ΡΠ°Π·ΡΠ°ΡΡΠΈΡΡ, ΠΈ Π΄Π°Π½Π½ΠΎΠ΅ ΠΎΠ±ΠΎΡΡΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΡΠΎΡΡΠΎ Π½Π΅ ΡΠΏΡΠ°Π²Π»ΡΠ΅ΡΡΡ Ρ Π½Π°Π³ΡΡΠ·ΠΊΠΎΠΉ. ΠΡΠΎΡΠΎΠΉ Π²Π°ΡΠΈΠ°Π½Ρ, Π΅ΡΠ»ΠΈ ΡΠ°ΠΉΠ·ΠΈΠ½Π³Π° ΠΊΠ°ΠΊ ΡΠ°ΠΊΠΎΠ²ΠΎΠ³ΠΎ Π½Π΅ Π±ΡΠ»ΠΎ.
3.2. Adakah pemeriksaan HTTPS didayakan? Jika ya, adakah teknologi dikonfigurasikan mengikut Amalan Terbaik?
Rujuk kepada , jika anda pelanggan kami, atau kepada .
Susunan peraturan dalam dasar pemeriksaan HTTPS memainkan peranan besar dalam mengoptimumkan pembukaan tapak HTTPS.
Susunan peraturan yang disyorkan:
- Pintasan peraturan dengan kategori/URL
- Periksa peraturan dengan kategori/URL
- Periksa peraturan untuk semua kategori lain
Dengan analogi dengan dasar tembok api, Check Point mencari padanan mengikut paket dari atas ke bawah, jadi adalah lebih baik untuk meletakkan peraturan pintasan di bahagian atas, kerana gerbang tidak akan membazir sumber untuk menjalankan semua peraturan jika paket ini memerlukan untuk dilalui.
3.3 Adakah objek julat alamat digunakan?
Objek dengan julat alamat, contohnya, rangkaian 192.168.0.0-192.168.5.0, menggunakan lebih banyak RAM daripada 5 objek rangkaian. Secara umum, adalah dianggap sebagai amalan yang baik untuk mengalih keluar objek yang tidak digunakan dalam SmartConsole, kerana setiap kali dasar dipasang, gerbang masuk dan pelayan pengurusan membelanjakan sumber dan, yang paling penting, masa, mengesahkan dan menggunakan dasar tersebut.
3.4. Bagaimanakah dasar Pencegahan Ancaman dikonfigurasikan?
Pertama sekali, Check Point mengesyorkan meletakkan IPS dalam profil berasingan dan mencipta peraturan berasingan untuk bilah ini.
Sebagai contoh, pentadbir percaya bahawa segmen DMZ hanya perlu dilindungi menggunakan IPS. Oleh itu, untuk mengelakkan get laluan daripada membazir sumber pada pemprosesan paket oleh bilah lain, adalah perlu untuk mencipta peraturan khusus untuk segmen ini dengan profil yang hanya IPS didayakan.
Berkenaan menyediakan profil, adalah disyorkan untuk menyediakannya mengikut amalan terbaik dalam hal ini (muka surat 17-20).
3.5. Dalam tetapan IPS, berapa banyak tandatangan yang terdapat dalam mod Kesan?
Adalah disyorkan untuk mengkaji dengan teliti tandatangan dalam erti kata bahawa tandatangan yang tidak digunakan harus dilumpuhkan (contohnya, tandatangan untuk mengendalikan produk Adobe memerlukan banyak kuasa pengkomputeran, dan jika pelanggan tidak mempunyai produk sedemikian, masuk akal untuk melumpuhkan tandatangan). Seterusnya, letakkan Cegah dan bukannya Detect di mana mungkin, kerana get laluan membelanjakan sumber untuk memproses keseluruhan sambungan dalam mod Detect; dalam mod Cegah, ia segera membuang sambungan dan tidak membazir sumber untuk memproses sepenuhnya paket.
3.6. Apakah fail yang diproses oleh Emulasi Ancaman, Pengekstrakan Ancaman, bilah Anti-Virus?
Tidak masuk akal untuk meniru dan menganalisis fail sambungan yang pengguna anda tidak muat turun atau anda anggap tidak perlu pada rangkaian anda (contohnya, fail bat, exe boleh disekat dengan mudah menggunakan bilah Kesedaran Kandungan pada tahap tembok api, jadi kurang get laluan sumber akan dibelanjakan). Selain itu, dalam tetapan Emulasi Ancaman anda boleh memilih Persekitaran (sistem pengendalian) untuk meniru ancaman dalam kotak pasir dan memasang Persekitaran Windows 7 apabila semua pengguna bekerja dengan versi 10 juga tidak masuk akal.
3.7. Adakah peraturan peringkat firewall dan Aplikasi disusun mengikut amalan terbaik?
Jika peraturan mempunyai banyak hits (perlawanan), maka disyorkan untuk meletakkannya di bahagian paling atas, dan peraturan dengan bilangan hits yang kecil - di bahagian paling bawah. Perkara utama adalah untuk memastikan bahawa mereka tidak bersilang atau bertindih antara satu sama lain. Seni bina dasar tembok api yang disyorkan:
Penjelasan:
Peraturan Pertama - peraturan dengan bilangan perlawanan terbanyak diletakkan di sini
Peraturan Bunyi - peraturan untuk membuang trafik palsu seperti NetBIOS
Peraturan Stealth - melarang panggilan ke pintu masuk dan pengurusan kepada semua kecuali sumber yang dinyatakan dalam Peraturan Pengesahan ke Gerbang
Peraturan Pembersihan, Terakhir dan Gugur biasanya digabungkan menjadi satu peraturan untuk melarang semua yang tidak dibenarkan sebelum ini
Data amalan terbaik diterangkan dalam .
3.8. Apakah tetapan yang ada pada perkhidmatan yang dibuat oleh pentadbir?
Sebagai contoh, sesetengah perkhidmatan TCP dicipta pada port tertentu, dan adalah wajar untuk menyahtanda "Padan untuk Mana-mana" dalam tetapan Lanjutan perkhidmatan. Dalam kes ini, perkhidmatan ini akan termaktub secara khusus di bawah peraturan di mana ia muncul dan tidak akan mengambil bahagian dalam peraturan di mana Mana-mana disenaraikan dalam lajur Perkhidmatan.
Bercakap tentang perkhidmatan, perlu dinyatakan bahawa kadangkala perlu melaraskan tamat masa. Tetapan ini akan membolehkan anda menggunakan sumber get laluan dengan bijak, supaya tidak menahan masa tambahan untuk sesi TCP/UDP protokol yang tidak memerlukan tamat masa yang besar. Sebagai contoh, dalam tangkapan skrin di bawah, saya menukar tamat masa perkhidmatan domain-udp daripada 40 saat kepada 30 saat.
3.9. Adakah SecureXL digunakan dan apakah peratusan kelajuan?
Anda boleh menyemak kualiti SecureXL menggunakan arahan asas dalam mod pakar pada get laluan statistik fwaccel ΠΈ fw accel statistik -s. Seterusnya, anda perlu memikirkan jenis trafik yang sedang dipercepatkan, dan templat lain yang boleh dibuat.
Drop Templates tidak didayakan secara lalai; mendayakannya akan memberi manfaat kepada SecureXL. Untuk melakukan ini, pergi ke tetapan get laluan dan tab Pengoptimuman:
Selain itu, apabila bekerja dengan kluster untuk mengoptimumkan CPU, anda boleh melumpuhkan penyegerakan perkhidmatan tidak kritikal, seperti UDP DNS, ICMP dan lain-lain. Untuk melakukan ini, pergi ke tetapan perkhidmatan β Lanjutan β Segerakkan sambungan Penyegerakan Negeri didayakan pada kelompok.
Semua Amalan Terbaik diterangkan dalam .
3.10. Bagaimanakah CoreXl digunakan?
Teknologi CoreXL, yang membenarkan penggunaan berbilang CPU untuk contoh firewall (modul firewall), pasti membantu mengoptimumkan operasi peranti. Pasukan dahulu fw ctl pertalian -l -a akan menunjukkan kejadian firewall yang digunakan dan pemproses yang diperuntukkan kepada SND (modul yang mengedarkan trafik kepada entiti firewall). Jika tidak semua pemproses digunakan, ia boleh ditambah dengan arahan cpconfig di pintu masuk.
Juga cerita yang baik adalah untuk meletakkan untuk mendayakan Multi-Queue. Multi-Queue menyelesaikan masalah apabila pemproses dengan SND digunakan pada peratusan yang banyak, dan tika firewall pada pemproses lain melahu. Kemudian SND akan mempunyai keupayaan untuk mencipta banyak baris gilir untuk satu NIC dan menetapkan keutamaan yang berbeza untuk trafik yang berbeza pada peringkat kernel. Akibatnya, teras CPU akan digunakan dengan lebih bijak. Kaedah juga diterangkan dalam .
Sebagai kesimpulan, saya ingin mengatakan bahawa ini bukan semua Amalan Terbaik untuk mengoptimumkan Check Point, tetapi ia adalah yang paling popular. Jika anda ingin memerintahkan audit dasar keselamatan anda atau menyelesaikan masalah yang berkaitan dengan Check Point, sila hubungi [e-mel dilindungi].
Thank you!
Sumber: www.habr.com