Hallo collega's! Vandaag wil ik een zeer relevant onderwerp bespreken voor veel Check Point-beheerders: “CPU en RAM optimaliseren.” Er zijn vaak gevallen waarin de gateway en/of beheerserver onverwacht veel van deze bronnen verbruikt, en ik zou graag willen begrijpen waar ze ‘stromen’ en ze, indien mogelijk, op een intelligentere manier gebruiken.
1. Analyse
Om de processorbelasting te analyseren, is het handig om de volgende opdrachten te gebruiken, die in de expertmodus worden ingevoerd:
top toont alle processen, de hoeveelheid verbruikte CPU- en RAM-bronnen als percentage, uptime, procesprioriteit en liveи
cpwd_admin lijst Check Point WatchDog Daemon, die alle applicatiemodules, hun PID, status en aantal starts toont
cpstat -f CPU-besturingssysteem CPU-gebruik, het aantal en de verdeling van de processortijd als percentage
cpstat -f geheugenbesturingssysteem virtueel RAM-gebruik, hoeveel actief, vrij RAM en meer
De juiste opmerking is dat alle cpstat-opdrachten kunnen worden bekeken met behulp van het hulpprogramma cpweergave. Om dit te doen, hoeft u alleen maar de opdracht cpview in te voeren vanuit elke modus in de SSH-sessie.
ps auxwf een lange lijst van alle processen, hun ID, bezet virtueel geheugen en geheugen in RAM, CPU
Andere commandovariaties:
ps-aF zal het duurste proces laten zien
fw ctl affiniteit -l -a distributie van cores voor verschillende firewall-instanties, dat wil zeggen CoreXL-technologie
fwctl pstat RAM-analyse en algemene verbindingsindicatoren, cookies, NAT
gratis -m RAM-buffer
Het team verdient bijzondere aandacht netsat en zijn variaties. Bijvoorbeeld, netstat -i kan helpen bij het oplossen van het probleem van het monitoren van klemborden. De parameter RX dropt packets (RX-DRP) in de uitvoer van deze opdracht groeit in de regel vanzelf als gevolg van het wegvallen van onwettige protocollen (IPv6, Bad / Unintended VLAN-tags en andere). Als er echter om een andere reden druppels optreden, moet u dit gebruiken om te beginnen met onderzoeken en begrijpen waarom een bepaalde netwerkinterface pakketten laat vallen. Nadat de reden is achterhaald, kan ook de werking van de app worden geoptimaliseerd.
Als de Blade Monitoring is ingeschakeld, kunt u deze statistieken grafisch bekijken in SmartConsole door op het object te klikken en 'Apparaat- en licentie-informatie' te selecteren.
Het wordt niet aanbevolen om de Monitoring-blade permanent in te schakelen, maar een dag testen is heel goed mogelijk.
Bovendien kunt u meer parameters voor monitoring toevoegen, een daarvan is erg handig: Bytes Throughput (applicatiedoorvoer).
Als er een ander monitoringsysteem is, bijvoorbeeld gratis , gebaseerd op SNMP, is het ook geschikt om deze problemen te identificeren.
2. RAM-geheugen lekt na verloop van tijd
De vraag rijst vaak dat de gateway of beheerserver na verloop van tijd steeds meer RAM begint te verbruiken. Ik wil je geruststellen: dit is een normaal verhaal voor Linux-achtige systemen.
Kijkend naar de uitvoer van de commando's gratis -m и cpstat -f geheugenbesturingssysteem op de app vanuit de expertmodus kunt u alle parameters met betrekking tot RAM berekenen en bekijken.
Gebaseerd op het beschikbare geheugen op de gateway op dit moment Vrij geheugen + Buffert geheugen + Gecacht geheugen = +-1.5GB, gebruikelijk.
Zoals CP zegt: na verloop van tijd optimaliseert en gebruikt de gateway/beheerserver steeds meer geheugen, waarbij een bezettingsgraad van ongeveer 80% wordt bereikt, en stopt dan. U kunt het apparaat opnieuw opstarten, waarna de indicator wordt gereset. 1.5 GB vrij RAM-geheugen is precies genoeg om de gateway alle taken te laten uitvoeren, en het beheer bereikt zelden zulke drempelwaarden.
Ook zullen de uitvoer van de genoemde commando's laten zien hoeveel je hebt Slecht geheugen (RAM in gebruikersruimte) en Hoog geheugen (RAM in kernelruimte) gebruikt.
Kernelprocessen (inclusief actieve modules zoals Check Point-kernelmodules) gebruiken alleen weinig geheugen. Gebruikersprocessen kunnen echter zowel laag als hoog geheugen gebruiken. Bovendien is Laag geheugen ongeveer gelijk aan totaal geheugen.
U hoeft zich alleen zorgen te maken als er fouten in de logboeken staan “modules worden opnieuw opgestart of processen worden beëindigd om geheugen terug te winnen vanwege OOM (onvoldoende geheugen)”. Vervolgens moet u de gateway opnieuw opstarten en contact opnemen met de ondersteuning als het opnieuw opstarten niet helpt.
Een volledige beschrijving vindt u in и .
3. Optimalisatie
Hieronder vindt u vragen en antwoorden over het optimaliseren van CPU en RAM. U moet ze eerlijk tegenover uzelf beantwoorden en naar de aanbevelingen luisteren.
3.1. Is de toepassing correct gekozen? Was er een proefproject?
Ondanks de juiste omvang kan het netwerk eenvoudigweg groeien, en deze apparatuur kan de belasting eenvoudigweg niet aan. De tweede optie is als er geen maatvoering als zodanig was.
3.2. Is HTTPS-inspectie ingeschakeld? Zo ja, is de technologie geconfigureerd volgens Best Practice?
Verwijzen naar , als u onze klant bent, of naar .
De volgorde van de regels in het HTTPS-inspectiebeleid is van groot belang bij het optimaliseren van het openen van HTTPS-sites.
Aanbevolen volgorde van regels:
- Regels omzeilen met categorieën/URL's
- Inspecteer regels met categorieën/URL's
- Bekijk de regels voor alle andere categorieën
Naar analogie met het firewallbeleid zoekt Check Point naar een overeenkomst per pakket van boven naar beneden. Het is dus beter om de bypass-regels bovenaan te plaatsen, omdat de gateway geen middelen verspilt aan het doorlopen van alle regels als dit pakket nodig is. doorgegeven worden.
3.3 Worden adresbereikobjecten gebruikt?
Objecten met een adresbereik, bijvoorbeeld het netwerk 192.168.0.0-192.168.5.0, nemen aanzienlijk meer RAM in beslag dan 5 netwerkobjecten. Over het algemeen wordt het als een goede gewoonte beschouwd om ongebruikte objecten in SmartConsole te verwijderen, omdat elke keer dat een beleid wordt geïnstalleerd, de gateway en de beheerserver middelen en vooral tijd besteden aan het verifiëren en toepassen van het beleid.
3.4. Hoe wordt het Bedreigingspreventiebeleid geconfigureerd?
Allereerst raadt Check Point aan om IPS in een apart profiel te plaatsen en voor deze blade aparte regels te maken.
Een beheerder is bijvoorbeeld van mening dat het DMZ-segment alleen met IPS moet worden beveiligd. Om te voorkomen dat de gateway bronnen verspilt aan het verwerken van pakketten door andere blades, is het daarom noodzakelijk om specifiek voor dit segment een regel te maken met een profiel waarin alleen IPS is ingeschakeld.
Wat betreft het instellen van profielen is het aan te raden deze volgens best practices hierin in te richten (pagina's 17-20).
3.5. Hoeveel handtekeningen zijn er in de IPS-instellingen in de detectiemodus?
Het wordt aanbevolen om handtekeningen zorgvuldig te bestuderen, in die zin dat ongebruikte handtekeningen moeten worden uitgeschakeld (handtekeningen voor het bedienen van Adobe-producten vereisen bijvoorbeeld veel rekenkracht, en als de klant dergelijke producten niet heeft, is het zinvol om handtekeningen uit te schakelen). Zet vervolgens waar mogelijk Prevent in plaats van Detect, omdat de gateway middelen besteedt aan het verwerken van de gehele verbinding in de Detect-modus; in de Prevent-modus verwerpt hij de verbinding onmiddellijk en verspilt hij geen middelen aan het volledig verwerken van het pakket.
3.6. Welke bestanden worden verwerkt door bedreigingsemulatie, bedreigingsextractie en antivirusblades?
Het heeft geen zin om bestanden met extensies te emuleren en te analyseren die uw gebruikers niet downloaden, of die u onnodig acht op uw netwerk (bat- en exe-bestanden kunnen bijvoorbeeld eenvoudig worden geblokkeerd met behulp van de Content Awareness-blade op firewallniveau, dus minder gateway middelen zullen worden besteed). Bovendien kun je in de Threat Emulation-instellingen Environment (besturingssysteem) selecteren om bedreigingen in de sandbox te emuleren en het installeren van Environment Windows 7 wanneer alle gebruikers met versie 10 werken, heeft ook geen zin.
3.7. Zijn de firewall- en applicatieniveauregels opgesteld in overeenstemming met de beste praktijken?
Als een regel veel treffers (matches) heeft, is het aan te raden deze helemaal bovenaan te plaatsen, en regels met een klein aantal treffers helemaal onderaan. Het belangrijkste is om ervoor te zorgen dat ze elkaar niet kruisen of overlappen. Aanbevolen firewallbeleidsarchitectuur:
Toelichting:
Eerste regels - regels met het grootste aantal wedstrijden worden hier geplaatst
Noise Rule - een regel voor het negeren van ongewenst verkeer zoals NetBIOS
Stealth-regel - verbiedt oproepen naar gateways en management door iedereen, behalve door bronnen die zijn gespecificeerd in de Authenticatie naar Gateway-regels
Opruim-, Laatste- en Drop-regels worden meestal gecombineerd in één regel om alles te verbieden wat voorheen niet was toegestaan
Best practice-gegevens worden beschreven in .
3.8. Welke instellingen hebben de services die door beheerders zijn gemaakt?
Een bepaalde TCP-service wordt bijvoorbeeld op een specifieke poort gemaakt en het is zinvol om 'Match for Any' uit te schakelen in de geavanceerde instellingen van de service. In dit geval valt deze service specifiek onder de regel waarin deze wordt weergegeven en neemt deze niet deel aan de regels waarin Elke wordt vermeld in de kolom Services.
Over services gesproken, het is de moeite waard te vermelden dat het soms nodig is om time-outs aan te passen. Met deze instelling kunt u de gatewaybronnen verstandig gebruiken, zodat u geen extra tijd vrijhoudt voor TCP/UDP-sessies van protocollen die geen grote time-out nodig hebben. In de onderstaande schermafbeelding heb ik bijvoorbeeld de time-out van de domein-udp-service gewijzigd van 40 seconden in 30 seconden.
3.9. Wordt SecureXL gebruikt en wat is het versnellingspercentage?
Je kunt de kwaliteit van SecureXL controleren met behulp van basisopdrachten in de expertmodus op de gateway fwaccel stat и fw accel-statistieken -s. Vervolgens moet u uitzoeken welk soort verkeer wordt versneld en welke andere sjablonen kunnen worden gemaakt.
Drop Templates zijn niet standaard ingeschakeld; het inschakelen ervan zal SecureXL ten goede komen. Ga hiervoor naar de gateway-instellingen en het tabblad Optimalisaties:
Wanneer u met een cluster werkt om de CPU te optimaliseren, kunt u ook de synchronisatie van niet-kritieke services, zoals UDP DNS, ICMP en andere, uitschakelen. Ga hiervoor naar de service-instellingen → Geavanceerd → Verbindingen synchroniseren of Status Synchronisatie is ingeschakeld op het cluster.
Alle Best Practices worden beschreven in .
3.10. Hoe wordt CoreXl gebruikt?
CoreXL-technologie, die het gebruik van meerdere CPU's voor firewall-instances (firewallmodules) mogelijk maakt, helpt zeker de werking van het apparaat te optimaliseren. Team eerst fw ctl affiniteit -l -a toont de gebruikte firewall-instanties en de processors die zijn toegewezen aan de SND (een module die verkeer distribueert naar firewall-entiteiten). Als niet alle processors worden gebruikt, kunnen deze met het commando worden toegevoegd cpconfig bij de poort.
Ook een goed verhaal is om neer te zetten om Meerdere wachtrijen in te schakelen. Multi-Queue lost het probleem op wanneer de processor met SND voor veel procent wordt gebruikt en firewall-instances op andere processors inactief zijn. Dan zou SND de mogelijkheid hebben om veel wachtrijen voor één NIC te creëren en verschillende prioriteiten in te stellen voor verschillend verkeer op kernelniveau. Bijgevolg zullen CPU-kernen intelligenter worden gebruikt. De methoden worden ook beschreven in .
Concluderend zou ik willen zeggen dat dit niet allemaal de beste praktijken zijn voor het optimaliseren van Check Point, maar dat ze wel het populairst zijn. Als u een audit van uw beveiligingsbeleid wilt laten uitvoeren of een probleem met Check Point wilt oplossen, kunt u contact opnemen met ons [e-mail beveiligd].
Dank je wel!
Bron: www.habr.com