Hei kollegaer! I dag vil jeg diskutere et veldig relevant emne for mange Check Point-administratorer: "Optimalisering av CPU og RAM." Det er ofte tilfeller der gatewayen og/eller administrasjonsserveren bruker uventet mye av disse ressursene, og jeg vil gjerne forstå hvor de "flyter" og, hvis mulig, bruke dem mer intelligent.
1. Analyse
For å analysere prosessorbelastning er det nyttig å bruke følgende kommandoer, som legges inn i ekspertmodus:
topp viser alle prosesser, mengden CPU- og RAM-ressurser som forbrukes i prosent, oppetid, prosessprioritet og i virkelighetenи
cpwd_admin liste Check Point WatchDog Daemon, som viser alle applikasjonsmoduler, deres PID, status og antall starter
cpstat -f cpu os CPU-bruk, deres antall og fordeling av prosessortid i prosent
cpstat -f minne os virtuell RAM-bruk, hvor mye aktiv, ledig RAM og mer
Den riktige bemerkningen er at alle cpstat-kommandoer kan sees ved hjelp av verktøyet cpview. For å gjøre dette trenger du bare å skrive inn cpview-kommandoen fra hvilken som helst modus i SSH-økten.
ps auxwf en lang liste over alle prosesser, deres ID, okkupert virtuelt minne og minne i RAM, CPU
Andre kommandovarianter:
ps-aF vil vise den dyreste prosessen
fw ctl affinitet -l -a distribusjon av kjerner for ulike brannmurinstanser, det vil si CoreXL-teknologi
fw ctl pstat RAM-analyse og generelle tilkoblingsindikatorer, informasjonskapsler, NAT
gratis -m RAM buffer
Laget fortjener spesiell oppmerksomhet netsat og dens variasjoner. For eksempel, netstat -i kan bidra til å løse problemet med å overvåke utklippstavler. Parameteren, RX droppet pakker (RX-DRP) i utdataene til denne kommandoen, vokser som regel av seg selv på grunn av fall av illegitime protokoller (IPv6, Bad / Unintended VLAN tags og andre). Men hvis dråper skjer av en annen grunn, bør du bruke dette å begynne å undersøke og forstå hvorfor et gitt nettverksgrensesnitt dropper pakker. Etter å ha funnet ut årsaken, kan driften av appen også optimaliseres.
Hvis overvåkingsbladet er aktivert, kan du se disse beregningene grafisk i SmartConsole ved å klikke på objektet og velge "Enhets- og lisensinformasjon."
Det anbefales ikke å slå på overvåkingsbladet permanent, men for en dag for testing er det fullt mulig.
Dessuten kan du legge til flere parametere for overvåking, en av dem er veldig nyttig - Bytes Throughput (applikasjonsgjennomstrømning).
Hvis det er et annet overvåkingssystem, for eksempel gratis , basert på SNMP, er den også egnet for å identifisere disse problemene.
2. RAM-lekkasjer over tid
Spørsmålet oppstår ofte at gatewayen eller administrasjonsserveren over tid begynner å forbruke mer og mer RAM. Jeg vil forsikre deg: Dette er en normal historie for Linux-lignende systemer.
Ser på utgangen av kommandoene gratis -m и cpstat -f minne os på appen fra ekspertmodus kan du beregne og se alle parametere relatert til RAM.
Basert på tilgjengelig minne på gatewayen for øyeblikket Ledig minne + Buffer minne + Bufret minne = +-1.5 GB, som oftest.
Som CP sier, over tid optimaliserer gatewayen/administrasjonsserveren og bruker mer og mer minne, når omtrent 80 % utnyttelse og stopper. Du kan starte enheten på nytt, og deretter tilbakestilles indikatoren. 1.5 GB ledig RAM er akkurat nok til at gatewayen kan utføre alle oppgaver, og administrasjonen når sjelden slike terskelverdier.
Også utgangene til de nevnte kommandoene vil vise hvor mye du har Lite minne (RAM i brukerrom) og Høyt minne (RAM i kjerneplass) brukt.
Kjerneprosesser (inkludert aktive moduler som Check Point-kjernemoduler) bruker bare lite minne. Imidlertid kan brukerprosesser bruke både lavt og høyt minne. Dessuten er lite minne omtrent lik totalt minne.
Du bør bare bekymre deg hvis det er feil i loggene "moduler starter på nytt eller prosesser blir drept for å gjenvinne minne på grunn av OOM (tom minne)". Da bør du starte gatewayen på nytt og kontakte support dersom omstarten ikke hjelper.
En fullstendig beskrivelse finner du i и .
3. Optimalisering
Nedenfor er spørsmål og svar om optimalisering av CPU og RAM. Du bør svare ærlig til deg selv og lytte til anbefalingene.
3.1. Ble applikasjonen riktig valgt? Var det et pilotprosjekt?
Til tross for riktig størrelse, kan nettverket ganske enkelt vokse, og dette utstyret kan rett og slett ikke takle belastningen. Det andre alternativet er hvis det ikke var noen dimensjonering som sådan.
3.2. Er HTTPS-inspeksjon aktivert? Hvis ja, er teknologien konfigurert i henhold til beste praksis?
Referere til , hvis du er vår kunde, eller til .
Rekkefølgen på reglene i HTTPS-inspeksjonspolicyen spiller en stor rolle for å optimalisere åpningen av HTTPS-nettsteder.
Anbefalt rekkefølge av regler:
- Omgå regler med kategorier/nettadresser
- Inspiser regler med kategorier/nettadresser
- Inspiser reglene for alle andre kategorier
I analogi med brannmurpolicyen søker Check Point etter pakker fra topp til bunn, så det er bedre å plassere bypass-reglene øverst, siden gatewayen ikke vil kaste bort ressurser på å kjøre gjennom alle reglene hvis denne pakken trenger skal bestå.
3.3 Brukes adresseområdeobjekter?
Objekter med et adresseområde, for eksempel nettverket 192.168.0.0-192.168.5.0, tar opp betydelig mer RAM enn 5 nettverksobjekter. Generelt anses det som god praksis å fjerne ubrukte objekter i SmartConsole, siden hver gang en policy installeres, bruker gatewayen og administrasjonsserveren ressurser og, viktigst av alt, tid på å verifisere og bruke policyen.
3.4. Hvordan er policyen for trusselforebygging konfigurert?
Først og fremst anbefaler Check Point å plassere IPS i en egen profil og lage egne regler for dette bladet.
En administrator mener for eksempel at DMZ-segmentet kun skal beskyttes ved hjelp av IPS. Derfor, for å forhindre at gatewayen kaster bort ressurser på å behandle pakker av andre blader, er det nødvendig å lage en regel spesifikt for dette segmentet med en profil der bare IPS er aktivert.
Når det gjelder oppsett av profiler, anbefales det å sette det opp etter beste praksis i denne (side 17-20).
3.5. I IPS-innstillingene, hvor mange signaturer er det i Oppdagingsmodus?
Det anbefales å studere signaturer nøye i den forstand at ubrukte skal deaktiveres (for eksempel krever signaturer for drift av Adobe-produkter mye datakraft, og hvis kunden ikke har slike produkter, er det fornuftig å deaktivere signaturer). Deretter setter du Forhindre i stedet for Oppdag der det er mulig, fordi gatewayen bruker ressurser på å behandle hele forbindelsen i Oppdagingsmodus; i Forhindremodus forkaster den umiddelbart forbindelsen og kaster ikke bort ressurser på å behandle pakken fullstendig.
3.6. Hvilke filer behandles av Threat Emulation, Threat Extraction, Anti-Virus blader?
Det gir ingen mening å emulere og analysere filer med utvidelser som brukerne dine ikke laster ned, eller du anser som unødvendige på nettverket ditt (for eksempel bat, exe-filer kan enkelt blokkeres ved å bruke Content Awareness-bladet på brannmurnivå, så mindre gateway ressurser vil bli brukt). I tillegg, i Threat Emulation-innstillingene kan du velge Environment (operativsystem) for å emulere trusler i sandkassen og installere miljø Windows 7 når alle brukere jobber med versjon 10 gir heller ikke mening.
3.7. Er brannmur- og applikasjonsnivåregler ordnet i samsvar med beste praksis?
Hvis en regel har mange treff (treff), så anbefales det å sette dem helt øverst, og regler med et lite antall treff - helt nederst. Det viktigste er å sikre at de ikke krysser eller overlapper hverandre. Anbefalt brannmurpolicyarkitektur:
Forklaring:
Første regler - regler med flest kamper plasseres her
Støyregel - en regel for å forkaste falsk trafikk som NetBIOS
Stealth Rule - forbyr anrop til gatewayer og administrasjoner til alle unntatt de kildene som ble spesifisert i autentisering til gateway-reglene
Oppryddings-, siste- og slippregler kombineres vanligvis til én regel for å forby alt som tidligere ikke var tillatt
Beste praksisdata er beskrevet i .
3.8. Hvilke innstillinger har tjenestene opprettet av administratorer?
For eksempel er noen TCP-tjenester opprettet på en bestemt port, og det er fornuftig å fjerne merket for "Match for Any" i de avanserte innstillingene for tjenesten. I dette tilfellet vil denne tjenesten falle spesifikt inn under regelen den vises i, og vil ikke delta i reglene der Any er oppført i Tjenester-kolonnen.
Når vi snakker om tjenester, er det verdt å nevne at noen ganger er det nødvendig å justere tidsavbrudd. Denne innstillingen vil tillate deg å bruke gatewayressursene klokt, for ikke å holde ekstra tid for TCP/UDP-økter med protokoller som ikke trenger et stort tidsavbrudd. For eksempel, i skjermbildet nedenfor, endret jeg tidsavbruddet for domene-udp-tjenesten fra 40 sekunder til 30 sekunder.
3.9. Brukes SecureXL og hva er speedup-prosenten?
Du kan sjekke kvaliteten på SecureXL ved å bruke grunnleggende kommandoer i ekspertmodus på gatewayen fwaccel stat и fw accel stats -s. Deretter må du finne ut hva slags trafikk som akselereres, og hvilke andre maler som kan opprettes.
Slipp maler er ikke aktivert som standard; å aktivere dem vil være til fordel for SecureXL. For å gjøre dette, gå til gatewayinnstillingene og Optimaliseringsfanen:
Når du arbeider med en klynge for å optimalisere CPU'en, kan du også deaktivere synkronisering av ikke-kritiske tjenester, for eksempel UDP DNS, ICMP og andre. For å gjøre dette, gå til tjenesteinnstillingene → Avansert → Synkroniser tilkoblinger av State Synchronization er aktivert på klyngen.
Alle beste fremgangsmåter er beskrevet i .
3.10. Hvordan brukes CoreXl?
CoreXL-teknologi, som tillater bruk av flere CPUer for brannmurforekomster (brannmurmoduler), hjelper definitivt med å optimalisere driften av enheten. Lag først fw ctl affinitet -l -a vil vise brannmurforekomstene som brukes og prosessorene som er tilordnet til SND (en modul som distribuerer trafikk til brannmurenheter). Hvis ikke alle prosessorer brukes, kan de legges til med kommandoen cpconfig ved porten.
Også en god historie er å sette for å aktivere Multi-Queue. Multi-Queue løser problemet når prosessoren med SND brukes i mange prosent, og brannmurforekomster på andre prosessorer er inaktive. Da ville SND ha muligheten til å lage mange køer for ett NIC og sette forskjellige prioriteringer for forskjellig trafikk på kjernenivå. Følgelig vil CPU-kjerner bli brukt mer intelligent. Metodene er også beskrevet i .
Avslutningsvis vil jeg si at dette ikke er alle de beste fremgangsmåtene for å optimalisere Check Point, men de er de mest populære. Hvis du ønsker å bestille en revisjon av sikkerhetspolicyen din eller løse et problem relatert til Check Point, vennligst kontakt [e-postbeskyttet].
Takk for din oppmerksomhet!
Kilde: www.habr.com