Cześć koledzy! Dzisiaj chciałbym poruszyć temat bardzo istotny dla wielu administratorów Check Point: „Optymalizacja procesora i pamięci RAM”. Często zdarza się, że brama i/lub serwer zarządzający nieoczekiwanie zużywa dużo tych zasobów, a ja chciałbym zrozumieć, dokąd one „płyną” i, jeśli to możliwe, wykorzystać je w bardziej inteligentny sposób.
1. Analiza
Do analizy obciążenia procesora przydatne są następujące polecenia, które wprowadza się w trybie eksperckim:
Top pokazuje wszystkie procesy, ilość zużytych zasobów procesora i pamięci RAM w procentach, czas pracy, priorytet procesu i w czasie rzeczywistymи
lista cpwd_administracyjna Check Point WatchDog Daemon, który pokazuje wszystkie moduły aplikacji, ich PID, status i liczbę uruchomień
cpstat -f system operacyjny procesora Użycie procesora, ich liczba i rozkład czasu procesora w procentach
cpstat -f pamięć systemowa wykorzystanie wirtualnej pamięci RAM, ilość aktywnej, wolnej pamięci RAM i więcej
Prawidłowa uwaga jest taka, że wszystkie polecenia cpstat można przeglądać za pomocą narzędzia cpview. Aby to zrobić wystarczy wpisać polecenie cpview z dowolnego trybu sesji SSH.
ps auxwf długa lista wszystkich procesów, ich identyfikatorów, zajętej pamięci wirtualnej i pamięci RAM, procesora
Inne odmiany poleceń:
ps-aF pokaże najdroższy proces
fw ctl powinowactwo -l -a dystrybucja rdzeni dla różnych instancji firewall, czyli technologia CoreXL
fw ctl pstat Analiza pamięci RAM i ogólne wskaźniki połączenia, pliki cookie, NAT
free -m Bufor RAM
Zespół zasługuje na szczególną uwagę Netsat i jego odmiany. Na przykład, netstat -tj może pomóc rozwiązać problem monitorowania schowków. Parametr RX porzuconych pakietów (RX-DRP) na wyjściu tego polecenia z reguły sam rośnie z powodu utraty nielegalnych protokołów (IPv6, złe/niezamierzone znaczniki VLAN i inne). Jeśli jednak krople zdarzają się z innego powodu, powinieneś tego użyć aby rozpocząć badanie i zrozumienie, dlaczego dany interfejs sieciowy odrzuca pakiety. Po ustaleniu przyczyny można również zoptymalizować działanie aplikacji.
Jeśli blok Monitorowanie jest włączony, możesz wyświetlić te metryki graficznie w SmartConsole, klikając obiekt i wybierając „Informacje o urządzeniu i licencji”.
Nie zaleca się włączania bloku Monitoring na stałe, ale na jeden dzień w celu przetestowania jest całkiem możliwe.
Co więcej, możesz dodać więcej parametrów do monitorowania, jeden z nich jest bardzo przydatny - Bytes Throughput (przepustowość aplikacji).
Jeśli jest jakiś inny system monitoringu np. darmowy , w oparciu o SNMP, nadaje się również do identyfikacji tych problemów.
2. RAM wycieka z biegiem czasu
Często pojawia się pytanie, że z biegiem czasu brama lub serwer zarządzający zaczyna zużywać coraz więcej pamięci RAM. Chcę Cię uspokoić: to normalna historia w przypadku systemów typu Linux.
Patrząc na wynik poleceń free -m и cpstat -f pamięć systemowa w aplikacji w trybie eksperckim możesz obliczyć i wyświetlić wszystkie parametry związane z pamięcią RAM.
Na podstawie dostępnej w tej chwili pamięci na bramce Wolna pamięć + Buforuje pamięć + Pamięć podręczna = +-1.5 GB, zazwyczaj.
Jak mówi CP, z biegiem czasu brama/serwer zarządzający optymalizuje i zużywa coraz więcej pamięci, osiągając około 80% wykorzystania i zatrzymuje się. Możesz ponownie uruchomić urządzenie, a następnie wskaźnik zostanie zresetowany. 1.5 GB wolnej pamięci RAM w zupełności wystarczy, aby brama wykonała wszystkie zadania, a zarządzanie rzadko osiąga takie wartości progowe.
Również wyniki wspomnianych poleceń pokażą, ile masz Słaba pamięć (RAM w przestrzeni użytkownika) i Wysoka pamięć (RAM w przestrzeni jądra) używany.
Procesy jądra (w tym aktywne moduły, takie jak moduły jądra Check Point) używają tylko pamięci Low. Jednak procesy użytkownika mogą używać zarówno pamięci niskiej, jak i wysokiej. Co więcej, niska pamięć jest w przybliżeniu równa suma pamięci.
Powinieneś się martwić tylko wtedy, gdy w logach występują błędy „Moduły uruchamiają się ponownie lub procesy są zabijane w celu odzyskania pamięci z powodu OOM (brak pamięci)”. Następnie należy ponownie uruchomić bramę i skontaktować się z pomocą techniczną, jeśli ponowne uruchomienie nie pomoże.
Pełny opis można znaleźć w и .
3. Optymalizacja
Poniżej znajdują się pytania i odpowiedzi dotyczące optymalizacji procesora i pamięci RAM. Należy sobie na nie szczerze odpowiedzieć i słuchać zaleceń.
3.1. Czy aplikacja została wybrana prawidłowo? Czy był projekt pilotażowy?
Pomimo odpowiedniego rozmiaru sieć mogłaby się po prostu rozrastać, a sprzęt ten po prostu nie byłby w stanie udźwignąć obciążenia. Drugą opcją jest brak rozmiaru jako takiego.
3.2. Czy inspekcja HTTPS jest włączona? Jeśli tak, czy technologia jest skonfigurowana zgodnie z Najlepszymi Praktykami?
Odnosić się do , jeśli jesteś naszym klientem, lub .
Kolejność reguł w polityce inspekcji HTTPS odgrywa dużą rolę w optymalizacji otwierania witryn HTTPS.
Zalecana kolejność zasad:
- Pomiń reguły z kategoriami/adresami URL
- Sprawdź reguły z kategoriami/adresami URL
- Sprawdź zasady dla wszystkich pozostałych kategorii
Analogicznie do polityki zapory sieciowej, Check Point szuka dopasowania według pakietów od góry do dołu, dlatego lepiej jest umieścić reguły obejścia na górze, ponieważ brama nie będzie marnować zasobów na przeglądanie wszystkich reguł, jeśli ten pakiet będzie tego potrzebował do zaliczenia.
3.3 Czy używane są obiekty zakresu adresów?
Obiekty o zakresie adresów, np. sieć 192.168.0.0-192.168.5.0, zajmują znacznie więcej pamięci RAM niż 5 obiektów sieciowych. Ogólnie rzecz biorąc, za dobrą praktykę uważa się usuwanie nieużywanych obiektów w SmartConsole, ponieważ za każdym razem, gdy instalowana jest polityka, brama i serwer zarządzający zużywają zasoby i, co najważniejsze, czas na weryfikację i zastosowanie polityki.
3.4. Jak skonfigurowana jest polityka zapobiegania zagrożeniom?
Przede wszystkim Check Point zaleca umieszczenie IPS w osobnym profilu i utworzenie odrębnych reguł dla tej ostrza.
Na przykład administrator uważa, że segment DMZ powinien być chroniony wyłącznie za pomocą IPS. Dlatego, aby brama nie marnowała zasobów na przetwarzanie pakietów przez inne blade, konieczne jest utworzenie reguły specjalnie dla tego segmentu z profilem, w którym włączony jest tylko IPS.
Jeśli chodzi o konfigurowanie profili, zaleca się skonfigurowanie ich zgodnie z najlepszymi praktykami w tym zakresie (strony 17-20).
3.5. Ile sygnatur jest dostępnych w trybie wykrywania w ustawieniach IPS?
Zaleca się dokładne przestudiowanie podpisów w tym sensie, że nieużywane należy wyłączyć (przykładowo podpisy do obsługi produktów Adobe wymagają dużej mocy obliczeniowej i jeśli klient nie posiada takich produktów, warto wyłączyć podpisy). Następnie, tam gdzie to możliwe, wstaw opcję Zapobiegaj zamiast Wykrywaj, ponieważ brama zużywa zasoby na przetwarzanie całego połączenia w trybie Wykrywanie; w trybie Zapobiegania natychmiast odrzuca połączenie i nie marnuje zasobów na pełne przetworzenie pakietu.
3.6. Jakie pliki są przetwarzane przez moduły emulacji zagrożeń, wyodrębniania zagrożeń i moduły antywirusowe?
Nie ma sensu emulować i analizować plików rozszerzeń, których użytkownicy nie pobierają lub które uważasz za niepotrzebne w Twojej sieci (na przykład pliki bat, exe można łatwo zablokować za pomocą bloku Content Awareness na poziomie zapory sieciowej, więc mniej bramy środki zostaną wydane). Co więcej, w ustawieniach Threat Emulation można wybrać Środowisko (system operacyjny), aby emulować zagrożenia w piaskownicy, a instalowanie Środowiska Windows 7, gdy wszyscy użytkownicy pracują z wersją 10, również nie ma sensu.
3.7. Czy reguły na poziomie zapory sieciowej i aplikacji są ułożone zgodnie z najlepszymi praktykami?
Jeśli reguła ma dużo trafień (dopasowań), to zaleca się umieścić je na samej górze, a reguły z małą liczbą trafień – na samym dole. Najważniejsze jest, aby upewnić się, że nie przecinają się ani nie nakładają na siebie. Zalecana architektura zasad zapory sieciowej:
Wyjaśnienie:
Pierwsze Zasady - tutaj umieszczane są reguły z największą liczbą dopasowań
Noise Rule - reguła odrzucania fałszywego ruchu, takiego jak NetBIOS
Reguła Stealth - zabrania połączeń do bramek i zarządów wszystkim z wyjątkiem tych źródeł, które zostały określone w Zasadach uwierzytelniania do bramek
Reguły sprzątania, ostatniego i upuszczania są zwykle łączone w jedną regułę, aby zabraniać wszystkiego, co nie było wcześniej dozwolone
Dane dotyczące najlepszych praktyk opisano w .
3.8. Jakie ustawienia mają usługi tworzone przez administratorów?
Na przykład, pewna usługa TCP jest utworzona na określonym porcie i warto odznaczyć opcję „Dopasuj do dowolnego” w ustawieniach zaawansowanych usługi. W takim przypadku ta usługa będzie objęta regułą, w której się pojawia, i nie będzie podlegać regułom, w których w kolumnie Usługi wymieniona jest opcja Dowolna.
Mówiąc o usługach, warto wspomnieć, że czasami konieczne jest dostosowanie timeoutów. To ustawienie umożliwi rozsądne wykorzystanie zasobów bramy, tak aby nie tracić dodatkowego czasu na sesje TCP/UDP protokołów, które nie wymagają dużego limitu czasu. Na przykład na poniższym zrzucie ekranu zmieniłem limit czasu usługi domain-udp z 40 sekund na 30 sekund.
3.9. Czy używany jest SecureXL i jaki jest procent przyspieszenia?
Możesz sprawdzić jakość SecureXL za pomocą podstawowych poleceń w trybie eksperckim na bramce statystyki fwaccel и fw statystyki accel -s. Następnie musisz dowiedzieć się, jaki rodzaj ruchu jest przyspieszany i jakie inne szablony można utworzyć.
Szablony upuszczania nie są domyślnie włączone; włączenie ich będzie korzystne dla SecureXL. W tym celu przejdź do ustawień bramy i zakładki Optymalizacje:
Ponadto podczas pracy z klastrem w celu optymalizacji procesora można wyłączyć synchronizację niekrytycznych usług, takich jak UDP DNS, ICMP i inne. W tym celu przejdź do ustawień usługi → Zaawansowane → Synchronizuj połączenia Stanu Synchronizacja jest włączona w klastrze.
Wszystkie Najlepsze Praktyki opisano w .
3.10. Jak wykorzystuje się CoreXl?
Technologia CoreXL, która pozwala na wykorzystanie wielu procesorów dla instancji firewall (modułów firewalla), zdecydowanie pomaga zoptymalizować pracę urządzenia. Najpierw zespół fw ctl powinowactwo -l -a wyświetli używane instancje zapory sieciowej i procesory przypisane do SND (modułu dystrybuującego ruch do jednostek zapory). Jeśli nie wszystkie procesory są wykorzystane, można je dodać za pomocą polecenia cpconfig przy bramie.
Należy także umieścić dobrą historię aby włączyć obsługę wielu kolejek. Multi-Queue rozwiązuje problem, gdy procesor z SND jest używany w wielu procentach, a instancje firewalla na innych procesorach są bezczynne. Wtedy SND miałby możliwość tworzenia wielu kolejek dla jednej karty sieciowej i ustawiania różnych priorytetów dla różnych ruchu na poziomie jądra. W rezultacie rdzenie procesora będą wykorzystywane w bardziej inteligentny sposób. Metody są również opisane w .
Podsumowując, chciałbym powiedzieć, że to nie wszystkie Najlepsze Praktyki optymalizacji Check Point, ale są one najbardziej popularne. Jeżeli chcieliby Państwo zlecić audyt swojej polityki bezpieczeństwa lub rozwiązać problem związany z Check Point, prosimy o kontakt [email chroniony].
Dziękuję za uwagę!
Źródło: www.habr.com