Olá colegas! Hoje gostaria de abordar um tema muito relevante para muitos administradores da Check Point, "Otimização de CPU e RAM". Não é incomum que um gateway e/ou servidor de gerenciamento consuma muitos desses recursos inesperadamente, e gostaríamos de entender onde eles “vazam” e, se possível, usá-los com mais competência.
1. Análise
Para analisar a carga do processador, é útil usar os seguintes comandos, que são inseridos no modo especialista:
topo mostra todos os processos, a quantidade de recursos de CPU e RAM consumidos em porcentagem, tempo de atividade, prioridade do processo e em tempo realи
lista cpwd_admin Check Point WatchDog Daemon, que mostra todos os módulos appline, seu PID, status e número de execuções
cpstat -f CPU OS Uso da CPU, seu número e distribuição do tempo do processador em porcentagem
cpstat -f memória so uso de RAM virtual, quanto ativo, RAM livre e muito mais
A observação correta é que todos os comandos cpstat podem ser visualizados usando o utilitário cpview. Para fazer isso, basta inserir o comando cpview de qualquer modo na sessão SSH.
ps auxwf uma longa lista de todos os processos, seu ID, memória virtual ocupada e memória na RAM, CPU
Outra variação do comando:
ps-aF mostrar o processo mais caro
fw ctl afinidade -l -a distribuição de núcleos para diferentes instâncias do firewall, ou seja, tecnologia CoreXL
fw ctl pstat Análise de RAM e indicadores gerais de conexões, cookies, NAT
livre -m memória RAM
A equipe merece atenção especial. netsat e suas variações. Por exemplo, netstat -eu pode ajudar a resolver o problema de monitoramento de pranchetas. O parâmetro, pacotes descartados RX (RX-DRP) na saída deste comando tende a crescer por si só devido a quedas de protocolos ilegítimos (IPv6, tags de VLAN ruins/não intencionais e outros). No entanto, se as quedas acontecerem por outro motivo, você deve usar este para começar a investigar por que esta interface de rede está descartando pacotes. Conhecendo a causa, o funcionamento do appline também pode ser otimizado.
Se a folha Monitoramento estiver habilitada, você poderá visualizar essas métricas graficamente no SmartConsole clicando em um objeto e selecionando Informações sobre dispositivo e licença.
Não é recomendado habilitar a folha Monitoramento continuamente, mas é bem possível por um dia para um teste.
Além disso, você pode adicionar mais parâmetros para monitoramento, um deles é muito útil - Bytes Throughput (largura de banda do appline).
Se houver algum outro sistema de monitoramento, por exemplo, gratuito , que é baseado em SNMP, também é adequado para identificar esses problemas.
2. RAM “vaza” com o tempo
Freqüentemente, surge a questão de que, com o tempo, o gateway ou o servidor de gerenciamento começa a consumir cada vez mais RAM. Quero tranquilizá-lo: esta é uma história normal para sistemas semelhantes ao Linux.
Olhando para a saída do comando livre -m и cpstat -f memória so no aplicativo do modo especialista, você pode calcular e visualizar todos os parâmetros relacionados à RAM.
Com base na memória disponível no gateway no momento Memória livre + Memória Buffers + Memória em Cache = +-1.5 GB, geralmente.
Como diz o CP, com o tempo, o gateway/servidor de gerenciamento é otimizado e usa cada vez mais memória, até cerca de 80% de uso e para. Você pode reiniciar o dispositivo e, em seguida, o indicador será redefinido. 1.5 GB de RAM livre é definitivamente suficiente para o gateway executar todas as tarefas, e o gerenciamento raramente atinge esses valores limite.
Além disso, a saída dos comandos mencionados mostrará quanto você tem Memória baixa (RAM no espaço do usuário) e Alta memória (RAM no espaço do kernel) usado.
Os processos do kernel (incluindo módulos ativos, como os módulos do kernel Check Point) usam apenas pouca memória. No entanto, os processos do usuário podem usar memória baixa e alta. Além disso, pouca memória é aproximadamente igual a memória total.
Você só deve se preocupar se houver erros nos logs "reinicialização de módulos ou processos sendo eliminados para recuperar memória devido a OOM (falta de memória)". Em seguida, você deve reinicializar o gateway e entrar em contato com o suporte se a reinicialização não ajudar.
Uma descrição completa pode ser encontrada em и .
3. Otimização
Abaixo estão perguntas e respostas sobre otimização de CPU e RAM. Você deve respondê-las honestamente a si mesmo e ouvir as recomendações.
3.1. O upline foi escolhido corretamente? Houve um projeto-piloto?
Apesar do dimensionamento competente, a rede pode simplesmente crescer e esse equipamento simplesmente não consegue lidar com a carga. A segunda opção, se não houvesse dimensionamento como tal.
3.2. A inspeção HTTPS está habilitada? Em caso afirmativo, a tecnologia está configurada de acordo com as melhores práticas?
Referir-se se você é nosso cliente, ou para .
A ordem das regras na política de inspeção HTTPS desempenha um papel importante na otimização da abertura de sites HTTPS.
Ordem recomendada das regras:
- Ignorar regras com categorias/URLs
- inspecionar regras com categorias/URLs
- Inspecionar regras para todas as outras categorias
Por analogia com a política de firewall, o Check Point procura uma correspondência de pacote de cima para baixo, portanto, as regras de desvio são melhor colocadas no topo, pois o gateway não desperdiçará recursos executando todas as regras se esse pacote precisar ser ignorado.
3.3 Objetos de intervalo de endereços são usados?
Objetos com uma variedade de endereços, como rede 192.168.0.0-192.168.5.0, consomem significativamente mais RAM do que 5 objetos de rede. Em geral, considera-se uma boa prática excluir objetos não utilizados no SmartConsole, pois cada vez que uma política é definida, o gateway e o servidor de gerenciamento gastam recursos e, principalmente, tempo para verificar e aplicar a política.
3.4. Como a política de prevenção contra ameaças é configurada?
Em primeiro lugar, a Check Point recomenda mover o IPS para um perfil separado e criar regras separadas para esta lâmina.
Por exemplo, um administrador pensa que um segmento DMZ só deve ser protegido com IPS. Portanto, para que o gateway não desperdice recursos com o processamento de pacotes por outros blades, é necessário criar uma regra específica para este segmento com um perfil em que apenas o IPS esteja habilitado.
Em relação à configuração de perfis, é recomendável configurá-lo de acordo com as melhores práticas neste (páginas 17-20).
3.5. Quantas assinaturas no modo de detecção nas configurações de IPS?
Recomenda-se trabalhar muito nas assinaturas no sentido de que as assinaturas não utilizadas devem ser desativadas (por exemplo, assinaturas para a operação de produtos Adobe exigem muito poder de computação e, se o cliente não tiver esses produtos, faz sentido desativar assinaturas). Em seguida, coloque Prevenir em vez de Detectar sempre que possível, porque o gateway gasta recursos processando toda a conexão no modo Detectar, no modo Prevenir ele descarta imediatamente a conexão e não desperdiça recursos no processamento completo do pacote.
3.6. Quais arquivos são processados pelos blades de Emulação de Ameaças, Extração de Ameaças e Antivírus?
Não faz sentido emular e analisar arquivos de extensão que seus usuários não baixam ou você considera desnecessários em sua rede (por exemplo, arquivos bat, exe podem ser facilmente bloqueados usando a folha Reconhecimento de conteúdo no nível do firewall, portanto, os recursos do gateway serão gastou menos). Além disso, nas configurações de Emulação de ameaças, você pode selecionar o Ambiente (sistema operacional) para emular ameaças na caixa de areia e instalar o Ambiente Windows 7 quando todos os usuários estiverem trabalhando com a 10ª versão, também não faz sentido.
3.7. As regras do firewall e da camada de aplicativos são colocadas de acordo com as melhores práticas?
Se uma regra tiver muitos acertos (correspondências), é recomendável colocá-los bem no topo e regras com um pequeno número de acertos - bem embaixo. O principal é garantir que eles não se cruzem e não se sobreponham. Arquitetura de política de firewall recomendada:
Explicação:
Primeiras Regras - as regras com mais correspondências são colocadas aqui
Noise Rule - uma regra para descartar tráfego espúrio, como NetBIOS
Stealth Rule - proibição de acesso a gateways e gerenciamento para todos, exceto para aquelas fontes que foram especificadas nas Regras de Autenticação para Gateway
As regras de limpeza, último e descarte geralmente são combinadas em uma regra para proibir tudo o que não era permitido antes
Os dados de melhores práticas são descritos em .
3.8. Quais são as configurações dos serviços criados pelos administradores?
Por exemplo, algum serviço TCP está sendo criado em uma porta específica e faz sentido desmarcar “Match for Any” nas configurações avançadas do serviço. Nesse caso, esse serviço se enquadrará especificamente na regra em que aparece e não participará das regras em que Any estiver na coluna Services.
Falando em serviços, vale ressaltar que às vezes é necessário ajustar os tempos limite. Essa configuração permitirá que você use os recursos do gateway de forma mais inteligente, de forma a não manter tempo extra de sessão TCP/UDP para protocolos que não precisam de um grande timeout. Por exemplo, na captura de tela abaixo, alterei o tempo limite do serviço domain-udp de 40 segundos para 30 segundos.
3.9. O SecureXL é usado e qual é a porcentagem de aceleração?
Você pode verificar a qualidade do SecureXL com os comandos principais no modo especialista no gateway estatística fwaccel и fw accelstats -s. Em seguida, você precisa descobrir que tipo de tráfego está acelerando, quais modelos (modelos) você pode criar mais.
Por padrão, os Drop Templates não estão ativados, ativá-los terá um efeito positivo na operação do SecureXL. Para fazer isso, vá para as configurações do gateway e a guia Otimizações:
Além disso, ao trabalhar com um cluster, para otimizar a CPU, você pode desativar a sincronização de serviços não críticos, como UDP DNS, ICMP e outros. Para fazer isso, vá para as configurações do serviço → Avançado → Sincronizar conexões de Estado A sincronização está habilitada no cluster.
Todas as melhores práticas são descritas em .
3.10. Como o CoreXl é usado?
A tecnologia CoreXL, que permite usar várias CPUs para instâncias de firewall (módulos de firewall), definitivamente ajuda a otimizar o desempenho do dispositivo. Equipe primeiro fw ctl afinidade -l -a mostrará as instâncias de firewall usadas e os processadores entregues ao SND necessário (módulo que distribui tráfego para entidades de firewall). Se nem todos os processadores estiverem envolvidos, eles podem ser adicionados com o comando cpconfig na porta de entrada.
Também uma boa história é colocar para habilitar Fila Múltipla. Multi-Queue resolve o problema quando o processador com SND é usado por muitos por cento e as instâncias de firewall em outros processadores estão ociosas. Então o SND seria capaz de criar muitas filas para um NIC e definir diferentes prioridades para diferentes tráfegos no nível do kernel. Consequentemente, os núcleos da CPU serão usados de forma mais inteligente. Os métodos também são descritos em .
Concluindo, gostaria de dizer que essas não são todas as melhores práticas para otimizar o Check Point, mas as mais populares. Se você deseja solicitar uma auditoria de sua política de segurança ou resolver um problema da Check Point, entre em contato [email protegido].
Obrigado!
Fonte: habr.com