Ahojte kolegovia! Dnes by som chcel diskutovať o veľmi relevantnej téme pre mnohých správcov Check Point, „Optimalizácia CPU a RAM“. Nie je nezvyčajné, že brána a/alebo server na správu spotrebúvajú neočakávane veľa týchto zdrojov a človek by chcel pochopiť, kam „unikajú“, a ak je to možné, využiť ich kompetentnejšie.
1. Analýza
Na analýzu zaťaženia procesora je užitočné použiť nasledujúce príkazy, ktoré sa zadávajú v expertnom režime:
top zobrazuje všetky procesy, množstvo spotrebovaných zdrojov CPU a RAM v percentách, dobu prevádzkyschopnosti, prioritu procesov a v reálnom časeи
zoznam cpwd_admin Check Point WatchDog Daemon, ktorý zobrazuje všetky moduly aplikácie, ich PID, stav a počet spustení
cpstat -f cpu os Využitie procesorov, ich počet a rozdelenie času procesora v percentách
cpstat -f pamäť os využitie virtuálnej RAM, koľko aktívnej, voľnej RAM a ďalšie
Správna poznámka je, že všetky príkazy cpstat je možné zobraziť pomocou pomôcky cpview. Ak to chcete urobiť, stačí zadať príkaz cpview z ľubovoľného režimu v relácii SSH.
ps auxwf dlhý zoznam všetkých procesov, ich ID, obsadená virtuálna pamäť a pamäť v RAM, CPU
Ďalšia variácia príkazu:
ps-aF ukázať najdrahší proces
fw ctl afinita -l -a distribúcia jadier pre rôzne inštancie firewallu, teda technológie CoreXL
fw ctl pstat Analýza RAM a všeobecné indikátory pripojení, cookies, NAT
free -m vyrovnávacia pamäť RAM
Tým si zaslúži osobitnú pozornosť. netsat a jeho variácií. Napríklad, netstat -i môže pomôcť vyriešiť problém monitorovania schránok. Parameter, RX zahodené pakety (RX-DRP) vo výstupe tohto príkazu má tendenciu rásť sám o sebe kvôli úbytkom nelegitímnych protokolov (IPv6, Bad / Unintended VLAN tags a iné). Ak sa však kvapky vyskytujú z iného dôvodu, mali by ste použiť toto začať skúmať, prečo toto sieťové rozhranie zahadzuje pakety. Po poznaní príčiny je možné optimalizovať aj fungovanie aplikácie.
Ak je povolený monitorovací list, môžete si tieto metriky zobraziť graficky v konzole SmartConsole kliknutím na objekt a výberom Device & License Information.
Neodporúča sa zapínať Monitoring blade priebežne, ale je to celkom možné na jeden deň na skúšku.
Okrem toho môžete pridať ďalšie parametre pre monitorovanie, jeden z nich je veľmi užitočný - Bytes Throughput (šírka pásma aplikácie).
Ak existuje nejaký iný monitorovací systém, napríklad zadarmo , ktorý je založený na SNMP, je vhodný aj na identifikáciu týchto problémov.
2. RAM časom „vyteká“.
Často vyvstáva otázka, že brána alebo server správy časom začnú spotrebovávať stále viac pamäte RAM. Chcem vás uistiť: toto je normálny príbeh pre systémy podobné Linuxu.
Pohľad na výstup príkazu free -m и cpstat -f pamäť os na aplikácii z expertného režimu môžete vypočítať a zobraziť všetky parametre týkajúce sa pamäte RAM.
Na základe momentálne dostupnej pamäte na bráne Voľná pamäť + Ukladá pamäť + Pamäť vo vyrovnávacej pamäti = +-1.5 GB, zvyčajne.
Ako hovorí CP, časom sa brána/riadiaci server optimalizuje a využíva stále viac pamäte, až na približne 80 % a zastaví sa. Môžete reštartovať zariadenie a potom sa indikátor resetuje. 1.5 GB voľnej pamäte RAM určite stačí na to, aby brána vykonávala všetky úlohy a správa len málokedy dosiahne takéto hraničné hodnoty.
Taktiež výstup spomínaných príkazov ukáže, koľko máte Nedostatok pamäte (RAM v užívateľskom priestore) a vysoká pamäť (RAM v priestore jadra).
Procesy jadra (vrátane aktívnych modulov, ako sú moduly jadra Check Point) používajú iba nízku pamäť. Používateľské procesy však môžu používať nízku aj vysokú pamäť. Navyše, nízka pamäť je približne rovnaká celková pamäť.
Mali by ste sa obávať iba vtedy, ak sú v protokoloch chyby "moduly sa reštartujú alebo procesy sú zabité, aby znovu získali pamäť kvôli OOM (nedostatok pamäte)". Potom by ste mali reštartovať bránu a kontaktovať podporu, ak reštart nepomôže.
Celý popis nájdete v и .
3. Optimalizácia
Nižšie sú uvedené otázky a odpovede týkajúce sa optimalizácie CPU a RAM. Mali by ste si na ne úprimne odpovedať a vypočuť si odporúčania.
3.1. Bola horná línia vybratá správne? Existoval pilotný projekt?
Napriek kompetentnému dimenzovaniu by sieť mohla jednoducho rásť a toto zariadenie sa jednoducho nedokáže vyrovnať so záťažou. Druhá možnosť, ak by neexistovala veľkosť ako taká.
3.2. Je povolená kontrola HTTPS? Ak áno, je technológia nakonfigurovaná podľa osvedčených postupov?
Odkazujú na ak ste našim klientom, resp .
Poradie pravidiel v politike kontroly HTTPS hrá veľkú úlohu pri optimalizácii otvárania stránok HTTPS.
Odporúčané poradie pravidiel:
- Obíďte pravidlá kategóriami/adresami URL
- kontrolovať pravidlá s kategóriami/adresami URL
- Skontrolujte pravidlá pre všetky ostatné kategórie
Analogicky s politikou brány firewall, Check Point hľadá zhodu paketov zhora nadol, takže pravidlá pre obchádzanie sú najlepšie umiestnené navrchu, pretože brána nebude plytvať zdrojmi na prechádzanie všetkými pravidlami, ak je potrebné tento paket preskočiť.
3.3 Používajú sa objekty rozsahu adries?
Objekty s rozsahom adries, ako je sieť 192.168.0.0-192.168.5.0, spotrebujú podstatne viac pamäte RAM ako 5 sieťových objektov. Vo všeobecnosti sa považuje za dobrú prax vymazať nepoužívané objekty v SmartConsole, pretože zakaždým, keď je nastavená politika, brána a riadiaci server míňajú zdroje a, čo je najdôležitejšie, čas na overenie a aplikáciu politiky.
3.4. Ako je nakonfigurovaná politika prevencie hrozieb?
V prvom rade Check Point odporúča presunúť IPS do samostatného profilu a vytvoriť samostatné pravidlá pre tento blade.
Napríklad správca si myslí, že segment DMZ by mal byť chránený iba pomocou IPS. Preto, aby brána neplytvala prostriedkami na spracovanie paketov inými blade servermi, je potrebné vytvoriť pravidlo špeciálne pre tento segment s profilom, v ktorom je povolené iba IPS.
Čo sa týka nastavenia profilov, odporúča sa to nastaviť podľa osvedčených postupov v tomto (strany 17-20).
3.5. Koľko podpisov v režime detekcie v nastaveniach IPS?
Na podpisoch sa odporúča tvrdo pracovať v tom zmysle, že nepoužívané podpisy by sa mali deaktivovať (napríklad podpisy na prevádzku produktov Adobe vyžadujú veľký výpočtový výkon a ak zákazník takéto produkty nemá, má zmysel vypnúť podpisy). Potom tam, kde je to možné, dajte Prevent namiesto Detect, pretože brána míňa prostriedky na spracovanie celého spojenia v režime Detect, v režime Prevent spojenie okamžite zruší a neplytvá zdrojmi na úplné spracovanie paketu.
3.6. Aké súbory spracovávajú čepele Emulace hrozieb, Extrakcia hrozieb a Antivírusový program?
Nemá zmysel emulovať a analyzovať súbory rozšírení, ktoré si používatelia nesťahujú alebo ktoré považujete vo svojej sieti za zbytočné (napríklad súbory bat, exe možno ľahko zablokovať pomocou čepele Content Awareness na úrovni brány firewall, takže zdroje brány budú míňali menej). Navyše v nastaveniach Emulácia hrozieb môžete vybrať Prostredie (operačný systém) na emuláciu hrozieb v karanténe a nainštalovať Prostredie Windows 7, keď všetci používatelia pracujú s 10. verziou, to tiež nedáva zmysel.
3.7. Sú pravidlá brány firewall a aplikačnej vrstvy umiestnené podľa osvedčených postupov?
Ak má pravidlo veľa zásahov (zhôd), odporúča sa umiestniť ich úplne hore a pravidlá s malým počtom zásahov úplne dole. Hlavná vec je zabezpečiť, aby sa nepretínali a neprekrývali. Odporúčaná architektúra politiky brány firewall:
Vysvetlenie:
Prvé pravidlá - tu sú umiestnené pravidlá s najväčším počtom zápasov
Noise Rule – pravidlo na zrušenie falošnej prevádzky, ako je NetBIOS
Pravidlo utajenia – zákaz prístupu k bránam a správe všetkým, s výnimkou zdrojov, ktoré boli špecifikované v pravidlách overovania brán
Pravidlá čistenia, posledného a vypustenia sú zvyčajne spojené do jedného pravidla, ktoré zakazuje všetko, čo predtým nebolo povolené
Údaje o osvedčených postupoch sú opísané v .
3.8. Aké sú nastavenia pre služby vytvorené administrátormi?
Napríklad, nejaká služba TCP sa vytvára na konkrétnom porte a má zmysel zrušiť začiarknutie políčka „Match for Any“ v rozšírených nastaveniach služby. V tomto prípade bude táto služba spadať konkrétne pod pravidlo, v ktorom sa vyskytuje, a nebude sa podieľať na pravidlách, kde je v stĺpci Služby možnosť Ľubovoľné.
Keď už hovoríme o službách, stojí za zmienku, že niekedy je potrebné vyladiť časové limity. Toto nastavenie vám umožní využívať prostriedky brány inteligentnejšie, aby ste nezadržali dodatočný čas relácie TCP/UDP pre protokoly, ktoré nepotrebujú veľký časový limit. Napríklad na snímke obrazovky nižšie som zmenil časový limit služby domain-udp zo 40 sekúnd na 30 sekúnd.
3.9. Používa sa SecureXL a aké je percento zrýchlenia?
Kvalitu SecureXL môžete skontrolovať pomocou hlavných príkazov v expertnom režime na bráne štatistika fwaccel и fw accelstats -s. Ďalej musíte zistiť, aký druh návštevnosti sa zrýchľuje, akých šablón (šablón) môžete vytvárať ďalšie.
V predvolenom nastavení nie sú šablóny Drop Templates povolené, ich povolenie bude mať pozitívny vplyv na fungovanie SecureXL. Ak to chcete urobiť, prejdite do nastavení brány a na kartu Optimalizácie:
Pri práci s klastrom môžete na optimalizáciu CPU zakázať synchronizáciu nekritických služieb, ako sú UDP DNS, ICMP a ďalšie. Ak to chcete urobiť, prejdite do nastavení služby → Rozšírené → Synchronizovať pripojenia v klastri je povolená synchronizácia stavu.
Všetky osvedčené postupy sú popísané v .
3.10. Ako sa CoreXl užíva?
Technológia CoreXL, ktorá umožňuje použiť viacero CPU pre inštancie brány firewall (moduly brány firewall), rozhodne pomáha optimalizovať výkon zariadenia. Najprv tím fw ctl afinita -l -a zobrazí použité inštancie brány firewall a procesory odovzdané potrebnému SND (modul, ktorý distribuuje prevádzku na entity brány firewall). Ak nie sú zapojené všetky procesory, možno ich pridať pomocou príkazu cpconfig pri bráne.
Tiež dobrý príbeh je dať na povolenie funkcie Multi-Queue. Multi-Queue rieši problém, keď je procesor s SND využívaný na veľa percent a inštancie firewallu na iných procesoroch sú nečinné. Potom by SND dokázalo vytvoriť veľa frontov pre jeden NIC a nastaviť rôzne priority pre rôznu prevádzku na úrovni jadra. V dôsledku toho sa jadrá CPU budú využívať inteligentnejšie. Metódy sú tiež opísané v .
Na záver by som chcel povedať, že to zďaleka nie sú všetky osvedčené postupy na optimalizáciu Check Point, ale sú najobľúbenejšie. Ak chcete požiadať o audit vašej bezpečnostnej politiky alebo vyriešiť problém s Check Point, kontaktujte nás [chránené e-mailom].
Ďakujem vám za pozornosť!
Zdroj: hab.com