Pozdravljeni kolegi! Danes bi rad razpravljal o zelo pomembni temi za mnoge skrbnike Check Pointa: "Optimizacija procesorja in RAM-a." Pogosto pride do primerov, ko prehod in/ali upravljalni strežnik porabi nepričakovano veliko teh virov, in rad bi razumel, kam "odtekajo" in jih, če je mogoče, uporabil bolj inteligentno.
1. Analiza
Za analizo obremenitve procesorja je koristno uporabiti naslednje ukaze, ki jih vnesete v strokovnem načinu:
vrh prikazuje vse procese, količino porabljenih virov CPE in RAM v odstotkih, čas delovanja, prioriteto procesa in v realnem časuи
seznam cpwd_admin Check Point WatchDog Daemon, ki prikazuje vse aplikacijske module, njihov PID, stanje in število zagonov
cpstat -f cpu os Uporaba procesorja, njihovo število in porazdelitev procesorskega časa v odstotkih
cpstat -f pomnilniški os uporaba virtualnega RAM-a, koliko aktivnega, prostega RAM-a in več
Pravilna pripomba je, da si lahko vse ukaze cpstat ogledate s pomočjo pripomočka cpview. Če želite to narediti, morate samo vnesti ukaz cpview iz katerega koli načina v seji SSH.
ps auxwf dolg seznam vseh procesov, njihov ID, zaseden virtualni pomnilnik in pomnilnik v RAM-u, CPU
Druge različice ukazov:
ps-aF bo pokazal najdražji postopek
fw ctl afiniteta -l -a distribucijo jeder za različne instance požarnega zidu, torej tehnologijo CoreXL
fw ctl pstat Analiza RAM-a in splošni indikatorji povezave, piškotki, NAT
brezplačno -m medpomnilnik RAM
Ekipa si zasluži posebno pozornost netsat in njegove različice. na primer netstat -i lahko pomaga rešiti problem spremljanja odložišč. Parameter RX dropped packets (RX-DRP) v izhodu tega ukaza praviloma raste sam od sebe zaradi padcev nelegitimnih protokolov (IPv6, Bad / Unintended VLAN tags in drugi). Vendar, če pride do padcev iz drugega razloga, uporabite to da začnete raziskovati in razumeti, zakaj dani omrežni vmesnik spušča pakete. Ko ugotovite razlog, lahko optimizirate tudi delovanje aplikacije.
Če je rezilo za spremljanje omogočeno, si lahko te meritve ogledate grafično v SmartConsole, tako da kliknete predmet in izberete »Podatki o napravi in licenci«.
Ni priporočljivo, da rezilo za spremljanje stalno vklopite, vendar je za en dan za testiranje povsem mogoče.
Poleg tega lahko dodate več parametrov za spremljanje, eden od njih je zelo uporaben - Bytes Throughput (prepustnost aplikacije).
Če obstaja kakšen drug nadzorni sistem, na primer brezplačen , ki temelji na SNMP, je primeren tudi za prepoznavanje teh težav.
2. RAM sčasoma pušča
Pogosto se pojavi vprašanje, da sčasoma prehod ali strežnik za upravljanje začne porabljati vedno več RAM-a. Želim vas pomiriti: to je običajna zgodba za sisteme, podobne Linuxu.
Pogled na izpis ukazov brezplačno -m и cpstat -f pomnilniški os v aplikaciji iz strokovnega načina lahko izračunate in si ogledate vse parametre, povezane z RAM-om.
Na podlagi trenutno razpoložljivega pomnilnika na prehodu Prosti pomnilnik + Medpomnilniki + Predpomnjeni pomnilnik = +-1.5 GB, običajno.
Kot pravi CP, sčasoma prehodni/upravljalni strežnik optimizira in uporablja vedno več pomnilnika, doseže približno 80-odstotno izkoriščenost in se ustavi. Napravo lahko znova zaženete in indikator se bo ponastavil. 1.5 GB prostega RAM-a je natanko dovolj, da prehod opravi vse naloge, upravljanje pa le redko doseže takšne mejne vrednosti.
Tudi rezultati omenjenih ukazov bodo pokazali, koliko imate Nizko pomnilnik (RAM v uporabniškem prostoru) in Visok spomin (RAM v prostoru jedra).
Procesi jedra (vključno z aktivnimi moduli, kot so moduli jedra Check Point) uporabljajo samo malo pomnilnika. Vendar pa lahko uporabniški procesi uporabljajo pomnilnik Low in High. Poleg tega je Low memory približno enako skupno Memory.
Skrbi vas le, če so v dnevnikih napake »moduli se znova zaženejo ali pa se procesi uničijo, da pridobijo pomnilnik zaradi OOM (Zmanjkalo pomnilnika)«. Nato znova zaženite prehod in se obrnite na podporo, če ponovni zagon ne pomaga.
Celoten opis najdete v и .
3. Optimizacija
Spodaj so vprašanja in odgovori o optimizaciji procesorja in RAM-a. Odgovorite si nanje iskreno in prisluhnite priporočilom.
3.1. Ali je bila aplikacija pravilno izbrana? Ali je obstajal pilotni projekt?
Kljub pravilnemu dimenzioniranju bi lahko omrežje preprosto raslo in ta oprema enostavno ne bi bila kos obremenitvi. Druga možnost je, če ni bilo velikosti kot take.
3.2. Ali je pregled HTTPS omogočen? Če da, ali je tehnologija konfigurirana v skladu z najboljšo prakso?
Nanašati se na , če ste naša stranka, ali .
Vrstni red pravil v pravilniku o nadzoru HTTPS je zelo pomemben pri optimizaciji odpiranja spletnih mest HTTPS.
Priporočen vrstni red pravil:
- Zaobiti pravila s kategorijami/URL-ji
- Preglejte pravila s kategorijami/URL-ji
- Preglejte pravila za vse druge kategorije
Po analogiji s politiko požarnega zidu Check Point išče ujemanje po paketih od vrha do dna, zato je bolje, da pravila obvoda postavite na vrh, saj prehod ne bo zapravljal sredstev za izvajanje vseh pravil, če ta paket potrebuje ki ga je treba prenesti.
3.3 Ali se uporabljajo objekti obsega naslovov?
Objekti z obsegom naslovov, na primer omrežje 192.168.0.0-192.168.5.0, zavzamejo bistveno več RAM-a kot 5 omrežnih objektov. Na splošno velja, da je dobra praksa odstranjevanje neuporabljenih predmetov v SmartConsole, saj vsakič, ko je pravilnik nameščen, prehod in strežnik za upravljanje porabita vire in, kar je najpomembnejše, čas, za preverjanje in uporabo pravilnika.
3.4. Kako je konfiguriran pravilnik o preprečevanju groženj?
Najprej Check Point priporoča, da IPS postavite v ločen profil in ustvarite ločena pravila za to rezilo.
Skrbnik na primer meni, da bi moral biti segment DMZ zaščiten samo z IPS. Zato je treba ustvariti pravilo posebej za ta segment s profilom, v katerem je omogočen samo IPS, da preprečite, da bi prehod zapravljal sredstva za obdelavo paketov z drugimi rezinami.
Kar zadeva nastavitev profilov, je priporočljivo, da jih nastavite v skladu z najboljšimi praksami (strani 17-20).
3.5. Koliko podpisov je v nastavitvah IPS v načinu zaznavanja?
Priporočljivo je skrbno preučiti podpise v smislu, da je treba neuporabljene onemogočiti (npr. podpisi za delovanje izdelkov Adobe zahtevajo veliko računalniške moči in če stranka nima takšnih izdelkov, je podpise smiselno onemogočiti). Nato postavite Prepreči namesto Zaznaj, kjer je to mogoče, ker prehod porabi vire za obdelavo celotne povezave v načinu zaznavanja; v načinu Preprečevanje takoj zavrže povezavo in ne zapravlja sredstev za popolno obdelavo paketa.
3.6. Katere datoteke obdelujejo emulacija groženj, ekstrakcija groženj, protivirusne rezine?
Nima smisla posnemati in analizirati datotek razširitev, ki jih vaši uporabniki ne prenesejo ali se vam zdijo nepotrebne v vašem omrežju (datoteke bat, exe je na primer mogoče enostavno blokirati z rezilom Content Awareness na ravni požarnega zidu, tako da manj prehoda sredstva bodo porabljena). Poleg tega lahko v nastavitvah Threat Emulation izberete Okolje (operacijski sistem) za posnemanje groženj v peskovniku, namestitev okolja Windows 7, ko vsi uporabniki delajo z različico 10, pa tudi ni smiselna.
3.7. Ali so pravila požarnega zidu in ravni aplikacije urejena v skladu z najboljšo prakso?
Če ima pravilo veliko zadetkov (ujemanj), je priporočljivo, da jih postavite na sam vrh, pravila z majhnim številom zadetkov pa na čisto dno. Glavna stvar je zagotoviti, da se ne sekata ali prekrivajo. Priporočena arhitektura pravilnika požarnega zidu:
Pojasnilo:
Prva pravila - tukaj so postavljena pravila z največjim številom ujemanj
Noise Rule - pravilo za zavračanje lažnega prometa, kot je NetBIOS
Prikrito pravilo - prepoveduje klice na prehode in upravljanje vsem, razen tistim virom, ki so bili določeni v pravilih za preverjanje pristnosti na prehodu
Pravila za čiščenje, zadnji in izpust so običajno združena v eno pravilo za prepoved vsega, kar prej ni bilo dovoljeno
Podatki o najboljši praksi so opisani v .
3.8. Kakšne nastavitve imajo storitve, ki jih ustvarijo skrbniki?
Na primer, neka storitev TCP je ustvarjena na določenih vratih in smiselno je, da v naprednih nastavitvah storitve počistite polje »Match for Any«. V tem primeru bo ta storitev izrecno spadala pod pravilo, v katerem je navedena, in ne bo sodelovala v pravilih, kjer je v stolpcu Storitve navedeno Kateri koli.
Ko že govorimo o storitvah, je treba omeniti, da je včasih treba prilagoditi časovne omejitve. Ta nastavitev vam bo omogočila pametno uporabo virov prehoda, da ne boste imeli dodatnega časa za seje TCP/UDP protokolov, ki ne potrebujejo velike časovne omejitve. Na spodnjem posnetku zaslona sem na primer spremenil časovno omejitev storitve domene-udp s 40 sekund na 30 sekund.
3.9. Ali se uporablja SecureXL in kakšen je odstotek pospešitve?
Kakovost SecureXL lahko preverite z osnovnimi ukazi v strokovnem načinu na prehodu fwaccel stat и fw statistika pospeška -s. Nato morate ugotoviti, kakšen promet se pospešuje in katere druge predloge je mogoče ustvariti.
Spustne predloge privzeto niso omogočene; če jih omogočite, bo SecureXL koristil. Če želite to narediti, pojdite na nastavitve prehoda in zavihek Optimizacije:
Tudi pri delu z gručo za optimizacijo CPU lahko onemogočite sinhronizacijo nekritičnih storitev, kot so UDP DNS, ICMP in druge. Če želite to narediti, pojdite v nastavitve storitve → Napredno → Sinhroniziraj povezave za stanje Sinhronizacija je omogočena v gruči.
Vse najboljše prakse so opisane v .
3.10. Kako se uporablja CoreXl?
Tehnologija CoreXL, ki omogoča uporabo več procesorjev za instance požarnega zidu (moduli požarnega zidu), vsekakor pripomore k optimizaciji delovanja naprave. Najprej ekipa fw ctl afiniteta -l -a bo prikazal uporabljene primerke požarnega zidu in procesorje, dodeljene SND (modulu, ki distribuira promet entitetam požarnega zidu). Če niso uporabljeni vsi procesorji, jih lahko dodate z ukazom cpconfig na prehodu.
Tudi dobra zgodba je za dati da omogočite več čakalnih vrst. Multi-Queue rešuje težavo, ko je procesor s SND uporabljen v več odstotkih, primerki požarnega zidu na drugih procesorjih pa so nedejavni. Potem bi imel SND možnost ustvariti veliko čakalnih vrst za eno omrežno kartico in nastaviti različne prioritete za različen promet na ravni jedra. Posledično bodo jedra CPU uporabljena bolj inteligentno. Metode so opisane tudi v .
Na koncu bi rad povedal, da to niso vse najboljše prakse za optimizacijo Check Pointa, vendar so najbolj priljubljene. Če želite naročiti revizijo vaše varnostne politike ali rešiti težavo v zvezi s Check Pointom, se obrnite na [e-pošta zaščitena].
Спасибо за внимание!
Vir: www.habr.com