Përshëndetje kolegë! Sot do të doja të diskutoja një temë shumë të rëndësishme për shumë administratorë të Check Point: "Optimizimi i CPU dhe RAM". Ka shpesh raste kur porta dhe/ose serveri i menaxhimit konsumon papritur shumë nga këto burime, dhe unë do të doja të kuptoja se ku "rrjedhin" dhe, nëse është e mundur, t'i përdor ato në mënyrë më inteligjente.
1. Analiza
Për të analizuar ngarkesën e procesorit, është e dobishme të përdorni komandat e mëposhtme, të cilat futen në modalitetin ekspert:
më i lartë tregon të gjitha proceset, sasinë e burimeve të CPU dhe RAM të konsumuar në përqindje, kohën e funksionimit, përparësinë e procesit dhe në kohë realeи
lista cpwd_admin Kontrolloni Point WatchDog Daemon, i cili tregon të gjitha modulet e aplikacionit, PID-in e tyre, statusin dhe numrin e fillimeve
cpstat -f cpu os Përdorimi i CPU-së, numri i tyre dhe shpërndarja e kohës së procesorit në përqindje
cpstat -f memorie os Përdorimi virtual i RAM-it, sa aktiv, RAM falas dhe më shumë
Vërejtja e saktë është se të gjitha komandat cpstat mund të shikohen duke përdorur programin cpview. Për ta bërë këtë, thjesht duhet të futni komandën cpview nga çdo modalitet në seancën SSH.
ps auxwf një listë e gjatë e të gjitha proceseve, ID e tyre, memoria virtuale e zënë dhe memoria në RAM, CPU
Variacione të tjera të komandave:
ps-aF do të tregojë procesin më të shtrenjtë
fw ctl afinitet -l -a shpërndarja e bërthamave për instanca të ndryshme të mureve të zjarrit, domethënë teknologjia CoreXL
fw ctl pstat Analiza RAM dhe treguesit e përgjithshëm të lidhjes, cookies, NAT
falas -m tampon RAM
Skuadra meriton vëmendje të veçantë netsat dhe variacionet e saj. Për shembull, netstat -i mund të ndihmojë në zgjidhjen e problemit të monitorimit të tabelave. Parametri, paketat e lëshuara RX (RX-DRP) në daljen e kësaj komande, si rregull, rritet vetë për shkak të rënies së protokolleve të paligjshme (IPv6, etiketat VLAN të këqija / të paqëllimshme dhe të tjera). Megjithatë, nëse rënia ndodh për një arsye tjetër, atëherë duhet ta përdorni këtë për të filluar hetimin dhe kuptimin pse një ndërfaqe e caktuar rrjeti po heq paketat. Pasi të keni zbuluar arsyen, funksionimi i aplikacionit gjithashtu mund të optimizohet.
Nëse tehu i Monitorimit është i aktivizuar, mund t'i shikoni këto metrika grafikisht në SmartConsole duke klikuar mbi objektin dhe duke zgjedhur "Informacioni i pajisjes dhe licencës".
Nuk rekomandohet të ndizni tehun e monitorimit në mënyrë të përhershme, por për një ditë për testim është mjaft e mundur.
Për më tepër, mund të shtoni më shumë parametra për monitorim, një prej tyre është shumë i dobishëm - Bytes Throughput (xhiros i aplikacionit).
Nëse ka ndonjë sistem tjetër monitorimi, për shembull, falas , bazuar në SNMP, është gjithashtu i përshtatshëm për identifikimin e këtyre problemeve.
2. RAM-i rrjedh me kalimin e kohës
Shpesh lind pyetja se me kalimin e kohës, serveri i portës ose i menaxhimit fillon të konsumojë gjithnjë e më shumë RAM. Unë dua t'ju siguroj: kjo është një histori normale për sistemet e ngjashme me Linux.
Duke parë daljen e komandave falas -m и cpstat -f memorie os në aplikacionin nga modaliteti ekspert, mund të llogaritni dhe shikoni të gjithë parametrat që lidhen me RAM-in.
Bazuar në kujtesën e disponueshme në portë për momentin Kujtesë e Lirë + Buffers Memory + Memoria e memorizuar = +-1.5 GB, zakonisht.
Siç thotë CP, me kalimin e kohës serveri i portës/menaxhimit optimizon dhe përdor gjithnjë e më shumë memorie, duke arritur rreth 80% të përdorimit dhe ndalon. Mund ta rindizni pajisjen dhe më pas treguesi do të rivendoset. 1.5 GB RAM pa pagesë është saktësisht e mjaftueshme që gateway të kryejë të gjitha detyrat, dhe menaxhimi rrallë arrin vlera të tilla të pragut.
Gjithashtu rezultatet e komandave të përmendura do të tregojnë se sa keni Memorie e ulët (RAM në hapësirën e përdoruesit) dhe Memorie e lartë (RAM në hapësirën e kernelit) përdoret.
Proceset e kernelit (duke përfshirë modulet aktive siç janë modulet e kernelit Check Point) përdorin vetëm memorie të ulët. Megjithatë, proceset e përdoruesit mund të përdorin memorie të ulët dhe të lartë. Për më tepër, memoria e ulët është afërsisht e barabartë me Kujtesa totale.
Duhet të shqetësoheni vetëm nëse ka gabime në regjistra "Modulet rindizen ose procesohen për të rikthyer kujtesën për shkak të OOM (Jashtë memoria)". Pastaj duhet të rindizni portën dhe të kontaktoni mbështetjen nëse rindezja nuk ju ndihmon.
Një përshkrim i plotë mund të gjendet në и .
3. Optimizimi
Më poshtë janë pyetjet dhe përgjigjet mbi optimizimin e CPU dhe RAM. Ju duhet t'u përgjigjeni atyre me ndershmëri vetes dhe të dëgjoni rekomandimet.
3.1. A u zgjodh saktë aplikacioni? A kishte ndonjë projekt pilot?
Pavarësisht nga madhësia e duhur, rrjeti thjesht mund të rritet dhe kjo pajisje thjesht nuk mund të përballojë ngarkesën. Opsioni i dytë është nëse nuk kishte përmasa si të tilla.
3.2. A është aktivizuar inspektimi HTTPS? Nëse po, a është teknologjia e konfiguruar sipas Praktikës më të Mirë?
I referohet , nëse jeni klienti ynë, ose për të .
Renditja e rregullave në politikën e inspektimit HTTPS luan një rol të madh në optimizimin e hapjes së sajteve HTTPS.
Rendi i rekomanduar i rregullave:
- Anashkaloni rregullat me kategori/URL
- Inspektoni rregullat me kategori/URL
- Inspektoni rregullat për të gjitha kategoritë e tjera
Për analogji me politikën e murit të zjarrit, Check Point kërkon një përputhje sipas paketave nga lart poshtë, kështu që është më mirë të vendosni rregullat e anashkalimit në krye, pasi porta nuk do të harxhojë burime për të kaluar nëpër të gjitha rregullat nëse kjo paketë ka nevojë. për t'u kaluar.
3.3 A përdoren objektet e intervalit të adresave?
Objektet me një gamë adresash, për shembull, rrjeti 192.168.0.0-192.168.5.0, zënë dukshëm më shumë RAM sesa 5 objekte rrjeti. Në përgjithësi, konsiderohet praktikë e mirë heqja e objekteve të papërdorura në SmartConsole, pasi sa herë që instalohet një politikë, porta dhe serveri i menaxhimit shpenzojnë burime dhe, më e rëndësishmja, kohë, duke verifikuar dhe zbatuar politikën.
3.4. Si është konfiguruar politika e Parandalimit të Kërcënimeve?
Para së gjithash, Check Point rekomandon vendosjen e IPS në një profil të veçantë dhe krijimin e rregullave të veçanta për këtë teh.
Për shembull, një administrator beson se segmenti DMZ duhet të mbrohet vetëm duke përdorur IPS. Prandaj, për të parandaluar humbjen e burimeve nga porta në përpunimin e paketave nga blade të tjera, është e nevojshme të krijohet një rregull posaçërisht për këtë segment me një profil në të cilin është aktivizuar vetëm IPS.
Për sa i përket konfigurimit të profileve, rekomandohet konfigurimi i tij sipas praktikave më të mira në këtë (faqe 17-20).
3.5. Në cilësimet IPS, sa nënshkrime ka në modalitetin "Zbulimi"?
Rekomandohet që të studiohen me kujdes nënshkrimet në kuptimin që ato të papërdorura duhet të çaktivizohen (për shembull, nënshkrimet për funksionimin e produkteve Adobe kërkojnë shumë fuqi llogaritëse, dhe nëse klienti nuk ka produkte të tilla, ka kuptim të çaktivizohen nënshkrimet). Më pas, vendosni Parandalimin në vend të Detect aty ku është e mundur, sepse porta shpenzon burime duke përpunuar të gjithë lidhjen në modalitetin "Zbulimi"; në modalitetin "Parandalimi", ajo e hedh menjëherë lidhjen dhe nuk i harxhon burimet në përpunimin e plotë të paketës.
3.6. Cilat skedarë përpunohen nga Threat Emulation, Threat Extraction, Anti-Virus blades?
Nuk ka kuptim të imitoni dhe analizoni skedarët e shtesave që përdoruesit tuaj nuk i shkarkojnë ose ju i konsideroni të panevojshëm në rrjetin tuaj (për shembull, skedarët bat, exe mund të bllokohen lehtësisht duke përdorur tehun e Ndërgjegjësimit të Përmbajtjes në nivelin e murit të zjarrit, pra më pak portë burimet do të shpenzohen). Për më tepër, në cilësimet Threat Emulation mund të zgjidhni Environment (sistemi operativ) për të imituar kërcënimet në sandbox dhe instalimi i Mjedisit Windows 7 kur të gjithë përdoruesit janë duke punuar me versionin 10 nuk ka kuptim as.
3.7. A janë rregulluar rregullat e murit të zjarrit dhe të nivelit të aplikacionit në përputhje me praktikën më të mirë?
Nëse një rregull ka shumë goditje (ndeshje), atëherë rekomandohet t'i vendosni ato në krye, dhe rregullat me një numër të vogël goditjesh - në fund. Gjëja kryesore është të siguroheni që ato të mos kryqëzohen ose mbivendosen me njëra-tjetrën. Arkitektura e politikave të rekomanduara të murit të zjarrit:
Shpjegimet:
Rregullat e para - rregullat me numrin më të madh të ndeshjeve vendosen këtu
Rregulli i zhurmës - një rregull për heqjen e trafikut të rremë siç është NetBIOS
Rregulli Stealth - ndalon thirrjet drejt portave dhe menaxhimeve për të gjithë, përveç atyre burimeve që janë specifikuar në rregullat e Autentifikimit në Gateway
Rregullat e pastrimit, të fundit dhe të lëshimit zakonisht kombinohen në një rregull për të ndaluar gjithçka që nuk lejohej më parë
Të dhënat e praktikave më të mira përshkruhen në .
3.8. Çfarë cilësimesh kanë shërbimet e krijuara nga administratorët?
Për shembull, disa shërbime TCP krijohen në një port të caktuar dhe ka kuptim të zgjidhni "Match for Any" në cilësimet e avancuara të shërbimit. Në këtë rast, ky shërbim do të bjerë në mënyrë specifike nën rregullin në të cilin shfaqet dhe nuk do të marrë pjesë në rregullat ku Any është renditur në kolonën Shërbimet.
Duke folur për shërbimet, vlen të përmendet se ndonjëherë është e nevojshme të rregulloni afatet. Ky cilësim do t'ju lejojë të përdorni burimet e portës me mençuri, në mënyrë që të mos mbani kohë shtesë për seancat TCP/UDP të protokolleve që nuk kanë nevojë për një kohë të gjatë. Për shembull, në pamjen e mëposhtme të ekranit, kam ndryshuar kohën e shërbimit të domain-udp nga 40 sekonda në 30 sekonda.
3.9. A përdoret SecureXL dhe sa është përqindja e përshpejtimit?
Mund të kontrolloni cilësinë e SecureXL duke përdorur komandat bazë në modalitetin ekspert në portë fwaccel stat и fw accel stats -s. Më pas, duhet të kuptoni se çfarë lloj trafiku po përshpejtohet dhe cilat shabllone të tjerë mund të krijohen.
Modelet e lëshimit nuk janë aktivizuar si parazgjedhje; aktivizimi i tyre do të përfitojë nga SecureXL. Për ta bërë këtë, shkoni te cilësimet e portës dhe skeda Optimizimet:
Gjithashtu, kur punoni me një grup për të optimizuar CPU-në, mund të çaktivizoni sinkronizimin e shërbimeve jo kritike, të tilla si UDP DNS, ICMP dhe të tjera. Për ta bërë këtë, shkoni te cilësimet e shërbimit → Të avancuara → Sinkronizimi i lidhjeve të gjendjes Sinkronizimi i gjendjes është aktivizuar në grup.
Të gjitha praktikat më të mira përshkruhen në .
3.10. Si përdoret CoreXl?
Teknologjia CoreXL, e cila lejon përdorimin e CPU-ve të shumta për instancat e mureve të zjarrit (modulet e murit të zjarrit), padyshim që ndihmon në optimizimin e funksionimit të pajisjes. Ekipi i pari fw ctl afinitet -l -a do të tregojë instancat e firewall-it të përdorur dhe procesorët e caktuar për SND (një modul që shpërndan trafikun tek entitetet e murit të zjarrit). Nëse nuk përdoren të gjithë procesorët, ata mund të shtohen me komandë cpconfig në portë.
Gjithashtu një histori e mirë është për të vënë për të aktivizuar Multi-Queue. Multi-Queue zgjidh problemin kur procesori me SND përdoret në shumë përqind dhe rastet e murit të zjarrit në procesorë të tjerë janë të papunë. Atëherë SND do të kishte aftësinë të krijojë shumë radhë për një NIC dhe të vendosë prioritete të ndryshme për trafik të ndryshëm në nivel kernel. Rrjedhimisht, bërthamat e CPU-së do të përdoren në mënyrë më inteligjente. Metodat përshkruhen gjithashtu në .
Si përfundim, do të doja të them se këto nuk janë të gjitha praktikat më të mira për optimizimin e pikës së kontrollit, por ato janë më të njohurat. Nëse dëshironi të urdhëroni një auditim të politikës suaj të sigurisë ose të zgjidhni një problem në lidhje me Check Point, ju lutemi kontaktoni [email mbrojtur].
Спасибо за внимание!
Burimi: www.habr.com