สวัสดีเพื่อนร่วมงาน! วันนี้ฉันอยากจะพูดถึงหัวข้อที่เกี่ยวข้องมากสำหรับผู้ดูแลระบบ Check Point หลายๆ คน นั่นคือ "การปรับแต่ง CPU และ RAM" ไม่ใช่เรื่องแปลกที่เกตเวย์และ/หรือเซิร์ฟเวอร์การจัดการจะใช้ทรัพยากรเหล่านี้จำนวนมากโดยไม่คาดคิด และเราต้องการที่จะเข้าใจว่าพวกเขา "รั่วไหล" ไปที่ใด และหากเป็นไปได้ ให้ใช้ทรัพยากรเหล่านี้อย่างมีประสิทธิภาพมากขึ้น
1. การวิเคราะห์
ในการวิเคราะห์โหลดโปรเซสเซอร์ การใช้คำสั่งต่อไปนี้ซึ่งป้อนในโหมดผู้เชี่ยวชาญจะเป็นประโยชน์:
ด้านบน แสดงกระบวนการทั้งหมด จำนวนทรัพยากร CPU และ RAM ที่ใช้เป็นเปอร์เซ็นต์ เวลาทำงาน ลำดับความสำคัญของกระบวนการ และ
รายการ cpwd_admin ตรวจสอบจุด WatchDog Daemon ซึ่งแสดงโมดูลแอปไลน์ทั้งหมด PID สถานะ และจำนวนการรัน
cpstat -f ระบบปฏิบัติการซีพียู การใช้งาน CPU จำนวนและการกระจายเวลาของโปรเซสเซอร์เป็นเปอร์เซ็นต์
cpstat -f หน่วยความจำระบบปฏิบัติการ การใช้ RAM เสมือน, จำนวนที่ใช้งาน, RAM ว่าง และอื่นๆ
ข้อสังเกตที่ถูกต้องคือคำสั่ง cpstat ทั้งหมดสามารถดูได้โดยใช้ยูทิลิตี้ ซีพีวิว. ในการทำเช่นนี้ คุณเพียงแค่ป้อนคำสั่ง cpview จากโหมดใดก็ได้ในเซสชัน SSH
ปล.auxwf รายการยาวของกระบวนการทั้งหมด, ID, หน่วยความจำเสมือนที่ถูกครอบครองและหน่วยความจำใน RAM, CPU
รูปแบบอื่นของคำสั่ง:
ps-aF แสดงกระบวนการที่แพงที่สุด
fw ctl ความเกี่ยวข้อง -l -a การกระจายคอร์สำหรับอินสแตนซ์ต่างๆ ของไฟร์วอลล์ นั่นคือ เทคโนโลยี CoreXL
fw ctl pstat การวิเคราะห์ RAM และตัวบ่งชี้ทั่วไปของการเชื่อมต่อ คุกกี้ NAT
ฟรี บัฟเฟอร์แรม
ทีมสมควรได้รับความสนใจเป็นพิเศษ ตาข่าย และรูปแบบของมัน ตัวอย่างเช่น, เน็ตสเตต -i สามารถช่วยแก้ปัญหาการตรวจสอบคลิปบอร์ดได้ พารามิเตอร์ RX ปล่อยแพ็กเก็ต (RX-DRP) ในเอาต์พุตของคำสั่งนี้มีแนวโน้มที่จะเติบโตด้วยตัวเองเนื่องจากการลดลงของโปรโตคอลที่ไม่ถูกต้อง (IPv6, แท็ก VLAN ไม่ถูกต้อง / ไม่ได้ตั้งใจ และอื่นๆ) อย่างไรก็ตาม หากการหยดเกิดขึ้นด้วยเหตุผลอื่น คุณควรใช้สิ่งนี้
หากเปิดใช้งาน Monitoring blade คุณสามารถดูเมตริกเหล่านี้แบบกราฟิกใน SmartConsole โดยคลิกที่วัตถุแล้วเลือก Device & License Information
ไม่แนะนำให้เปิดใช้งาน Monitoring blade อย่างต่อเนื่อง แต่เป็นไปได้ค่อนข้างมากสำหรับการทดสอบหนึ่งวัน
นอกจากนี้ คุณสามารถเพิ่มพารามิเตอร์เพิ่มเติมสำหรับการตรวจสอบ หนึ่งในนั้นมีประโยชน์มาก - Bytes Throughput (แบนด์วิธของแอพไลน์)
หากมีระบบตรวจสอบอื่น ๆ เช่นฟรี
2. RAM “รั่วไหล” เมื่อเวลาผ่านไป
บ่อยครั้งที่มีคำถามเกิดขึ้นว่าเมื่อเวลาผ่านไป เกตเวย์หรือเซิร์ฟเวอร์การจัดการเริ่มใช้ RAM มากขึ้นเรื่อยๆ ฉันต้องการให้คุณมั่นใจ: นี่เป็นเรื่องปกติสำหรับระบบที่เหมือนลีนุกซ์
ดูที่เอาต์พุตคำสั่ง ฟรี и cpstat -f หน่วยความจำระบบปฏิบัติการ บนแอพไลน์จากโหมดผู้เชี่ยวชาญ คุณสามารถคำนวณและดูพารามิเตอร์ทั้งหมดที่เกี่ยวข้องกับ RAM
ขึ้นอยู่กับหน่วยความจำที่มีบนเกตเวย์ในขณะนี้ หน่วยความจำฟรี + หน่วยความจำบัฟเฟอร์ + หน่วยความจำแคช = +-1.5GB, โดยปกติ.
ตามที่ SR กล่าว เมื่อเวลาผ่านไป เกตเวย์/เซิร์ฟเวอร์การจัดการได้รับการปรับให้เหมาะสมและใช้หน่วยความจำมากขึ้นเรื่อยๆ ใช้งานสูงสุดประมาณ 80% และหยุดทำงาน คุณสามารถรีบูตอุปกรณ์ จากนั้นตัวบ่งชี้จะถูกรีเซ็ต RAM ว่าง 1.5 GB นั้นเพียงพอสำหรับเกตเวย์ในการทำงานทั้งหมด และการจัดการแทบไม่ถึงค่าเกณฑ์ดังกล่าว
นอกจากนี้ ผลลัพธ์ของคำสั่งดังกล่าวจะแสดงจำนวนเงินที่คุณมี หน่วยความจำต่ำ (แรมในพื้นที่ผู้ใช้) และ หน่วยความจำสูง (RAM ในพื้นที่เคอร์เนล) ที่ใช้
กระบวนการเคอร์เนล (รวมถึงโมดูลที่แอ็คทีฟ เช่น โมดูลเคอร์เนล Check Point) ใช้หน่วยความจำเหลือน้อยเท่านั้น อย่างไรก็ตาม กระบวนการของผู้ใช้สามารถใช้ได้ทั้งหน่วยความจำต่ำและสูง ยิ่งกว่านั้นหน่วยความจำเหลือน้อยมีค่าเท่ากับ หน่วยความจำทั้งหมด.
คุณควรกังวลหากมีข้อผิดพลาดในบันทึกเท่านั้น "โมดูลรีบูตหรือกระบวนการถูกฆ่าเพื่อเรียกคืนหน่วยความจำเนื่องจาก OOM (หน่วยความจำไม่เพียงพอ)". จากนั้นคุณควรรีบูตเกตเวย์และติดต่อฝ่ายสนับสนุนหากการรีบูตไม่ได้ผล
สามารถดูคำอธิบายฉบับเต็มได้ใน
3. การเพิ่มประสิทธิภาพ
ด้านล่างนี้เป็นคำถามและคำตอบเกี่ยวกับการเพิ่มประสิทธิภาพ CPU และ RAM คุณควรตอบคำถามเหล่านี้อย่างตรงไปตรงมากับตัวเองและรับฟังคำแนะนำ
3.1. เลือกอัพไลน์ถูกหรือเปล่า? มีโครงการนำร่องหรือไม่?
แม้จะมีขนาดที่เหมาะสม แต่เครือข่ายก็สามารถเติบโตได้และอุปกรณ์นี้ก็ไม่สามารถรับมือกับโหลดได้ ตัวเลือกที่สองหากไม่มีการปรับขนาดเช่นนี้
3.2. เปิดใช้งานการตรวจสอบ HTTPS หรือไม่ ถ้าเป็นเช่นนั้น เทคโนโลยีได้รับการกำหนดค่าตามแนวทางปฏิบัติที่ดีที่สุดหรือไม่
อ้างถึง
ลำดับของกฎในนโยบายการตรวจสอบ HTTPS มีบทบาทสำคัญในการปรับการเปิดไซต์ HTTPS ให้เหมาะสม
ลำดับของกฎที่แนะนำ:
- ข้ามกฎด้วยหมวดหมู่/URL
- ตรวจสอบกฎด้วยหมวดหมู่/URL
- ตรวจสอบกฎสำหรับหมวดหมู่อื่นๆ ทั้งหมด
เมื่อเปรียบเทียบกับนโยบายไฟร์วอลล์ Check Point จะมองหาแพ็กเก็ตที่ตรงกันจากบนลงล่าง ดังนั้นกฎการบายพาสจึงวางไว้ด้านบนสุด เนื่องจากเกตเวย์จะไม่สิ้นเปลืองทรัพยากรในการทำงานผ่านกฎทั้งหมดหากจำเป็นต้องข้ามแพ็กเก็ตนี้
3.3 มีการใช้ออบเจกต์ช่วงที่อยู่หรือไม่
อ็อบเจกต์ที่มีช่วงของแอดเดรส เช่น เครือข่าย 192.168.0.0-192.168.5.0 ใช้ RAM มากกว่า 5 อ็อบเจ็กต์เครือข่ายอย่างมาก โดยทั่วไป การลบอ็อบเจ็กต์ที่ไม่ได้ใช้ใน SmartConsole ถือเป็นแนวปฏิบัติที่ดี เนื่องจากทุกครั้งที่มีการกำหนดนโยบาย เกตเวย์และเซิร์ฟเวอร์การจัดการจะใช้ทรัพยากร และที่สำคัญที่สุดคือเวลาในการตรวจสอบและใช้นโยบาย
3.4. นโยบายการป้องกันภัยคุกคามมีการกำหนดค่าอย่างไร
ก่อนอื่น Check Point แนะนำให้ย้าย IPS ไปยังโปรไฟล์แยกต่างหากและสร้างกฎแยกต่างหากสำหรับเบลดนี้
ตัวอย่างเช่น ผู้ดูแลระบบคิดว่าส่วน DMZ ควรได้รับการป้องกันด้วย IPS เท่านั้น ดังนั้น เพื่อไม่ให้เกตเวย์สิ้นเปลืองทรัพยากรในการประมวลผลแพ็กเก็ตโดยเบลดอื่น จำเป็นต้องสร้างกฎเฉพาะสำหรับเซกเมนต์นี้ด้วยโปรไฟล์ที่เปิดใช้งาน IPS เท่านั้น
เกี่ยวกับการตั้งค่าโปรไฟล์ ขอแนะนำให้ตั้งค่าตามแนวทางปฏิบัติที่ดีที่สุดในนี้
3.5. มีกี่ลายเซ็นในโหมดตรวจจับในการตั้งค่า IPS
ขอแนะนำให้ทำงานอย่างหนักกับลายเซ็นในแง่ที่ว่าควรปิดใช้งานลายเซ็นที่ไม่ได้ใช้ (เช่น ลายเซ็นสำหรับการทำงานของผลิตภัณฑ์ Adobe ต้องใช้พลังการประมวลผลจำนวนมาก และถ้าลูกค้าไม่มีผลิตภัณฑ์ดังกล่าว ก็ควรปิดการใช้งาน ลายเซ็น). จากนั้นให้ใส่ Prevent แทน Detect เมื่อเป็นไปได้ เนื่องจากเกตเวย์ใช้ทรัพยากรในการประมวลผลการเชื่อมต่อทั้งหมดในโหมด Detect ในโหมดป้องกัน เกตเวย์จะหยุดการเชื่อมต่อทันทีและไม่สิ้นเปลืองทรัพยากรในการประมวลผลแพ็กเก็ตทั้งหมด
3.6. ไฟล์ใดบ้างที่ประมวลผลโดย Threat Emulation, Threat Extraction, Anti-Virus blades
มันไม่สมเหตุสมผลเลยที่จะเลียนแบบและวิเคราะห์ไฟล์นามสกุลที่ผู้ใช้ของคุณไม่ได้ดาวน์โหลดหรือคุณคิดว่าไม่จำเป็นบนเครือข่ายของคุณ (เช่น ไฟล์ bat, exe สามารถบล็อกได้ง่ายๆ โดยใช้เบลด Content Awareness ที่ระดับไฟร์วอลล์ ดังนั้นทรัพยากรเกตเวย์จะถูก ใช้จ่ายน้อยลง) ยิ่งไปกว่านั้น ในการตั้งค่า Threat Emulation คุณสามารถเลือก Environment (ระบบปฏิบัติการ) เพื่อจำลองภัยคุกคามในแซนด์บ็อกซ์และติดตั้ง Environment Windows 7 เมื่อผู้ใช้ทั้งหมดกำลังทำงานกับเวอร์ชัน 10 ซึ่งก็ไม่สมเหตุสมผลเช่นกัน
3.7. กฎของไฟร์วอลล์และชั้นแอปพลิเคชันเป็นไปตามแนวทางปฏิบัติที่ดีที่สุดหรือไม่
หากกฎมีการเข้าชมจำนวนมาก (ตรงกัน) ขอแนะนำให้วางไว้ที่ด้านบนสุด และกฎที่มีจำนวนการเข้าชมน้อย - ที่ด้านล่างสุด สิ่งสำคัญคือต้องแน่ใจว่าไม่ตัดกันและไม่ทับซ้อนกัน สถาปัตยกรรมนโยบายไฟร์วอลล์ที่แนะนำ:
คำอธิบาย:
กฎข้อแรก - กฎที่มีการจับคู่มากที่สุดอยู่ที่นี่
กฎเสียงรบกวน - กฎสำหรับการละทิ้งทราฟฟิกปลอม เช่น NetBIOS
กฎการซ่อน - การห้ามการเข้าถึงเกตเวย์และการจัดการทั้งหมด ยกเว้นแหล่งที่มาที่ระบุไว้ในกฎการรับรองความถูกต้องของเกตเวย์
กฎการล้างข้อมูล กฎสุดท้าย และกฎการทิ้งมักจะรวมกันเป็นกฎเดียวเพื่อห้ามทุกสิ่งที่ไม่ได้รับอนุญาตก่อนหน้านี้
ข้อมูลแนวปฏิบัติที่ดีที่สุดอธิบายไว้ใน
3.8. การตั้งค่าสำหรับบริการที่สร้างโดยผู้ดูแลระบบคืออะไร?
ตัวอย่างเช่น มีการสร้างบริการ TCP บางอย่างบนพอร์ตเฉพาะ และเป็นการสมควรที่จะยกเลิกการเลือก "จับคู่กับใดๆ" ในการตั้งค่าขั้นสูงของบริการ ในกรณีนี้ บริการนี้จะตกอยู่ภายใต้กฎที่ปรากฏโดยเฉพาะ และจะไม่เข้าร่วมในกฎที่ Any อยู่ในคอลัมน์ Services
เมื่อพูดถึงบริการ เป็นสิ่งที่ควรค่าแก่การกล่าวถึงว่าบางครั้งจำเป็นต้องปรับแต่งระยะหมดเวลา การตั้งค่านี้จะช่วยให้คุณใช้ทรัพยากรเกตเวย์ได้อย่างชาญฉลาดมากขึ้น เพื่อไม่ให้เวลาเซสชัน TCP/UDP พิเศษสำหรับโปรโตคอลที่ไม่ต้องการการหมดเวลามาก ตัวอย่างเช่น ในภาพหน้าจอด้านล่าง ฉันเปลี่ยนการหมดเวลาของบริการโดเมน-udp จาก 40 วินาทีเป็น 30 วินาที
3.9. มีการใช้ SecureXL และอัตราเร่งเป็นเท่าใด
คุณสามารถตรวจสอบคุณภาพของ SecureXL ด้วยคำสั่งหลักในโหมดผู้เชี่ยวชาญบนเกตเวย์ สถานะ fwaccel и fw เร่ง -s. ถัดไป คุณต้องทราบว่าทราฟฟิกประเภทใดที่เร่งความเร็ว เทมเพลต (เทมเพลต) ใดที่คุณสามารถสร้างเพิ่มเติมได้
ตามค่าเริ่มต้น เทมเพลตการวางไม่ได้เปิดใช้งาน การเปิดใช้งานจะมีผลดีต่อการทำงานของ SecureXL ในการทำเช่นนี้ ให้ไปที่การตั้งค่าเกตเวย์และแท็บการเพิ่มประสิทธิภาพ:
นอกจากนี้ เมื่อทำงานกับคลัสเตอร์ เพื่อเพิ่มประสิทธิภาพ CPU คุณสามารถปิดใช้งานการซิงโครไนซ์ของบริการที่ไม่สำคัญ เช่น UDP DNS, ICMP และอื่นๆ ในการดำเนินการนี้ ให้ไปที่การตั้งค่าบริการ → ขั้นสูง → ซิงโครไนซ์การเชื่อมต่อของ State Synchronization ที่เปิดใช้งานบนคลัสเตอร์
แนวทางปฏิบัติที่ดีที่สุดทั้งหมดอธิบายไว้ใน
3.10. CoreXl ใช้อย่างไร
เทคโนโลยี CoreXL ซึ่งช่วยให้คุณใช้ CPU หลายตัวสำหรับอินสแตนซ์ของไฟร์วอลล์ (โมดูลไฟร์วอลล์) ช่วยเพิ่มประสิทธิภาพของอุปกรณ์ได้อย่างแน่นอน ทีมแรก fw ctl ความเกี่ยวข้อง -l -a จะแสดงอินสแตนซ์ของไฟร์วอลล์ที่ใช้และตัวประมวลผลที่กำหนดให้กับ SND ที่จำเป็น (โมดูลที่กระจายการรับส่งข้อมูลไปยังเอนทิตีไฟร์วอลล์) หากไม่มีโปรเซสเซอร์ทั้งหมดที่เกี่ยวข้อง คุณสามารถเพิ่มได้ด้วยคำสั่ง cpconfig ที่เกตเวย์
ยังนำเรื่องราวดีๆ
โดยสรุป ฉันต้องการจะบอกว่าสิ่งเหล่านี้ยังห่างไกลจากแนวทางปฏิบัติที่ดีที่สุดสำหรับการเพิ่มประสิทธิภาพจุดตรวจสอบ แต่เป็นที่นิยมมากที่สุด หากคุณต้องการขอให้ตรวจสอบนโยบายความปลอดภัยของคุณหรือแก้ไขปัญหา Check Point กรุณาติดต่อ [ป้องกันอีเมล].
ขอบคุณ!
ที่มา: will.com