Hello mga kasamahan! Ngayon gusto kong talakayin ang isang napaka-kaugnay na paksa para sa maraming mga administrator ng Check Point: "Pag-optimize ng CPU at RAM." Mayroong madalas na mga kaso kapag ang gateway at/o server ng pamamahala ay gumagamit ng hindi inaasahang maraming mga mapagkukunang ito, at gusto kong maunawaan kung saan sila "dumaloy" at, kung maaari, gamitin ang mga ito nang mas matalino.
1. Pagsusuri
Upang pag-aralan ang pag-load ng processor, kapaki-pakinabang na gamitin ang mga sumusunod na command, na ipinasok sa mode ng eksperto:
tuktok ipinapakita ang lahat ng mga proseso, ang dami ng mga mapagkukunan ng CPU at RAM na natupok bilang isang porsyento, oras ng pag-andar, priyoridad ng proseso at sa totoong orasΠΈ
cpwd_admin list Check Point WatchDog Daemon, na nagpapakita ng lahat ng mga module ng application, ang kanilang PID, katayuan at bilang ng mga pagsisimula
cpstat -f cpu os Paggamit ng CPU, ang kanilang bilang at pamamahagi ng oras ng processor bilang isang porsyento
cpstat -f memory os paggamit ng virtual RAM, gaano ka aktibo, libreng RAM at higit pa
Ang tamang pangungusap ay ang lahat ng cpstat command ay maaaring matingnan gamit ang utility cpview. Upang gawin ito, kailangan mo lamang ipasok ang cpview command mula sa anumang mode sa session ng SSH.
ps auxwf isang mahabang listahan ng lahat ng mga proseso, ang kanilang ID, inookupahan virtual memory at memorya sa RAM, CPU
Iba pang mga pagkakaiba-iba ng command:
ps-aF ay magpapakita ng pinakamahal na proseso
fw ctl affinity -l -a pamamahagi ng mga core para sa iba't ibang mga pagkakataon ng firewall, iyon ay, teknolohiya ng CoreXL
fw ctl pstat Pagsusuri ng RAM at pangkalahatang mga tagapagpahiwatig ng koneksyon, cookies, NAT
libre -m buffer ng RAM
Ang koponan ay nararapat ng espesyal na atensyon netsat at mga pagkakaiba-iba nito. Halimbawa, netstat -i ay maaaring makatulong sa paglutas ng problema sa pagsubaybay sa mga clipboard. Ang parameter, RX dropped packets (RX-DRP) sa output ng command na ito, bilang panuntunan, ay lumalaki sa sarili nitong dahil sa mga patak ng mga hindi lehitimong protocol (IPv6, Bad / Unintended VLAN tags at iba pa). Gayunpaman, kung ang mga patak ay nangyari para sa isa pang dahilan, dapat mong gamitin ito upang simulan ang pagsisiyasat at pag-unawa kung bakit ang isang ibinigay na interface ng network ay naghuhulog ng mga packet. Nang malaman ang dahilan, maaari ding ma-optimize ang pagpapatakbo ng app.
Kung naka-enable ang Monitoring blade, maaari mong tingnan ang mga sukatang ito nang graphic sa SmartConsole sa pamamagitan ng pag-click sa object at pagpili sa βDevice at License Information.β
Hindi inirerekumenda na i-on ang Monitoring blade sa isang permanenteng batayan, ngunit para sa isang araw para sa pagsubok ito ay lubos na posible.
Bukod dito, maaari kang magdagdag ng higit pang mga parameter para sa pagsubaybay, ang isa sa mga ito ay lubhang kapaki-pakinabang - Bytes Throughput (application throughput).
Kung mayroong ibang sistema ng pagsubaybay, halimbawa, libre , batay sa SNMP, angkop din ito sa pagtukoy sa mga problemang ito.
2. Tumagas ang RAM sa paglipas ng panahon
Ang tanong ay madalas na lumitaw na sa paglipas ng panahon, ang gateway o server ng pamamahala ay nagsisimulang kumonsumo ng higit pa at mas maraming RAM. Gusto kong tiyakin sa iyo: ito ay isang normal na kuwento para sa mga sistemang katulad ng Linux.
Tinitingnan ang output ng mga utos libre -m ΠΈ cpstat -f memory os sa app mula sa expert mode, maaari mong kalkulahin at tingnan ang lahat ng mga parameter na nauugnay sa RAM.
Batay sa magagamit na memorya sa gateway sa ngayon Libreng memorya + Mga Buffer Memory + Naka-cache na Memory = +-1.5 GB, kadalasan.
Gaya ng sabi ng CP, sa paglipas ng panahon ang gateway/management server ay nag-o-optimize at gumagamit ng higit at mas maraming memory, na umaabot sa halos 80% na paggamit, at humihinto. Maaari mong i-reboot ang device, at pagkatapos ay ire-reset ang indicator. Ang 1.5 GB ng libreng RAM ay eksaktong sapat para sa gateway upang maisagawa ang lahat ng mga gawain, at bihirang maabot ng pamamahala ang mga naturang halaga ng threshold.
Gayundin ang mga output ng nabanggit na mga utos ay magpapakita kung magkano ang mayroon ka Mababang memorya (RAM sa espasyo ng gumagamit) at Mataas na memorya (RAM sa kernel space) na ginamit.
Ang mga proseso ng kernel (kabilang ang mga aktibong module tulad ng mga module ng kernel ng Check Point) ay gumagamit lamang ng Mababang memorya. Gayunpaman, ang mga proseso ng user ay maaaring gumamit ng parehong Mababang at Mataas na memorya. Bukod dito, ang Mababang memorya ay humigit-kumulang katumbas ng Kabuuang memorya.
Dapat ka lang mag-alala kung may mga error sa mga log "nagre-reboot ang mga module o pinapatay ang mga proseso upang mabawi ang memorya dahil sa OOM (Out of memory)". Pagkatapos ay dapat mong i-reboot ang gateway at makipag-ugnayan sa suporta kung hindi makakatulong ang pag-reboot.
Ang isang buong paglalarawan ay matatagpuan sa ΠΈ .
3. Pag-optimize
Nasa ibaba ang mga tanong at sagot sa pag-optimize ng CPU at RAM. Dapat mong sagutin ang mga ito nang tapat sa iyong sarili at makinig sa mga rekomendasyon.
3.1. Napili ba nang tama ang aplikasyon? Nagkaroon ba ng pilot project?
Sa kabila ng wastong sukat, ang network ay maaaring lumaki lamang, at ang kagamitang ito ay hindi maaaring makayanan ang pagkarga. Ang pangalawang pagpipilian ay kung walang sukat tulad nito.
3.2. Naka-enable ba ang HTTPS inspection? Kung oo, naka-configure ba ang teknolohiya ayon sa Best Practice?
Sumangguni sa , kung ikaw ay aming kliyente, o sa .
Malaki ang papel ng pagkakasunud-sunod ng mga panuntunan sa patakaran sa inspeksyon ng HTTPS sa pag-optimize ng pagbubukas ng mga site ng HTTPS.
Inirerekomendang pagkakasunud-sunod ng mga panuntunan:
- I-bypass ang mga panuntunan na may mga kategorya/URL
- Siyasatin ang mga panuntunan na may mga kategorya/URL
- Siyasatin ang mga panuntunan para sa lahat ng iba pang kategorya
Sa pamamagitan ng pagkakatulad sa patakaran ng firewall, ang Check Point ay naghahanap ng isang tugma sa pamamagitan ng mga packet mula sa itaas hanggang sa ibaba, kaya mas mainam na ilagay ang mga panuntunan sa bypass sa itaas, dahil ang gateway ay hindi mag-aaksaya ng mga mapagkukunan sa pagpapatakbo sa lahat ng mga patakaran kung kailangan ng packet na ito. ipapasa.
3.3 Ginagamit ba ang mga bagay na saklaw ng address?
Ang mga bagay na may hanay ng address, halimbawa, ang network na 192.168.0.0-192.168.5.0, ay kumukuha ng mas malaking RAM kaysa sa 5 mga bagay sa network. Sa pangkalahatan, itinuturing na magandang kasanayan ang pag-alis ng mga hindi nagamit na bagay sa SmartConsole, dahil sa tuwing may naka-install na patakaran, ang gateway at server ng pamamahala ay gumugugol ng mga mapagkukunan at, higit sa lahat, oras, pag-verify at paglalapat ng patakaran.
3.4. Paano naka-configure ang patakaran sa Pag-iwas sa Banta?
Una sa lahat, inirerekomenda ng Check Point ang paglalagay ng IPS sa isang hiwalay na profile at paglikha ng hiwalay na mga panuntunan para sa blade na ito.
Halimbawa, naniniwala ang isang administrator na dapat lang protektahan ang segment ng DMZ gamit ang IPS. Samakatuwid, upang maiwasan ang gateway mula sa pag-aaksaya ng mga mapagkukunan sa pagproseso ng mga packet sa pamamagitan ng iba pang mga blades, kinakailangan na lumikha ng isang panuntunan na partikular para sa segment na ito na may isang profile kung saan ang IPS lamang ang pinagana.
Tungkol sa pagse-set up ng mga profile, inirerekomendang i-set up ito ayon sa pinakamahuhusay na kagawian dito (pahina 17-20).
3.5. Sa mga setting ng IPS, ilang pirma ang mayroon sa Detect mode?
Inirerekomenda na maingat na pag-aralan ang mga lagda sa kahulugan na ang mga hindi nagamit ay dapat na hindi paganahin (halimbawa, ang mga lagda para sa pagpapatakbo ng mga produkto ng Adobe ay nangangailangan ng maraming kapangyarihan sa pag-compute, at kung ang customer ay walang mga naturang produkto, makatuwirang huwag paganahin ang mga lagda). Susunod, ilagay ang Prevent sa halip na Detect kung saan posible, dahil ang gateway ay gumugugol ng mga mapagkukunan sa pagproseso ng buong koneksyon sa Detect mode; sa Prevent mode, agad nitong itinatapon ang koneksyon at hindi nag-aaksaya ng mga mapagkukunan sa ganap na pagproseso ng packet.
3.6. Anong mga file ang pinoproseso ng Threat Emulation, Threat Extraction, Anti-Virus blades?
Walang saysay na tularan at suriin ang mga file ng mga extension na hindi dina-download ng iyong mga user, o itinuturing mong hindi kailangan sa iyong network (halimbawa, ang mga bat, exe file ay madaling ma-block gamit ang Content Awareness blade sa antas ng firewall, kaya mas kaunting gateway gagastusin ang mga mapagkukunan). Bukod dito, sa mga setting ng Threat Emulation maaari mong piliin ang Environment (operating system) upang tularan ang mga pagbabanta sa sandbox at ang pag-install ng Environment Windows 7 kapag ang lahat ng mga user ay nagtatrabaho sa bersyon 10 ay hindi rin makatuwiran.
3.7. Ang firewall at mga panuntunan sa antas ng Application ay nakaayos alinsunod sa pinakamahusay na kasanayan?
Kung ang isang panuntunan ay may maraming mga hit (tugma), pagkatapos ay inirerekomenda na ilagay ang mga ito sa pinakatuktok, at mga panuntunan na may maliit na bilang ng mga hit - sa pinakailalim. Ang pangunahing bagay ay upang matiyak na hindi sila magsalubong o magkakapatong sa isa't isa. Inirerekomendang arkitektura ng patakaran sa firewall:
Paliwanag:
Mga Unang Panuntunan - ang mga panuntunang may pinakamalaking bilang ng mga tugma ay inilalagay dito
Panuntunan ng Ingay - isang panuntunan para sa pagtatapon ng huwad na trapiko gaya ng NetBIOS
Stealth Rule - ipinagbabawal ang mga tawag sa gateway at pamamahala sa lahat maliban sa mga source na tinukoy sa Authentication to Gateway Rules
Ang Clean-Up, Last and Drop Rules ay karaniwang pinagsama sa isang panuntunan para ipagbawal ang lahat ng hindi pinapayagan dati
Ang data ng pinakamahusay na kasanayan ay inilarawan sa .
3.8. Anong mga setting mayroon ang mga serbisyong ginawa ng mga administrator?
Halimbawa, ang ilang serbisyo ng TCP ay ginawa sa isang partikular na port, at makatuwirang alisan ng tsek ang βMatch for Anyβ sa mga Advanced na setting ng serbisyo. Sa kasong ito, partikular na mahuhulog ang serbisyong ito sa ilalim ng panuntunan kung saan ito lumalabas, at hindi lalahok sa mga panuntunan kung saan nakalista ang Any sa column na Mga Serbisyo.
Sa pagsasalita tungkol sa mga serbisyo, ito ay nagkakahalaga ng pagbanggit na kung minsan ay kinakailangan upang ayusin ang mga timeout. Ang setting na ito ay magbibigay-daan sa iyong gamitin nang matalino ang mga mapagkukunan ng gateway, upang hindi magkaroon ng dagdag na oras para sa mga TCP/UDP session ng mga protocol na hindi nangangailangan ng malaking timeout. Halimbawa, sa screenshot sa ibaba, binago ko ang domain-udp service timeout mula 40 segundo hanggang 30 segundo.
3.9. Ginagamit ba ang SecureXL at ano ang porsyento ng speedup?
Maaari mong suriin ang kalidad ng SecureXL gamit ang mga pangunahing command sa expert mode sa gateway fwaccel stat ΠΈ fw accel stats -s. Susunod, kailangan mong malaman kung anong uri ng trapiko ang pinabilis, at kung ano ang iba pang mga template na maaaring malikha.
Ang mga Drop Template ay hindi pinagana bilang default; ang pagpapagana sa mga ito ay makikinabang sa SecureXL. Upang gawin ito, pumunta sa mga setting ng gateway at tab na Mga Pag-optimize:
Gayundin, kapag nagtatrabaho sa isang kumpol upang i-optimize ang CPU, maaari mong hindi paganahin ang pag-synchronize ng mga hindi kritikal na serbisyo, tulad ng UDP DNS, ICMP at iba pa. Upang gawin ito, pumunta sa mga setting ng serbisyo β Advanced β I-synchronize ang mga koneksyon ng State Synchronization ay pinagana sa cluster.
Lahat ng Pinakamahuhusay na Kasanayan ay inilalarawan sa .
3.10. Paano ginagamit ang CoreXl?
Ang teknolohiya ng CoreXL, na nagbibigay-daan sa paggamit ng maraming CPU para sa mga instance ng firewall (mga module ng firewall), ay tiyak na nakakatulong sa pag-optimize ng pagpapatakbo ng device. Team muna fw ctl affinity -l -a ipapakita ang mga instance ng firewall na ginamit at ang mga processor na nakatalaga sa SND (isang module na namamahagi ng trapiko sa mga entity ng firewall). Kung hindi lahat ng mga processor ay ginagamit, maaari silang idagdag sa command cpconfig sa gateway.
Gayundin ang isang magandang kuwento ay upang ilagay upang paganahin ang Multi-Queue. Malulutas ng Multi-Queue ang problema kapag ang processor na may SND ay ginagamit sa maraming porsyento, at ang mga instance ng firewall sa ibang mga processor ay idle. Pagkatapos ay magkakaroon ang SND ng kakayahang lumikha ng maraming pila para sa isang NIC at magtakda ng iba't ibang priyoridad para sa iba't ibang trapiko sa antas ng kernel. Dahil dito, ang mga core ng CPU ay gagamitin nang mas matalino. Ang mga pamamaraan ay inilarawan din sa .
Sa konklusyon, gusto kong sabihin na hindi lahat ito ang Pinakamahuhusay na Kasanayan para sa pag-optimize ng Check Point, ngunit sila ang pinakasikat. Kung gusto mong mag-order ng pag-audit ng iyong patakaran sa seguridad o lutasin ang isang problemang nauugnay sa Check Point, mangyaring makipag-ugnayan [protektado ng email].
Salamat sa iyo!
Pinagmulan: www.habr.com