Merhaba meslektaşlarım! Bugün birçok Check Point yöneticisi için çok alakalı bir konuyu tartışmak istiyorum: "CPU ve RAM'in optimize edilmesi." Çoğu zaman ağ geçidinin ve/veya yönetim sunucusunun bu kaynakların çoğunu beklenmedik bir şekilde tükettiği durumlar vardır ve bunların nereye "aktığını" anlamak ve mümkünse bunları daha akıllıca kullanmak isterim.
1. Analiz
İşlemci yükünü analiz etmek için uzman modunda girilen aşağıdaki komutları kullanmak faydalı olacaktır:
üst tüm işlemleri, tüketilen CPU ve RAM kaynaklarının miktarını yüzde olarak, çalışma süresini, işlem önceliğini ve gerçek zamandaи
cpwd_admin listesi Tüm uygulama modüllerini, PID'lerini, durumlarını ve başlatma sayısını gösteren Check Point WatchDog Daemon
cpstat -f işlemci işletim sistemi CPU kullanımı, sayısı ve işlemci süresinin yüzde olarak dağılımı
cpstat -f bellek işletim sistemi sanal RAM kullanımı, ne kadar aktif, boş RAM ve daha fazlası
Doğru açıklama, tüm cpstat komutlarının yardımcı program kullanılarak görüntülenebilmesidir. cpview. Bunu yapmak için SSH oturumunda herhangi bir moddan cpview komutunu girmeniz yeterlidir.
ps yardımcı programı tüm işlemlerin, kimliklerinin, kullanılan sanal belleğin ve RAM, CPU'daki belleğin uzun bir listesi
Diğer komut varyasyonları:
ps-aF en pahalı süreci gösterecek
fw ctl benzeşim -l -a farklı güvenlik duvarı örnekleri için çekirdek dağıtımı, yani CoreXL teknolojisi
fw ctl pstat RAM analizi ve genel bağlantı göstergeleri, çerezler, NAT
serbest -m RAM arabelleği
Ekip özel ilgiyi hak ediyor net uydu ve onun varyasyonları. Örneğin, netstat -i panoları izleme sorununu çözmeye yardımcı olabilir. Bu komutun çıktısındaki RX bırakılan paketler (RX-DRP) parametresi, kural olarak, meşru olmayan protokollerin (IPv6, Kötü / İstenmeyen VLAN etiketleri ve diğerleri) düşmesi nedeniyle kendi kendine büyür. Ancak düşmeler başka bir nedenden dolayı meydana gelirse bunu kullanmalısınız. Belirli bir ağ arayüzünün neden paketleri düşürdüğünü araştırmaya ve anlamaya başlamak. Sebebini bulduktan sonra uygulamanın çalışması da optimize edilebilir.
İzleme dikey penceresi etkinleştirilirse, nesneye tıklayıp "Cihaz ve Lisans Bilgileri"ni seçerek bu ölçümleri SmartConsole'da grafiksel olarak görüntüleyebilirsiniz.
İzleme bıçağının kalıcı olarak açılması önerilmez, ancak test için bir gün boyunca bu oldukça mümkündür.
Üstelik izleme için daha fazla parametre ekleyebilirsiniz; bunlardan biri çok kullanışlıdır - Bayt Verimi (uygulama verimi).
Başka bir izleme sistemi varsa, örneğin ücretsiz SNMP'yi temel alarak bu sorunların tanımlanmasına da uygundur.
2. RAM zamanla sızıyor
Genellikle ağ geçidinin veya yönetim sunucusunun zamanla daha fazla RAM tüketmeye başlamasıyla ilgili soru ortaya çıkar. Sizi temin etmek istiyorum: Bu, Linux benzeri sistemler için normal bir hikaye.
Komutların çıktısına bakılıyor serbest -m и cpstat -f bellek işletim sistemi Uygulamada uzman modundan RAM ile ilgili tüm parametreleri hesaplayabilir ve görüntüleyebilirsiniz.
Şu anda ağ geçidindeki kullanılabilir belleğe göre Boş hafıza + Tampon Bellek + Önbelleğe Alınan Bellek = +-1.5 GB, genellikle.
CP'nin söylediği gibi, zaman içinde ağ geçidi/yönetim sunucusu daha fazla belleği optimize eder ve kullanır, yaklaşık %80 kullanıma ulaşır ve durur. Cihazı yeniden başlatabilirsiniz, ardından gösterge sıfırlanacaktır. Ağ geçidinin tüm görevleri yerine getirmesi için 1.5 GB boş RAM tam olarak yeterlidir ve yönetim nadiren bu tür eşik değerlerine ulaşır.
Ayrıca bahsedilen komutların çıktıları da ne kadara sahip olduğunuzu gösterecektir. Düşük hafıza (Kullanıcı alanındaki RAM) ve Yüksek bellek (Çekirdek alanındaki RAM) kullanılır.
Çekirdek işlemleri (Check Point çekirdek modülleri gibi etkin modüller dahil) yalnızca Düşük bellek kullanır. Ancak kullanıcı işlemleri hem Düşük hem de Yüksek belleği kullanabilir. Ayrıca, Düşük bellek yaklaşık olarak eşittir toplam Bellek.
Yalnızca günlüklerde hatalar varsa endişelenmelisiniz “OOM (Bellek Yetersiz) nedeniyle belleği geri kazanmak için modüller yeniden başlatılıyor veya işlemler sonlandırılıyor”. Daha sonra ağ geçidini yeniden başlatmanız ve yeniden başlatmanın işe yaramaması durumunda destek ekibiyle iletişime geçmeniz gerekir.
Tam bir açıklamayı şu adreste bulabilirsiniz: и .
3. Optimizasyon
Aşağıda CPU ve RAM'in optimize edilmesine ilişkin sorular ve yanıtlar bulunmaktadır. Bunları kendinize dürüstçe cevaplamalı ve tavsiyeleri dinlemelisiniz.
3.1. Başvuru doğru seçilmiş mi? Pilot proje var mıydı?
Uygun boyuta rağmen ağ kolayca büyüyebilir ve bu ekipman yükle baş edemez. İkinci seçenek, böyle bir boyutlandırmanın olmamasıdır.
3.2. HTTPS denetimi etkin mi? Evet ise, teknoloji En İyi Uygulamaya göre yapılandırılmış mı?
Bakınız , eğer müşterimiz iseniz veya .
HTTPS denetim politikasındaki kuralların sırası, HTTPS sitelerinin açılmasının optimize edilmesinde büyük rol oynar.
Önerilen kural sırası:
- Kategoriler/URL'lerle kuralları atla
- Kategorileri/URL'leri içeren kuralları inceleyin
- Diğer tüm kategorilere ilişkin kuralları inceleyin
Güvenlik duvarı politikasına benzer şekilde, Check Point eşleşmeyi yukarıdan aşağıya paketlere göre arar; bu nedenle, ağ geçidi, bu paketin ihtiyaç duyması durumunda tüm kuralları çalıştırarak kaynakları israf etmeyeceğinden, bypass kurallarını en üste yerleştirmek daha iyidir. geçilecek.
3.3 Adres aralığı nesneleri kullanılıyor mu?
Adres aralığına sahip nesneler, örneğin 192.168.0.0-192.168.5.0 ağı, 5 ağ nesnesinden çok daha fazla RAM kaplar. Genel olarak, SmartConsole'da kullanılmayan nesnelerin kaldırılması iyi bir uygulama olarak kabul edilir, çünkü bir politika her kurulduğunda, ağ geçidi ve yönetim sunucusu kaynakları ve en önemlisi politikayı doğrulamak ve uygulamak için zaman harcar.
3.4. Tehdit Önleme ilkesi nasıl yapılandırılır?
Öncelikle Check Point, IPS'nin ayrı bir profile yerleştirilmesini ve bu blade için ayrı kurallar oluşturulmasını öneriyor.
Örneğin bir yönetici, DMZ segmentinin yalnızca IPS kullanılarak korunması gerektiğine inanıyor. Bu nedenle, ağ geçidinin diğer blade'ler tarafından paketlerin işlenmesinde kaynak israfını önlemek için, yalnızca IPS'nin etkinleştirildiği bir profile sahip bu segment için özel olarak bir kural oluşturmak gerekir.
Profillerin ayarlanmasıyla ilgili olarak, bu kılavuzdaki en iyi uygulamalara göre ayarlanması önerilir. (sayfa 17-20).
3.5. IPS ayarlarında Algılama modunda kaç imza var?
Kullanılmayanların devre dışı bırakılması gerektiği anlamında imzaların dikkatlice incelenmesi önerilir (örneğin, Adobe ürünlerini çalıştırmak için kullanılan imzalar çok fazla bilgi işlem gücü gerektirir ve müşterinin bu tür ürünleri yoksa imzaları devre dışı bırakmak mantıklıdır). Daha sonra, mümkün olduğunda Algıla yerine Önle'yi kullanın, çünkü ağ geçidi, Algılama modunda tüm bağlantının işlenmesi için kaynakları harcar; Önleme modunda, bağlantıyı hemen atar ve paketin tam olarak işlenmesi için kaynakları israf etmez.
3.6. Tehdit Emülasyonu, Tehdit Çıkarma ve Anti-Virüs blade'leri tarafından hangi dosyalar işlenir?
Kullanıcılarınızın indirmediği veya ağınızda gereksiz olduğunu düşündüğünüz uzantıların dosyalarını taklit etmenin ve analiz etmenin bir anlamı yoktur (örneğin, bat, exe dosyaları, güvenlik duvarı düzeyinde İçerik Farkındalığı dikey penceresini kullanarak kolayca engellenebilir, böylece daha az ağ geçidi olur) kaynaklar harcanacaktır). Ayrıca, Tehdit Emülasyonu ayarlarında, sanal alandaki tehditleri taklit etmek için Ortam'ı (işletim sistemi) seçebilirsiniz ve tüm kullanıcılar sürüm 7 ile çalışırken Ortam Windows 10'yi yüklemek de mantıklı değildir.
3.7. Güvenlik duvarı ve Uygulama düzeyi kuralları en iyi uygulamalara uygun olarak düzenlenmiş mi?
Bir kuralda çok fazla isabet (eşleşme) varsa, bunları en üste, az sayıda isabeti olan kuralları ise en alta yerleştirmeniz önerilir. Önemli olan birbirleriyle kesişmemelerini veya üst üste gelmemelerini sağlamaktır. Önerilen güvenlik duvarı ilkesi mimarisi:
Açıklama:
İlk Kurallar - en fazla sayıda eşleşmeye sahip kurallar buraya yerleştirilir
Gürültü Kuralı - NetBIOS gibi sahte trafiğin atılmasına yönelik bir kural
Gizlilik Kuralı - Ağ Geçidi Kimlik Doğrulaması Kurallarında belirtilen kaynaklar dışındaki tüm ağ geçitlerine ve yönetimlere yapılan çağrıları yasaklar
Temizleme, Sonlandırma ve Bırakma Kuralları, daha önce izin verilmeyen her şeyi yasaklamak için genellikle tek bir kuralda birleştirilir
En iyi uygulama verileri şurada açıklanmıştır: .
3.8. Yöneticiler tarafından oluşturulan hizmetler hangi ayarlara sahiptir?
Örneğin, belirli bir bağlantı noktasında bazı TCP hizmetleri oluşturulur ve hizmetin Gelişmiş ayarlarında "Herhangi Biriyle Eşleştir" seçeneğinin işaretini kaldırmak mantıklıdır. Bu durumda, bu hizmet özellikle göründüğü kuralın kapsamına girecek ve Hizmetler sütununda Herhangi birinin listelendiği kurallara katılmayacaktır.
Hizmetlerden bahsetmişken, bazen zaman aşımlarını ayarlamanın gerekli olduğunu belirtmekte fayda var. Bu ayar, büyük bir zaman aşımı gerektirmeyen protokollerin TCP/UDP oturumları için fazladan zaman tutmamak amacıyla ağ geçidi kaynaklarını akıllıca kullanmanıza olanak tanır. Örneğin aşağıdaki ekran görüntüsünde domain-udp hizmeti zaman aşımını 40 saniyeden 30 saniyeye çıkardım.
3.9. SecureXL kullanılıyor mu ve hızlanma yüzdesi nedir?
Ağ geçidindeki uzman modunda temel komutları kullanarak SecureXL'in kalitesini kontrol edebilirsiniz. fwaccel istatistiği и fw hızlanma istatistikleri -s. Daha sonra ne tür trafiğin hızlandırıldığını ve başka hangi şablonların oluşturulabileceğini bulmanız gerekir.
Bırakma Şablonları varsayılan olarak etkin değildir; bunların etkinleştirilmesi SecureXL'e fayda sağlayacaktır. Bunu yapmak için ağ geçidi ayarlarına ve Optimizasyonlar sekmesine gidin:
Ayrıca CPU'yu optimize etmek için bir kümeyle çalışırken UDP DNS, ICMP ve diğerleri gibi kritik olmayan hizmetlerin senkronizasyonunu devre dışı bırakabilirsiniz. Bunu yapmak için hizmet ayarlarına gidin → Gelişmiş → Durum senkronizasyonunun bağlantılarını senkronize et kümede etkindir.
Tüm En İyi Uygulamalar şurada açıklanmıştır: .
3.10. CoreXl nasıl kullanılır?
Güvenlik duvarı örnekleri (güvenlik duvarı modülleri) için birden fazla CPU kullanımına olanak tanıyan CoreXL teknolojisi, cihazın çalışmasının optimize edilmesine kesinlikle yardımcı olur. Önce takım fw ctl benzeşim -l -a kullanılan güvenlik duvarı örneklerini ve SND'ye (trafiği güvenlik duvarı varlıklarına dağıtan bir modül) atanan işlemcileri gösterecektir. Tüm işlemciler kullanılmıyorsa komutla eklenebilir cpconfig ağ geçidinde.
Ayrıca iyi bir hikaye koymak Çoklu Kuyruk'u etkinleştirmek için. Multi-Queue, SND'li işlemcinin yüzde çok oranında kullanılması ve diğer işlemcilerdeki güvenlik duvarı örneklerinin boşta olması durumunda sorunu çözer. O zaman SND, bir NIC için birçok kuyruk oluşturma ve çekirdek düzeyinde farklı trafik için farklı öncelikler belirleme yeteneğine sahip olacaktı. Sonuç olarak CPU çekirdekleri daha akıllıca kullanılacaktır. Yöntemler ayrıca şurada açıklanmıştır: .
Sonuç olarak, bunların Check Point'i optimize etmek için En İyi Uygulamalar olmadığını ancak en popüler olanlarının bunlar olduğunu söylemek isterim. Güvenlik politikanızın denetlenmesini istemek veya Check Point ile ilgili bir sorunu çözmek istiyorsanız lütfen bizimle iletişime geçin. [e-posta korumalı].
Teşekkürler!
Kaynak: habr.com