Xin chào các đồng nghiệp! Hôm nay tôi muốn thảo luận về một chủ đề rất phù hợp với nhiều quản trị viên Check Point: “Tối ưu hóa CPU và RAM”. Thường có những trường hợp cổng và/hoặc máy chủ quản lý tiêu thụ nhiều tài nguyên này một cách bất ngờ và tôi muốn hiểu chúng “chảy” đi đâu và nếu có thể, hãy sử dụng chúng một cách thông minh hơn.
1. Phân tích
Để phân tích tải bộ xử lý, sẽ rất hữu ích khi sử dụng các lệnh sau được nhập ở chế độ chuyên gia:
hàng đầu hiển thị tất cả các quy trình, lượng tài nguyên CPU và RAM được tiêu thụ dưới dạng phần trăm, thời gian hoạt động, mức độ ưu tiên của quy trình và trong thời gian thựcи
danh sách cpwd_admin Kiểm tra điểm WatchDog Daemon, hiển thị tất cả các mô-đun ứng dụng, PID, trạng thái và số lần khởi động của chúng
cpstat -f hệ điều hành cpu Việc sử dụng CPU, số lượng và phân bổ thời gian xử lý theo phần trăm
cpstat -f bộ nhớ hệ điều hành mức sử dụng RAM ảo, mức độ hoạt động, RAM trống và hơn thế nữa
Nhận xét đúng là tất cả các lệnh cpstat đều có thể được xem bằng tiện ích cpview. Để thực hiện việc này, bạn chỉ cần nhập lệnh cpview từ bất kỳ chế độ nào trong phiên SSH.
ps phụ trợ một danh sách dài tất cả các tiến trình, ID của chúng, bộ nhớ ảo bị chiếm dụng và bộ nhớ trong RAM, CPU
Các biến thể lệnh khác:
ps-aF sẽ hiển thị quá trình đắt nhất
fw ctl mối quan hệ -l -a phân phối lõi cho các phiên bản tường lửa khác nhau, nghĩa là công nghệ CoreXL
fw ctl pstat Phân tích RAM và các chỉ báo kết nối chung, cookie, NAT
miễn phí Bộ đệm RAM
Đội bóng đáng được quan tâm đặc biệt mạng lưới và các biến thể của nó. Ví dụ, netstat -i có thể giúp giải quyết vấn đề giám sát clipboard. Theo quy luật, tham số RX đã loại bỏ các gói (RX-DRP) trong đầu ra của lệnh này sẽ tự phát triển do sự sụt giảm của các giao thức bất hợp pháp (IPv6, thẻ VLAN xấu / không mong muốn và các thẻ khác). Tuy nhiên, nếu tình trạng rớt mạng xảy ra vì lý do khác thì bạn nên sử dụng cách này để bắt đầu điều tra và hiểu lý do tại sao một giao diện mạng nhất định lại bỏ gói. Khi đã tìm ra được nguyên nhân thì hoạt động của ứng dụng cũng có thể được tối ưu hóa.
Nếu thanh Giám sát được bật, bạn có thể xem các số liệu này bằng đồ họa trong SmartConsole bằng cách nhấp vào đối tượng và chọn “Thông tin giấy phép & thiết bị”.
Không nên bật Lưỡi giám sát thường xuyên, nhưng hoàn toàn có thể trong một ngày để thử nghiệm.
Hơn nữa, bạn có thể thêm nhiều tham số để theo dõi, một trong số đó rất hữu ích - Byte Throughput (thông lượng ứng dụng).
Nếu có một số hệ thống giám sát khác, ví dụ, miễn phí , dựa trên SNMP, nó cũng phù hợp để xác định những vấn đề này.
2. RAM bị rò rỉ theo thời gian
Câu hỏi thường được đặt ra là theo thời gian, cổng hoặc máy chủ quản lý bắt đầu tiêu thụ ngày càng nhiều RAM. Tôi muốn trấn an bạn: đây là một câu chuyện bình thường đối với các hệ thống giống Linux.
Nhìn vào đầu ra của các lệnh miễn phí и cpstat -f bộ nhớ hệ điều hành trên ứng dụng từ chế độ chuyên gia, bạn có thể tính toán và xem tất cả các thông số liên quan đến RAM.
Dựa trên bộ nhớ có sẵn trên cổng vào lúc này Giải phóng bộ nhớ + Bộ nhớ đệm + Bộ nhớ đệm = +-1.5 GB, thường xuyên.
Như CP cho biết, theo thời gian, máy chủ cổng/quản lý sẽ tối ưu hóa và sử dụng ngày càng nhiều bộ nhớ, đạt mức sử dụng khoảng 80% và ngừng hoạt động. Bạn có thể khởi động lại thiết bị và sau đó chỉ báo sẽ được đặt lại. 1.5 GB RAM trống chính xác là đủ để cổng thực hiện tất cả các tác vụ và việc quản lý hiếm khi đạt đến các giá trị ngưỡng như vậy.
Ngoài ra, đầu ra của các lệnh được đề cập sẽ cho thấy bạn có bao nhiêu Bộ nhớ thấp (RAM trong không gian người dùng) và Bộ nhớ cao (RAM trong không gian kernel) được sử dụng.
Các quy trình hạt nhân (bao gồm các mô-đun hoạt động như mô-đun hạt nhân Check Point) chỉ sử dụng Bộ nhớ thấp. Tuy nhiên, tiến trình của người dùng có thể sử dụng cả bộ nhớ Thấp và Cao. Hơn nữa, bộ nhớ thấp xấp xỉ bằng Tổng cộng bộ nhớ.
Bạn chỉ nên lo lắng nếu có lỗi trong nhật ký “mô-đun khởi động lại hoặc các tiến trình bị hủy để lấy lại bộ nhớ do OOM (Hết bộ nhớ)”. Sau đó, bạn nên khởi động lại cổng và liên hệ với bộ phận hỗ trợ nếu việc khởi động lại không hiệu quả.
Một mô tả đầy đủ có thể được tìm thấy trong и .
3. Tối ưu hóa
Dưới đây là các câu hỏi và câu trả lời về việc tối ưu hóa CPU và RAM. Bạn nên trả lời chúng một cách trung thực với chính mình và lắng nghe những khuyến nghị.
3.1. Ứng dụng đã được chọn đúng chưa? Đã có một dự án thí điểm?
Mặc dù có kích thước phù hợp, mạng vẫn có thể phát triển và thiết bị này không thể chịu được tải. Tùy chọn thứ hai là nếu không có kích thước như vậy.
3.2. Kiểm tra HTTPS có được bật không? Nếu có, công nghệ có được cấu hình theo Thực tiễn Tốt nhất không?
tham khảo , nếu bạn là khách hàng của chúng tôi, hoặc .
Thứ tự các quy tắc trong chính sách kiểm tra HTTPS đóng vai trò lớn trong việc tối ưu hóa việc mở các trang HTTPS.
Thứ tự quy tắc được đề xuất:
- Bỏ qua quy tắc với danh mục/URL
- Kiểm tra quy tắc với danh mục/URL
- Kiểm tra quy tắc cho tất cả các danh mục khác
Bằng cách tương tự với chính sách tường lửa, Check Point tìm kiếm sự trùng khớp theo các gói từ trên xuống dưới, vì vậy tốt hơn nên đặt các quy tắc bỏ qua ở trên cùng, vì cổng sẽ không lãng phí tài nguyên khi chạy qua tất cả các quy tắc nếu gói này cần. được thông qua.
3.3 Các đối tượng dải địa chỉ có được sử dụng không?
Các đối tượng có dải địa chỉ, chẳng hạn như mạng 192.168.0.0-192.168.5.0, chiếm nhiều RAM hơn đáng kể so với 5 đối tượng mạng. Nói chung, việc loại bỏ các đối tượng không sử dụng trong SmartConsole được coi là một phương pháp hay vì mỗi lần cài đặt một chính sách, cổng và máy chủ quản lý sẽ tiêu tốn tài nguyên và quan trọng nhất là thời gian để xác minh và áp dụng chính sách.
3.4. Chính sách Ngăn chặn Đe dọa được cấu hình như thế nào?
Trước hết, Check Point khuyên bạn nên đặt IPS vào một profile riêng và tạo các quy tắc riêng cho phiến này.
Ví dụ: quản trị viên tin rằng phân đoạn DMZ chỉ nên được bảo vệ bằng IPS. Do đó, để ngăn chặn cổng lãng phí tài nguyên khi xử lý gói bằng các phiến khác, cần tạo quy tắc dành riêng cho phân khúc này với cấu hình chỉ kích hoạt IPS.
Về việc thiết lập hồ sơ, bạn nên thiết lập nó theo các phương pháp hay nhất trong phần này (trang 17-20).
3.5. Trong cài đặt IPS, có bao nhiêu chữ ký ở chế độ Phát hiện?
Bạn nên nghiên cứu kỹ các chữ ký theo nghĩa là những chữ ký không sử dụng nên bị vô hiệu hóa (ví dụ: chữ ký để vận hành các sản phẩm Adobe yêu cầu nhiều sức mạnh tính toán và nếu khách hàng không có những sản phẩm đó thì việc vô hiệu hóa chữ ký là điều hợp lý). Tiếp theo, đặt Ngăn chặn thay vì Phát hiện nếu có thể, vì cổng dành tài nguyên để xử lý toàn bộ kết nối ở chế độ Phát hiện; ở chế độ Ngăn chặn, nó sẽ hủy kết nối ngay lập tức và không lãng phí tài nguyên khi xử lý hoàn toàn gói.
3.6. Những tập tin nào được xử lý bằng Mô phỏng mối đe dọa, Trích xuất mối đe dọa, các phần mềm chống vi-rút?
Thật vô nghĩa khi mô phỏng và phân tích các tệp tiện ích mở rộng mà người dùng của bạn không tải xuống hoặc bạn cho là không cần thiết trên mạng của mình (ví dụ: các tệp bat, exe có thể dễ dàng bị chặn bằng cách sử dụng lưỡi Nhận thức Nội dung ở cấp tường lửa, do đó ít cổng hơn nguồn lực sẽ được sử dụng). Hơn nữa, trong cài đặt Mô phỏng mối đe dọa, bạn có thể chọn Môi trường (hệ điều hành) để mô phỏng các mối đe dọa trong hộp cát và cài đặt Môi trường Windows 7 khi tất cả người dùng đang làm việc với phiên bản 10 cũng không có ý nghĩa gì.
3.7. Các quy tắc cấp độ ứng dụng và tường lửa có được sắp xếp theo thông lệ tốt nhất không?
Nếu một quy tắc có nhiều lần truy cập (khớp), thì nên đặt chúng ở trên cùng và các quy tắc có số lần truy cập ít - ở dưới cùng. Điều chính là đảm bảo rằng chúng không giao nhau hoặc chồng chéo lên nhau. Kiến trúc chính sách tường lửa được đề xuất:
Giải thích:
Quy tắc đầu tiên - quy tắc có số lượng trận đấu lớn nhất được đặt ở đây
Quy tắc tiếng ồn - quy tắc loại bỏ lưu lượng truy cập giả như NetBIOS
Quy tắc ẩn - cấm các cuộc gọi đến cổng và quản lý tới tất cả ngoại trừ những nguồn đã được chỉ định trong Quy tắc xác thực tới cổng
Quy tắc Dọn dẹp, Cuối cùng và Thả thường được kết hợp thành một quy tắc để cấm mọi thứ trước đây không được phép
Dữ liệu thực hành tốt nhất được mô tả trong .
3.8. Các dịch vụ do quản trị viên tạo có những cài đặt nào?
Ví dụ: một số dịch vụ TCP được tạo trên một cổng cụ thể và việc bỏ chọn “Khớp cho bất kỳ” trong cài đặt Nâng cao của dịch vụ là điều hợp lý. Trong trường hợp này, dịch vụ này sẽ đặc biệt tuân theo quy tắc mà nó xuất hiện và sẽ không tham gia vào các quy tắc trong đó Bất kỳ được liệt kê trong cột Dịch vụ.
Nói về dịch vụ, điều đáng nói là đôi khi cần phải điều chỉnh thời gian chờ. Cài đặt này sẽ cho phép bạn sử dụng tài nguyên cổng một cách khôn ngoan để không mất thêm thời gian cho các phiên giao thức TCP/UDP không cần thời gian chờ lớn. Ví dụ: trong ảnh chụp màn hình bên dưới, tôi đã thay đổi thời gian chờ của dịch vụ miền-udp từ 40 giây thành 30 giây.
3.9. SecureXL có được sử dụng không và tỷ lệ phần trăm tăng tốc là bao nhiêu?
Bạn có thể kiểm tra chất lượng của SecureXL bằng các lệnh cơ bản ở chế độ chuyên gia trên cổng chỉ số fwaccel и fw tăng số liệu thống kê -s. Tiếp theo, bạn cần tìm ra loại lưu lượng truy cập nào đang được tăng tốc và những mẫu nào khác có thể được tạo.
Mẫu thả không được bật theo mặc định; việc bật chúng sẽ mang lại lợi ích cho SecureXL. Để thực hiện việc này, hãy đi tới cài đặt cổng và tab Tối ưu hóa:
Ngoài ra, khi làm việc với một cụm để tối ưu hóa CPU, bạn có thể tắt đồng bộ hóa các dịch vụ không quan trọng, chẳng hạn như UDP DNS, ICMP và các dịch vụ khác. Để thực hiện việc này, hãy đi tới cài đặt dịch vụ → Nâng cao → Đồng bộ hóa các kết nối của Đồng bộ hóa trạng thái được bật trên cụm.
Tất cả các phương pháp thực hành tốt nhất được mô tả trong .
3.10. CoreXl được sử dụng như thế nào?
Công nghệ CoreXL cho phép sử dụng nhiều CPU cho các phiên bản tường lửa (mô-đun tường lửa) chắc chắn giúp tối ưu hóa hoạt động của thiết bị. Đội đầu tiên fw ctl mối quan hệ -l -a sẽ hiển thị các phiên bản tường lửa được sử dụng và bộ xử lý được gán cho SND (mô-đun phân phối lưu lượng truy cập đến các thực thể tường lửa). Nếu không phải tất cả các bộ xử lý đều được sử dụng, chúng có thể được thêm bằng lệnh cpconfig ở cổng.
Ngoài ra một câu chuyện hay là đặt để bật Nhiều hàng đợi. Nhiều hàng đợi giải quyết vấn đề khi bộ xử lý có SND được sử dụng ở nhiều phần trăm và các trường hợp tường lửa trên các bộ xử lý khác không hoạt động. Sau đó, SND sẽ có khả năng tạo nhiều hàng đợi cho một NIC và đặt mức độ ưu tiên khác nhau cho các lưu lượng truy cập khác nhau ở cấp hạt nhân. Do đó, lõi CPU sẽ được sử dụng thông minh hơn. Các phương pháp này cũng được mô tả trong .
Tóm lại, tôi muốn nói rằng đây không phải là tất cả các Phương pháp hay nhất để tối ưu hóa Điểm kiểm tra, nhưng chúng là những phương pháp phổ biến nhất. Nếu bạn muốn yêu cầu kiểm tra chính sách bảo mật của mình hoặc giải quyết vấn đề liên quan đến Check Point, vui lòng liên hệ [email được bảo vệ].
Cảm ơn bạn!
Nguồn: www.habr.com