同事们大家好! 今天,我想讨论一个与许多 Check Point 管理员非常相关的主题:“优化 CPU 和 RAM”。 通常情况下,网关和/或管理服务器会意外消耗大量此类资源,我想了解它们“流向”的位置,如果可能,更智能地使用它们。
1. 分析
要分析处理器负载,使用以下在专家模式下输入的命令很有用:
最佳 显示所有进程、消耗的 CPU 和 RAM 资源量(百分比)、正常运行时间、进程优先级和 实时и
cpwd_管理员列表 Check Point WatchDog Daemon,显示所有应用程序模块、其 PID、状态和启动次数
cpstat -f cpu 操作系统 CPU 使用率、数量以及处理器时间的分布(百分比)
cpstat -f 内存操作系统 虚拟 RAM 使用情况、活动 RAM 数量、可用 RAM 等
正确的说法是可以使用该实用程序查看所有 cpstat 命令 cpview。 为此,您只需在 SSH 会话中的任何模式下输入 cpview 命令即可。
辅助文件 所有进程的长列表、它们的 ID、占用的虚拟内存和 RAM、CPU 中的内存
其他命令变体:
ps-aF 将显示最昂贵的过程
fw ctl 亲和力-l -a 不同防火墙实例的核心分布,即CoreXL技术
fw ctl pstat RAM分析和一般连接指标、cookie、NAT
免费-m 内存缓冲区
该团队值得特别关注 网络卫星 及其变体。 例如, 网络统计 -i 可以帮助解决监控剪贴板的问题。 通常,此命令输出中的参数 RX 丢弃的数据包 (RX-DRP) 会由于非法协议(IPv6、不良/意外 VLAN 标记等)的丢弃而自行增长。 但是,如果由于其他原因导致掉落,那么您应该使用此方法 开始调查并了解给定网络接口丢弃数据包的原因。 找到原因后,还可以优化app的操作。
如果启用了“监控”边栏选项卡,您可以通过单击对象并选择“设备和许可证信息”,在 SmartConsole 中以图形方式查看这些指标。
不建议永久打开监控刀片,但进行一天的测试是很有可能的。
而且,您可以添加更多参数进行监控,其中之一非常有用——Bytes Throughput(应用程序吞吐量)。
如果还有其他的监控系统,比如免费的 基于SNMP,也适合识别这些问题。
2. RAM 随着时间的推移而泄漏
经常出现的问题是,随着时间的推移,网关或管理服务器开始消耗越来越多的 RAM。 我想向您保证:对于类似 Linux 的系统来说,这是一个正常的情况。
查看命令的输出 免费-m и cpstat -f 内存操作系统 在专家模式下的应用程序上,您可以计算和查看与 RAM 相关的所有参数。
基于当前网关上的可用内存 可用内存 + 缓冲区内存 + 缓存内存 = +-1.5 GB, 通常。
正如 CP 所说,随着时间的推移,网关/管理服务器会优化并使用越来越多的内存,达到约 80% 的利用率,然后停止。 您可以重新启动设备,然后指示灯将被重置。 1.5 GB 的可用 RAM 足以让网关执行所有任务,并且管理很少达到这样的阈值。
此外,上述命令的输出将显示您有多少 记忆不足 (用户空间中的 RAM)和 高内存 (内核空间中的 RAM)已使用。
内核进程(包括活动模块,例如 Check Point 内核模块)仅使用低内存。 但是,用户进程可以使用低内存和高内存。 此外,低内存约等于 总内存.
您只需担心日志中是否有错误 “由于 OOM(内存不足),模块重新启动或进程被终止以回收内存”。 然后,您应该重新启动网关,如果重新启动没有帮助,请联系支持人员。
完整的描述可以在 и .
3. 说明
以下是有关优化 CPU 和 RAM 的问题和解答。 您应该诚实地回答自己并听取建议。
3.1. 是否正确选择了应用程序? 有试点项目吗?
尽管规模适当,网络仍可能增长,而该设备根本无法应对负载。 第二种选择是如果没有这样的尺寸。
3.2. 是否启用 HTTPS 检查? 如果是,该技术是否根据最佳实践进行配置?
参考 ,如果您是我们的客户,或者 .
HTTPS 检查策略中的规则顺序对于优化 HTTPS 站点的打开起着很大的作用。
推荐的规则顺序:
- 使用类别/URL 绕过规则
- 使用类别/URL 检查规则
- 检查所有其他类别的规则
类比防火墙策略,Check Point 从上到下按数据包搜索匹配项,因此最好将绕过规则放在顶部,因为如果该数据包需要,网关不会浪费资源运行所有规则。待通过。
3.3 是否使用了地址范围对象?
地址范围(例如网络 192.168.0.0-192.168.5.0)的对象比 5 个网络对象占用更多的 RAM。 一般来说,删除 SmartConsole 中未使用的对象被认为是一种良好的做法,因为每次安装策略时,网关和管理服务器都会花费资源(最重要的是时间)来验证和应用该策略。
3.4. 威胁防御策略是如何配置的?
首先,Check Point 建议将 IPS 放置在单独的配置文件中,并为此刀片创建单独的规则。
例如,管理员认为 DMZ 段只能使用 IPS 进行保护。 因此,为了防止网关浪费资源处理其他刀片的报文,需要专门针对该网段创建一条规则,配置文件中只启用IPS。
关于设置配置文件,建议按照本中的最佳实践进行设置 (第 17-20 页)。
3.5. 在IPS设置中,检测模式下有多少个签名?
建议仔细研究签名,即应禁用未使用的签名(例如,运行 Adobe 产品的签名需要大量计算能力,如果客户没有此类产品,则禁用签名是有意义的)。 接下来,尽可能使用 Prevent 而不是 Detect,因为在 Detect 模式下,网关会花费资源来处理整个连接;在 Prevent 模式下,它会立即丢弃该连接,不会浪费资源来完全处理数据包。
3.6. 威胁仿真、威胁提取、反病毒刀片会处理哪些文件?
模拟和分析用户未下载的扩展文件,或者您认为在网络上不必要的扩展文件是没有意义的(例如,使用防火墙级别的内容感知刀片可以轻松阻止 bat、exe 文件,因此需要更少的网关)资源将被消耗)。 此外,在威胁仿真设置中,您可以选择环境(操作系统)来模拟沙箱中的威胁,并且当所有用户都使用版本 7 时安装环境 Windows 10 也没有意义。
3.7. 防火墙和应用程序级别规则是否按照最佳实践安排?
如果规则有很多点击(匹配),那么建议将它们放在最顶部,而点击次数较少的规则放在最底部。 最主要的是确保它们不交叉或重叠。 推荐的防火墙策略架构:
说明:
第一条规则 - 匹配次数最多的规则放置在这里
噪声规则 - 丢弃虚假流量(例如 NetBIOS)的规则
隐秘规则 - 禁止调用网关和管理除网关规则身份验证中指定的源之外的所有源
清理、最后和丢弃规则通常合并为一条规则,以禁止以前不允许的所有内容
最佳实践数据描述于 .
3.8. 管理员创建的服务有哪些设置?
例如,某些 TCP 服务是在特定端口上创建的,因此在服务的高级设置中取消选中“Match for Any”是有意义的。 在这种情况下,该服务将明确属于它所出现的规则,并且不会参与“服务”列中列出的任何规则。
说到服务,值得一提的是,有时需要调整超时。 此设置将允许您明智地使用网关资源,以免为不需要大超时的协议的 TCP/UDP 会话保留额外的时间。 例如,在下面的屏幕截图中,我将domain-udp服务超时从40秒更改为30秒。
3.9. 是否使用了 SecureXL,加速百分比是多少?
您可以在网关上使用专家模式下的基本命令检查SecureXL的质量 弗瓦塞尔统计 и fw 加速统计 -s。 接下来,您需要弄清楚正在加速什么类型的流量,以及可以创建哪些其他模板。
默认情况下不启用放置模板;启用它们将使 SecureXL 受益。 为此,请转到网关设置和优化选项卡:
此外,在使用集群来优化 CPU 时,您可以禁用非关键服务的同步,例如 UDP DNS、ICMP 等。 为此,请转至服务设置 → 高级 → 同步连接,在集群上启用状态同步。
所有最佳实践均在 .
3.10. CoreXl是如何使用的?
CoreXL 技术允许对防火墙实例(防火墙模块)使用多个 CPU,这无疑有助于优化设备的运行。 团队第一 fw ctl 亲和力-l -a 将显示所使用的防火墙实例以及分配给 SND(将流量分发到防火墙实体的模块)的处理器。 如果没有使用所有处理器,可以使用命令添加它们 cp配置 在网关处。
还有一个好故事 启用多队列。 当具有 SND 的处理器使用率很高且其他处理器上的防火墙实例处于空闲状态时,多队列可以解决该问题。 然后,SND 将能够为一个 NIC 创建多个队列,并在内核级别为不同流量设置不同的优先级。 因此,CPU 内核的使用将更加智能。 这些方法也描述于 .
总之,我想说,这些并不是优化 Check Point 的全部最佳实践,但它们是最受欢迎的。 如果您想订购对您的安全策略进行审核或解决与 Check Point 相关的问题,请联系 [电子邮件保护].
谢谢你!
来源: habr.com