各位同事好! 今天我想討論一個與許多 Check Point 管理員非常相關的話題,“CPU 和 RAM 優化”。 網關和/或管理服務器意外消耗這些資源中的許多資源並不少見,人們希望了解它們“洩漏”的位置,並在可能的情況下更有效地使用它們。
1. 分析
要分析處理器負載,使用以下在專家模式下輸入的命令很有用:
最佳 顯示所有進程、以百分比表示的 CPU 和 RAM 資源消耗量、正常運行時間、進程優先級和 實時и
cpwd_admin 列表 Check Point WatchDog Daemon,顯示所有應用程序模塊、它們的 PID、狀態和運行次數
cpstat -f cpu操作系統 CPU 使用率、它們的數量和處理器時間的百分比分佈
cpstat -f 內存操作系統 虛擬 RAM 的使用、活動量、可用 RAM 等
正確的說法是可以使用該實用程序查看所有 cpstat 命令 cpview. 為此,您只需在 SSH 會話的任何模式下輸入 cpview 命令。
輔助文件 所有進程的長列表,它們的 ID,佔用的虛擬內存和 RAM,CPU 中的內存
命令的另一種變體:
ps-aF 顯示最昂貴的過程
fw ctl親和力-l -a 為防火牆的不同實例分配核心,即 CoreXL 技術
fw ctl pstat RAM 分析和連接、cookie、NAT 的一般指標
免費-m 內存緩衝器
該團隊值得特別關注。 網絡衛星 及其變體。 例如, 網絡統計 -i 可以幫助解決監視剪貼板的問題。 由於非法協議丟棄(IPv6、錯誤/意外 VLAN 標記等),此命令輸出中的參數 RX 丟棄數據包 (RX-DRP) 往往會自行增長。 但是,如果由於其他原因發生掉落,那麼您應該使用此 開始調查此網絡接口丟棄數據包的原因。 知道了原因,appline的運行也可以得到優化。
如果啟用了監控刀片,您可以在 SmartConsole 中通過單擊一個對象並選擇設備和許可證信息以圖形方式查看這些指標。
不建議持續啟用監控刀片,但很有可能花一天時間進行測試。
此外,您可以添加更多參數進行監控,其中一個非常有用 - 字節吞吐量(應用帶寬)。
如果有其他的監控系統,比如free ,基於 SNMP,它也適用於識別這些問題。
2. RAM 隨著時間的推移“洩漏”
通常會出現這樣的問題,即隨著時間的推移,網關或管理服務器開始消耗越來越多的 RAM。 我想向您保證:這是類 Linux 系統的正常情況。
查看命令輸出 免費-m и cpstat -f 內存操作系統 在專家模式的應用程序上,您可以計算和查看與 RAM 相關的所有參數。
基於目前網關上的可用內存 可用內存 + 緩衝區內存 + 緩存內存 = +-1.5 GB, 通常。
正如 CP 所說,隨著時間的推移,網關/管理服務器得到優化並使用越來越多的內存,使用率高達 80% 左右,然後停止。 您可以重新啟動設備,然後指示燈將被重置。 1.5 GB 的空閒 RAM 絕對足以讓網關執行所有任務,管理很少達到這樣的閾值。
此外,上述命令的輸出將顯示您有多少 記憶不足 (用戶空間中的 RAM)和 記憶力高 (內核空間中的 RAM)已使用。
內核進程(包括活動模塊,如 Check Point 內核模塊)僅使用低內存。 但是,用戶進程可以同時使用低端和高端內存。 此外,低內存約等於 總內存.
如果日誌中有錯誤,您應該只擔心 “由於 OOM(內存不足),模塊重新啟動或進程被殺死以回收內存”. 然後您應該重新啟動網關,如果重新啟動沒有幫助,請聯繫支持人員。
完整的描述可以在 и .
3.優化
以下是有關 CPU 和 RAM 優化的問題和答案。 您應該誠實地回答自己並聽取建議。
3.1. 上線選擇是否正確? 有試點項目嗎?
儘管規模合適,但網絡可能會簡單地增長,而該設備根本無法應對負載。 第二種選擇,如果沒有這樣的尺寸。
3.2. HTTPS 檢查是否啟用? 如果是,是否根據最佳實踐配置了技術?
參考 如果您是我們的客戶,或者 .
HTTPS 檢測策略中的規則順序對優化 HTTPS 站點的開通有很大的作用。
推薦的規則順序:
- 使用類別/URL 繞過規則
- 使用類別/URL 檢查規則
- 檢查所有其他類別的規則
類比防火牆策略,Check Point從上到下尋找匹配的數據包,所以旁路規則最好放在最上面,因為如果需要跳過這個數據包,網關不會浪費資源跑完所有規則。
3.3 是否使用地址範圍對象?
具有地址範圍的對象(例如網絡 192.168.0.0-192.168.5.0)消耗的 RAM 明顯多於 5 個網絡對象。 一般來說,刪除 SmartConsole 中未使用的對像被認為是一種很好的做法,因為每次設置策略時,網關和管理服務器都會花費資源,最重要的是,還要花費時間來驗證和應用該策略。
3.4. 威脅防禦策略是如何配置的?
首先,Check Point 建議將 IPS 移動到一個單獨的配置文件,並為此刀片創建單獨的規則。
例如,管理員認為 DMZ 網段應該只使用 IPS 進行保護。 因此,為了不讓網關浪費資源處理其他刀片的報文,需要專門為這個網段創建一條規則,配置文件只開啟IPS。
關於配置文件的設置,建議按照本篇的最佳實踐進行設置 (第 17-20 頁)。
3.5. IPS 設置中檢測模式下有多少個簽名?
建議在簽名上下功夫,禁用未使用的簽名(例如,運行 Adobe 產品的簽名需要大量的計算能力,如果客戶沒有此類產品,禁用是有意義的簽名)。 然後儘可能使用 Prevent 而不是 Detect,因為網關在 Detect 模式下將資源用於處理整個連接,在 Prevent 模式下它會立即斷開連接並且不會將資源浪費在數據包的完整處理上。
3.6. 威脅仿真、威脅提取、防病毒刀片處理哪些文件?
模擬和分析您的用戶未下載或您認為在您的網絡上不需要的擴展文件是沒有意義的(例如,使用防火牆級別的內容感知刀片可以輕鬆阻止 bat、exe 文件,因此網關資源將是少花錢)。 此外,在威脅仿真設置中,您可以選擇環境(操作系統)在沙箱中模擬威脅並安裝環境 Windows 7 當所有用戶都使用第 10 版時,它也沒有意義。
3.7. 是否根據最佳實踐設置了防火牆和應用層規則?
如果一條規則有很多命中(匹配),那麼建議將它們放在最頂部,而命中數較少的規則 - 放在最底部。 最主要的是確保它們不相交並且不相互重疊。 推薦的防火牆策略架構:
說明:
第一規則 - 匹配次數最多的規則放在此處
Noise Rule - 丟棄虛假流量的規則,例如 NetBIOS
隱形規則 - 禁止訪問網關和管理所有人,除了那些在網關規則身份驗證中指定的來源
Clean-Up、Last 和 Drop Rules 通常合併為一個規則,以禁止之前不允許的所有內容
最佳實踐數據在 .
3.8. 管理員創建的服務有哪些設置?
例如,某些 TCP 服務正在特定端口上創建,在服務的高級設置中取消選中“Match for Any”是有意義的。 在這種情況下,此服務將具體屬於它出現的規則,並且不會參與 Any 在 Services 列中的規則。
說到服務,值得一提的是有時需要調整超時。 此設置將允許您更智能地使用網關資源,以免為不需要大量超時的協議保留額外的 TCP/UDP 會話時間。 例如,在下面的屏幕截圖中,我將 domain-udp 服務超時從 40 秒更改為 30 秒。
3.9. 是否使用 SecureXL,加速百分比是多少?
您可以在網關的專家模式下使用主要命令檢查 SecureXL 的質量 fwaccel統計 и fw accelstats -s. 接下來,你需要弄清楚什麼樣的流量正在加速,你可以創建更多的模板(templates)。
默認情況下,不啟用 Drop Templates,啟用它們將對 SecureXL 的操作產生積極影響。 為此,請轉到網關設置和“優化”選項卡:
此外,在使用集群時,為了優化 CPU,您可以禁用非關鍵服務的同步,例如 UDP DNS、ICMP 等。 為此,請轉到服務設置 → 高級 → 狀態同步連接的同步連接已在集群上啟用。
所有最佳實踐都在 .
3.10. CoreXl 是如何使用的?
CoreXL 技術允許您為防火牆實例(防火牆模塊)使用多個 CPU,絕對有助於優化設備性能。 團隊至上 fw ctl親和力-l -a 將顯示已使用的防火牆實例和分配給所需 SND(將流量分配給防火牆實體的模塊)的處理器。 如果不是所有處理器都涉及,可以使用命令添加它們 配置文件 在網關。
還有一個好故事是放 啟用多隊列。 Multi-Queue 解決了帶有 SND 的處理器使用率很高,而其他處理器上的防火牆實例處於空閒狀態時的問題。 然後 SND 就可以為一個網卡創建多個隊列,並在內核級別為不同的流量設置不同的優先級。 因此,CPU 內核將得到更智能的使用。 方法也描述於 .
總之,我想說的是,這些遠非優化 Check Point 的所有最佳實踐,而是最受歡迎的。 如果您想請求審核您的安全政策或解決 Check Point 問題,請聯繫 [電子郵件保護].
謝謝你的關注!
來源: www.habr.com