大家好! 今天,我想讨论与许多Check Point管理员非常相关的主题“ CPU和RAM的优化”。 在很多情况下,网关和/或管理服务器意外地消耗了许多这些资源,我想了解它们在哪里“泄漏”,并在可能的情况下更好地利用它们。
1.分析
要分析处理器负载,使用以下以专家模式输入的命令很有用:
顶部 实时显示所有进程,占用的CPU和RAM的百分比,正常运行时间,进程优先级等 ,
cpwd_admin列表 Check Point WatchDog守护程序,其中显示了应用程序的所有模块,其PID,状态和启动次数
cpstat -f cpu os CPU使用率,其数量和处理器时间分布(百分比)
cpstat -f 使用虚拟RAM的 内存操作系统 ,所有活动内存,可用RAM等等
正确的观察是可以使用
cpview实用程序查看所有cpstat命令。 为此,您只需要在SSH会话的任何模式下输入cpview命令即可。
ps auxwf 所有进程 的 一长串列表,它们的ID,已占用的虚拟内存以及RAM,CPU中的内存
命令的另一个变体:
ps -aF 将显示最昂贵的过程
fw ctl亲和性 -l-防火墙不同实例的核心分布,即CoreXL技术
fw ctl pstat RAM分析和连接,cookie,NAT的一般指标
空闲的-m RAM缓冲区
特别注意
netsat团队及其变体。 例如,
netstat -i可以帮助解决监视剪贴板的问题。 通常,此命令输出中的参数RX丢弃数据包(RX-DRP)会由于非法协议(IPv6,错误/意外VLAN标记等)的丢弃而自行增加。 但是,如果丢弃是由于其他原因造成的,则应使用
本文开始调查,并了解为什么此网络接口丢弃数据包。 了解了原因后,还可以优化附录的操作。
如果启用了监视刀片,则可以通过在对象上单击对象并选择“设备和许可证信息”,在SmartConsole中以图形方式查看这些指示器。
不建议持续包含监控刀片,但是对于一天的测试来说,这是完全可能的。
此外,您可以添加更多用于监视的参数,其中之一非常有用-字节吞吐量(附录的吞吐量)。
如果还有其他监视系统,例如基于SNMP的免费
Zabbix ,它也适合识别这些问题。
2. RAM随时间“泄漏”
经常会出现这样的问题:随着时间的流逝,网关或管理服务器开始消耗越来越多的RAM。 我想保证:这是类似Linux的系统的正常情况。
在从专家模式查看附录中的
free -m和
cpstat -f memory os命令的输出后,可以计算并查看与RAM相关的所有参数。
实际上,目前网关上的可用内存通常是
Free Memory +
Buffers Memory +
Cached Memory =
+ -1.5 GB 。
根据CP的说法,随着时间的推移,网关/管理服务器得到了优化,并使用了越来越多的内存,达到约80%的使用率并停止运行。 您可以重新启动设备,然后指示灯将重置。 1.5 GB的可用RAM足以使网关完成所有任务,并且管理很少达到这样的阈值。
同样,以上命令的结论将显示使用了多少
低内存 (用户空间中的RAM)和
高内存 (内核空间中的RAM)。
内核进程(包括活动模块,例如Check Point内核模块)仅使用低内存。 但是,用户进程可以同时使用低内存和高内存。 此外,低内存大约等于
总内存 。
您仅应担心错误日志是
“模块重启或由于OOM(内存不足)而导致进程被终止以回收内存” 。 然后,您应该重新启动网关,如果重新启动没有帮助,请与支持人员联系。
完整说明可以在
sk99547和
sk99593中找到。
3.优化
以下是有关优化CPU和RAM的问题和解答。 他们应该诚实地回答自己并听取建议。
3.1。 上覆是正确的吗? 有试点项目吗?
尽管有合适的规模,该网络仍可能变得老套,而该设备根本无法应付负载。 第二种选择(如果没有大小调整)。
3.2。 是否启用HTTPS检查? 如果是这样,是否根据最佳实践配置了该技术?
如果您是我们的客户,请参阅
文章 ,或
参阅sk108202 。
HTTPS检查策略中规则的顺序对于优化HTTPS站点的打开非常重要。
建议的规则顺序:
- 绕过类别/ URL的规则
- 检查类别/网址的规则
- 检查所有其他类别的规则
与防火墙策略类似,Check Point从顶部到底部查找匹配的数据包,因此最好将旁路规则放在顶部,因为如果您需要跳过此程序包,网关将不会花费资源来运行所有规则。
3.3是否使用地址范围对象?
具有地址范围的对象(例如,网络192.168.0.0-192.168.5.0)比5个网络对象消耗更多的RAM。 通常,删除SmartConsole中未使用的对象被认为是一种好习惯,因为每次安装该策略时,网关和管理服务器都会花费资源,最重要的是花费时间来验证和应用该策略。
3.4。 如何配置威胁防护策略?
首先,Check Point建议将IPS移至单独的配置文件并为此刀片创建单独的规则。
例如,管理员认为DMZ网段仅应使用IPS保护。 因此,为使网关不会浪费资源与其他刀片服务器处理数据包,有必要使用仅启用IPS的配置文件专门为此段创建规则。
关于配置文件的配置,建议您根据本
文档中的最佳做法进行配置(第17-20页)。
3.5。 在IPS设置中,“检测”模式下有多少个签名?
建议您在禁用签名之前仔细地检查签名(例如,使用Adobe产品的签名需要大量计算能力,如果客户没有此类产品,则禁用签名是有意义的)。 接下来,在可能的地方放置“阻止”而不是“检测”,因为网关在“检测”模式下将资源用于处理整个连接;在“阻止”模式下,它将立即删除连接,而不会在完全处理数据包上花费资源。
3.6。 威胁仿真,威胁提取,防病毒刀片处理哪些文件?
模拟和分析用户未下载的扩展文件或您认为网络上不必要的扩展文件是没有意义的(例如,bat,exe文件可以使用防火墙级别的Content Awareness刀片轻松阻止,因此可以减少网关资源的使用)。 此外,在“威胁仿真”设置中,可以选择“环境”(操作系统)来模拟沙箱中的威胁,并在所有用户都使用版本10时安装“环境Windows 7”,这也没有任何意义。
3.7。 防火墙规则和应用程序级别规则是否根据最佳实践安排?
如果规则的匹配项(匹配项)很多,则建议将其放在最顶部,而匹配项较少的规则-放在最底部。 最主要的是确保它们不重叠和重叠。 推荐的防火墙策略架构:
说明:
第一规则-匹配最多的规则位于此处
噪声规则-用于丢弃虚假流量(例如NetBIOS)的规则
隐形规则-禁止所有人访问网关和进行管理,但“网关身份验证”中指定的来源除外
通常,“清理”,“最后”和“删除”规则被合并为一个规则,以禁止之前不允许的所有操作
最佳实践数据在
sk106597中进行了描述。
3.8。 管理员创建的服务有哪些设置?
例如,在特定端口上创建了某种TCP服务,并且在服务的“高级”设置中取消选中“任何匹配”是有意义的。 在这种情况下,此服务将特别属于其出现的规则,并且不会参与“服务”列中“任何”的规则。
说到服务,值得一提的是,有时有必要收紧超时时间。 此设置将允许您更有效地使用网关的资源,以免保留不需要大量超时的协议的TCP / UDP会话。 例如,在下面的屏幕快照中,我将domain-udp服务超时从40秒重新排列为30秒。
3.9。 是否使用SecureXL,加速百分比是多少?
您可以在
fwaccel stat和
fw accel stats -s 网关上使用专家模式下的基本命令检查SecureXL性能的质量。 接下来,您需要了解正在加速的流量类型,可以创建更多的模板。
默认情况下,不启用放置模板,它们的包含将对SecureXL的运行产生积极影响。 为此,请转到网关设置,然后在“优化”选项卡中:
另外,在使用群集优化CPU时,您可以禁用非关键服务的同步,例如UDP DNS,ICMP等。 为此,请转到服务设置→高级→在集群上启用状态同步的连接。
sk98348中介绍了所有最佳实践。
3.10。 如何使用CoreXl?
CoreXL技术可以为防火墙实例(防火墙模块)使用多个CPU,显然有助于优化设备的运行。 首先,
fw ctlfinity -l -a命令将显示使用的防火墙实例以及交付给SND(将流量分配到防火墙实体的模块)的处理器。 如果不涉及所有处理器,则可以使用
cpconfig命令在网关上添加它们。
一个好故事是放一个
修补程序来启用多队列。 当具有SND的处理器使用了很多百分比,而其他处理器上的防火墙实例处于空闲状态时,Multi-Queue解决了该问题。 这样,SND将有机会为一个NIC创建许多队列,并为内核级别的不同流量设置不同的优先级。 因此,将更有效地使用CPU内核。
sk98348中也描述了这些技术。
最后,我想说的是,这不是用于优化Check Point工作的所有最佳实践,而是最受欢迎的最佳实践。 如果要订购对安全策略的审核或解决与Check Point相关的问题,请联系sales@tssolution.ru。
感谢您的关注!