СПОСОБЫ ОПТИМИЗАЦИИ ПРОИЗВОДИТЕЛЬНОСТИ МЕЖСЕТЕВОГО ЭКРАНА CHECK POINT

АННОТАЦИЯ

В статье анализируются основные способы оптимизации производительности межсетевого экрана Check Point. Приводятся примеры необходимых для этого настроек на примере версии R80.40.

ABSTRACT

The article analyzes the main ways to optimize the performance of the Check Point firewall. Examples of the settings necessary for this are given on the example of version 80.40.

Ключевые слова: Check Point, оптимизация производительности, межсетевой экран.

Keywords: Check Point, performance optimization, firewall.

Check Point – это межсетевой экран нового поколения (NGFW), позволяющий выполнять глубокую фильтрацию траффика, интегрированный с системой обнаружения вторжений (IDS) или системой предотвращения вторжений (IPS), работающий на уровне приложений.

Архитектура решения Check Point представляет собой совокупность трех сущностей: шлюза безопасности (Security Gateway), который обычно устанавливается на периметре сети, сервера управления (Security Management Server), на котором хранятся и анализируются лог-файлы и клиентской консоли (Smart Console).

Как упоминалось ранее, шлюз безопасности чаще всего устанавливается на периметре сети, а ввиду того, что сервер анализирует большое количество различных аспектов трафика (для защиты от различных вторжений, ботнет сетей, защиты корпоративной почты и выступая в роли потокового антивируса и др.), могут возникать проблемы с производительностью как шлюза безопасности, так и сервера управления.

Чаще всего проблемы с производительностью возникают ввиду неожиданно большого потребления ресурсов CPU и RAM, что исправляется оптимизацией определенных параметров системы и ее компонентов.

Существуют следующие методы оптимизации производительности [1]:

‒ Настройка CoreXL и SecureXL;

‒ Настройка SMT (HyperThreading);

‒ Настройка Multi-Queue;

‒ Оптимизация списка правил;

‒ Оптимизация IPS;

‒ Оптимизация Application Control и URL Filtering, HTTPS Inspection;

‒ Оптимизация Anti-Virus и Anti-Bot.

CoreXL – это технология, позволяющая использовать множество процессорных ядер одновременно для всех сущностей межсетевого экрана, в то время как в стандартной конфигурации каждая сущность межсетевого экрана обрабатываются на отдельном. CoreXL работает в связке с Secure Network Distributor (SND). SND позволяет использовать выбранные процессорные ядра для первичной обработки входящего трафика с сетевых интерфейсов, безопасно ускорять обработку авторизованных пакетов направляя их через SecureXL, а также распределять по ядрам межсетевого экрана неавторизованные ранее пакеты (SND хранит при этом таблицу соответствия сетевых сессий и сущностей межсетевого экрана). Как показало нагрузочное тестирование в БГУИР, использование CoreXL позволяет распределить нагрузку на множество процессорных ядер, что повышает пропускную способность межсетевого экрана более чем в 3 раза.

SMT (Intel HT) – это функция, которая поддерживается на устройствах Check Point под управлением Gaia OS. При включении SMT удваивает количество логических процессоров на шлюзе безопасности, что повышает загрузку физического процессора. Когда SMT отключен, количество логических процессоров равно количеству физических ядер. SMT повышает производительность до 30% в программных блейдах NGFW (IPS, Application и URL Filtering, Threat Prevention).

Настройка Multi-Queue также позволяет равномернее распределять трафик между процессорными ядрами, посредством того, что включается возможность создавать большее количество очередей для одной сетевой карты, распределяя трафик на SND ядра равномернее.

Оптимизация списка правил предполагает расстановку правил в порядке наиболее частых совпадений. Для этого при развертывании межсетевого экрана правила расставляются в предполагаемом порядке популярности, после чего в ходе эксплуатации изучается информации о количестве срабатываний правила и правила перемещаются оптимальным образом. Это позволяет снизить нагрузку на процессор и ускорить прохождение трафика, так как каждой пакет, если не используется SecureXL, проверяется по списку правил сверху вниз до первого совпадения.

Стандартные настройки IPS подобраны таким образом, чтобы потреблять оптимальное количество ресурсов. Отклонение от профиля оптимизации может привести к снижению производительности и обнаружению ложных срабатываний. Рекомендуется также переработать список используемых сигнатур так как для проверки некоторых из них тратится много ресурсов. Также необходимо по возможности использовать только режим предотвращения вторжения (Prevent) избегая режима детектирования (Detect), так как при детектировании обрабатываются и все последующие пакеты из данного соединения, в то время как в режиме предотвращения вторжения сессия прерывается на моменте попытки ее установления.

При использовании Anti-Virus не имеет смысла эмулировать и анализировать файлы расширений, которые пользователи не скачивают, или которые не должны попадать в сеть. Например, bat, exe файлы легко блокируются с помощью блейда Content Awareness на уровне фаервола, поэтому ресурсы шлюза будут тратиться меньше [2].

Правила блейдов Application Control, URL Filtering и HTTPS Inspection необходимо обязательно располагать таким образом, чтобы на первом месте стояли правила, обеспечивающие прямое прохождение трафика без инспекции (bypass), после этого – другие правила от частных к общим.

Таким образом, правильная настройка и оптимизация параметров различных блейдов Check Point позволяет в существенной мере повысить производительность и скорость обработки пакетов при прохождении их через межсетевой экран.

Список литературы:

1. Best Practices - Security Gateway Performance // Check Point SecureKnowledge Center. [Электронный ресурс] — Режим доступа. — URL: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk98348#Best%20practices%20-%20SecureXL (дата обращения 20.11.2022)
2. Check Point: оптимизация CPU и RAM// Блог компании TS Solutions. [Электронный ресурс] — Режим доступа. — URL: https://habr.com/ru/company/tssolution/blog/472864/ (дата обращения 20.11.2022)