سلام همکارانو! نن زه غواړم د ډیری چیک پوائنټ مدیرانو لپاره د یوې خورا اړونده موضوع په اړه بحث وکړم، "CPU او RAM اصلاح". دا د ګیټ وے او / یا مدیریت سرور لپاره غیر معمولي ندي چې په غیر متوقع ډول د دې ډیری سرچینو مصرف کړي ، او یو څوک غواړي پوه شي چې چیرې دوی "لیک" کوي او که امکان ولري ، دوی په ډیر وړتیا سره وکاروئ.
1. تحلیل
د پروسیسر بار تحلیل کولو لپاره ، دا ګټور دی چې لاندې کمانډونه وکاروئ ، کوم چې د متخصص حالت کې داخل شوي دي:
سر ټولې پروسې ښیې، د CPU او RAM سرچینو مقدار چې په سلنه کې مصرف شوي، د وخت وخت، د پروسې لومړیتوب او په ریښتیني وخت کېи
cpwd_admin لیست د چیک پوائنټ واچ ډاګ ډیمون ، کوم چې ټول اپلائن ماډلونه ښیې ، د دوی PID ، حالت او د منډو شمیر
cpstat -f cpu os د CPU کارول، د دوی شمیر او د پروسیسر وخت ویش په سلنه کې
cpstat -f حافظه os د مجازی رام کارول، څومره فعال، وړیا RAM او نور ډیر څه
سمه تبصره دا ده چې د cpstat ټول کمانډونه د افادیت په کارولو سره لیدل کیدی شي cpview. د دې کولو لپاره ، تاسو اړتیا لرئ د SSH ناستې کې له هر حالت څخه د cpview کمانډ دننه کړئ.
ps auxwf د ټولو پروسو اوږد لیست، د دوی ID، نیول شوي مجازی حافظه او په RAM، CPU کې حافظه
د قوماندې بل توپیر:
ps-aF ترټولو ګرانه پروسه وښایاست
fw ctl affinity -l -a د فایر وال مختلف مثالونو لپاره د کور ویش، دا د CoreXL ټیکنالوژي ده
fw ctl pstat د RAM تحلیل او د اړیکو عمومي شاخصونه، کوکیز، NAT
وړیا - م د رام بفر
ټیم د ځانګړې پاملرنې مستحق دی. netsat او د هغې تغیرات. د مثال په ډول، netstat -i کولی شي د کلپ بورډونو د څارنې ستونزې حل کولو کې مرسته وکړي. پیرامیټر، د دې کمانډ په محصول کې د RX ډراپ شوي پاکټونه (RX-DRP) د غیرقانوني پروتوکول ډراپونو (IPv6، خراب / غیر ارادي VLAN ټاګونو، او نورو) له امله پخپله وده کوي. په هرصورت، که چیرې د بل دلیل لپاره څاڅکي پیښ شي، نو تاسو باید دا وکاروئ د څیړنې پیل کولو لپاره چې ولې د دې شبکې انٹرفیس پاکټونه پریږدي. د علت په پوهیدو سره، د اپلیکیشن عملیات هم ښه کیدی شي.
که چیرې د څارنې تیغ فعال شوی وي، تاسو کولی شئ دا میټریکونه په ګرافیک ډول په سمارټ کنسول کې په یو څیز باندې کلیک کولو او د وسیلې او جواز معلوماتو په غوره کولو سره وګورئ.
دا سپارښتنه نه کیږي چې د څارنې تیغ په دوامداره توګه فعال کړئ، مګر دا د ازموینې لپاره د یوې ورځې لپاره خورا ممکنه ده.
سربیره پردې ، تاسو کولی شئ د څارنې لپاره نور پیرامیټونه اضافه کړئ ، یو له دوی څخه خورا ګټور دی - د بایټس له لارې (د اپلائن بینډ ویت).
که چیرې د څارنې کوم بل سیسټم شتون ولري، د بیلګې په توګه، وړیا ، کوم چې د SNMP پراساس دی ، دا د دې ستونزو پیژندلو لپاره هم مناسب دی.
2. RAM د وخت په تیریدو سره "لیک" کیږي
ډیری وختونه دا پوښتنه راپورته کیږي چې د وخت په تیریدو سره ، د دروازې یا مدیریت سرور ډیر او ډیر RAM مصرفوي. زه غواړم تاسو ته ډاډ درکړم: دا د لینکس په څیر سیسټمونو لپاره عادي کیسه ده.
د کمانډ محصول ته ګورئ وړیا - م и cpstat -f حافظه os د متخصص حالت څخه په اپلیکیشن کې، تاسو کولی شئ د RAM پورې اړوند ټول پیرامیټونه محاسبه او وګورئ.
په اوس وخت کې د دروازې په اړه د شته حافظې پر بنسټ وړیا حافظه + د بفر حافظه + زیرمه شوې حافظه = +-1.5 جي بي، معمولا.
لکه څنګه چې SR وايي، د وخت په تیریدو سره د ګیټس / مدیریت سرور اصلاح کیږي او ډیر او ډیر حافظه کاروي، تر 80٪ پورې کارول کیږي، او ودریږي. تاسو کولی شئ وسیله ریبوټ کړئ او بیا شاخص به بیا تنظیم شي. د 1.5 GB وړیا RAM یقینا د دروازې لپاره د ټولو کارونو ترسره کولو لپاره کافي دی، او مدیریت په ندرت سره ورته حد ارزښتونو ته رسي.
همچنان ، د ذکر شوي کمانډونو محصول به وښیې چې تاسو څومره لرئ کم حافظه (RAM په کارن ځای کې) او لوړ حافظه (RAM په کرنل ځای کې) کارول کیږي.
د کرنل پروسې (د فعال ماډلونو په شمول لکه د چیک پوائنټ کرنل ماډلونه) یوازې ټیټ حافظه کاروي. په هرصورت، د کاروونکي پروسې کولی شي دواړه ټیټ او لوړ حافظه وکاروي. سربیره پردې، ټیټ حافظه تقریبا مساوي ده ټوله حافظه.
تاسو باید یوازې اندیښنه ولرئ که چیرې په لاګونو کې غلطۍ شتون ولري "ماډولونه ریبوټ کوي یا پروسې د OOM (د حافظې څخه بهر) له امله د حافظې بیرته ترلاسه کولو لپاره وژل کیږي". بیا تاسو باید ګیټس ریبوټ کړئ او ملاتړ سره اړیکه ونیسئ که چیرې ریبوټ مرسته ونه کړي.
بشپړ تفصیل په کې موندل کیدی شي и .
3. اصلاح کول
لاندې د CPU او رام اصلاح کولو په اړه پوښتنې او ځوابونه دي. تاسو باید دوی ته په صادقانه توګه ځواب ووایاست او وړاندیزونو ته غوږ ونیسئ.
3.1. ایا اپلاین په سمه توګه غوره شوی؟ آیا کومه ازمایښتي پروژه وه؟
د وړ اندازې سره سره، شبکه په ساده ډول وده کولی شي، او دا تجهیزات په ساده ډول نشي کولی د بار سره مقابله وکړي. دوهم اختیار، که چیرې د داسې اندازې اندازه نه وي.
3.2. ایا د HTTPS تفتیش فعال شوی؟ که داسې وي، ایا ټیکنالوژي د غوره عمل سره سم ترتیب شوې؟
ته مراجعه وکړئ که تاسو زموږ پیرودونکي یاست، یا ته .
د HTTPS تفتیش پالیسي کې د مقرراتو ترتیب د HTTPS سایټونو د پرانستلو په ښه کولو کې خورا مهم دی.
د مقرراتو وړاندیز شوی ترتیب:
- د کټګوریو/یو آر ایلونو سره بای پاس قواعد
- د کټګوریو/URLs سره قواعد معاینه کړئ
- د نورو ټولو کټګوریو لپاره مقررات معاینه کړئ
د فایر وال پالیسي سره په ورته والي سره ، چیک پوائنټ له پورتنۍ څخه ښکته ته د پاکټ میچ ګوري ، نو د بای پاس قواعد غوره په پورتنۍ برخه کې ځای په ځای شوي ، ځکه چې ګیټ وے به د ټولو مقرراتو په جریان کې سرچینې ضایع نکړي که چیرې دا پاکټ پریښودل ته اړتیا وي.
3.3 ایا د ادرس حد لرونکي شیان کارول کیږي؟
هغه څیزونه چې د یو لړ ادرسونو سره وي، لکه شبکه 192.168.0.0-192.168.5.0، د 5 شبکې شیانو په پرتله د پام وړ ډیر RAM مصرفوي. په عموم کې، دا ښه عمل ګڼل کیږي چې په SmartConsole کې نه کارول شوي شیان حذف کړي، ځکه چې هر ځل چې پالیسي جوړه شوې، د دروازې او مدیریت سرور سرچینې مصرفوي او تر ټولو مهم، د پالیسۍ تصدیق او پلي کولو لپاره وخت.
3.4. د ګواښ د مخنیوي پالیسي څنګه ترتیب شوې ده؟
له هرڅه دمخه ، چیک پوائنټ وړاندیز کوي چې IPS جلا پروفایل ته حرکت وکړي او د دې تیغ لپاره جلا قواعد رامینځته کړي.
د مثال په توګه، یو مدیر فکر کوي چې د DMZ برخه باید یوازې د IPS سره خوندي شي. له همدې امله ، د دې لپاره چې د ګیټس لپاره د نورو بلیډونو لخوا د پروسس کڅوړو کې سرچینې ضایع نشي ، نو اړینه ده چې د دې برخې لپاره په ځانګړي ډول د پروفایل سره یو قواعد رامینځته کړئ چې پکې یوازې IPS فعال شوی وي.
د پروفایلونو تنظیم کولو په اړه ، سپارښتنه کیږي چې دا پدې کې د غوره کړنو سره سم تنظیم کړئ (17-20 مخونه).
3.5. په IPS ترتیباتو کې د کشف حالت کې څومره لاسلیکونه؟
دا سپارښتنه کیږي چې په لاسلیکونو باندې سخت کار وکړئ پدې معنی چې غیر کارول شوي لاسلیکونه باید غیر فعال شي (د مثال په توګه ، د اډوب محصولاتو عملیاتو لپاره لاسلیکونه خورا کمپیوټري ځواک ته اړتیا لري ، او که چیرې پیرودونکي دا ډول محصولات ونه لري ، نو غیر فعال کول معنی لري. لاسلیکونه). بیا د امکان په صورت کې د Detect پرځای Prevent واچوئ، ځکه چې ګیټس د ټول پیوستون په کشف حالت کې پروسس کولو لپاره سرچینې مصرفوي، په مخنیوي حالت کې دا سمدلاسه اړیکه پریږدي او د پاکټ بشپړ پروسس کولو کې سرچینې ضایع نه کوي.
3.6. کوم فایلونه د ګواښ ایمولیشن، د ګواښ استخراج، د ویروس ضد بلیډونو لخوا پروسس کیږي؟
دا د تمدید فایلونو تقلید او تحلیل کولو لپاره هیڅ معنی نلري چې ستاسو کارونکي یې ډاونلوډ نه کوي یا تاسو په خپله شبکه کې غیر ضروري ګڼئ (د مثال په توګه ، bat ، exe فایلونه د فایروال په کچه د مینځپانګې پوهاوي بلیډ په کارولو سره په اسانۍ سره بلاک کیدی شي ، نو د ګیټ وی سرچینې به وي. لږ مصرف شوی). سربیره پردې ، د ګواښ ایمولیشن ترتیباتو کې ، تاسو کولی شئ په سینڈ باکس کې د ګواښونو تقلید لپاره چاپیریال (عملیات) غوره کړئ او د چاپیریال وینډوز 7 نصب کړئ کله چې ټول کارونکي د 10 نسخې سره کار کوي ، دا هم معنی نلري.
3.7. ایا د فایر وال او غوښتنلیک پرت قواعد د غوره تمرین سره سم ځای په ځای شوي؟
که چیرې یو قاعده ډیری هیټونه (میچونه) ولري ، نو بیا سپارښتنه کیږي چې دوی په پورتنۍ برخه کې واچوئ ، او د لږ شمیر هټونو سره قواعد - په خورا ښکته کې. اصلي شی دا دی چې ډاډ ترلاسه کړئ چې دوی یو بل سره نه نښلوي او یو بل سره نه تیریږي. وړاندیز شوی د فائر وال پالیسي جوړښت:
توضیحات:
لومړی قواعد - هغه قواعد چې ډیری میچونه لري دلته ایښودل شوي
د شور قاعده - د جعلي ټرافیک پریښودو لپاره یو قاعده لکه NetBIOS
د پټو اصول - ټولو ته د ګیټی ویز او مدیریت ته د لاسرسي منع کول، پرته له هغه سرچینو څخه چې د ګیټ ویز قواعدو ته په تصدیق کې مشخص شوي
د پاکولو، وروستي او ډراپ قواعد معمولا په یوه قاعده کې یوځای کیږي ترڅو هر هغه څه منع کړي چې مخکې اجازه نه وه
د غوره تمرین معلومات په کې تشریح شوي .
3.8. د مدیرانو لخوا رامینځته شوي خدماتو لپاره تنظیمات څه دي؟
د مثال په توګه، د TCP ځینې خدمتونه په یو ځانګړي بندر کې رامینځته کیږي، او دا د دې معنی لري چې د خدماتو پرمختللي ترتیباتو کې "د هرچا لپاره میچ" غیر چیک کړئ. په دې حالت کې، دا خدمت به په ځانګړې توګه د هغه قاعدې لاندې راشي چې په کې ښکاري، او په هغه مقرراتو کې به برخه وانخلي چیرې چې کوم د خدماتو کالم کې وي.
د خدماتو په اړه خبرې کول، دا د یادونې وړ ده چې ځینې وختونه دا اړینه ده چې د وخت پای ته رسیدو سره سمون ومومي. دا ترتیب به تاسو ته اجازه درکړي چې د ګیټ وے سرچینې په ډیر هوښیارۍ سره وکاروئ ، ترڅو د پروتوکولونو لپاره اضافي TCP / UDP سیشن وخت وساتئ چې لوی وخت پای ته اړتیا نلري. د مثال په توګه، په لاندې اسڪرين شاټ کې، ما د ډومین-udp خدمت وخت له 40 ثانیو څخه 30 ثانیو ته بدل کړ.
3.9. ایا SecureXL کارول کیږي او د سرعت سلنه څومره ده؟
تاسو کولی شئ د SecureXL کیفیت په ګیټ وے کې د ماهر حالت کې د اصلي امرونو سره چیک کړئ fwaccel stat и fw accelstats -s. بیا، تاسو اړتیا لرئ معلومه کړئ چې کوم ډول ټرافیک ګړندی کوي، کوم ټیمپلیټونه (ټیمپلیټونه) تاسو کولی شئ نور جوړ کړئ.
په ډیفالټ ډول ، ډراپ ټیمپلیټونه ندي فعال شوي ، د دوی وړ کول به د SecureXL په عملیاتو مثبت اغیزه ولري. د دې کولو لپاره، د ګیټیو ترتیباتو او د اصلاح کولو ټب ته لاړ شئ:
همچنان ، کله چې د کلستر سره کار کوئ ، د CPU اصلاح کولو لپاره ، تاسو کولی شئ د غیر مهم خدماتو ترکیب غیر فعال کړئ ، لکه UDP DNS ، ICMP ، او نور. د دې کولو لپاره، د خدماتو ترتیباتو ته لاړ شئ → پرمختللی → د دولت همغږي کولو ارتباطات په کلستر کې فعال شوي.
ټول غوره کړنې په کې تشریح شوي .
3.10 CoreXl څنګه کارول کیږي؟
د CoreXL ټیکنالوژي ، کوم چې تاسو ته اجازه درکوي د فایر وال مثالونو لپاره ډیری CPUs وکاروئ (د فایر وال ماډلونه) ، یقینا د وسیلې فعالیت غوره کولو کې مرسته کوي. ټیم لومړی fw ctl affinity -l -a د کارول شوي فایروال مثالونه او د اړتیا وړ SND ته ورکړل شوي پروسیسرونه به وښیې (یو ماډل چې د فایروال ادارو ته ترافیک توزیع کوي). که ټول پروسیسرونه ښکیل نه وي، دوی د کمانډ سره اضافه کیدی شي cpconfig په دروازه کې
همدارنګه یوه ښه کیسه باید واچول شي د څو کتار فعالولو لپاره. ملټي قطار ستونزه حل کوي کله چې د SND سره پروسیسر د ډیری فیصدو لخوا کارول کیږي، او په نورو پروسیسرونو کې د فایر وال مثالونه بې کاره وي. بیا SND کولی شي د یو NIC لپاره ډیری قطارونه رامینځته کړي او د کرنل په کچه د مختلف ترافیک لپاره مختلف لومړیتوبونه وټاکي. په پایله کې، د CPU کورونه به په ډیر هوښیارۍ سره وکارول شي. میتودونه هم په کې تشریح شوي .
په پایله کې، زه غواړم ووایم چې دا د چیک پوائنټ اصلاح کولو لپاره د ټولو غوره کړنو څخه لرې دي، مګر خورا مشهور. که تاسو غواړئ د خپلې امنیتي پالیسۍ د پلټنې غوښتنه وکړئ یا د چیک پوائنټ مسله حل کړئ، مهرباني وکړئ اړیکه ونیسئ [ایمیل خوندي شوی].
ستاسو د پاملرنې مننه!
سرچینه: www.habr.com