هيلو ساٿيو! اڄ مان ڪيترن ئي چيڪ پوائنٽ ايڊمنسٽريٽرن لاءِ هڪ تمام لاڳاپيل موضوع تي بحث ڪرڻ چاهيان ٿو، "سي پي يو ۽ رام اصلاح". اهو غير معمولي ناهي گيٽ وي ۽/يا مئنيجمينٽ سرور لاءِ غير متوقع طور تي انهن مان ڪيترن ئي وسيلن کي استعمال ڪرڻ، ۽ هڪ اهو سمجهڻ چاهيندو ته اهي ڪٿي ”ليڪ“ ٿين ٿا ۽، جيڪڏهن ممڪن هجي، انهن کي وڌيڪ صلاحيت سان استعمال ڪريو.
1. تجزيو
پروسيسر لوڊ جو تجزيو ڪرڻ لاء، هيٺ ڏنل حڪمن کي استعمال ڪرڻ لاء ڪارائتو آهي، جيڪي ماهر موڊ ۾ داخل ڪيا ويا آهن:
مٿي سڀني عملن کي ڏيکاري ٿو، سي پي يو ۽ رام وسيلن جي مقدار ۾ استعمال ڪيو ويو سيڪڙو، اپ ٽائم، پروسيس جي ترجيح ۽ حقيقي وقت ۾и
cpwd_admin فهرست چيڪ پوائنٽ واچ ڊاگ ڊيمون، جيڪو ڏيکاري ٿو سڀ اپلائن ماڊلز، سندن PID، اسٽيٽس، ۽ رن جو تعداد
cpstat -f cpu os سي پي يو استعمال، انهن جو تعداد ۽ پروسيسر جي وقت جي تقسيم سيڪڙو ۾
cpstat -f ميموري OS مجازي رام جو استعمال، ڪيترو فعال، مفت RAM ۽ وڌيڪ
صحيح تبصرو اهو آهي ته سڀ cpstat حڪمن کي استعمال ڪندي ڏسي سگھجي ٿو cpview. ائين ڪرڻ لاءِ، توهان کي صرف SSH سيشن ۾ ڪنهن به موڊ مان cpview ڪمانڊ داخل ڪرڻ جي ضرورت آهي.
ps auxwf سڀني عملن جي هڪ ڊگهي فهرست، انهن جي سڃاڻپ، قبضي واري ورچوئل ميموري ۽ ميموري ۾ رام، سي پي يو
حڪم جي هڪ ٻي تبديلي:
پي ايس-اي ايف سڀ کان مهانگو عمل ڏيکاريو
fw ctl لاڳاپو -l -a فائر وال جي مختلف مثالن لاءِ ڪور جي ورڇ، يعني CoreXL ٽيڪنالاجي
fw ctl pstat رام تجزيو ۽ ڪنيڪشن جا عام اشارا، ڪوڪيز، NAT
فري-ايم رام بفر
ٽيم خاص ڌيان جي لائق آهي. netsat ۽ ان جي variations. مثال طور، نيٽ اسٽيٽ مانيٽرنگ ڪلپ بورڊ جي مسئلي کي حل ڪرڻ ۾ مدد ڪري سگھي ٿي. پيٽرولر، RX ڊراپ پيڪٽس (RX-DRP) هن حڪم جي پيداوار ۾ غير قانوني پروٽوڪول (IPv6، بيڊ / غير ارادي VLAN ٽيگ، ۽ ٻيا) جي بوندن جي ڪري پاڻ ۾ وڌندا آهن. بهرحال، جيڪڏهن ڦڙا ڪنهن ٻئي سبب جي ڪري، پوء توهان کي استعمال ڪرڻ گهرجي تحقيق شروع ڪرڻ لاءِ ڇو ته هي نيٽ ورڪ انٽرفيس پيڪيٽ ڇڏي رهيو آهي. سبب ڄاڻڻ، ايپليڪيشن جي آپريشن کي به بهتر ڪري سگهجي ٿو.
جيڪڏهن مانيٽرنگ بليڊ فعال ٿيل آهي، توهان انهن ميٽرڪس کي گرافي طور تي SmartConsole ۾ هڪ اعتراض تي ڪلڪ ڪندي ۽ ڊوائيس ۽ لائسنس جي معلومات کي منتخب ڪندي ڏسي سگهو ٿا.
اها سفارش نه ڪئي وئي آهي ته مانيٽرنگ بليڊ کي هڪ جاري بنيادن تي چالو ڪيو وڃي، پر اهو ڪافي ممڪن آهي هڪ ڏينهن لاءِ ٽيسٽ لاءِ.
ان کان علاوه، توهان مانيٽرنگ لاء وڌيڪ پيٽرولر شامل ڪري سگهو ٿا، انهن مان هڪ تمام مفيد آهي - Bytes Throughput (appline bandwidth).
جيڪڏهن ڪو ٻيو مانيٽرنگ سسٽم آهي، مثال طور، مفت ، جيڪو SNMP تي ٻڌل آهي، اهو پڻ انهن مسئلن جي نشاندهي ڪرڻ لاء مناسب آهي.
2. رام ”ليڪ“ وقت سان گڏ
گهڻو ڪري اهو سوال پيدا ٿئي ٿو ته وقت سان، گيٽ وي يا مئنيجمينٽ سرور وڌيڪ ۽ وڌيڪ رام استعمال ڪرڻ شروع ڪري ٿو. مان توهان کي يقين ڏيارڻ چاهيان ٿو: هي لينڪس جهڙو سسٽم لاءِ هڪ عام ڪهاڻي آهي.
حڪم جي پيداوار کي ڏسي رهيو آهي فري-ايم и cpstat -f ميموري OS ماهر موڊ مان ايپ لائن تي، توهان حساب ڪري سگهو ٿا ۽ RAM سان لاڳاپيل سڀئي پيٽرولر ڏسي سگهو ٿا.
هن وقت گيٽ وي تي موجود ياداشت جي بنياد تي مفت يادگيري + بفر ميموري + محفوظ ڪيل ياداشت = +-1.5 جي بي، عام طور تي.
جيئن SR چوي ٿو، وقت سان گڏ گيٽ وي/انتظام سرور بهتر ٿي وڃي ٿو ۽ وڌيڪ ۽ وڌيڪ ميموري استعمال ڪري ٿو، اٽڪل 80٪ استعمال تائين، ۽ اسٽاپ. توھان ڊوائيس ريبوٽ ڪري سگھو ٿا ۽ پوء اشارو ري سيٽ ڪيو ويندو. 1.5 GB جي مفت ريم يقيني طور تي ڪافي آهي گيٽ وي لاءِ سڀني ڪمن کي انجام ڏيڻ لاءِ، ۽ انتظام گهٽ ۾ گهٽ اهڙي حد تائين پهچي ٿو.
انهي سان گڏ، ذڪر ڪيل حڪمن جي پيداوار ڏيکاريندو ته توهان وٽ ڪيترو آهي گھٽ ياداشت (يوزر اسپيس ۾ رام) ۽ اعلي ياداشت (RAM kernel space ۾) استعمال ڪيو ويو.
ڪرنل پروسيس (جنهن ۾ فعال ماڊل شامل آهن جهڙوڪ چيڪ پوائنٽ ڪنييل ماڊل) صرف گھٽ ميموري استعمال ڪندا آهن. جڏهن ته، صارف پروسيس ٻنهي کي استعمال ڪري سگهن ٿا گھٽ ۽ هاء ياداشت. ان کان علاوه، گھٽ ياداشت تقريبا برابر آهي ڪل ياداشت.
توهان کي صرف پريشان ٿيڻ گهرجي جيڪڏهن لاگز ۾ غلطيون آهن "ماڊيولز ريبوٽ يا عمل کي ماريو پيو وڃي ميموري کي ٻيهر حاصل ڪرڻ لاءِ OOM جي ڪري (آئوٽ آف ميموري)". پوء توھان کي گيٽ وي کي ريبوٽ ڪرڻ گھرجي ۽ مدد سان رابطو ڪريو جيڪڏھن ريبوٽ مدد نه ڪري.
مڪمل وضاحت ۾ ملي سگهي ٿو и .
3. اصلاح
هيٺ ڏنل سوال ۽ جواب آهن سي پي يو ۽ رام اصلاح بابت. توهان کي انهن کي ايمانداري سان جواب ڏيڻ گهرجي ۽ سفارشون ٻڌي.
3.1. ڇا اپ لائن صحيح طور تي چونڊيو ويو؟ ڇا ڪو پائلٽ پروجيڪٽ هو؟
قابل sizing جي باوجود، نيٽ ورڪ آسانيء سان وڌي سگهي ٿو، ۽ هي سامان صرف لوڊ سان منهن ڏيڻ نه ٿا ڪري سگهو. ٻيو اختيار، جيڪڏهن ڪو به sizing نه هو جيئن ته.
3.2. ڇا HTTPS انسپيڪشن فعال آهي؟ جيڪڏهن ائين آهي، ته ٽيڪنالاجي بهترين عمل جي مطابق ترتيب ڏني وئي آهي؟
ڏانهن رجوع ڪريو جيڪڏهن توهان اسان جا گراهڪ آهيو، يا .
HTTPS انسپيڪشن پاليسي ۾ ضابطن جو حڪم HTTPS سائيٽن جي کولڻ کي بهتر ڪرڻ ۾ وڏو ڪردار ادا ڪري ٿو.
تجويز ڪيل ضابطن جي ترتيب:
- ضابطن کي بائي پاس ڪريو زمرے/URLs سان
- ضابطن جي چڪاس ڪريو زمرے/URLs سان
- ٻين سڀني قسمن جي ضابطن جي چڪاس ڪريو
فائر وال پاليسي سان قياس ڪندي، چيڪ پوائنٽ هڪ پيڪٽ ميچ کي مٿي کان هيٺ تائين ڳولي ٿو، تنهنڪري بائي پاس ضابطا بهترين طور تي مٿي رکيا ويندا آهن، ڇو ته گيٽ وي سڀني ضابطن جي ذريعي هلڻ تي وسيلن کي ضايع نه ڪندو جيڪڏهن هن پيڪٽ کي ڇڏڻ جي ضرورت آهي.
3.3 ڇا ايڊريس رينج جون شيون استعمال ٿيل آهن؟
پتي جي حد سان شيون، جهڙوڪ نيٽورڪ 192.168.0.0-192.168.5.0، 5 نيٽ ورڪ شين جي ڀيٽ ۾ خاص طور تي وڌيڪ RAM استعمال ڪن ٿا. عام طور تي، سمارٽ ڪنسول ۾ غير استعمال ٿيل شيون حذف ڪرڻ سٺو عمل سمجهيو ويندو آهي، ڇاڪاڻ ته هر دفعي هڪ پاليسي مقرر ڪئي وئي آهي، گيٽ وي ۽ مئنيجمينٽ سرور وسيلن کي خرچ ڪري ٿو ۽، سڀ کان اهم، پاليسي جي تصديق ۽ لاڳو ڪرڻ جو وقت.
3.4. خطري جي روڪٿام واري پاليسي ڪيئن ترتيب ڏني وئي آهي؟
سڀ کان پهريان، چيڪ پوائنٽ IPS کي هڪ الڳ پروفائل ڏانهن منتقل ڪرڻ ۽ هن بليڊ لاءِ الڳ ضابطا ٺاهڻ جي سفارش ڪري ٿو.
مثال طور، هڪ منتظم جو خيال آهي ته هڪ DMZ ڀاڱو صرف IPS سان محفوظ ڪيو وڃي. تنهن ڪري، گيٽ وي لاءِ ٻين بليڊن جي پروسيسنگ پيڪٽس تي وسيلن کي ضايع نه ڪرڻ لاءِ، اهو ضروري آهي ته خاص طور تي هن حصي لاءِ هڪ اصول ٺاهيو وڃي جنهن ۾ صرف IPS فعال هجي.
پروفائلز کي ترتيب ڏيڻ جي حوالي سان، ان کي ترتيب ڏيڻ جي صلاح ڏني وئي آھي ان ۾ بھترين عملن جي مطابق (صفحو 17-20).
3.5. IPS سيٽنگن ۾ ڊيٽڪٽ موڊ ۾ ڪيترا دستخط؟
دستخطن تي سخت محنت ڪرڻ جي سفارش ڪئي وئي آهي ان لحاظ کان ته غير استعمال ٿيل دستخطن کي بند ڪيو وڃي (مثال طور، ايڊوب پراڊڪٽس جي آپريشن لاءِ دستخطن لاءِ تمام گهڻي ڪمپيوٽنگ پاور جي ضرورت هوندي آهي، ۽ جيڪڏهن گراهڪ وٽ اهڙيون پراڊڪٽس نه هونديون آهن، ته ان کي غير فعال ڪرڻ سمجهه ۾ اچي ٿو. دستخط). پوءِ جتي ممڪن هجي Detect جي بدران Prevent رکو، ڇاڪاڻ ته گيٽ وي ڊيٽڪٽ موڊ ۾ پوري ڪنيڪشن جي پروسيسنگ تي وسيلا خرچ ڪري ٿو، روڪ موڊ ۾ اهو فوري طور ڪنيڪشن کي ڇڏي ٿو ۽ پئڪيٽ جي مڪمل پروسيسنگ تي وسيلن کي ضايع نٿو ڪري.
3.6. ڪهڙيون فائلن تي عمل ڪيو وڃي ٿو Threat Emulation، Threat Extraction، Anti-Virus blades؟
ايڪسٽينشن فائلن جي تقليد ۽ تجزيو ڪرڻ جو ڪو احساس ناهي ته توهان جا صارف ڊائون لوڊ نٿا ڪن يا توهان پنهنجي نيٽ ورڪ تي غير ضروري سمجهن ٿا (مثال طور، bat، exe فائلن کي آساني سان بلاڪ ڪري سگهجي ٿو مواد جي آگاهي واري بليڊ کي استعمال ڪندي فائر وال سطح تي، تنهنڪري گيٽ وي وسيلا هوندا. گهٽ خرچ ڪيو). ان کان علاوه، Threat Emulation سيٽنگن ۾، توهان سينڊ باڪس ۾ خطرن کي ايموليٽ ڪرڻ لاءِ ماحوليات (آپريٽنگ سسٽم) کي چونڊيو ۽ ماحوليات ونڊوز 7 انسٽال ڪري سگهو ٿا جڏهن سڀ استعمال ڪندڙ 10هين ورزن سان ڪم ڪري رهيا آهن، اهو به ڪو مطلب ناهي.
3.7. ڇا فائر وال ۽ ايپليڪيشن پرت جا قاعدا بهترين عمل جي مطابق رکيا ويا آهن؟
جيڪڏهن هڪ قاعدي ۾ تمام گهڻيون هٽيون (ميچون) آهن، پوء اهو سفارش ڪئي وئي آهي ته انهن کي تمام مٿاهين تي رکي، ۽ ضابطن کي هٽ جي هڪ ننڍڙي تعداد سان - تمام تري ۾. بنيادي شيء اها پڪ ڪرڻ آهي ته اهي ٽڪر نه ٿا ڪن ۽ هڪ ٻئي کي اوورليپ نه ڪن. تجويز ڪيل فائر وال پاليسي فن تعمير:
وضاحتون:
پهريون ضابطو - سڀ کان وڌيڪ ملندڙ ضابطا هتي رکيا ويا آهن
شور جو قاعدو - غلط ٽرئفڪ کي ڇڏڻ لاءِ ھڪڙو قاعدو جهڙوڪ NetBIOS
اسٽيلٿ رول - گيٽ ويز تائين رسائي جي پابندي ۽ سڀني لاءِ انتظام، سواءِ انهن ذريعن جي جيڪي گيٽ وي جي ضابطن جي تصديق ۾ بيان ڪيا ويا آهن
ڪلين اپ، آخري ۽ ڊراپ ضابطا عام طور تي ھڪڙي قاعدي ۾ ملائي ويندا آھن انھن شين کي منع ڪرڻ لاءِ جنھن جي اڳ اجازت نه ھئي
بهترين مشق ڊيٽا ۾ بيان ڪيو ويو آهي .
3.8. منتظمين پاران ٺاهيل خدمتن لاءِ سيٽنگون ڇا آهن؟
مثال طور، ڪجهه TCP سروس هڪ مخصوص بندرگاهه تي ٺاهي پئي وڃي، ۽ اهو سمجهه ۾ اچي ٿو ته "Match for Any" کي چيڪ ڪريو سروس جي اعليٰ سيٽنگن ۾. انهي صورت ۾، اها خدمت خاص طور تي ضابطي جي تحت ٿي ويندي جنهن ۾ اهو ظاهر ٿئي ٿو، ۽ ضابطن ۾ حصو نه وٺندي جتي ڪو به آهي خدمتن جي ڪالمن ۾.
خدمتن جي ڳالهائيندي، اهو ذڪر ڪرڻ جي قابل آهي ته ڪڏهن ڪڏهن اهو ضروري آهي ته ٽائيم ٽائيڪ ڪرڻ لاء. هي سيٽنگ توهان کي اجازت ڏيندو ته گيٽ وي وسيلن کي وڌيڪ هوشياريءَ سان استعمال ڪري، جيئن پروٽوڪول لاءِ اضافي TCP/UDP سيشن جو وقت نه رکيو وڃي جن کي وڏي ٽائم آئوٽ جي ضرورت ناهي. مثال طور، ھيٺ ڏنل اسڪرين شاٽ ۾، مون ڊومين-udp سروس جو وقت 40 سيڪنڊن مان 30 سيڪنڊن ۾ تبديل ڪيو.
3.9. ڇا SecureXL استعمال ڪيو ويو آهي ۽ تيز رفتار جو سيڪڙو ڇا آهي؟
توهان گيٽ وي تي ماهر موڊ ۾ مکيه حڪمن سان SecureXL جي معيار کي چيڪ ڪري سگهو ٿا fwaccel اسٽيٽ и fw accelstats -s. اڳيون، توهان کي اهو ڄاڻڻ جي ضرورت آهي ته ڪهڙي قسم جي ٽرئفڪ تيز ٿي رهي آهي، ڪهڙي ٽيمپليٽ (ٽيمپليٽ) توهان وڌيڪ ٺاهي سگهو ٿا.
ڊفالٽ طور، ڊراپ ٽيمپليٽس فعال نه آهن، انهن کي فعال ڪرڻ سان SecureXL جي آپريشن تي مثبت اثر پوندو. هن کي ڪرڻ لاء، گيٽ وي سيٽنگون ڏانهن وڃو ۽ اصلاح واري ٽيب:
انهي سان گڏ، جڏهن ڪلستر سان ڪم ڪري رهيا آهيو، سي پي يو کي بهتر ڪرڻ لاء، توهان غير نازڪ خدمتن جي هم وقت سازي کي غير فعال ڪري سگهو ٿا، جهڙوڪ UDP DNS، ICMP، ۽ ٻيا. ائين ڪرڻ لاءِ، وڃو سروس سيٽنگون → Advanced → Synchronize Connections of State Synchronization ڪلستر تي فعال ٿيل آھي.
تمام بهترين طريقا بيان ڪيا ويا آهن .
3.10. CoreXl ڪيئن استعمال ٿيندو آهي؟
CoreXL ٽيڪنالاجي، جيڪا توهان کي اجازت ڏئي ٿي ڪيترن ئي سي پي يوز استعمال ڪرڻ لاءِ فائر وال مثالن (فائر وال ماڊلز)، يقيني طور تي ڊوائيس جي ڪارڪردگي کي بهتر ڪرڻ ۾ مدد ڪري ٿي. ٽيم پهرين fw ctl لاڳاپو -l -a ڏيکاريندو استعمال ٿيل فائر وال مثالن ۽ پروسيسرز کي ڏنو ويو گهربل SND (هڪ ماڊل جيڪو ٽرئفڪ کي فائر وال ادارن ڏانهن ورهائي ٿو). جيڪڏهن سڀئي پروسيسر شامل نه آهن، انهن کي حڪم سان شامل ڪري سگهجي ٿو cpconfig دروازي تي.
هڪ سٺي ڪهاڻي پڻ ڏيڻ آهي ملٽي قطار کي فعال ڪرڻ لاء. ملٽي-قطار مسئلو حل ڪري ٿو جڏهن پروسيسر SND سان ڪيترن ئي سيڪڙو استعمال ڪيو ويندو آهي، ۽ ٻين پروسيسرز تي فائر وال مثال بيڪار آهن. پوءِ SND هڪ NIC لاءِ ڪيتريون ئي قطارون ٺاهي سگھندو ۽ ڪنيل سطح تي مختلف ٽريفڪ لاءِ مختلف ترجيحات مقرر ڪري. نتيجي طور، سي پي يو ڪور وڌيڪ ذھني طور استعمال ڪيو ويندو. طريقا پڻ بيان ڪيا ويا آهن .
آخر ۾، مان اهو چوڻ چاهيان ٿو ته اهي چيڪ پوائنٽ کي بهتر ڪرڻ جي سڀني بهترين طريقن کان پري آهن، پر سڀ کان وڌيڪ مشهور آهن. جيڪڏهن توهان پنهنجي سيڪيورٽي پاليسي جي آڊٽ جي درخواست ڪرڻ چاهيو ٿا يا چيڪ پوائنٽ جي مسئلي کي حل ڪرڻ چاهيندا، مهرباني ڪري رابطو ڪريو [ايميل محفوظ ٿيل].
Спасибо за внимание!
جو ذريعو: www.habr.com