ආයුබෝවන් සගයන්! අද මම බොහෝ චෙක් පොයින්ට් පරිපාලකයින් සඳහා ඉතා අදාළ මාතෘකාවක් සාකච්ඡා කිරීමට කැමැත්තෙමි: "CPU සහ RAM ප්රශස්ත කිරීම." ගේට්වේ සහ/හෝ කළමනාකරණ සේවාදායකය අනපේක්ෂිත ලෙස මෙම සම්පත් විශාල ප්රමාණයක් පරිභෝජනය කරන අවස්ථා බොහෝ විට ඇති අතර, ඒවා “ගලා යන්නේ” කොතැනද යන්න තේරුම් ගැනීමට සහ හැකි නම් ඒවා වඩාත් බුද්ධිමත් ලෙස භාවිතා කිරීමට මම කැමතියි.
1. විශ්ලේෂණය
ප්රොසෙසර භාරය විශ්ලේෂණය කිරීම සඳහා, ප්රවීණ මාදිලියේ ඇතුළත් කර ඇති පහත විධානයන් භාවිතා කිරීම ප්රයෝජනවත් වේ:
ඉහළ සියලුම ක්රියාවලීන්, ප්රතිශතයක් ලෙස පරිභෝජනය කරන CPU සහ RAM සම්පත් ප්රමාණය, අතිකාල, ක්රියාවලි ප්රමුඛතාවය සහ සැබෑ කාලය තුළи
cpwd_admin ලැයිස්තුව සියලුම යෙදුම් මොඩියුල, ඒවායේ PID, තත්ත්වය සහ ආරම්භක ගණන පෙන්වන Point WatchDog Daemon පරීක්ෂා කරන්න
cpstat -f cpu os CPU භාවිතය, ඒවායේ අංකය සහ ප්රොසෙසර කාලය බෙදා හැරීම ප්රතිශතයක් ලෙස
cpstat -f මතකය os අතථ්ය RAM භාවිතය, කොපමණ ක්රියාකාරී, නොමිලේ RAM සහ තවත් දේ
නිවැරදි ප්රකාශය නම් සියලුම cpstat විධාන උපයෝගීතාව භාවිතයෙන් නැරඹිය හැකි බවයි cpview. මෙය සිදු කිරීම සඳහා, ඔබ SSH සැසියේ ඕනෑම මාදිලියකින් cpview විධානය ඇතුළත් කළ යුතුය.
ps auxwf සියලුම ක්රියාවලීන්ගේ දිගු ලැයිස්තුවක්, ඒවායේ හැඳුනුම්පත, වාඩිලාගෙන සිටින අතථ්ය මතකය සහ RAM, CPU හි මතකය
වෙනත් විධාන වෙනස්කම්:
ps-aF වඩාත්ම මිල අධික ක්රියාවලිය පෙන්වනු ඇත
fw ctl සම්බන්ධතාවය -l -a විවිධ ෆයර්වෝල් අවස්ථා සඳහා හර බෙදා හැරීම, එනම් CoreXL තාක්ෂණය
fw ctl pstat RAM විශ්ලේෂණය සහ සාමාන්ය සම්බන්ධතා දර්ශක, කුකීස්, NAT
නිදහස් -මි RAM බෆරය
කණ්ඩායම විශේෂ අවධානයක් ලැබිය යුතුය netsat සහ එහි වෙනස්කම්. උදාහරණ වශයෙන්, netstat -i ක්ලිප්බෝඩ් නිරීක්ෂණය කිරීමේ ගැටලුව විසඳීමට උපකාර කළ හැක. මෙම විධානයේ ප්රතිදානයේ පරාමිතිය, RX dropped packets (RX-DRP), රීතියක් ලෙස, නීත්යානුකූල නොවන ප්රොටෝකෝල (IPv6, නරක / අනපේක්ෂිත VLAN ටැග් සහ වෙනත්) පහත වැටීම හේතුවෙන් එය තනිවම වර්ධනය වේ. කෙසේ වෙතත්, වෙනත් හේතුවක් නිසා බිංදු සිදුවන්නේ නම්, ඔබ මෙය භාවිතා කළ යුතුය ලබා දී ඇති ජාල අතුරුමුහුණත පැකට් අතහැර දමන්නේ මන්දැයි විමර්ශනය කිරීම සහ තේරුම් ගැනීම ආරම්භ කිරීමට. හේතුව සොයා ගැනීමෙන් පසු, යෙදුමේ ක්රියාකාරිත්වය ද ප්රශස්ත කළ හැකිය.
අධීක්ෂණ තලය සබල කර ඇත්නම්, වස්තුව මත ක්ලික් කර "උපාංග සහ බලපත්ර තොරතුරු" තේරීමෙන් ඔබට මෙම ප්රමිතික SmartConsole හි චිත්රක ලෙස බැලිය හැක.
අධීක්ෂණ තලය ස්ථිර පදනමක් මත ක්රියාත්මක කිරීම නිර්දේශ නොකරයි, නමුත් පරීක්ෂා කිරීම සඳහා දිනකට එය තරමක් හැකි ය.
එපමනක් නොව, ඔබට අධීක්ෂණය සඳහා තවත් පරාමිති එකතු කළ හැකිය, ඒවායින් එකක් ඉතා ප්රයෝජනවත් වේ - බයිට් ප්රතිදානය (යෙදුම් ප්රතිදානය).
වෙනත් අධීක්ෂණ පද්ධතියක් තිබේ නම්, උදාහරණයක් ලෙස, නොමිලේ , SNMP මත පදනම්ව, මෙම ගැටළු හඳුනා ගැනීම සඳහා ද සුදුසු වේ.
2. කාලයත් සමඟ RAM කාන්දු වීම
ප්රශ්නය බොහෝ විට පැන නගින්නේ කාලයත් සමඟ ගේට්වේ හෝ කළමනාකරණ සේවාදායකය වැඩි වැඩියෙන් RAM පරිභෝජනය කිරීමට පටන් ගන්නා බවයි. මට ඔබට සහතික කිරීමට අවශ්යයි: මෙය ලිනක්ස් වැනි පද්ධති සඳහා සාමාන්ය කතාවකි.
විධානවල ප්රතිදානය දෙස බැලීම නිදහස් -මි и cpstat -f මතකය os විශේෂඥ මාදිලියේ සිට යෙදුම මත, ඔබට RAM සම්බන්ධ සියලු පරාමිති ගණනය කර බැලීමට හැකිය.
මේ මොහොතේ දොරටුවේ පවතින මතකය මත පදනම්ව නිදහස් මතකය + බෆර් මතකය + හැඹිලි මතකය = +-1.5 GB, සාමාන්යයෙන්.
CP පවසන පරිදි, කාලයත් සමඟ ගේට්වේ/කළමනාකරණ සේවාදායකය ප්රශස්ත කර වැඩි වැඩියෙන් මතකය භාවිතා කරයි, 80% ප්රයෝජනයට ළඟා වන අතර නතර වේ. ඔබට උපාංගය නැවත ආරම්භ කළ හැකිය, පසුව දර්ශකය නැවත සකසනු ඇත. 1.5 GB නොමිලේ RAM ප්රමාණයක් ද්වාරය සඳහා සියලු කාර්යයන් ඉටු කිරීම සඳහා ප්රමාණවත් වන අතර කළමනාකරණය කලාතුරකින් එවැනි සීමාවන් අගයන් කරා ළඟා වේ.
එසේම සඳහන් කර ඇති විධානවල ප්රතිදානයන් ඔබට කොපමණ ප්රමාණයක් තිබේද යන්න පෙන්වයි අඩු මතකය (පරිශීලක අවකාශයේ RAM) සහ ඉහළ මතකය (කර්නල් අවකාශයේ RAM) භාවිතා වේ.
කර්නල් ක්රියාවලි (චෙක් පොයින්ට් කර්නල් මොඩියුල වැනි ක්රියාකාරී මොඩියුල ඇතුළුව) භාවිතා කරන්නේ අඩු මතකය පමණි. කෙසේ වෙතත්, පරිශීලක ක්රියාවලීන් අඩු සහ ඉහළ මතකය යන දෙකම භාවිතා කළ හැක. එපමණක් නොව, අඩු මතකය ආසන්න වශයෙන් සමාන වේ මුළු මතකය.
ඔබ කලබල විය යුත්තේ ලොග් වල දෝෂ තිබේ නම් පමණි "OOM (මතකයේ නොමැත) හේතුවෙන් මතකය නැවත ලබා ගැනීම සඳහා මොඩියුල නැවත ආරම්භ කිරීම හෝ ක්රියාවලීන් විනාශ වේ". එවිට ඔබ ගේට්වේ නැවත ආරම්භ කළ යුතු අතර නැවත පණගැන්වීම උදව් නොකළහොත් සහය සම්බන්ධ කර ගන්න.
සම්පූර්ණ විස්තරයක් සොයාගත හැකිය и .
3. ප්රශස්තකරණය
CPU සහ RAM ප්රශස්ත කිරීම පිළිබඳ ප්රශ්න සහ පිළිතුරු පහත දැක්වේ. ඔබ ඔවුන්ට අවංකව පිළිතුරු දිය යුතු අතර නිර්දේශ වලට සවන් දිය යුතුය.
3.1 අයදුම්පත නිවැරදිව තෝරාගෙන තිබේද? නියමු ව්යාපෘතියක් තිබුණාද?
නිසි ප්රමාණය තිබියදීත්, ජාලය සරලව වර්ධනය විය හැකි අතර, මෙම උපකරණයට බර සමඟ සාර්ථකව කටයුතු කළ නොහැක. දෙවන විකල්පය නම් එවැනි ප්රමාණකරණයක් නොතිබුනේ නම් ය.
3.2 HTTPS පරීක්ෂාව සබල කර තිබේද? ඔව් නම්, තාක්ෂණය වින්යාස කර ඇත්තේ Best Practice අනුවද?
වෙත යොමු කරන්න , ඔබ අපගේ සේවාදායකයා නම්, හෝ .
HTTPS පරීක්ෂණ ප්රතිපත්තියේ ඇති නීති රීති HTTPS අඩවි විවෘත කිරීම ප්රශස්ත කිරීම සඳහා විශාල කාර්යභාරයක් ඉටු කරයි.
නිර්දේශිත නීති අනුපිළිවෙල:
- ප්රවර්ග/URL සමඟින් නීති මඟහරින්න
- ප්රවර්ග/URL සමඟ නීති පරීක්ෂා කරන්න
- අනෙකුත් සියලුම කාණ්ඩ සඳහා නීති පරීක්ෂා කරන්න
ෆයර්වෝල් ප්රතිපත්තියට සාදෘශ්යව, Check Point විසින් උඩ සිට පහළට පැකට් මගින් ගැළපීමක් සොයයි, එබැවින් මෙම පැකට්ටුවට අවශ්ය නම්, ද්වාරය සියලු නීති හරහා ධාවනය කිරීමට සම්පත් නාස්ති නොකරන බැවින් බයිපාස් රීති ඉහළින් තැබීම වඩා හොඳය. සම්මත කිරීමට.
3.3 ලිපින පරාසයක වස්තු භාවිතා කරන්නේද?
ලිපින පරාසයක් සහිත වස්තූන්, උදාහරණයක් ලෙස, ජාලය 192.168.0.0-192.168.5.0, ජාල වස්තූන් 5 කට වඩා සැලකිය යුතු RAM ප්රමාණයක් ගනී. සාමාන්යයෙන්, SmartConsole හි භාවිතයට නොගත් වස්තු ඉවත් කිරීම හොඳ පුරුද්දක් ලෙස සැලකේ, ප්රතිපත්තියක් ස්ථාපනය කරන සෑම අවස්ථාවකම, ද්වාරය සහ කළමනාකරණ සේවාදායකය සම්පත් වැය කරන අතර, වඩාත්ම වැදගත් ලෙස, කාලය, ප්රතිපත්තිය සත්යාපනය කිරීම සහ යෙදීම.
3.4 තර්ජන වැළැක්වීමේ ප්රතිපත්තිය වින්යාස කර ඇත්තේ කෙසේද?
පළමුවෙන්ම, චෙක් පොයින්ට් IPS වෙනම පැතිකඩක තැබීම සහ මෙම තලය සඳහා වෙනම නීති නිර්මාණය කිරීම නිර්දේශ කරයි.
උදාහරණයක් ලෙස, පරිපාලකයෙකු විශ්වාස කරන්නේ DMZ කොටස IPS භාවිතයෙන් පමණක් ආරක්ෂා කළ යුතු බවයි. එබැවින්, වෙනත් තල මගින් පැකට් සැකසීමේ සම්පත් නාස්ති කිරීමෙන් ද්වාරය වැළැක්වීම සඳහා, IPS පමණක් සක්රිය කර ඇති පැතිකඩක් සහිත මෙම කොටස සඳහා විශේෂයෙන් රීතියක් නිර්මාණය කිරීම අවශ්ය වේ.
පැතිකඩ සැකසීම සම්බන්ධයෙන්, මෙහි ඇති හොඳම භාවිතයන් අනුව එය සැකසීමට නිර්දේශ කරනු ලැබේ (පිටු 17-20).
3.5 IPS සැකසුම් තුළ, හඳුනාගැනීමේ මාදිලියේ අත්සන් කීයක් තිබේද?
භාවිතයට නොගත් ඒවා අක්රිය කළ යුතුය යන අර්ථයෙන් අත්සන් ප්රවේශමෙන් අධ්යයනය කිරීම රෙකමදාරු කරනු ලැබේ (නිදසුනක් ලෙස, Adobe නිෂ්පාදන ක්රියාත්මක කිරීම සඳහා අත්සන් සඳහා විශාල පරිගණක බලයක් අවශ්ය වන අතර පාරිභෝගිකයාට එවැනි නිෂ්පාදන නොමැති නම්, අත්සන් අක්රිය කිරීම අර්ථවත් කරයි). මීළඟට, හැකි තැන Detect වෙනුවට Prevent දමන්න, මන්ද ද්වාරය Detect මාදිලියේ සම්පූර්ණ සම්බන්ධතාවය සැකසීමට සම්පත් වැය කරයි; වැළැක්වීමේ මාදිලියේදී, එය වහාම සම්බන්ධතාවය ඉවතලන අතර පැකට්ටුව සම්පූර්ණයෙන් සැකසීමේදී සම්පත් නාස්ති නොකරයි.
3.6 Threat Emulation, Threat Extraction, Anti-Virus blades මගින් සකසන ලද ගොනු මොනවාද?
ඔබේ පරිශීලකයින් බාගත නොකරන හෝ ඔබේ ජාලයේ අනවශ්ය යැයි ඔබ සලකන දිගු ගොනු අනුකරණය කිරීම සහ විශ්ලේෂණය කිරීම තේරුමක් නැත (උදාහරණයක් ලෙස, bat, exe ගොනු ෆයර්වෝල් මට්ටමේ අන්තර්ගත දැනුවත් කිරීමේ තලය භාවිතයෙන් පහසුවෙන් අවහිර කළ හැකිය, එබැවින් අඩු ද්වාරය. සම්පත් වියදම් කරනු ලැබේ). එපමණක් නොව, තර්ජන අනුකරණ සැකසුම් තුළ ඔබට වැලිපිල්ල තුළ තර්ජන අනුකරණය කිරීමට පරිසරය (මෙහෙයුම් පද්ධතිය) තෝරාගත හැකි අතර සියලු පරිශීලකයින් 7 අනුවාදය සමඟ වැඩ කරන විට පරිසරය වින්ඩෝස් 10 ස්ථාපනය කිරීම ද තේරුමක් නැත.
3.7 ෆයර්වෝල් සහ යෙදුම් මට්ටමේ නීති හොඳම භාවිතයට අනුකූලව සකස් කර තිබේද?
රීතියකට පහරවල් (තරග) ගොඩක් තිබේ නම්, ඒවා ඉතා ඉහළින් තැබීම රෙකමදාරු කරනු ලැබේ, සහ කුඩා පහර සංඛ්යාවක් සහිත නීති - ඉතා පහළින්. ප්රධාන දෙය නම් ඒවා එකිනෙක ඡේදනය හෝ අතිච්ඡාදනය නොවන බව සහතික කිරීමයි. නිර්දේශිත ෆයර්වෝල් ප්රතිපත්ති ගෘහ නිර්මාණ ශිල්පය:
පැහැදිලි කිරීම්:
පළමු රීති - වැඩිම තරඟ සංඛ්යාවක් සහිත නීති මෙහි තබා ඇත
Noise Rule - NetBIOS වැනි ව්යාජ ගමනාගමනය ඉවත දැමීමේ රීතියකි
Stealth Rule - Authentication to Gateway Rules හි නිශ්චිතව දක්වා ඇති මූලාශ්ර හැර අන් සියල්ලටම ද්වාර සහ කළමනාකරණයට ඇමතුම් තහනම් කරයි.
පිරිසිදු කිරීම, අවසාන සහ අතහැර දැමීමේ රීති සාමාන්යයෙන් එක් රීතියකට ඒකාබද්ධ කර කලින් අවසර නොදුන් සියල්ල තහනම් කරයි.
හොඳම පුහුණු දත්ත විස්තර කර ඇත .
3.8 පරිපාලකයින් විසින් නිර්මාණය කරන ලද සේවාවන්හි ඇති සැකසුම් මොනවාද?
උදාහරණයක් ලෙස, සමහර TCP සේවාව විශේෂිත වරායක් මත නිර්මාණය කර ඇති අතර, සේවාවේ උසස් සැකසුම් තුළ "ඕනෑම දෙයක් සඳහා ගැලපීම" ඉවත් කිරීම අර්ථවත් කරයි. මෙම අවස්ථාවෙහිදී, මෙම සේවාව විශේෂයෙන් එය දිස්වන රීතියට යටත් වන අතර, සේවා තීරුවේ ඕනෑම එකක් ලැයිස්තුගත කර ඇති නීතිවලට සහභාගී නොවනු ඇත.
සේවා ගැන කතා කිරීම, සමහර විට එය කල් ඉකුත්වීම් සකස් කිරීමට අවශ්ය බව සඳහන් කිරීම වටී. විශාල කල් ඉකුත්වීමක් අවශ්ය නොවන ප්රොටෝකෝලවල TCP/UDP සැසි සඳහා අමතර කාලයක් නොපැවැත්වීම සඳහා, මෙම සැකසුම ඔබට ද්වාර සම්පත් ඥානවන්තව භාවිත කිරීමට ඉඩ සලසයි. උදාහරණයක් ලෙස, පහත තිර රුවෙහි, මම වසම්-udp සේවා කල් ඉකුත්වීම තත්පර 40 සිට තත්පර 30 දක්වා වෙනස් කළෙමි.
3.9 SecureXL භාවිතා කරන්නේද සහ වේගවත් කිරීමේ ප්රතිශතය කුමක්ද?
ඔබට ද්වාරයෙහි ප්රවීණ මාදිලියේ මූලික විධාන භාවිතයෙන් SecureXL හි ගුණාත්මක භාවය පරීක්ෂා කළ හැක fwaccel stat и fw වේගවත් සංඛ්යාලේඛන -s. ඊළඟට, ඔබ කුමන ආකාරයේ ගමනාගමනය වේගවත් කරන්නේද යන්න සහ වෙනත් සැකිලි නිර්මාණය කළ හැක්කේ කුමක්ද යන්න සොයා බැලිය යුතුය.
Drop Templates පෙරනිමියෙන් සක්රීය කර නැත; ඒවා සක්රීය කිරීමෙන් SecureXL ප්රතිලාභ ලබයි. මෙය සිදු කිරීම සඳහා, ද්වාර සැකසුම් සහ ප්රශස්තිකරණ පටිත්ත වෙත යන්න:
එසේම, CPU ප්රශස්ත කිරීම සඳහා පොකුරක් සමඟ වැඩ කරන විට, ඔබට UDP DNS, ICMP සහ වෙනත් විවේචනාත්මක නොවන සේවාවන් සමමුහුර්ත කිරීම අක්රිය කළ හැකිය. මෙය සිදු කිරීම සඳහා, සේවා සැකසීම් වෙත යන්න → උසස් → සමමුහුර්ත සම්බන්ධතා සමමුහුර්ත කිරීමේ රාජ්ය සමමුහුර්තකරණය පොකුරේ සක්රිය කර ඇත.
සියලුම හොඳම භාවිතයන් විස්තර කර ඇත .
3.10 CoreXl භාවිතා කරන්නේ කෙසේද?
ෆයර්වෝල් අවස්ථා (ෆයර්වෝල් මොඩියුල) සඳහා බහු CPU භාවිතා කිරීමට ඉඩ සලසන CoreXL තාක්ෂණය අනිවාර්යයෙන්ම උපාංගයේ ක්රියාකාරිත්වය ප්රශස්ත කිරීමට උපකාරී වේ. පළමුව කණ්ඩායම fw ctl සම්බන්ධතාවය -l -a භාවිතා කරන ලද ෆයර්වෝල් අවස්ථා සහ SND වෙත පවරා ඇති ප්රොසෙසර පෙන්වයි (ෆයර්වෝල් ආයතන වෙත ගමනාගමනය බෙදා හරින මොඩියුලයක්). සියලුම ප්රොසෙසර භාවිතා නොකරන්නේ නම්, ඒවා විධානය සමඟ එකතු කළ හැකිය cpconfig ගේට්ටුවේ.
ඒවගේම හොඳ කතාවක් දාන්න ඕනේ බහු පෝලිම් සබල කිරීමට. SND සමඟ ප්රොසෙසරය සියයට ගණනකින් භාවිතා කරන විට බහු පෝලිම් ගැටළුව විසඳයි, සහ අනෙකුත් ප්රොසෙසරවල ෆයර්වෝල් අවස්ථා අක්රිය වේ. එවිට SND හට එක් ජාතික හැඳුනුම්පතක් සඳහා බොහෝ පෝලිම් නිර්මාණය කිරීමට සහ කර්නල් මට්ටමින් විවිධ ගමනාගමනය සඳහා විවිධ ප්රමුඛතා සැකසීමට හැකියාව ලැබේ. එහි ප්රතිඵලයක් ලෙස, CPU මධ්යයන් වඩාත් බුද්ධිමත්ව භාවිතා කරනු ඇත. ක්රම ද විස්තර කර ඇත .
අවසාන වශයෙන්, චෙක් පොයින්ට් ප්රශස්ත කිරීම සඳහා මේ සියල්ල හොඳම භාවිතයන් නොවන නමුත් ඒවා වඩාත් ජනප්රිය බව මම පැවසීමට කැමැත්තෙමි. ඔබ ඔබේ ආරක්ෂක ප්රතිපත්තියේ විගණනයක් ඇණවුම් කිරීමට හෝ Check Point සම්බන්ධ ගැටලුවක් විසඳීමට කැමති නම්, කරුණාකර සම්බන්ධ කරගන්න [විද්යුත් ආරක්ෂිත].
Спасибо!
මූලාශ්රය: www.habr.com