హలో సహోద్యోగులారా! ఈ రోజు నేను చాలా మంది చెక్ పాయింట్ అడ్మినిస్ట్రేటర్ల కోసం చాలా సంబంధిత అంశాన్ని చర్చించాలనుకుంటున్నాను, "CPU మరియు RAM ఆప్టిమైజేషన్". గేట్వే మరియు/లేదా మేనేజ్మెంట్ సర్వర్ ఈ వనరులను ఊహించని విధంగా వినియోగించడం అసాధారణం కాదు మరియు అవి ఎక్కడ “లీక్” అవుతాయి మరియు వీలైతే వాటిని మరింత సమర్థంగా ఉపయోగించుకోవాలని ఎవరైనా కోరుకుంటారు.
1. విశ్లేషణ
ప్రాసెసర్ లోడ్ను విశ్లేషించడానికి, నిపుణుల మోడ్లో నమోదు చేయబడిన కింది ఆదేశాలను ఉపయోగించడం ఉపయోగకరంగా ఉంటుంది:
టాప్ అన్ని ప్రక్రియలు, CPU మరియు RAM వనరుల శాతం, సమయ వ్యవధి, ప్రాసెస్ ప్రాధాన్యత మరియు వినియోగించబడే మొత్తం చూపుతుంది నిజ సమయంలోи
cpwd_admin జాబితా చెక్ పాయింట్ వాచ్డాగ్ డెమోన్, ఇది అన్ని యాప్లైన్ మాడ్యూల్స్, వాటి PID, స్థితి మరియు పరుగుల సంఖ్యను చూపుతుంది
cpstat -f cpu os CPU వినియోగం, వాటి సంఖ్య మరియు శాతంలో ప్రాసెసర్ సమయం పంపిణీ
cpstat -f మెమరీ OS వర్చువల్ ర్యామ్ వినియోగం, ఎంత యాక్టివ్, ఉచిత ర్యామ్ మరియు మరిన్ని
సరైన వ్యాఖ్య ఏమిటంటే అన్ని cpstat ఆదేశాలను యుటిలిటీని ఉపయోగించి వీక్షించవచ్చు cpview. దీన్ని చేయడానికి, మీరు SSH సెషన్లోని ఏదైనా మోడ్ నుండి cpview ఆదేశాన్ని నమోదు చేయాలి.
ps auxwf అన్ని ప్రక్రియల యొక్క సుదీర్ఘ జాబితా, వాటి ID, ఆక్రమిత వర్చువల్ మెమరీ మరియు RAM, CPUలో మెమరీ
కమాండ్ యొక్క మరొక వైవిధ్యం:
ps-aF అత్యంత ఖరీదైన ప్రక్రియను చూపించు
fw ctl అనుబంధం -l -a ఫైర్వాల్ యొక్క వివిధ సందర్భాల్లో కోర్ల పంపిణీ, అంటే కోర్ఎక్స్ఎల్ టెక్నాలజీ
fw ctl pstat RAM విశ్లేషణ మరియు కనెక్షన్లు, కుక్కీలు, NAT యొక్క సాధారణ సూచికలు
ఉచిత RAM బఫర్
జట్టు ప్రత్యేక శ్రద్ధ అవసరం. netsat మరియు దాని వైవిధ్యాలు. ఉదాహరణకి, నెట్స్టాట్ -ఐ క్లిప్బోర్డ్లను పర్యవేక్షించే సమస్యను పరిష్కరించడంలో సహాయపడుతుంది. ఈ కమాండ్ యొక్క అవుట్పుట్లోని పరామితి, RX డ్రాప్డ్ ప్యాకెట్లు (RX-DRP) చట్టవిరుద్ధమైన ప్రోటోకాల్ డ్రాప్స్ (IPv6, బాడ్ / అనాలోచిత VLAN ట్యాగ్లు మరియు ఇతరాలు) కారణంగా దానంతట అదే వృద్ధి చెందుతుంది. అయితే, చుక్కలు మరొక కారణంతో సంభవించినట్లయితే, మీరు దీన్ని ఉపయోగించాలి ఈ నెట్వర్క్ ఇంటర్ఫేస్ ప్యాకెట్లను ఎందుకు వదులుకుంటుందో పరిశోధించడం ప్రారంభించడానికి. కారణం తెలుసుకోవడం, అప్లికేషన్ యొక్క ఆపరేషన్ కూడా ఆప్టిమైజ్ చేయబడుతుంది.
మానిటరింగ్ బ్లేడ్ ప్రారంభించబడితే, మీరు ఒక వస్తువుపై క్లిక్ చేసి, పరికరం & లైసెన్స్ సమాచారాన్ని ఎంచుకోవడం ద్వారా SmartConsoleలో గ్రాఫికల్గా ఈ కొలమానాలను వీక్షించవచ్చు.
కొనసాగుతున్న ప్రాతిపదికన మానిటరింగ్ బ్లేడ్ను ప్రారంభించడం సిఫార్సు చేయబడదు, కానీ పరీక్ష కోసం ఒక రోజు వరకు ఇది చాలా సాధ్యమే.
అంతేకాకుండా, మీరు పర్యవేక్షణ కోసం మరిన్ని పారామితులను జోడించవచ్చు, వాటిలో ఒకటి చాలా ఉపయోగకరంగా ఉంటుంది - బైట్స్ నిర్గమాంశ (అప్లైన్ బ్యాండ్విడ్త్).
ఏదైనా ఇతర పర్యవేక్షణ వ్యవస్థ ఉంటే, ఉదాహరణకు, ఉచితం , ఇది SNMPపై ఆధారపడి ఉంటుంది, ఇది ఈ సమస్యలను గుర్తించడానికి కూడా అనుకూలంగా ఉంటుంది.
2. RAM కాలక్రమేణా "లీక్స్"
తరచుగా ప్రశ్న తలెత్తుతుంది, కాలక్రమేణా, గేట్వే లేదా మేనేజ్మెంట్ సర్వర్ మరింత ఎక్కువ RAMని వినియోగించడం ప్రారంభిస్తుంది. నేను మీకు భరోసా ఇవ్వాలనుకుంటున్నాను: ఇది Linux లాంటి సిస్టమ్లకు సాధారణ కథనం.
కమాండ్ అవుట్పుట్ని చూస్తోంది ఉచిత и cpstat -f మెమరీ OS నిపుణుల మోడ్ నుండి అప్లికేషన్లో, మీరు RAMకి సంబంధించిన అన్ని పారామితులను లెక్కించవచ్చు మరియు వీక్షించవచ్చు.
ప్రస్తుతానికి గేట్వేపై అందుబాటులో ఉన్న మెమరీ ఆధారంగా ఉచిత మెమరీ + బఫర్స్ మెమరీ + కాష్ చేసిన మెమరీ = +-1.5 GB, సాధారణంగా.
SR చెప్పినట్లుగా, కాలక్రమేణా గేట్వే/మేనేజ్మెంట్ సర్వర్ ఆప్టిమైజ్ చేయబడుతుంది మరియు మరింత ఎక్కువ మెమరీని ఉపయోగిస్తుంది, దాదాపు 80% వినియోగం మరియు ఆగిపోతుంది. మీరు పరికరాన్ని రీబూట్ చేయవచ్చు, ఆపై సూచిక రీసెట్ చేయబడుతుంది. అన్ని పనులను నిర్వహించడానికి గేట్వేకి 1.5 GB ఉచిత RAM ఖచ్చితంగా సరిపోతుంది మరియు నిర్వహణ అరుదుగా అటువంటి థ్రెషోల్డ్ విలువలను చేరుకుంటుంది.
అలాగే, పేర్కొన్న ఆదేశాల అవుట్పుట్ మీ వద్ద ఎంత ఉందో చూపుతుంది తక్కువ మెమరీ (వినియోగదారు స్థలంలో RAM) మరియు అధిక జ్ఞాపకశక్తి (కెర్నల్ స్థలంలో RAM) ఉపయోగించబడింది.
కెర్నల్ ప్రక్రియలు (చెక్ పాయింట్ కెర్నల్ మాడ్యూల్స్ వంటి క్రియాశీల మాడ్యూల్స్తో సహా) తక్కువ మెమరీని మాత్రమే ఉపయోగిస్తాయి. అయినప్పటికీ, వినియోగదారు ప్రక్రియలు తక్కువ మరియు అధిక మెమరీ రెండింటినీ ఉపయోగించగలవు. అంతేకాకుండా, తక్కువ మెమరీ దాదాపు సమానంగా ఉంటుంది మొత్తం మెమరీ.
లాగ్లలో లోపాలు ఉంటే మాత్రమే మీరు ఆందోళన చెందాలి "OOM (మెమొరీ లేదు) కారణంగా మెమరీని రీక్లెయిమ్ చేయడానికి మాడ్యూల్స్ రీబూట్ లేదా ప్రాసెస్లు నాశనం అవుతున్నాయి". అప్పుడు మీరు గేట్వేని రీబూట్ చేయాలి మరియు రీబూట్ సహాయం చేయకపోతే మద్దతును సంప్రదించండి.
పూర్తి వివరణలో చూడవచ్చు и .
3. ఆప్టిమైజేషన్
క్రింద CPU మరియు RAM ఆప్టిమైజేషన్ గురించి ప్రశ్నలు మరియు సమాధానాలు ఉన్నాయి. మీరు వారికి నిజాయితీగా సమాధానం ఇవ్వాలి మరియు సిఫార్సులను వినండి.
3.1 అప్లైన్ సరిగ్గా ఎంపిక చేయబడిందా? పైలట్ ప్రాజెక్ట్ ఉందా?
సమర్థ పరిమాణం ఉన్నప్పటికీ, నెట్వర్క్ కేవలం వృద్ధి చెందుతుంది మరియు ఈ సామగ్రి కేవలం లోడ్ను భరించదు. రెండవ ఎంపిక, అలాంటి పరిమాణాన్ని కలిగి ఉండకపోతే.
3.2 HTTPS తనిఖీ ప్రారంభించబడిందా? అలా అయితే, సాంకేతికత బెస్ట్ ప్రాక్టీస్ ప్రకారం కాన్ఫిగర్ చేయబడిందా?
చూడండి మీరు మా క్లయింట్ అయితే, లేదా .
HTTPS సైట్లను తెరవడాన్ని ఆప్టిమైజ్ చేయడంలో HTTPS తనిఖీ విధానంలోని నియమాల క్రమం పెద్ద పాత్ర పోషిస్తుంది.
సిఫార్సు చేయబడిన నియమాల క్రమం:
- వర్గాలు/URLలతో నియమాలను దాటవేయండి
- వర్గాలు/URLలతో నియమాలను తనిఖీ చేయండి
- అన్ని ఇతర వర్గాల కోసం నియమాలను తనిఖీ చేయండి
ఫైర్వాల్ విధానంతో సారూప్యతతో, చెక్ పాయింట్ పై నుండి క్రిందికి ప్యాకెట్ మ్యాచ్ కోసం చూస్తుంది, కాబట్టి బైపాస్ నియమాలు పైభాగంలో ఉత్తమంగా ఉంచబడతాయి, ఎందుకంటే ఈ ప్యాకెట్ను దాటవేయవలసి వస్తే గేట్వే అన్ని నియమాలను అమలు చేయడంలో వనరులను వృథా చేయదు.
3.3 చిరునామా-శ్రేణి వస్తువులు ఉపయోగించబడుతున్నాయా?
నెట్వర్క్ 192.168.0.0-192.168.5.0 వంటి చిరునామాల శ్రేణితో ఉన్న వస్తువులు 5 నెట్వర్క్ ఆబ్జెక్ట్ల కంటే గణనీయంగా ఎక్కువ RAMని వినియోగిస్తాయి. సాధారణంగా, SmartConsoleలో ఉపయోగించని ఆబ్జెక్ట్లను తొలగించడం మంచి పద్ధతిగా పరిగణించబడుతుంది, ఎందుకంటే పాలసీని సెట్ చేసిన ప్రతిసారీ, గేట్వే మరియు మేనేజ్మెంట్ సర్వర్ వనరులను ఖర్చు చేస్తాయి మరియు ముఖ్యంగా, పాలసీని ధృవీకరించడానికి మరియు వర్తింపజేయడానికి సమయం పడుతుంది.
3.4 ముప్పు నివారణ విధానం ఎలా కాన్ఫిగర్ చేయబడింది?
అన్నింటిలో మొదటిది, చెక్ పాయింట్ IPSని ప్రత్యేక ప్రొఫైల్కు తరలించాలని మరియు ఈ బ్లేడ్ కోసం ప్రత్యేక నియమాలను రూపొందించాలని సిఫార్సు చేస్తోంది.
ఉదాహరణకు, DMZ విభాగం IPSతో మాత్రమే రక్షించబడాలని నిర్వాహకుడు భావిస్తాడు. అందువల్ల, గేట్వే ఇతర బ్లేడ్ల ద్వారా ప్రాసెసింగ్ ప్యాకెట్లపై వనరులను వృథా చేయకుండా ఉండటానికి, IPS మాత్రమే ప్రారంభించబడిన ప్రొఫైల్తో ఈ విభాగానికి ప్రత్యేకంగా ఒక నియమాన్ని రూపొందించడం అవసరం.
ప్రొఫైల్లను సెటప్ చేయడానికి సంబంధించి, ఇందులోని ఉత్తమ అభ్యాసాల ప్రకారం దీన్ని సెటప్ చేయాలని సిఫార్సు చేయబడింది (పేజీలు 17-20).
3.5 IPS సెట్టింగ్లలో డిటెక్ట్ మోడ్లో ఎన్ని సంతకాలు ఉన్నాయి?
ఉపయోగించని సంతకాలను నిలిపివేయాలి అనే అర్థంలో సంతకాలపై కష్టపడి పనిచేయాలని సిఫార్సు చేయబడింది (ఉదాహరణకు, Adobe ఉత్పత్తుల ఆపరేషన్ కోసం సంతకానికి చాలా కంప్యూటింగ్ శక్తి అవసరం, మరియు కస్టమర్ వద్ద అలాంటి ఉత్పత్తులు లేకుంటే, నిలిపివేయడం అర్ధమే. సంతకాలు). ఆపై సాధ్యమైన చోట డిటెక్ట్కు బదులుగా నిరోధించండి, ఎందుకంటే గేట్వే డిటెక్ట్ మోడ్లో మొత్తం కనెక్షన్ను ప్రాసెస్ చేయడానికి వనరులను ఖర్చు చేస్తుంది, ప్రివెంట్ మోడ్లో ఇది వెంటనే కనెక్షన్ను తగ్గిస్తుంది మరియు ప్యాకెట్ యొక్క పూర్తి ప్రాసెసింగ్లో వనరులను వృథా చేయదు.
3.6 థ్రెట్ ఎమ్యులేషన్, థ్రెట్ ఎక్స్ట్రాక్షన్, యాంటీ-వైరస్ బ్లేడ్ల ద్వారా ఏ ఫైల్లు ప్రాసెస్ చేయబడతాయి?
మీ వినియోగదారులు డౌన్లోడ్ చేయని లేదా మీ నెట్వర్క్లో అనవసరంగా భావించే ఎక్స్టెన్షన్ ఫైల్లను అనుకరించడం మరియు విశ్లేషించడం సమంజసం కాదు (ఉదాహరణకు, ఫైర్వాల్ స్థాయిలో కంటెంట్ అవేర్నెస్ బ్లేడ్ని ఉపయోగించి బ్యాట్, exe ఫైల్లను సులభంగా బ్లాక్ చేయవచ్చు, కాబట్టి గేట్వే వనరులు తక్కువ ఖర్చు చేసింది). అంతేకాకుండా, థ్రెట్ ఎమ్యులేషన్ సెట్టింగ్లలో, మీరు శాండ్బాక్స్లో బెదిరింపులను అనుకరించడానికి ఎన్విరాన్మెంట్ (ఆపరేటింగ్ సిస్టమ్)ని ఎంచుకోవచ్చు మరియు వినియోగదారులందరూ 7వ వెర్షన్తో పని చేస్తున్నప్పుడు ఎన్విరాన్మెంట్ విండోస్ 10ని ఇన్స్టాల్ చేయవచ్చు, అది కూడా అర్ధవంతం కాదు.
3.7 ఫైర్వాల్ మరియు అప్లికేషన్ లేయర్ నియమాలు ఉత్తమ అభ్యాసానికి అనుగుణంగా ఉంచబడ్డాయా?
ఒక నియమానికి చాలా హిట్లు (మ్యాచ్లు) ఉంటే, వాటిని చాలా అగ్రస్థానంలో ఉంచాలని సిఫార్సు చేయబడింది మరియు తక్కువ సంఖ్యలో హిట్లతో నియమాలు - చాలా దిగువన. ప్రధాన విషయం ఏమిటంటే అవి కలుస్తాయి మరియు ఒకదానికొకటి అతివ్యాప్తి చెందకుండా చూసుకోవాలి. సిఫార్సు చేయబడిన ఫైర్వాల్ పాలసీ ఆర్కిటెక్చర్:
అర్థము:
మొదటి నియమాలు - అత్యధిక మ్యాచ్లు ఉన్న నియమాలు ఇక్కడ ఉంచబడ్డాయి
నాయిస్ రూల్ - NetBIOS వంటి నకిలీ ట్రాఫిక్ను తగ్గించే నియమం
స్టీల్త్ రూల్ - ప్రామాణీకరణ టు గేట్వే రూల్స్లో పేర్కొన్న మూలాధారాలు మినహా, అందరికీ గేట్వేలు మరియు నిర్వహణకు యాక్సెస్ నిషేధం
క్లీన్-అప్, లాస్ట్ మరియు డ్రాప్ నియమాలు సాధారణంగా ఒక నియమంగా మిళితం చేయబడి ముందు అనుమతించబడని ప్రతిదాన్ని నిషేధిస్తాయి.
ఉత్తమ అభ్యాస డేటా వివరించబడింది .
3.8 నిర్వాహకులు సృష్టించిన సేవలకు సెట్టింగ్లు ఏమిటి?
ఉదాహరణకు, నిర్దిష్ట పోర్ట్లో కొన్ని TCP సేవ సృష్టించబడుతోంది మరియు సేవ యొక్క అధునాతన సెట్టింగ్లలో "ఏదైనా సరిపోల్చండి" ఎంపికను తీసివేయడం అర్ధమే. ఈ సందర్భంలో, ఈ సేవ ప్రత్యేకంగా కనిపించే నియమం కిందకు వస్తుంది మరియు సేవల కాలమ్లో ఏదైనా ఉన్న నియమాలలో పాల్గొనదు.
సేవల గురించి మాట్లాడుతూ, కొన్నిసార్లు సమయం ముగిసే సమయాలను సర్దుబాటు చేయడం అవసరం అని చెప్పడం విలువ. ఈ సెట్టింగ్ మీరు గేట్వే వనరులను మరింత తెలివిగా ఉపయోగించడానికి అనుమతిస్తుంది, తద్వారా ఎక్కువ సమయం ముగియాల్సిన అవసరం లేని ప్రోటోకాల్ల కోసం అదనపు TCP / UDP సెషన్ సమయాన్ని ఉంచకూడదు. ఉదాహరణకు, దిగువ స్క్రీన్షాట్లో, నేను డొమైన్-udp సర్వీస్ గడువును 40 సెకన్ల నుండి 30 సెకన్లకు మార్చాను.
3.9 SecureXL ఉపయోగించబడుతుందా మరియు త్వరణం శాతం ఎంత?
మీరు గేట్వేలో నిపుణుల మోడ్లో ప్రధాన ఆదేశాలతో SecureXL నాణ్యతను తనిఖీ చేయవచ్చు fwaccel stat и fw accelstats -s. తరువాత, మీరు ఏ రకమైన ట్రాఫిక్ వేగవంతం అవుతుందో, మీరు ఏ టెంప్లేట్లు (టెంప్లేట్లు) మరిన్ని సృష్టించగలరో గుర్తించాలి.
డిఫాల్ట్గా, డ్రాప్ టెంప్లేట్లు ప్రారంభించబడవు, వాటిని ప్రారంభించడం వలన SecureXL యొక్క ఆపరేషన్పై సానుకూల ప్రభావం ఉంటుంది. దీన్ని చేయడానికి, గేట్వే సెట్టింగ్లు మరియు ఆప్టిమైజేషన్ల ట్యాబ్కు వెళ్లండి:
అలాగే, క్లస్టర్తో పని చేస్తున్నప్పుడు, CPUని ఆప్టిమైజ్ చేయడానికి, మీరు UDP DNS, ICMP మరియు ఇతరాలు వంటి నాన్-క్రిటికల్ సర్వీస్ల సమకాలీకరణను నిలిపివేయవచ్చు. దీన్ని చేయడానికి, సర్వీస్ సెట్టింగ్లకు వెళ్లండి → అడ్వాన్స్డ్ → క్లస్టర్లో స్టేట్ సింక్రొనైజేషన్ ప్రారంభించబడిన కనెక్షన్లను సమకాలీకరించండి.
అన్ని ఉత్తమ అభ్యాసాలు వివరించబడ్డాయి .
3.10 CoreXl ఎలా ఉపయోగించబడుతుంది?
CoreXL టెక్నాలజీ, ఇది ఫైర్వాల్ ఇన్స్టాన్స్ల (ఫైర్వాల్ మాడ్యూల్స్) కోసం బహుళ CPUలను ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది, ఇది పరికరం పనితీరును ఆప్టిమైజ్ చేయడానికి ఖచ్చితంగా సహాయపడుతుంది. ముందుగా జట్టు fw ctl అనుబంధం -l -a ఉపయోగించిన ఫైర్వాల్ ఉదంతాలు మరియు అవసరమైన SNDకి అందించబడిన ప్రాసెసర్లను చూపుతుంది (ఫైర్వాల్ ఎంటిటీలకు ట్రాఫిక్ని పంపిణీ చేసే మాడ్యూల్). అన్ని ప్రాసెసర్లు పాల్గొనకపోతే, వాటిని కమాండ్తో జోడించవచ్చు cpconfig గేట్వే వద్ద.
అలాగే మంచి కథ కూడా పెట్టాలి బహుళ క్యూను ప్రారంభించడానికి. SNDతో ప్రాసెసర్ అనేక శాతం ఉపయోగించినప్పుడు మరియు ఇతర ప్రాసెసర్లలో ఫైర్వాల్ ఉదంతాలు నిష్క్రియంగా ఉన్నప్పుడు మల్టీ-క్యూ సమస్యను పరిష్కరిస్తుంది. అప్పుడు SND ఒక NIC కోసం అనేక క్యూలను సృష్టించగలదు మరియు కెర్నల్ స్థాయిలో విభిన్న ట్రాఫిక్ కోసం విభిన్న ప్రాధాన్యతలను సెట్ చేయగలదు. పర్యవసానంగా, CPU కోర్లు మరింత తెలివిగా ఉపయోగించబడతాయి. పద్ధతులు కూడా వివరించబడ్డాయి .
ముగింపులో, చెక్ పాయింట్ని ఆప్టిమైజ్ చేయడానికి ఇవి అన్ని ఉత్తమ పద్ధతులకు దూరంగా ఉన్నాయని నేను చెప్పాలనుకుంటున్నాను, కానీ అత్యంత ప్రజాదరణ పొందినవి. మీరు మీ భద్రతా విధానం యొక్క ఆడిట్ను అభ్యర్థించాలనుకుంటే లేదా చెక్ పాయింట్ సమస్యను పరిష్కరించాలనుకుంటే, దయచేసి సంప్రదించండి [ఇమెయిల్ రక్షించబడింది].
Спасибо!
మూలం: www.habr.com