پرو ہوسٹر > بلاگ > انتظامیہ > چیک پوائنٹ: CPU اور RAM کی اصلاح

چیک پوائنٹ: CPU اور RAM کی اصلاح

چیک پوائنٹ: CPU اور RAM کی اصلاح
ہیلو ساتھیوں! آج میں بہت سے چیک پوائنٹ ایڈمنسٹریٹرز کے لیے ایک انتہائی متعلقہ موضوع پر بات کرنا چاہوں گا، "CPU اور RAM آپٹیمائزیشن"۔ گیٹ وے اور/یا مینجمنٹ سرور کے لیے ان میں سے بہت سے وسائل کو غیر متوقع طور پر استعمال کرنا کوئی معمولی بات نہیں ہے، اور کوئی یہ سمجھنا چاہے گا کہ وہ کہاں سے "لیک" ہوتے ہیں اور، اگر ممکن ہو تو، انہیں زیادہ قابلیت سے استعمال کریں۔

1. تجزیہ

پروسیسر کے بوجھ کا تجزیہ کرنے کے لیے، درج ذیل کمانڈز کو استعمال کرنا مفید ہے، جو ماہر موڈ میں درج کیے گئے ہیں:

سب سے اوپر تمام پراسیسز، فیصد، اپ ٹائم، پروسیس کی ترجیح اور دیگر حقیقی وقت میںи

چیک پوائنٹ: CPU اور RAM کی اصلاح

cpwd_admin فہرست چیک پوائنٹ واچ ڈاگ ڈیمون، جو تمام ایپلائن ماڈیولز، ان کی پی آئی ڈی، حیثیت، اور رنز کی تعداد دکھاتا ہے

چیک پوائنٹ: CPU اور RAM کی اصلاح

cpstat -f cpu os CPU کا استعمال، ان کی تعداد اور فیصد میں پروسیسر کے وقت کی تقسیم

چیک پوائنٹ: CPU اور RAM کی اصلاح

cpstat -f میموری OS ورچوئل RAM کا استعمال، کتنا فعال، مفت RAM اور بہت کچھ

چیک پوائنٹ: CPU اور RAM کی اصلاح

درست تبصرہ یہ ہے کہ تمام cpstat کمانڈز کو یوٹیلیٹی کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔ cpview. ایسا کرنے کے لیے، آپ کو SSH سیشن میں کسی بھی موڈ سے cpview کمانڈ داخل کرنے کی ضرورت ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح
چیک پوائنٹ: CPU اور RAM کی اصلاح

ps auxwf تمام عملوں کی ایک لمبی فہرست، ان کی ID، مقبوضہ ورچوئل میموری اور RAM، CPU میں میموری

چیک پوائنٹ: CPU اور RAM کی اصلاح

کمانڈ کی ایک اور تبدیلی:

ps-aF سب سے مہنگا عمل دکھائیں

چیک پوائنٹ: CPU اور RAM کی اصلاح

fw ctl affinity -l -a فائر وال کی مختلف مثالوں کے لیے کور کی تقسیم، یعنی CoreXL ٹیکنالوجی

چیک پوائنٹ: CPU اور RAM کی اصلاح

fw ctl pstat RAM کا تجزیہ اور کنکشنز، کوکیز، NAT کے عمومی اشارے

چیک پوائنٹ: CPU اور RAM کی اصلاح

مفت - ایم رام بفر

چیک پوائنٹ: CPU اور RAM کی اصلاح

ٹیم خصوصی توجہ کی مستحق ہے۔ نیٹ سیٹ اور اس کے تغیرات۔ مثال کے طور پر، netstat -i کلپ بورڈز کی نگرانی کے مسئلے کو حل کرنے میں مدد مل سکتی ہے۔ اس کمانڈ کے آؤٹ پٹ میں پیرامیٹر، RX ڈراپ پیکٹ (RX-DRP) ناجائز پروٹوکولز (IPv6، خراب / غیر ارادی VLAN ٹیگز، اور دیگر) کے قطروں کی وجہ سے خود بخود بڑھتا ہے۔ تاہم، اگر قطرے کسی اور وجہ سے ہوتے ہیں، تو آپ کو اسے استعمال کرنا چاہیے۔ مضامیناس بات کی تحقیقات شروع کرنے کے لیے کہ یہ نیٹ ورک انٹرفیس پیکٹ کیوں چھوڑ رہا ہے۔ وجہ جان کر اپلائن کے آپریشن کو بھی بہتر بنایا جا سکتا ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

اگر مانیٹرنگ بلیڈ فعال ہے، تو آپ کسی آبجیکٹ پر کلک کرکے اور ڈیوائس اور لائسنس کی معلومات کو منتخب کرکے SmartConsole میں گرافک طور پر ان میٹرکس کو دیکھ سکتے ہیں۔

مسلسل بنیادوں پر مانیٹرنگ بلیڈ کو فعال کرنے کی سفارش نہیں کی جاتی ہے، لیکن ٹیسٹ کے لیے یہ ایک دن کے لیے کافی ممکن ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

اس کے علاوہ، آپ نگرانی کے لیے مزید پیرامیٹرز شامل کر سکتے ہیں، ان میں سے ایک بہت مفید ہے - بائٹس تھرو پٹ (ایپ لائن بینڈوتھ)۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

اگر کوئی اور نگرانی کا نظام ہے، مثال کے طور پر، مفت زبیبس، جو SNMP پر مبنی ہے، یہ ان مسائل کی نشاندہی کے لیے بھی موزوں ہے۔

2. وقت کے ساتھ RAM "لیک" ہوتی ہے۔

اکثر سوال یہ پیدا ہوتا ہے کہ وقت گزرنے کے ساتھ ساتھ گیٹ وے یا مینجمنٹ سرور زیادہ سے زیادہ ریم استعمال کرنے لگتا ہے۔ میں آپ کو یقین دلانا چاہتا ہوں: یہ لینکس جیسے سسٹمز کے لیے ایک عام کہانی ہے۔

کمانڈ آؤٹ پٹ کو دیکھ کر مفت - ایم и cpstat -f میموری OS ماہر موڈ سے ایپ لائن پر، آپ RAM سے متعلق تمام پیرامیٹرز کا حساب لگا کر دیکھ سکتے ہیں۔

اس وقت گیٹ وے پر دستیاب میموری کی بنیاد پر مفت میموری + بفرز میموری + کیشڈ میموری = +-1.5 جی بی، عام طور پر.

جیسا کہ CP کہتا ہے، وقت کے ساتھ ساتھ گیٹ وے/مینجمنٹ سرور بہتر ہو جاتا ہے اور زیادہ سے زیادہ میموری استعمال کرتا ہے، تقریباً 80% تک استعمال ہوتا ہے، اور رک جاتا ہے۔ آپ ڈیوائس کو ریبوٹ کر سکتے ہیں اور پھر اشارے ری سیٹ ہو جائے گا۔ 1.5 GB مفت RAM یقینی طور پر گیٹ وے کے لیے تمام کاموں کو انجام دینے کے لیے کافی ہے، اور انتظامیہ شاذ و نادر ہی اس حد تک پہنچتی ہے۔

اس کے علاوہ، ذکر کردہ کمانڈز کی آؤٹ پٹ دکھائے گی کہ آپ کے پاس کتنا ہے۔ کم یاداشت (صارف کی جگہ میں رام) اور اعلی میموری (کرنل اسپیس میں RAM) استعمال کیا گیا۔

دانا کے عمل (بشمول فعال ماڈیولز جیسے چیک پوائنٹ کرنل ماڈیول) صرف کم میموری استعمال کرتے ہیں۔ تاہم، صارف کے عمل کم اور زیادہ دونوں میموری استعمال کر سکتے ہیں۔ مزید یہ کہ کم میموری تقریباً برابر ہے۔ کل میموری۔.

آپ کو صرف اس صورت میں فکر کرنا چاہئے جب نوشتہ جات میں غلطیاں ہوں۔ "ماڈیول دوبارہ شروع ہو جاتے ہیں یا OOM (آؤٹ آف میموری) کی وجہ سے میموری کو دوبارہ حاصل کرنے کے لیے عمل کو ختم کر دیا جاتا ہے". پھر آپ کو گیٹ وے کو ریبوٹ کرنا چاہیے اور اگر ریبوٹ مدد نہیں کرتا ہے تو سپورٹ سے رابطہ کریں۔

میں مکمل تفصیل مل سکتی ہے۔ sk99547 и sk99593.

3. اصلاح

ذیل میں CPU اور RAM کی اصلاح کے بارے میں سوالات اور جوابات ہیں۔ آپ کو اپنے آپ کو ایمانداری سے ان کا جواب دینا چاہئے اور سفارشات کو سننا چاہئے۔

3.1 کیا اپ لائن کو صحیح طریقے سے منتخب کیا گیا تھا؟ کیا کوئی پائلٹ پروجیکٹ تھا؟

قابل سائز سائز کے باوجود، نیٹ ورک آسانی سے بڑھ سکتا ہے، اور یہ سامان آسانی سے بوجھ کا مقابلہ نہیں کر سکتا۔ دوسرا آپشن، اگر اس طرح کا کوئی سائز نہیں تھا۔

3.2 کیا HTTPS معائنہ فعال ہے؟ اگر ایسا ہے تو، کیا ٹیکنالوجی بہترین پریکٹس کے مطابق ترتیب دی گئی ہے؟

کا حوالہ دیتے ہیں مضموناگر آپ ہمارے کلائنٹ ہیں، یا sk108202.

HTTPS معائنہ کی پالیسی میں قواعد کی ترتیب HTTPS سائٹس کے افتتاح کو بہتر بنانے میں بڑا کردار ادا کرتی ہے۔

قواعد کی تجویز کردہ ترتیب:

  1. زمرہ جات/URLs کے ساتھ قوانین کو نظرانداز کریں۔
  2. زمرہ جات/URLs کے ساتھ قواعد کا معائنہ کریں۔
  3. دیگر تمام زمروں کے قوانین کا معائنہ کریں۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

فائر وال پالیسی کے ساتھ مشابہت کے ساتھ، چیک پوائنٹ اوپر سے نیچے تک پیکٹ کے میچ کو تلاش کرتا ہے، اس لیے بائی پاس کے اصول سب سے اوپر رکھے جاتے ہیں، کیونکہ اگر اس پیکٹ کو چھوڑنے کی ضرورت ہو تو گیٹ وے تمام اصولوں پر عمل کرنے میں وسائل ضائع نہیں کرے گا۔

3.3 کیا ایڈریس رینج کی اشیاء استعمال ہوتی ہیں؟

پتے کی ایک رینج کے ساتھ آبجیکٹ، جیسے کہ نیٹ ورک 192.168.0.0-192.168.5.0، 5 نیٹ ورک آبجیکٹ سے نمایاں طور پر زیادہ RAM استعمال کرتے ہیں۔ عام طور پر، SmartConsole میں غیر استعمال شدہ اشیاء کو حذف کرنا ایک اچھا عمل سمجھا جاتا ہے، کیونکہ جب بھی کوئی پالیسی سیٹ کی جاتی ہے، گیٹ وے اور مینجمنٹ سرور وسائل خرچ کرتے ہیں اور، سب سے اہم بات، پالیسی کی تصدیق اور لاگو کرنے کا وقت۔

3.4 خطرے سے بچاؤ کی پالیسی کیسے ترتیب دی جاتی ہے؟

سب سے پہلے، چیک پوائنٹ IPS کو ایک علیحدہ پروفائل میں منتقل کرنے اور اس بلیڈ کے لیے الگ اصول بنانے کی تجویز کرتا ہے۔

مثال کے طور پر، ایک منتظم کا خیال ہے کہ DMZ طبقہ صرف IPS کے ساتھ محفوظ ہونا چاہیے۔ اس لیے، گیٹ وے کے لیے دوسرے بلیڈز کے ذریعے پیکٹس کی پروسیسنگ پر وسائل کو ضائع نہ کرنے کے لیے، اس سیگمنٹ کے لیے خاص طور پر ایک پروفائل کے ساتھ ایک اصول بنانا ضروری ہے جس میں صرف IPS فعال ہو۔

پروفائلز کو ترتیب دینے کے بارے میں، اس میں بہترین طریقوں کے مطابق اسے ترتیب دینے کی سفارش کی جاتی ہے۔ دستاویز(صفحہ 17-20)۔

3.5 آئی پی ایس سیٹنگز میں ڈیٹیکٹ موڈ میں کتنے دستخط ہیں؟

دستخطوں پر اس لحاظ سے سخت محنت کرنے کی سفارش کی جاتی ہے کہ غیر استعمال شدہ دستخطوں کو غیر فعال کر دیا جائے (مثال کے طور پر، Adobe مصنوعات کے کام کے لیے دستخطوں کے لیے بہت زیادہ کمپیوٹنگ پاور کی ضرورت ہوتی ہے، اور اگر گاہک کے پاس ایسی مصنوعات نہیں ہیں، تو اسے غیر فعال کرنا سمجھ میں آتا ہے۔ دستخط)۔ پھر جہاں ممکن ہو Detect کے بجائے Prevent ڈالیں، کیونکہ گیٹ وے پورے کنکشن کو ڈیٹیکٹ موڈ میں پروسیس کرنے کے لیے وسائل خرچ کرتا ہے، پریوینٹ موڈ میں یہ فوری طور پر کنکشن چھوڑ دیتا ہے اور پیکٹ کی مکمل پروسیسنگ پر وسائل ضائع نہیں کرتا۔

3.6۔ تھریٹ ایمولیشن، تھریٹ ایکسٹریکشن، اینٹی وائرس بلیڈ کے ذریعے کن فائلوں پر کارروائی کی جاتی ہے؟

ایکسٹینشن فائلوں کی تقلید اور تجزیہ کرنا کوئی معنی نہیں رکھتا جنہیں آپ کے صارفین ڈاؤن لوڈ نہیں کرتے ہیں یا آپ اپنے نیٹ ورک پر غیر ضروری سمجھتے ہیں (مثال کے طور پر، bat، exe فائلوں کو فائر وال کی سطح پر مواد سے آگاہی بلیڈ کا استعمال کرتے ہوئے آسانی سے بلاک کیا جا سکتا ہے، لہذا گیٹ وے کے وسائل کم خرچ کیا)۔ مزید یہ کہ تھریٹ ایمولیشن سیٹنگز میں، آپ سینڈ باکس میں خطرات کی تقلید کے لیے ماحولیات (آپریٹنگ سسٹم) کو منتخب کر سکتے ہیں اور Environment Windows 7 انسٹال کر سکتے ہیں جب تمام صارفین 10ویں ورژن کے ساتھ کام کر رہے ہوں، اس کا بھی کوئی مطلب نہیں ہے۔

3.7 کیا فائر وال اور ایپلیکیشن لیئر کے اصول بہترین پریکٹس کے مطابق رکھے گئے ہیں؟

اگر کسی اصول میں بہت زیادہ ہٹ (میچز) ہیں، تو یہ سفارش کی جاتی ہے کہ انہیں سب سے اوپر رکھیں، اور بہت کم تعداد میں ہٹ کے ساتھ رولز - بالکل نیچے۔ سب سے اہم چیز یہ یقینی بنانا ہے کہ وہ آپس میں متصل نہ ہوں اور ایک دوسرے کو اوورلیپ نہ کریں۔ تجویز کردہ فائر وال پالیسی فن تعمیر:

چیک پوائنٹ: CPU اور RAM کی اصلاح

وضاحت:

پہلے اصول - سب سے زیادہ میچ والے قوانین یہاں رکھے گئے ہیں۔
شور کا اصول - جعلی ٹریفک جیسے کہ NetBIOS کو چھوڑنے کا ایک اصول
اسٹیلتھ رول - گیٹ وے تک رسائی کی ممانعت اور سبھی کے لیے انتظام، سوائے ان ذرائع کے جو گیٹ وے کے قواعد کی توثیق میں بیان کیے گئے تھے۔
کلین اپ، لاسٹ اور ڈراپ رولز کو عام طور پر ایک قاعدہ میں ملایا جاتا ہے تاکہ ہر اس چیز کو منع کیا جا سکے جس کی پہلے اجازت نہیں تھی۔

بہترین پریکٹس ڈیٹا میں بیان کیا گیا ہے۔ sk106597.

3.8۔ منتظمین کی طرف سے تخلیق کردہ خدمات کی ترتیبات کیا ہیں؟

مثال کے طور پر، کچھ TCP سروس مخصوص پورٹ پر بنائی جا رہی ہے، اور سروس کی ایڈوانس سیٹنگز میں "Match for Any" کو غیر چیک کرنا سمجھ میں آتا ہے۔ اس صورت میں، یہ سروس خاص طور پر اس اصول کے تحت آئے گی جس میں یہ ظاہر ہوتی ہے، اور ان قواعد میں حصہ نہیں لے گی جہاں کوئی بھی سروسز کالم میں ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

خدمات کی بات کرتے ہوئے، یہ بات قابل ذکر ہے کہ بعض اوقات ٹائم آؤٹ کو موافقت کرنا ضروری ہوتا ہے۔ یہ ترتیب آپ کو گیٹ وے کے وسائل کو زیادہ ذہانت سے استعمال کرنے کی اجازت دے گی، تاکہ ایسے پروٹوکولز کے لیے اضافی TCP/UDP سیشن کا وقت نہ رکھا جائے جن کے لیے بڑے ٹائم آؤٹ کی ضرورت نہیں ہے۔ مثال کے طور پر، نیچے دیے گئے اسکرین شاٹ میں، میں نے ڈومین-یو ڈی پی سروس کا ٹائم آؤٹ 40 سیکنڈ سے بدل کر 30 سیکنڈ کر دیا ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

3.9 کیا SecureXL استعمال کیا جاتا ہے اور ایکسلریشن کا فیصد کیا ہے؟

آپ گیٹ وے پر ماہر موڈ میں اہم کمانڈز کے ساتھ SecureXL کے معیار کو چیک کر سکتے ہیں۔ fwaccel اسٹیٹ и fw accelstats -s. اس کے بعد، آپ کو یہ معلوم کرنے کی ضرورت ہے کہ کس قسم کی ٹریفک تیز ہو رہی ہے، آپ کون سے ٹیمپلیٹس (ٹیمپلیٹس) مزید بنا سکتے ہیں۔

پہلے سے طے شدہ طور پر، ڈراپ ٹیمپلیٹس فعال نہیں ہیں، ان کو فعال کرنے سے SecureXL کے آپریشن پر مثبت اثر پڑے گا۔ ایسا کرنے کے لیے، گیٹ وے سیٹنگز اور آپٹیمائزیشنز ٹیب پر جائیں:

چیک پوائنٹ: CPU اور RAM کی اصلاح

اس کے علاوہ، کلسٹر کے ساتھ کام کرتے وقت، CPU کو بہتر بنانے کے لیے، آپ غیر اہم خدمات، جیسے UDP DNS، ICMP، اور دیگر کی مطابقت پذیری کو غیر فعال کر سکتے ہیں۔ ایسا کرنے کے لیے، سروس سیٹنگز پر جائیں → ایڈوانسڈ → سنکرونائز کنکشن آف اسٹیٹ سنکرونائزیشن کلسٹر پر فعال ہے۔

چیک پوائنٹ: CPU اور RAM کی اصلاح

تمام بہترین طریقوں کو بیان کیا گیا ہے۔ sk98348.

3.10 CoreXl کیسے استعمال کیا جاتا ہے؟

CoreXL ٹیکنالوجی، جو آپ کو فائر وال مثالوں (فائر وال ماڈیولز) کے لیے متعدد CPUs استعمال کرنے کی اجازت دیتی ہے، یقینی طور پر ڈیوائس کی کارکردگی کو بہتر بنانے میں مدد کرتی ہے۔ پہلے ٹیم fw ctl affinity -l -a استعمال شدہ فائر وال مثالوں اور پروسیسرز کو دکھائے گا جو ضروری SND (ایک ماڈیول جو ٹریفک کو فائر وال اداروں میں تقسیم کرتا ہے) کو دیا گیا ہے۔ اگر تمام پروسیسرز شامل نہیں ہیں، تو انہیں کمانڈ کے ساتھ شامل کیا جا سکتا ہے۔ cpconfig گیٹ وے پر
ایک اچھی کہانی بھی ڈالنی ہے۔ ہاٹ فکس ملٹی قطار کو فعال کرنے کے لیے۔ ملٹی قطار مسئلہ کو حل کرتی ہے جب SND والا پروسیسر بہت سے فیصد استعمال ہوتا ہے، اور دوسرے پروسیسرز پر فائر وال کی مثالیں بیکار ہوتی ہیں۔ پھر SND ایک NIC کے لیے بہت سی قطاریں بنا سکے گا اور کرنل کی سطح پر مختلف ٹریفک کے لیے مختلف ترجیحات طے کر سکے گا۔ اس کے نتیجے میں، CPU کور زیادہ ذہانت سے استعمال کیے جائیں گے۔ میں طریقے بھی بیان کیے گئے ہیں۔ sk98348.

آخر میں، میں یہ کہنا چاہوں گا کہ یہ چیک پوائنٹ کو بہتر بنانے کے تمام بہترین طریقوں سے بہت دور ہیں، لیکن سب سے زیادہ مقبول ہیں۔ اگر آپ اپنی سیکیورٹی پالیسی کے آڈٹ کی درخواست کرنا چاہتے ہیں یا چیک پوائنٹ کا مسئلہ حل کرنا چاہتے ہیں تو براہ کرم رابطہ کریں۔ [ای میل محفوظ].

آپ کا شکریہ!

ماخذ: www.habr.com

نیا تبصرہ شامل کریں