Установка замка на кпп: Установка замка КПП своими руками (фото, видео)

Это можно рассматривать как плоскость управления для изменения конфигураций и политик межсетевого экрана. Эта интеллектуальная консоль снова подключается к серверу управления.

Все фактические политики и конфигурации будут храниться на сервере управления.Открывая интеллектуальную консоль, вы получаете доступ к устройству управления контрольными точками.

Шлюз безопасности - это межсетевой экран контрольной точки, и все межсетевые экраны снова подключены к серверу управления. И когда вы открываете сервер управления через интеллектуальную консоль , вы должны увидеть все шлюзы безопасности и серверы управления внутри него.

Протокол, используемый между шлюзом безопасности Checkpoint и сервером управления, называется протоколом безопасной внутренней связи (SIC).

Мы будем настраивать их при развертывании брандмауэра.

На одном устройстве могут быть и сервер управления, и шлюз безопасности. А если вы развертываете его отдельно, это называется распределенным развертыванием.

Требования для этой лаборатории.

• У вас должны быть базовые знания сети.
• Программное обеспечение GNS3, сконфигурированное с удаленным сервером или рабочей станцией VMware. Я использую GNS3 с удаленным сервером и всем рекомендую тот же метод.И это прекрасно работает.
• Программное обеспечение Checkpoint Gaia Загрузите здесь - Лучшее в образе контрольной точки - это то, что он предоставляет пробную лицензию на 15 дней, и вы можете практиковать с ним большинство его функций.
• Умная консоль - мы установим это во время лабораторной работы.
• Загрузите файл empty100GB.qcow2, щелкнув здесь , вам понадобится этот дополнительный диск вместе с образом контрольной точки.

Как настроить межсетевой экран Checkpoint в Gns3?

1. Установите образ контрольной точки в GNS3.
2. Установите сервер управления контрольными точками.
3. Настройте сеть серверов управления.
4. Откройте веб-интерфейс сервера управления Checkpoint.
5. Конфигурация диспетчера КПП.
6. Установка шлюза безопасности Checkpoint (брандмауэр)
7. Конфигурация шлюза безопасности.
8. Установка Smart Console Checkpoint.
9. Добавьте шлюз безопасности к интеллектуальной консоли.
10. Подключите межсетевой экран контрольной точки к Интернету.

Мы будем устанавливать сервер управления контрольными точками, шлюз безопасности и интеллектуальную консоль. Также подключите шлюз безопасности к Интернету. И все это мы делаем в GNS3.

Шаг 1. Установите образ контрольной точки в GNS3.

Первым шагом лабораторной работы является установка образа Checkpoint Gaia в GNS3. Вам нужно выполнить эту установку только один раз. После этого, если вы планируете создать лабораторию с брандмауэром контрольной точки, вам не нужно повторно устанавливать его.

На устройствах безопасности в gns3 щелкните Новый шаблон.

В новом окне шаблона выберите «Установить устройство с сервера GNS3» и нажмите «Далее».

Вы можете ввести Checkpoint и выбрать брандмауэр Checkpoint Gaia из списка, а затем щелкнуть по установке.

Вы можете использовать gns3 либо с GNS3vm, либо с удаленным сервером, поэтому выберите вариант в зависимости от ваших настроек.

Как вы знаете, я выбрал первый вариант, так как у меня установлен удаленный сервер gns3, поэтому выберите «Установить устройство на удаленный сервер» и нажмите «Далее».

Вам не нужно ничего менять в qemu binaray, оставьте значение по умолчанию и нажмите Далее.

Вы получите приглашение, показывающее доступные версии контрольной точки.

Я собираюсь установить Checkpoint версии r80.40. Однако я не вижу такой возможности; поэтому я нажал «Разрешить нестандартную версию» и «Создать новую версию».

В новой версии поставил, 80,40.

После этого нажмите «Импорт» и найдите изображение контрольной точки.

Загрузка займет некоторое время, так как размер файла около 4.2 ГБ.

После завершения загрузки вы можете нажать «Далее».

Вы уже загрузили другой файл с именем empty100G.qcow2. Импортируйте и это.

И вы готовы к установке устройства, выберите Checkpoint gaia версии 8.40 и затем нажмите «Далее», чтобы установить брандмауэр контрольной точки на gns3.

Теперь вы должны увидеть экран подтверждения, в котором говорится, что брандмауэр установлен успешно.

И вы должны увидеть это под устройствами безопасности.

Мне нравится менять символ, поэтому я сделал это, щелкнув правой кнопкой мыши и настроив шаблон. Но в этом нет необходимости.

По умолчанию образ Checkpoint Gaia добавляет консоль как Telnet. Вы должны изменить это на VNC, поэтому щелкните правой кнопкой мыши брандмауэр и выберите тип консоли как VNC из списка. Затем нажмите ОК.

Примечание. Используя Telnet в качестве консоли, вы можете столкнуться с некоторыми проблемами, поэтому вместо этого рекомендуется использовать VNC.

Хорошо, теперь мы установили образ межсетевого экрана контрольной точки в GNS3.Давайте продолжим и приступим к остальным настройкам.

Шаг 2. Установите сервер управления Checkpoint.

Вы управляете межсетевым экраном контрольной точки, известным как шлюз безопасности, через сервер управления контрольной точкой. Самое приятное в этом то, что вам не нужно использовать для этого разные образы программного обеспечения.

Один и тот же образ брандмауэра контрольной точки можно настроить для использования в качестве шлюза безопасности и сервера управления.

Итак, давайте продолжим и установим сервер управления брандмауэром Checkpoint.

Перетащите образ программного обеспечения Checkpoint в топологию, щелкните правой кнопкой мыши и запустите его. Брандмауэр будет запущен.

Дважды щелкните по нему, чтобы открыть консоль.

Вы получите приглашение мастера установки Checkpoint Gaia, выберите «Установить Gaia в этой системе» и нажмите «Ввод».

Также щелкните OK на следующем экране.

Как и в любой другой операционной системе, теперь вы можете выбрать язык, который хотите использовать. И нажмите ОК.

Далее вам нужно будет настроить раздел жесткого диска для межсетевого экрана. Я оставляю настройки по умолчанию и нажимаю ОК.

Затем вы должны установить пароль для вашего устройства, ввести пароль, подтвердить тот же пароль и нажать OK.

Примечание. Имя пользователя по умолчанию - admin, и вам необходимо запомнить пароль, чтобы позже снова войти в систему с помощью веб-интерфейса.

Шаг 3. Настройте сеть серверов управления.

Если вы посмотрите на топологию, я подключаю свой сервер управления Gaia к коммутатору на Ethernet-порту 0, поэтому выбираю его и нажимаю OK.И это единственный интерфейс, который работает на данный момент.

Теперь вы должны настроить сеть. Здесь я использую сеть 10.0.0.5/24; используйте указанные ниже значения, а затем нажмите ОК.

Настройте сеть, как показано ниже.

IP-адрес 10.0.0.5
Маска подсети 255.255.255.0
Шлюз 10.0.0.1

На следующем экране вы можете нажать OK, чтобы продолжить установку.

Примечание. Если вы не можете нажать «ОК» или в момент, когда экран VNC не отвечает, вы можете закрыть окно и снова открыть его.

Как видите, для менеджера началась установка.

По завершении установки вам необходимо перезагрузить устройство, поэтому нажмите Reboot.

После перезагрузки вы должны увидеть тот же экран, который видели ранее, но на этот раз вам придется выбрать другой вариант. Не устанавливайте Gaia в этой системе, загрузитесь с локального диска.

Теперь вы должны получить приглашение для входа в систему.

Введите имя пользователя admin и пароль, который вы установили во время установки.

Шаг 4. Откройте веб-интерфейс сервера управления Checkpoint.

Есть два способа получить доступ к веб-интерфейсу брандмауэра контрольной точки в GNS3: либо с помощью встроенного в GNS3 клиента firefox на основе «webterm» конечного пользователя, либо с помощью самого локального компьютера путем совместного использования сети.

Добавьте коммутатор в топологию и подключитесь к интерфейсу eth0 межсетевого экрана, для этой цели я использую коммутатор cisco virl.

И подключите клиент Webterm к коммутатору.

Ниже представлена ​​конфигурация для клиента webterm.

Подключите клиент webterm к коммутатору и настройте IP-адрес как 10.1.1.15

 #
# Это пример строки конфигурации сети, раскомментированной для настройки сети
#
# Статический конфиг для eth0
авто eth0
iface eth0 inet статический
адрес 10.0.0.10
маска сети 255.255.255.0
шлюз 10.0.0.1
вверх echo nameserver 192.168.0.1> /etc/resolv.conf
# Конфигурация DHCP для eth0
# auto eth0
# iface eth0 inet dhcp 

Вы можете добавить вышеуказанную конфигурацию, щелкнув правой кнопкой мыши и выбрав конфигурацию webterm.

В разделе «Конфигурация» нажмите «Изменить» в конфигурации сети.

И запустить клиент webterm.

После того, как webterm снова в сети, откройте терминал.

В терминале попробуйте пропинговать IP сервера управления контрольной точкой 10.2.2.5. Если вы можете пропинговать IP-адрес, тогда хорошо

. Вы просто все правильно настроили.

В браузере firefox попробуйте получить доступ к графическому интерфейсу диспетчера, набрав https://10.0.0.5/, примите угрозу безопасности и нажмите «Продолжить».

Примите предупреждение о безопасности и на экране входа в систему введите те же учетные данные, которые вы использовали для входа в интерфейс командной строки, и нажмите «Вход».

Шаг 5. Настройка диспетчера КПП.

Вы только что установили диспетчер контрольных точек на GNS3, но вам все равно нужно настроить его как диспетчер контрольных точек через веб-интерфейс.

В мастере первоначальной настройки контрольной точки нажмите Далее.

Нам нужно продолжить настройку R80.04 и нажать Далее.

На следующем экране вы должны увидеть сеть, которую вы настроили изначально. Я не вношу здесь никаких изменений, поэтому нажмите «Далее».

Вы также получите возможность выбрать дополнительный интерфейс, так как у меня ничего не настроено. Я оставлю IPv4 выключенным, а затем нажму «Далее».

Настройте имя хоста и DNS-сервер.

Я настраиваю имя хоста как cp-mgr, а DNS как общедоступный DNS Google, хотя в настоящее время он недоступен.Я просто воспользуюсь этим и нажму «Далее».

Установите дату и время.

Теперь вам нужно решить, хотите ли вы установить его как диспетчер шлюза Checkpoint или как брандмауэр, поэтому выберите шлюз безопасности или управление безопасностью . И нажмите "Далее".

Теперь вам нужно решить, хотите ли вы установить шлюз безопасности или Управление безопасностью. Выберите управление безопасностью и нажмите «Далее».

Если вы выберете оба варианта, устройство будет действовать как шлюз безопасности контрольной точки, так и как средство управления безопасностью.

Обычно малые предприятия следуют этому методу.

Здесь вам нужно будет настроить учетные данные администратора. Вы можете использовать те же учетные данные или новые. Я просто собираюсь использовать существующие учетные данные. Затем нажмите Далее.

Вы также можете разрешить ssh на основе IP-адреса источника. Поскольку это лаборатория, я просто оставляю адрес по умолчанию, то есть «Любой адрес», и нажимаю «Далее».

На итоговом экране нажмите Готово.

В окне мастера первоначальной настройки нажмите «Да».

Он должен запустить установку диспетчера программного обеспечения контрольной точки Gaia в системе.

После завершения установки вам будет представлен экран «Конфигурация успешно завершена».

Далее, давайте установим шлюз безопасности.

Шаг 6. Установка шлюза безопасности контрольной точки (брандмауэра)

Перетащите другой образ контрольной точки r80.40 в топологию и подключитесь к коммутатору, как показано ниже.

Давайте запустим шлюз безопасности.

И точно так же, как вы установили менеджер брандмауэра, вы можете выполнить те же действия для шлюза безопасности, но при выборе интерфейса вам необходимо выбрать интерфейс как ethernet1 и нажать OK.

Поскольку шлюз безопасности и диспетчер находятся в одной сети, я настрою IP-адрес шлюза безопасности как 10.0.0.1 и нажмите OK.

Вы должны увидеть экран, на котором говорится, что установка завершена, и вы можете нажать Reboot now.

После установки служб вы должны снова получить тот же экран, где вам нужно выбрать между установкой или загрузкой с локального диска, поэтому выберите загрузку с локального диска и нажмите OK.

Подобно тому, как вы получили доступ к веб-интерфейсу консоли управления безопасностью, вы также можете получить доступ к веб-интерфейсу шлюза безопасности с IP-адресом https://10.0.0.1.

Примечание. Хотя я называю текущее устройство шлюзом безопасности, оно все же не шлюз безопасности, поскольку мы не установили в нем службы межсетевого экрана.

Шаг 7. Конфигурация шлюза безопасности.

После того, как вы получите экран входа в контрольную точку, вы можете ввести учетные данные, которые вы установили ранее, и нажать «Войти».

Подобно серверу управления, теперь появляется мастер настройки в первый раз.

Щелкните дальше здесь.

Когда вы выбираете имя хоста, вы можете ввести его как cp-fw-01, а DNS как 8.8.8.8 и нажать Next.

Выберите шлюз безопасности или управление безопасностью и нажмите «Далее».

На этот раз выберите шлюз безопасности, что означает, что я собираюсь установить в нем только службы межсетевого экрана, и нажмите «Далее».

Также спрашивается, использует ли он динамически назначаемый IP-адрес? поскольку я не использую его, я выберу "нет".

Помните, я изначально говорил о протоколе SIC?

Протокол соединения между сервером управления и шлюзом безопасности.

Сейчас мы настраиваем связь SIC. Вам необходимо ввести пароль для подключения SIC.

Вам нужно будет ввести ключ активации, еще раз подтвердить Тот же ключ активации и нажать «Далее».

Теперь вы получаете сообщение о том, что на этом устройстве установлен шлюз безопасности.

Когда вы нажмете «Готово», вам будет предложено другое диалоговое окно. Щелкните Да

Начнется установка служб шлюза безопасности.

После установки вы можете перейти к перезагрузке системы.

После перезагрузки шлюза безопасности вам снова будет представлен экран входа в систему брандмауэра.

После входа в систему вы должны увидеть красивый графический интерфейс шлюза безопасности Checkpoint.

Шаг 8. Установка Smart Console Checkpoint.

Большая часть конфигурации, которую мы делаем, осуществляется через интеллектуальную консоль. Чтобы получить доступ к интеллектуальной консоли, вам необходимо получить доступ к WebGUI через ваш компьютер с Windows, а также загрузить и установить интеллектуальную консоль.

Вы можете следовать руководству, которое я создал здесь, чтобы подключить локальный компьютер к брандмауэру.

После подключения брандмауэра к локальному компьютеру попробуйте получить доступ к веб-интерфейсу Checkpoint с локального компьютера.

После того, как я вошел в систему, вы должны получить возможность загрузить интеллектуальную консоль.

Нажмите, чтобы загрузить сейчас

Размер файла составляет около 483 МБ, поэтому загрузка может занять некоторое время.

Дважды щелкните файл, чтобы установить его.

После установки нажмите Готово, чтобы запустить графический интерфейс интеллектуальной консоли.

Вам будет предложено ввести учетные данные.

Знаете ли вы, какие учетные данные следует использовать?

Как я уже говорил изначально, интеллектуальная консоль всегда подключается к серверу управления, поэтому вам необходимо ввести учетные данные сервера управления.

После аутентификации он покажет отпечаток сервера для проверки полномочий.

Нажмите «Продолжить». После этого вы сможете увидеть красивое, красивое окно смарт-консоли контрольной точки.

Как видите, сервер диспетчера контрольных точек уже присутствует в интеллектуальной консоли.

Шаг 9. Добавьте шлюз безопасности к интеллектуальной консоли.

Чтобы добавить шлюз безопасности в интеллектуальную консоль, вы можете нажать кнопку «Новый», а затем «Шлюз».

В командной строке выберите либо режим мастера, либо классический режим. Я выбираю здесь режим мастера.

Вы можете дать шлюзу имя, используя платформу шлюза, вы можете выбрать открытый сервер в качестве платформы и IP-адрес шлюза.

Затем нажмите Далее.

Вы получите запрос на установку связи SIC.

Теперь вы можете ввести одноразовый пароль и нажать «Далее».

В сводке конфигурации убедитесь, что все в порядке, а затем нажмите Готово.

Шаг 10. Подключите межсетевой экран контрольной точки к Интернету.

Настройте VMnet2 для доступа в Интернет.

Перейдите к запуску и введите ncpa.cpl

В окне конфигурации сетевого адаптера щелкните правой кнопкой мыши сетевой адаптер, к которому вы подключили Интернет, на локальном ПК.

В моем случае я подключился к Интернету через проводное соединение. Это адаптер Ethernet. так что щелкните его правой кнопкой мыши.

На вкладке общего доступа отметьте параметры общего доступа к Интернету, и в раскрывающемся списке выберите адаптер VMnet2 r.

Затем нажмите ОК.

Он должен начать назначать IP-адрес из диапазона 192.168.137.0/24

Перетащите другое облако в топологию.

Щелкните облако правой кнопкой мыши и выполните настройку.

Выберите VMnet2 из списка, отметив опции показывать специальные интерфейсы Ethernet, и нажмите OK.

Подключите ehternet0 к облаку через интерфейс VMnet2.

Настройте IP-адреса на стороне Интернета.

В браузере попробуйте получить доступ к IP-адресу интерфейса, который подключен к коммутатору.

Итак, IP-адрес 10.0.0.1, попробуйте получить доступ по https://10.0.0.1.

Как и раньше, когда вы пытаетесь получить доступ к диспетчеру контрольных точек, он должен показать вам предупреждение системы безопасности в вашем браузере.

Просто нажмите "Принять сертификат" и нажмите "Продолжить".

В приглашении входа в систему введите учетные данные, которые вы установили во время установки. И нажмите "Войти".

После входа в систему. Первый шаг, который мы собираемся сделать, - включить интерфейс ethernet0, подключенный к Интернету.

Щелкните Управление сетью и щелкните сетевые интерфейсы.

Вы должны увидеть список интерфейсов в брандмауэре с указанием их статуса.

Нажмите кнопку блокировки в верхнем левом углу.

В ответ на запрос «Вы действительно хотите отменить блокировку» нажмите «Да».

На том же экране щелкните выберите интерфейс Ethernet 0 и щелкните Изменить.

В окнах интерфейса редактирования отметьте опцию «включить».

Получите адрес автоматически и нажмите OK.

Нажмите «Обновить», и вы должны увидеть интерфейс ethernet0 с IP-адресом из диапазона 192.168.137.0/24.

Это означает, что добавленное нами интернет-облако работает должным образом, но в нашей топологии мы используем статический IP-адрес, который равен 192.168.17.10/24

. Снова нажмите «Изменить» или дважды щелкните интерфейс eth0. И на этот раз измените его на статический и нажмите ОК. Как показано ниже.

Вернемся к интеллектуальной консоли и включим тот же интерфейс на консоли менеджера.

На интеллектуальной консоли выберите межсетевой экран контрольной точки и нажмите «Изменить».

В новом окне щелкните Управление сетью. Теперь у вас должен быть только Ethernet 1. Вам нужно добавить интерфейс ethernet0 в список интерфейсов.

В раскрывающемся списке Получить интерфейсы щелкните Получить интерфейсы с топологией.

Вы можете получить предупреждение, щелкнув по этому поводу.

В результатах топологии вы должны увидеть интерфейс ethernet0 в списке, выберите его и нажмите «Принять».Затем нажмите «Принять» во всплывающем окне.

Теперь вы должны вернуться в консоль и нажать «Опубликовать». Если вы находитесь на стороне Пало-Альто, вместо фиксации вы должны использовать Publish

Нажмите кнопку публикации в окне интеллектуальной консоли.

Через несколько секунд ваши изменения будут сохранены.

Итак, вы настроили IP-адрес на границе брандмауэра, но вы пока не сможете выйти в Интернет, потому что мы не настроили маршрутизацию на брандмауэре.

Давайте проверим маршруты на брандмауэре, набрав команду show route.

Если вы хотите повторно получить доступ к интерфейсу командной строки брандмауэра, все, что вам нужно сделать прямо сейчас, это просто щелкнуть правой кнопкой мыши брандмауэр, нажать «Действие», а затем - открыть оболочку.

Вам будет предложено ввести учетные данные, которые вы можете ввести сейчас.

Примечание. Таким же образом вы можете получить доступ к веб-интерфейсу брандмауэра и щелкнуть опцию 4 ^th , которая говорит о портале Gaia.

Когда я проверяю таблицу маршрутизации, я не вижу маршрута по умолчанию, настроенного для выхода в Интернет.

Вернитесь на портал Gaia и щелкните статические маршруты IPv4.

Там вы должны увидеть маршрут по умолчанию. Просто дважды щелкните по нему.

В разделе шлюза добавьте шлюз по умолчанию 192.168.137.1, затем нажмите «Сохранить», а затем «Применить».

Вернитесь к интерфейсу командной строки снова и проверьте маршруты. Вы должны увидеть добавленные маршруты. Когда вы сейчас попытаетесь подключиться к Интернету с IP-адресом 8.8.8.8, вы должны получить ответ на то же самое.

Мы также можем достичь IP-адреса 8.Также 8.8.8

Вы настроили сервер управления контрольными точками, интеллектуальную консоль и шлюз безопасности в этой настройке GNS3 и подключили шлюз безопасности к Интернету.

Надеюсь, вы смогли продолжить. Но у меня вопрос, могут ли ваши внутренние пользователи получить доступ к Интернету?

Ответ: нет! который мы рассмотрим в другой лабораторной работе, где мы больше сосредоточимся на политиках безопасности, наттинге и т. д.

Запись с упреждающей записью

Метод по умолчанию, с помощью которого SQLite реализует атомарная фиксация и откат - это журнал отката.Начиная с версии 3.7.0 (21.07.2010), появилась новая опция «Журнал упреждающей записи». (далее «WAL») доступен.

Есть преимущества и недостатки использования WAL вместо журнал отката. Преимущества включают:

1. WAL значительно быстрее в большинстве сценариев.
2. WAL обеспечивает больший параллелизм, поскольку читатели не блокируют писателей и писатель не блокирует читателей. Читать и писать можно одновременно.
3. Операции дискового ввода-вывода при использовании WAL имеют тенденцию быть более последовательными.
4. WAL использует намного меньше операций fsync () и поэтому менее уязвим для проблемы в системах, в которых не работает системный вызов fsync ().

Но есть и минусы:

1. WAL обычно требует, чтобы VFS поддерживать примитивы с общей памятью. (Исключение: WAL без разделяемой памяти) Встроенные VFS для unix и windows поддерживают это, но сторонние расширения VFS для настраиваемой работы системы не могут.
2. Все процессы, использующие базу данных, должны находиться на одном главном компьютере; WAL не работает в сетевой файловой системе.
3. Транзакции, которые включают изменения в отношении нескольких подключенных базы данных являются атомарными для каждой отдельной базы данных, но не атомарный во всех базах данных как набор.
4. Невозможно изменить размер страницы после входа в WAL режим, либо в пустой базе данных, либо с помощью VACUUM, либо путем восстановления из резервной копии с помощью резервного API. Вы должны быть в журнале откатов режим для изменения размера страницы.
5. Невозможно открыть базы данных WAL только для чтения.У процесса открытия должны быть права записи для "-shm" файл разделяемой памяти wal-index, связанный с базой данных, если это файл существует, или же доступ на запись в каталог, содержащий файл базы данных, если файл "-shm" не существует. Начиная с версии 3.22.0 (2018-01-22), доступ только для чтения Файл базы данных в режиме WAL можно открыть, если файлы -shm и -wal уже существует, или эти файлы могут быть созданы, или база данных неизменна.
6. WAL может быть немного медленнее (возможно, на 1% или 2%) чем традиционный подход журнала отката в приложениях, которые в основном читают и редко пишут.
7. Имеется дополнительный квазипостоянный файл "-wal" и "-shm" файл общей памяти, связанный с каждым база данных, что может сделать SQLite менее привлекательным для использования в качестве файл-формат приложения.
8. Есть дополнительная операция контрольной точки, которая хоть и автоматическая. по умолчанию разработчики приложений должны быть внимательным.
9. WAL лучше всего работает с небольшими транзакциями. WAL делает не подходят для очень крупных транзакций.Для транзакций больше, чем около 100 мегабайт, традиционные режимы журнала отката, скорее всего, быть быстрее. Для транзакций, превышающих гигабайт, режим WAL может сбой с ошибкой ввода-вывода или переполнения диска. Рекомендуется использовать один из режимов журнала отката для транзакции размером более нескольких десятков мегабайт. Начиная с версии 3.11.0 (15.02.2016), Режим WAL так же эффективно работает с большие транзакции, как и режим отката.

Традиционный журнал отката работает, записывая копию исходное неизмененное содержимое базы данных в отдельный файл журнала отката а затем записывать изменения прямо в файл базы данных.в событие сбоя или ROLLBACK, исходное содержимое, содержащееся в журнал отката воспроизводится в файле базы данных, чтобы вернуть файл базы данных в исходное состояние. COMMIT происходит при удалении журнала отката.

Подход WAL инвертирует это. Исходное содержание сохраняется в файле базы данных, и изменения добавляются в отдельный WAL файл. COMMIT происходит, когда специальная запись, указывающая на фиксацию добавляется к WAL. Таким образом, COMMIT может произойти без написания в исходную базу данных, что позволяет читателям продолжать работу из исходной неизмененной базы данных, в то время как изменения одновременно вносятся внесены в WAL.К конец одного файла WAL.

2.1. Контрольно-пропускной пункт

Конечно, хочется в конечном итоге передать все транзакции, которые добавляются в файле WAL обратно в исходную базу данных. Движущийся транзакции файла WAL обратно в базу данных называются « КПП ».

Другой способ подумать о разнице между откатом и журнал предзаписи - это журнал отката подход, есть две примитивные операции, чтение и запись, тогда как с журналом упреждающей записи теперь есть три примитивных операции: чтение, запись и контрольно-пропускные пункты.

По умолчанию SQLite автоматически выполняет контрольную точку, когда файл WAL достигает порогового размера в 1000 страниц. (В SQLITE_DEFAULT_WAL_AUTOCHECKPOINT параметр времени компиляции может использоваться для укажите другое значение по умолчанию.) Приложения, использующие WAL, выполняют не нужно ничего делать для того, чтобы эти контрольные точки возникли. Но при желании приложения могут настроить автоматическую контрольную точку. порог. Или они могут отключить автоматические контрольные точки и запустить контрольные точки в моменты простоя или в отдельном потоке или процессе.

2.2. Параллелизм

Когда начинается операция чтения базы данных в режиме WAL, она сначала запоминает расположение последней допустимой записи фиксации в WAL. Назовите эту точку "конечной отметкой". Поскольку WAL может расти и добавление новых записей фиксации, когда различные считыватели подключаются к базе данных, у каждого ридера потенциально может быть своя конечная отметка. Но для любого конкретному читателю, конечная отметка остается неизменной в течение всего транзакция, таким образом гарантируя, что одна транзакция чтения видит только содержимое базы данных, как оно существовало в определенный момент времени.

Когда читателю нужна страница с контентом, он сначала проверяет WAL, чтобы посмотрите, появляется ли там эта страница, и если да, она вытягивает последнюю копию страницы, которая встречается в WAL до отметки конца читателя. Если в WAL нет копии страницы до отметки конца читателя, затем страница считывается из исходного файла базы данных. Читатели могут существуют в отдельных процессах, чтобы не заставлять каждого читателя сканировать весь WAL ищет страницы (файл WAL может увеличиваться до несколько мегабайт, в зависимости от того, как часто запускаются контрольные точки), структура данных, называемая "wal-index", сохраняется в общей памяти. который помогает читателям быстро и с минимальными затратами находить страницы в WAL. ввода / вывода.Wal-index значительно улучшает работу читателей, но использование общей памяти означает, что все считыватели должны существовать на такая же машина. Вот почему реализация журнала упреждающей записи не работать в сетевой файловой системе.

Писатели просто добавляют новое содержимое в конец файла WAL. Потому что писатели не делают ничего, что могло бы помешать действиям читатели, писатели и читатели могут работать одновременно. Тем не мение, поскольку существует только один файл WAL, может быть только один писатель в время.

Операция контрольной точки берет содержимое из файла WAL и передает его обратно в исходный файл базы данных. Контрольная точка может работать одновременно с читателями, однако контрольная точка должен останавливаться, когда он достигает страницы в WAL, которая находится за отметкой конца любого текущего читателя. Контрольно-пропускной пункт должен остановиться в этой точке, потому что в противном случае он может перезаписать часть файла базы данных, которую считыватель активно пользуется. КПП запоминает (в wal-index), как далеко он получил и возобновит передачу содержимого из WAL в базу данных с того места, где он остановился при следующем вызове.

Таким образом, длительная транзакция чтения может помешать контрольной точке продвигается. Но предположительно каждая транзакция чтения в конечном итоге end, и контрольная точка сможет продолжить.

Каждый раз, когда происходит операция записи, писатель проверяет, насколько чекпоинтер сделал, и если весь WAL был переведен в база данных и синхронизированы, и если никакие читатели не используют WAL, то писатель перемотает WAL обратно в начало и начнет вставлять новый транзакции в начале WAL.Этот механизм предотвращает WAL файл от неограниченного роста.

2.3. Рекомендации по производительности

Операции записи выполняются очень быстро, так как они включают только запись содержимое один раз (по сравнению с двумя для транзакций журнала отката) и потому что все записи являются последовательными. Далее, синхронизируя содержимое на диск не требуется, пока приложение готовы пожертвовать долговечностью после отключения питания или полной перезагрузки. (Писатели синхронизируют WAL при каждой фиксации транзакции, если PRAGMA synchronous установлен на FULL, но пропустить эту синхронизацию, если PRAGMA synchronous установлен на NORMAL.)

С другой стороны, производительность чтения ухудшается, поскольку файл WAL увеличивается в размере, поскольку каждый читатель должен проверять содержимое файла WAL. и время, необходимое для проверки файла WAL, пропорционально к размеру файла WAL. Wal-index помогает находить контент в файле WAL намного быстрее, но производительность все равно падает с увеличение размера файла WAL. Следовательно, для поддержания хорошей производительности чтения важно уменьшить размер файла WAL на регулярное выполнение контрольно-пропускных пунктов.

Контрольная точка требует операций синхронизации, чтобы избежать возможность повреждения базы данных после отключения питания или жесткая перезагрузка. WAL должен быть синхронизирован с постоянным хранилищем. перед перемещением содержимого из WAL в базу данных и файл базы данных должен быть синхронизирован до сброса WAL. КПП тоже требует большего поиска. Контрольный указатель пытается делать столько последовательных записей страниц в базу данных, сколько может (страницы передаются из WAL в базу данных в порядке возрастания), но даже то обычно будет много операций поиска, перемежающихся между страница пишет.Эти факторы в совокупности делают пропускные пункты медленнее, чем писать транзакции.

Стратегия по умолчанию - разрешить последовательные транзакции записи в увеличивать WAL до тех пор, пока размер WAL не станет примерно 1000 страниц, затем запускать операцию контрольной точки для каждого последующего COMMIT, пока WAL сбрасывается до менее 1000 страниц. По умолчанию контрольная точка будет запускается автоматически тем же потоком, который выполняет COMMIT, который подталкивает WAL превышает допустимый размер. Это приводит к тому, что большинство Операции COMMIT должны быть очень быстрыми, но случайные операции COMMIT (те, которые запускают контрольно-пропускной пункт), чтобы быть намного медленнее.Если этот эффект нежелателен, тогда приложение может отключить автоматическую контрольную точку и запустить периодические контрольные точки в отдельном потоке или отдельном процессе. (Ссылки на команды и интерфейсы для выполнения этого показано ниже.)

Обратите внимание, что с синхронным PRAGMA, установленным на NORMAL, контрольная точка - единственная операция, которая создает барьер ввода-вывода или операцию синхронизации. (fsync () в unix или FlushFileBuffers () в Windows). Если приложение поэтому запускает контрольную точку в отдельном потоке или процессе, основной поток или процесс, выполняющий запросы к базе данных и обновления, никогда не будут заблокировать операцию синхронизации.Это помогает предотвратить "зависание" в приложениях. работает на загруженном диске. Обратной стороной к эта конфигурация заключается в том, что транзакции больше не долговечны и может откатиться после сбоя питания или аппаратного сброса.

Заметьте также, что существует компромисс между средней производительностью чтения. и средняя производительность записи. Чтобы максимизировать скорость чтения, нужно сделать WAL как можно меньше и, следовательно, запускать контрольные точки часто, возможно, так же часто, как каждый COMMIT. Чтобы максимизировать производительность записи, хочется амортизировать стоимость каждой контрольной точки по как можно большему количеству записей, что означает, что нужно запускать контрольные точки нечасто и позволяйте WAL расти как можно больше перед каждым контрольно-пропускной пункт.Поэтому решение о том, как часто запускать контрольные точки, может варьироваться от одного приложения к другому в зависимости от относительного чтения и напишите требования к производительности приложения. Стратегия по умолчанию - запустить контрольную точку после того, как WAL достигает 1000 страниц, и эта стратегия, кажется, хорошо работает в тестовых приложениях на рабочих станций, но другие стратегии могут работать лучше на других платформ или для разных рабочих нагрузок.

Соединение с базой данных SQLite по умолчанию journal_mode = УДАЛИТЬ.Чтобы преобразовать в режим WAL, используйте следующая прагма:

PRAGMA journal_mode = WAL;
 

Прагма journal_mode возвращает строку, которая является новым режимом журнала. В случае успеха прагма вернет строку "wal". Если преобразование в WAL не может быть завершено (например, если VFS не поддерживает необходимые примитивы разделяемой памяти), то режим ведения журнала не изменится, и строка, возвращенная из примитивом будет предыдущий режим ведения журнала (например, «удалить»).

3.1. Автоматический КПП

По умолчанию SQLite автоматически проверяет точку при выполнении COMMIT. происходит, что приводит к тому, что размер файла WAL составляет 1000 страниц или более, или когда последнее соединение с базой данных для файла базы данных закрывается. По умолчанию конфигурация предназначена для работы в большинстве приложений. Но программы, которым нужен больший контроль, могут принудительно установить контрольную точку. используя прагму wal_checkpoint или вызывая sqlite3_wal_checkpoint () Интерфейс C. Автоматический контрольно-пропускной пункт порог может быть изменен или автоматическая контрольная точка может быть полностью отключен с помощью прагмы wal_autocheckpoint или путем вызова sqlite3_wal_autocheckpoint () Интерфейс C.Программа также может используйте sqlite3_wal_hook (), чтобы зарегистрировать обратный вызов, который будет вызываться всякий раз, когда любая транзакция фиксируется в WAL. Затем этот обратный вызов может вызывать sqlite3_wal_checkpoint () или sqlite3_wal_checkpoint_v2 () на основе любого критерии, которые он считает подходящими. (Механизм автоматической КПП реализован как простая оболочка вокруг sqlite3_wal_hook ().)

3.2. Контрольные точки, инициируемые приложениями

Приложение может инициировать контрольную точку, используя любую доступную для записи базу данных. соединение с базой данных, просто вызвав sqlite3_wal_checkpoint () или sqlite3_wal_checkpoint_v2 ().Есть три подтипа контрольных точек, которые различаются по своей агрессивности: ПАССИВНЫЙ, ПОЛНЫЙ и ПЕРЕЗАПУСК. Стиль контрольной точки по умолчанию - ПАССИВНЫЙ, который делает столько работы, сколько может, не мешая другим базам данных подключений, и которые могут не работать до завершения, если есть одновременные читатели или писатели. Все контрольные точки, инициированные sqlite3_wal_checkpoint () и механизмом автоматической КПП являются ПАССИВНЫМИ. ПОЛНЫЙ И ПЕРЕЗАГРУЗИТЬ контрольные точки изо всех сил стараются запустить контрольную точку до конца и могут только инициируется вызовом sqlite3_wal_checkpoint_v2 ().Увидеть документация sqlite3_wal_checkpoint_v2 () для получения дополнительной информации на контрольных точках FULL и RESET.

3.3. Постоянство режима WAL

В отличие от других режимов ведения журнала, PRAGMA journal_mode = WAL - это настойчивый. Если процесс устанавливает режим WAL, то закрывает и снова открывает база данных, база данных вернется в режим WAL. Напротив, если процесс устанавливает (например) PRAGMA journal_mode = TRUNCATE, а затем закрывается и повторно откроет базу данных вернется в режим отката по умолчанию DELETE, а не предыдущий параметр TRUNCATE.

Постоянство режима WAL означает, что приложения могут быть преобразованы использовать SQLite в режиме WAL без внесения каких-либо изменений в приложение сам. Достаточно просто запустить "PRAGMA journal_mode = WAL;" на файл (ы) базы данных с помощью оболочки командной строки или другой утилиты, затем перезапустите приложение.

Режим журнала WAL будет установлен на всех подключения к одному и тому же файлу базы данных, если он установлен для любого одного подключения.

Когда соединение с базой данных открыто для базы данных в режиме WAL, SQLite поддерживает дополнительный файл журнала, называемый «Журнал упреждающей записи» или «Файл WAL».Имя этого файла на диске обычно является именем файла базы данных. с дополнительным суффиксом "-wal", хотя другие правила именования могут применяется, если SQLite скомпилирован с SQLITE_ENABLE_8_3_NAMES.

Файл WAL существует до тех пор, пока любое соединение с базой данных имеет база данных открыта. Обычно файл WAL удаляется автоматически, когда последнее соединение с базой данных закрывается. Однако, если последний процесс иметь открытые выходы из базы данных без чистых отключение соединения с базой данных, или если Используется файловый элемент управления SQLITE_FCNTL_PERSIST_WAL, затем файл WAL может быть сохранен на диске после того, как все подключения к базе данных был закрыт.Файл WAL является частью постоянного состояния база данных и должна храниться вместе с базой данных, если база данных копируется или переехал. Если файл базы данных отделен от своего файла WAL, тогда транзакции, которые ранее были зафиксированы в базе данных, могут быть потеряны, или файл базы данных может быть поврежден. Единственный безопасный способ удалить файл WAL - это открыть файл базы данных с помощью одного из интерфейсов sqlite3_open () затем немедленно закройте базу данных с помощью sqlite3_close ().

Формат файла WAL точно определен и является кроссплатформенным.

Более старые версии SQLite не могли прочитать базу данных в режиме WAL, которая была только для чтения. Другими словами, для чтения файла требовался доступ на запись. База данных в режиме WAL. Это ограничение было ослаблено, начиная с SQLite версии 3.22.0 (22.01.2018).

В более новых версиях SQLite, база данных в режиме WAL на носителе только для чтения или база данных в режиме WAL, в которой отсутствует разрешение на запись, может быть прочитано до тех пор, пока одно или несколько из следующих условия соблюдены:

1. Файлы -shm и -wal уже существуют и доступны для чтения
2. Имеется разрешение на запись в каталог, содержащий базу данных, поэтому что файлы -shm и -wal могут быть созданы.
3. Соединение с базой данных открывается с помощью неизменяемый параметр запроса.

Даже если можно открыть базу данных в режиме WAL только для чтения, это хорошая практика преобразовать в PRAGMA journal_mode = УДАЛИТЬ перед записью Образ базы данных SQLite на носителе только для чтения.

В обычных случаях новое содержимое добавляется к файлу WAL до тех пор, пока Файл WAL вмещает около 1000 страниц (и, таким образом, составляет около 4 МБ. по размеру), после чего автоматически запускается контрольная точка и файл WAL перерабатывается.Контрольная точка обычно не усекает файл WAL (если не установлена ​​прагма journal_size_limit). Вместо этого он просто заставляет SQLite начать перезапись файла WAL с самого начала. Это сделано потому, что обычно быстрее перезаписывать существующий файл. чем добавить. Когда последнее соединение с базой данных закрывается, это соединение выполняет последнюю контрольную точку, а затем удаляет WAL и его связанный файл с общей памятью, чтобы очистить диск.

Таким образом, в подавляющем большинстве случаев приложениям не нужно беспокоиться о файл WAL вообще.SQLite автоматически позаботится об этом. Но можно привести SQLite в состояние, при котором файл WAL будет расти без ограничений, что приводит к чрезмерному использованию дискового пространства и снижению скорости запросов. Следующие пункты перечисляют некоторые из способов, которыми это может произойти. и как их избежать.

• Отключение механизма автоматической контрольной точки. В своей конфигурации по умолчанию SQLite будет проверять файл WAL в заключение любой транзакции при размере WAL файла более 1000 страниц длинный.Однако существуют параметры времени компиляции и времени выполнения, которые могут отключить или отложите эту автоматическую контрольную точку. Если приложение отключает автоматическая контрольная точка, то ничего не мешает файлу WAL от чрезмерного роста.

• КПП голодание. Контрольная точка может работать только до завершения и сбросить файл WAL, если нет других подключений к базе данных, использующих файл WAL. Если другой соединение имеет открытую транзакцию чтения, то контрольная точка не может сбросить файл WAL, потому что это может привести к удалению содержимого из-под читателя.КПП будет делать столько работы, сколько может, не нарушая читатель, но он не может работать до конца. КПП снова запустится с того места, где остановился, после следующего написать транзакцию. Это повторяется до тех пор, пока не будет завершена некоторая контрольная точка.

  Однако, если в базе данных есть много одновременных перекрывающихся считывателей и всегда есть хотя бы один активный читатель, тогда никакие контрольно-пропускные пункты не смогут пройти и, следовательно, файл WAL будет неограниченно расти.

  Этого сценария можно избежать, обеспечив "читательские пробелы": раз, когда процессы не читают из база данных, и в это время предпринимаются попытки контрольных точек.В приложениях с большим количеством одновременных читателей можно также рассмотреть запуск ручных контрольных точек с помощью SQLITE_CHECKPOINT_RESTART или SQLITE_CHECKPOINT_TRUNCATE, который гарантирует, что контрольная точка выполняется до завершения перед возвращением. Недостаток использования SQLITE_CHECKPOINT_RESTART и SQLITE_CHECKPOINT_TRUNCATE - это читатели могут заблокироваться во время работы контрольной точки.

• Очень большие транзакции записи. Контрольная точка может быть завершена только тогда, когда другие транзакции не выполняются, что означает, что файл WAL не может быть сброшен во время записи. сделка.Итак, большое изменение в большой базе данных может привести к получению большого файла WAL. В файле WAL будет установлена ​​контрольная точка. после завершения транзакции записи (при условии, что других читателей нет блокируя его), но в то же время файл может вырасти очень большим.

  Начиная с версии SQLite 3.11.0 (15.02.2016), файл WAL для одной транзакции должен быть пропорционален по размеру самой транзакции. Страницы, которые изменяются транзакцией, следует записывать только в файл WAL однажды. Однако в более старых версиях SQLite та же страница может быть записывается в файл WAL несколько раз, если транзакция увеличивается чем кеш страницы.

Wal-index реализован с использованием обычного файла, mmapped для надежности. Ранние (предварительные) реализации режима WAL хранит wal-index в энергозависимой разделяемой памяти, например в файлах, созданных в / dev / shm в Linux или / tmp в других системах unix. Эта проблема при таком подходе процессы с другим корневым каталогом (изменено через chroot) будут видеть разные файлы и, следовательно, использовать разные области общей памяти, что приводит к повреждению базы данных. Другие способы создания безымянных блоки разделяемой памяти не переносятся между различными разновидностями unix.И мы не смогли найти ни одного метода для создания безымянных общих блоки памяти на windows. Мы нашли единственный способ гарантировать что все процессы, обращающиеся к одному и тому же файлу базы данных, используют одни и те же общие память заключается в создании общей памяти путем сопоставления файла в том же каталог как сама база данных.

Использование обычного дискового файла для предоставления общей памяти имеет недостаток в том, что на самом деле он может выполнять ненужный дисковый ввод-вывод с помощью запись общей памяти на диск. Однако разработчики не думаю, что это серьезная проблема, так как wal-index редко превышает Размер 32 КБ и никогда не синхронизируется.Кроме того, wal-index резервный файл удаляется при разрыве последнего соединения с базой данных, что часто предотвращает любой реальный дисковый ввод-вывод.

Специализированные приложения, для которых по умолчанию реализована общая память неприемлема, можно разработать альтернативные методы с помощью кастомный VFS. Например, если известно, что конкретная база данных будут доступны только потокам в рамках одного процесса, wal-index может быть реализован с использованием кучи памяти вместо истинной разделяемой памяти.

Начиная с версии SQLite 3.7.4 (07.12.2010), Базы данных WAL можно создавать, читать и записывается, даже если общая память недоступна, пока lock_mode устанавливается в EXCLUSIVE перед первой попыткой доступа. Другими словами, процесс может взаимодействовать с база данных WAL без использования разделяемой памяти, если это Гарантируется, что это единственный процесс, обращающийся к базе данных. Эта функция позволяет создавать, читать и записывать базы данных WAL. устаревшими VFS, в которых отсутствует разделяемая память "версии 2" методы xShmMap, xShmLock, xShmBarrier и xShmUnmap на sqlite3_io_methods объект.

Если ИСКЛЮЧИТЕЛЬНЫЙ режим блокировки устанавливается перед первым WAL-режимом доступ к базе данных, то SQLite никогда не пытается вызвать какой-либо из методы с разделяемой памятью и, следовательно, без разделяемой памяти wal-index никогда не создается. В этом случае соединение с базой данных остается в ЭКСКЛЮЗИВНОМ режиме. пока режим журнала - WAL; пытается изменить блокировку режим с использованием "PRAGMA lock_mode = NORMAL;" не работают. Единственный способ выйти из ЭКСКЛЮЗИВНОГО режима блокировки - сначала выйти из режима журнала WAL.

Если для первой базы данных в режиме WAL действует ОБЫЧНЫЙ режим блокировки доступ, то создается wal-index разделяемой памяти.Это означает, что базовая VFS должна поддерживать разделяемую память «версии 2». Если VFS не поддерживает методы с общей памятью, то попытка открыть базу данных, которая уже находится в режиме WAL, или попытаться преобразовать база данных в режим WAL, не удастся. Пока только одно соединение использует wal-index с общей памятью, режим блокировки можно свободно менять между НОРМАЛЬНЫМ и ЭКСКЛЮЗИВНЫМ. Только тогда, когда wal-index разделяемой памяти опущен, когда блокировка режим является ИСКЛЮЧИТЕЛЬНЫМ до первого обращения к базе данных в режиме WAL, что режим блокировки застрял в ЭКСКЛЮЗИВНОМ.

Второе преимущество WAL-режима в том, что писатели не блокируют читателей, а читатели не блокируют писателей. Это , в основном правда. Но есть некоторые неясные случаи, когда запрос к WAL-режиму база данных может возвращать SQLITE_BUSY, поэтому приложения должны быть подготовлены для этой случайности.

Случаи, когда запрос к базе данных в режиме WAL может возвращать SQLITE_BUSY включая следующее:

• Если для другого соединения с базой данных открыт режим базы данных в режиме монопольной блокировки все запросы к база данных вернет SQLITE_BUSY.И Chrome, и Firefox открывают свои файлы базы данных в режиме монопольной блокировки, поэтому пытается прочитать Chrome или Базы данных Firefox во время работы приложений будут сталкиваться с этим проблема, например.

• Когда последнее соединение с конкретной базой данных закрывается, это соединение получит эксклюзивную блокировку на короткое время, пока оно очищает файлы WAL и разделяемой памяти. Если вторая база данных пытается открыть и запросить базу данных при первом подключении все еще в середине процесса очистки второе соединение может получить SQLITE_BUSY ошибка.

• Если последнее соединение с базой данных разорвалось, то первое новое соединение соединение для открытия базы данных запустит процесс восстановления. An монопольная блокировка удерживается во время восстановления. Итак, если третье соединение с базой данных пытается подключиться и запросить, пока второе соединение выполняет восстановление, третье соединение получит ошибку SQLITE_BUSY.

Формат файла базы данных не изменился для режима WAL. Однако Файл WAL и wal-index - это новые концепции, поэтому старые версии SQLite не будет знать как восстановить аварийную базу данных SQLite, которая работала в режиме WAL когда произошла авария.Для предотвращения более старых версий SQLite (до версии 3.7.0, 2010-07-22) от попытки выздороветь база данных в режиме WAL (и что еще хуже) формат файла базы данных номера версий (байты 18 и 19 в заголовке базы данных) увеличиваются с 1 до 2 в режиме WAL. Таким образом, если более старая версия SQLite пытается подключиться к SQLite базы данных, которая работает в режиме WAL, она сообщит об ошибке строки «файл зашифрован или не является базой данных».

Можно явно выйти из режима WAL с помощью прагмы, например это:

PRAGMA journal_mode = УДАЛИТЬ;
 

Умышленный выход из режима WAL изменяет формат файла базы данных номера версий возвращаются к 1, чтобы старые версии SQLite могли снова доступ к файлу базы данных.

Как работают ярлыки контрольно-пропускных пунктов и жесткие бирки?

Внутри каждой радиочастотной (RF) метки контрольно-пропускного пункта находится резонатор - устройство, которое улавливает передаваемый сигнал и повторяет его. Антенны или ворота контрольной точки также содержат приемник, который запрограммирован на распознавание того, обнаруживает ли он целевой сигнал в промежутках времени между импульсами, передаваемыми воротами. Этот сигнал обычно имеет частоту 8,2 МГц, но может быть от 8,0 до 9,5 МГц в зависимости от потребностей продавца.

Обнаружение сигнала в течение этих интервалов указывает на присутствие сигнала, который резонирует (ретранслируется) защитной меткой или тегом в зоне обнаружения. Когда это происходит, система контрольно-пропускных пунктов подает сигнал тревоги; в большинстве систем контрольно-пропускных пунктов звуковой сигнал сопровождается мигающими огнями.

Так создается этикетка контрольной точки:

Жесткие метки для контрольно-пропускных пунктов выполнены по той же технологии, но находятся в жестком пластиковом футляре. После того, как резонатор вставлен в пластиковый корпус жесткого тега, устанавливается запорный механизм.Обычно он состоит из муфты, которая принимает и фиксирует металлический штифт, который можно вставить в продукт в розничном магазине.

Существует множество конструкций муфт, но одним из примеров является металлическая пластина с небольшим отверстием посередине. Отверстие слишком маленькое, чтобы стержень пальца мог пройти через него, если металлическая пластина не согнута для увеличения отверстия. После того, как штифт вставлен, пластина выравнивается, и минимизированное отверстие совпадает с канавкой на стержне штифта. Чтобы освободить эту рукоятку, продавец вставляет бирку в магнитное устройство, которое изгибает диск сцепления, позволяя штифту свободно скользить.

Другой пример типа муфты - кольцо из крошечных шариков, окружающих штифт, с пружинным механизмом, вдавливающим шарики в канавку на валу штифта; магнитный деактиватор втягивает шарики из канавки, освобождая штифт. В других конструкциях бирки используется механический деактиватор, который вставляет зонд в бирку для физического отключения запорного устройства.

Муфты Hard tag различаются по силе: Standard Lock (наиболее распространенный и самый простой для взлома), Super Lock и Checkpoint S3.