Sora Yazılım
العربية
حلول برمجية مخصصة من تركيا

تحسين أداء FortiGate وأفضل الممارسات

Sora Yazılım Ekibi

تحسين أداء FortiGate يتألف من تحديد توقّع إنتاجية صحيح، والاستفادة من التسريع العتادي (NP/CP offload)، وموازنة إعدادات فحص UTM، وتبسيط بنية السياسات/الجلسات. والهدف تعظيم الإنتاجية دون التضحية بالأمن.

قراءة أرقام الإنتاجية بشكل صحيح

أرقام الإنتاجية تُعطى منفصلةً لجدار الحماية الخام وIPS وThreat Protection وفحص SSL. ولاختيار الطراز وتوقّع الأداء فإن أقرب قيمة للواقع هي إنتاجية «Threat Protection».

إنتاجية جدار الحماية الخام هي الحد الأقصى دون تفعيل UTM ولا تعكس الاستخدام الواقعي. أما رقم Threat Protection المقاس مع تفعيل مكافحة الفيروسات وIPS فعادةً أدنى بكثير؛ ومع تفعيل فحص SSL تنخفض الإنتاجية أكثر.

لذلك تنبع معظم مشكلات الأداء من توقّعات إنتاجية خاطئة. ويتطلب التخطيط السليم معرفة سعة جهازك تحت الحمل الواقعي.

لسعات الطُرز ومعايير الاختيار راجع القسم المخصّص في دليل ما هو FortiGate.

التسريع العتادي وNP offload

التسريع العتادي يفرّغ الحركة المؤهلة إلى رقائق NP (معالج الشبكة) وCP (معالج المحتوى) لإراحة المعالج؛ وآلية الـ offload هذه أساس أداء FortiGate.

يمكن تفريغ كثير من الجلسات إلى رقائق NP عند توافر الشروط فلا تكاد تحمّل المعالج. لكن بعض التهيئات (مثل تركيبات UTM معيّنة أو ميزات غير متوافقة مع offload) تعيد الحركة إلى المعالج فتخفض الأداء.

يمكنك التحقّق من حالة offload ومعرفة الجلسات المُسرَّعة. وتعطيل الميزات غير الضرورية التي تكسر offload قد يرفع الإنتاجية بشكل ملحوظ.

الآليةالأثر
NP offloadيعالج توجيه الحزم/IPsec في العتاد
CP offloadيسرّع فحص IPS/AV/SSL
إعداد asic-offloadيفرّغ الجلسات المؤهلة إلى العتاد
الإعادة إلى المعالجينخفض الأداء مع ميزات غير متوافقة مع offload

موازنة أداء فحص UTM

أداء UTM يُدار عبر وضع الفحص (flow مقابل proxy) ونطاق الفحص وقرارات فك تشفير SSL؛ وتطبيق أعمق فحص على كل الحركة يخلق حملًا غير ضروري.

للحركة عالية الحجم التي تحتاج زمن وصول منخفض قد يُفضّل flow-based؛ وللحركة الحسّاسة التي تحتاج تحكمًا أعمق يُستخدم proxy-based. ويوفّر فحص SSL العميق حماية قوية لكنه من أكثر العمليات تكلفة، لذا يُطبَّق بانتقائية.

لتطبيق ملفات UTM بالنطاق الصحيح راجع دليل ملفات أمان UTM، ولربط الملفات بالسياسات دليل إدارة السياسات.

تحسين السياسات والجلسات

تحسين السياسات يعني تنظيف القواعد غير الضرورية، ونقل القواعد المتكرّرة المطابقة للأعلى، واستخدام كائنات عناوين/خدمات ضيّقة، وإبقاء جدول الجلسات سليمًا.

كثرة القواعد غير الضرورية أو الواسعة ترفع مخاطر الأمن وحمل التقييم. ووضع القواعد المتكرّرة المطابقة في موضع جيد يخفض متوسط زمن المطابقة. ونظّف القواعد غير المستخدمة دوريًا.

قد يؤثّر التسجيل المفرط أيضًا على الأداء؛ فسجّل الأحداث الضرورية فقط. وراقب امتلاء جدول الجلسات ومعدّل إنشائها لاكتشاف الاختناقات مبكرًا.

في البيئات التي تتطلب توافرًا عاليًا، لتخطيط الأداء والمرونة معًا، راجع مقال تهيئة FortiGate HA.

المراقبة وقائمة فحص الأداء

مراقبة الأداء تتابع باستمرار مقاييس مثل المعالج والذاكرة وعدد الجلسات وconserve mode لاكتشاف الاختناقات مبكرًا.

  • راقب المعالج والذاكرة باستمرار؛ فالقيم المرتفعة دائمًا تشير إلى مشكلة سعة/تهيئة.
  • تتبّع عدد الجلسات ومعدّل إنشائها.
  • انتبه لتنبيهات conserve mode تحت ضغط الذاكرة.
  • تحقّق من حالة offload وراجع الميزات التي تكسره.
  • أبقِ البرامج الثابتة محدّثة؛ فالإصدارات تجلب تحسينات أداء.

للمراقبة المركزية لمقاييس الأداء راجع مقال التسجيل والمراقبة مع FortiAnalyzer.

الأسئلة الشائعة

بأي رقم إنتاجية أختار الطراز؟

أقرب قيمة للواقع هي إنتاجية Threat Protection المقاسة مع تفعيل مكافحة الفيروسات وIPS. وإن كنت ستستخدم فحص SSL فاعتبر رقمه أيضًا؛ والاختيار وفق إنتاجية جدار الحماية الخام مضلّل.

ما NP offload ولماذا يهمّ؟

ينقل NP offload الحركة المؤهلة إلى رقائق معالج الشبكة فيقلّل حمل المعالج. وهذا يحقّق إنتاجية عالية؛ وعند كسر offload تعود الحركة إلى المعالج وينخفض الأداء.

لماذا ينخفض الأداء عند تفعيل UTM؟

تضيف مكافحة الفيروسات وIPS وخصوصًا فحص SSL العميق معالجةً لكل حزمة. ويخفض هذا الحمل الإنتاجية الواقعية؛ ويمكنك إدارة الأثر بموازنة وضع الفحص ونطاقه.

ما conserve mode؟

conserve mode هو أن يتّخذ FortiGate إجراءات وقائية تحت ضغط الذاكرة، وقد يؤثّر ذلك على الأداء. وتكراره يشير إلى مشكلة سعة أو تهيئة.

هل تؤثّر كثرة السياسات على الأداء؟

ترفع القواعد غير الضرورية والواسعة حمل التقييم. ونقل القواعد المتكرّرة للأعلى وتنظيف غير المستخدمة واستخدام كائنات ضيّقة يحسّن الأداء.

هل يحسّن تحديث البرامج الثابتة الأداء؟

غالبًا نعم. فإصدارات FortiOS الجديدة تتضمّن تحسينات أداء وإصلاحات. لكن في الإنتاج فضّل الإصدارات الناضجة واختبر أولًا.

الخلاصة

تحسين أداء FortiGate هو مزيج من توقّع الإنتاجية الصحيح والاستفادة الكاملة من التسريع العتادي وإعدادات UTM المتوازنة وبنية سياسات نظيفة. والمراقبة المستمرة تلتقط الاختناقات قبل أن تكبر.

لتقييم وتحسين أداء بيئة FortiGate لديك، تحدّث إلى فريق Sora Yazılım.

← المدونة

هل تحتاج مساعدة في مواضيع هذا المقال؟

احجز مكالمة استكشاف مجانية مع Sora Yazılım — سنقترح خارطة طريق واضحة.

مكالمة استكشاف مجانيةخدماتناحلولنا