FortiGate Performance-Optimierung und Best Practices
Die FortiGate-Performance-Optimierung besteht aus der richtigen Durchsatzerwartung, der Nutzung der Hardwarebeschleunigung (NP-/CP-Offload), dem Ausbalancieren der UTM-Scan-Einstellungen und der Vereinfachung der Richtlinien-/Sitzungsstruktur. Ziel ist maximaler Durchsatz ohne Sicherheitskompromisse.
Durchsatzzahlen richtig lesen
Durchsatzzahlen werden getrennt für reine Firewall, IPS, Threat Protection und SSL-Inspektion angegeben. Für Modellauswahl und Performance-Erwartung ist der realitätsnächste Wert der 'Threat Protection'-Durchsatz.
Der reine Firewall-Durchsatz ist der Höchstwert ohne aktiviertes UTM und spiegelt die reale Nutzung nicht wider. Der mit aktiviertem Antivirus und IPS gemessene Threat-Protection-Wert ist meist deutlich niedriger; mit aktivierter SSL-Inspektion sinkt der Durchsatz weiter.
Deshalb beruhen die meisten Performance-Probleme auf falschen Durchsatzerwartungen. Korrekte Planung erfordert Kenntnis der Gerätekapazität unter realer Last.
Zu Modellkapazitäten und Auswahlkriterien siehe den Abschnitt in unserem Was-ist-FortiGate-Leitfaden.
Hardwarebeschleunigung und NP-Offload
Hardwarebeschleunigung lagert geeigneten Verkehr an NP- (Network Processor) und CP-Chips (Content Processor) aus, um die CPU zu entlasten; dieser Offload-Mechanismus ist das Fundament der FortiGate-Performance.
Viele Sitzungen können bei geeigneten Bedingungen an NP-Chips ausgelagert werden und belasten die CPU kaum. Manche Konfigurationen (z. B. bestimmte UTM-Kombinationen oder offload-inkompatible Features) ziehen den Verkehr jedoch zur CPU zurück und mindern die Performance.
Sie können den Offload-Status verifizieren und sehen, welche Sitzungen beschleunigt werden. Das Deaktivieren unnötiger, offload-brechender Features kann den Durchsatz deutlich steigern.
| Mechanismus | Wirkung |
|---|---|
| NP-Offload | Verarbeitet Paket-Routing/IPsec in Hardware |
| CP-Offload | Beschleunigt IPS-/AV-/SSL-Scan |
| asic-offload-Einstellung | Lagert geeignete Sitzungen an die Hardware aus |
| Rückzug zur CPU | Performance sinkt bei offload-inkompatiblen Features |
UTM-Scan-Performance ausbalancieren
UTM-Performance wird über Scan-Modus (Flow vs. Proxy), Prüfumfang und SSL-Entschlüsselungs-Entscheidungen gesteuert; die tiefste Prüfung auf allen Verkehr anzuwenden, erzeugt unnötige Last.
Für volumenstarken Verkehr mit Bedarf an geringer Latenz kann Flow-based bevorzugt werden; für sensiblen Verkehr mit Bedarf an tieferer Kontrolle wird Proxy-based genutzt. SSL-Deep-Inspection bietet starken Schutz, ist aber eine der teuersten Operationen und sollte selektiv eingesetzt werden.
Um UTM-Profile im richtigen Umfang anzuwenden, siehe unseren Leitfaden zu UTM-Sicherheitsprofilen und zum Binden an Richtlinien unseren Leitfaden zur Richtlinienverwaltung.
Richtlinien- und Sitzungsoptimierung
Richtlinienoptimierung bedeutet, unnötige Regeln zu bereinigen, häufig getroffene Regeln nach oben zu verschieben, enge Adress-/Dienstobjekte zu nutzen und die Sitzungstabelle gesund zu halten.
Viele unnötige oder breite Regeln erhöhen Sicherheitsrisiko und Auswertungslast. Häufig getroffene Regeln an guter Position senken die durchschnittliche Match-Zeit. Bereinigen Sie ungenutzte Regeln regelmäßig.
Übermäßiges Logging kann die Performance ebenfalls beeinträchtigen; loggen Sie nur nötige Ereignisse. Überwachen Sie Sitzungstabellen-Auslastung und Sitzungsaufbaurate, um Engpässe früh zu erkennen.
In Umgebungen mit Hochverfügbarkeit, um Performance und Resilienz gemeinsam zu planen, siehe unseren Artikel zur FortiGate-HA-Konfiguration.
Monitoring und Performance-Checkliste
Performance-Monitoring verfolgt laufend Metriken wie CPU, Speicher, Sitzungsanzahl und Conserve Mode, um Engpässe früh zu erkennen.
- Überwachen Sie CPU und Speicher laufend; dauerhaft hohe Werte signalisieren ein Kapazitäts-/Konfigurationsproblem.
- Verfolgen Sie Sitzungsanzahl und Sitzungsaufbaurate.
- Achten Sie auf Conserve-Mode-Warnungen unter Speicherdruck.
- Verifizieren Sie den Offload-Status und prüfen Sie offload-brechende Features.
- Halten Sie die Firmware aktuell; Releases bringen Performance-Verbesserungen.
Zur zentralen Überwachung von Performance-Metriken siehe unseren Artikel zu Logging und Monitoring mit FortiAnalyzer.
Häufig gestellte Fragen
Nach welcher Durchsatzzahl soll ich dimensionieren?
Der realitätsnächste Wert ist der Threat-Protection-Durchsatz mit aktiviertem Antivirus und IPS. Wenn Sie SSL-Inspektion nutzen, berücksichtigen Sie auch diese Zahl; eine Dimensionierung nach reinem Firewall-Durchsatz ist irreführend.
Was ist NP-Offload und warum ist es wichtig?
NP-Offload verschiebt geeigneten Verkehr auf Network-Processor-Chips und senkt die CPU-Last. So entsteht hoher Durchsatz; bricht der Offload, kehrt der Verkehr zur CPU zurück und die Performance sinkt.
Warum sinkt die Performance bei aktivem UTM?
Antivirus, IPS und besonders SSL-Deep-Inspection fügen jedem Paket Verarbeitung hinzu. Diese Last senkt den realen Durchsatz; durch Ausbalancieren von Scan-Modus und -Umfang steuern Sie die Auswirkung.
Was ist Conserve Mode?
Conserve Mode ist, wenn FortiGate unter Speicherdruck Schutzmaßnahmen ergreift, was die Performance beeinträchtigen kann. Häufiger Conserve Mode signalisiert ein Kapazitäts- oder Konfigurationsproblem.
Beeinträchtigen viele Richtlinien die Performance?
Unnötige und breite Regeln erhöhen die Auswertungslast. Das Hochschieben häufig getroffener Regeln, das Bereinigen ungenutzter und die Nutzung enger Objekte verbessern die Performance.
Verbessert ein Firmware-Update die Performance?
Oft ja. Neue FortiOS-Releases enthalten Performance-Verbesserungen und Fehlerbehebungen. Bevorzugen Sie in der Produktion jedoch ausgereifte Releases und testen Sie zuerst.
Fazit
Die FortiGate-Performance-Optimierung ist die Kombination aus richtiger Durchsatzerwartung, voller Nutzung der Hardwarebeschleunigung, ausgewogenen UTM-Einstellungen und einer sauberen Richtlinienstruktur. Laufendes Monitoring fängt Engpässe ab, bevor sie wachsen.
Um die Performance Ihrer bestehenden FortiGate-Umgebung zu bewerten und zu optimieren, sprechen Sie mit dem Team von Sora Yazılım.