Оптимизация производительности FortiGate и лучшие практики
Оптимизация производительности FortiGate состоит в задании правильных ожиданий по пропускной способности, использовании аппаратного ускорения (NP/CP offload), балансировке настроек сканирования UTM и упрощении структуры политик/сессий. Цель — максимизировать пропускную способность без ущерба безопасности.
Правильное чтение чисел пропускной способности
Числа пропускной способности приводятся отдельно для «сырого» межсетевого экрана, IPS, threat protection и инспекции SSL. Для выбора модели и ожиданий ближе всего к реальности значение Threat Protection.
«Сырая» пропускная способность межсетевого экрана — максимум без включённого UTM и не отражает реального использования. Значение Threat Protection с включёнными антивирусом и IPS обычно намного ниже; при включённой инспекции SSL пропускная способность падает ещё больше.
Поэтому большинство проблем с производительностью связано с неверными ожиданиями. Правильное планирование требует знания ёмкости устройства под реальной нагрузкой.
О ёмкостях моделей и критериях выбора см. соответствующий раздел нашего руководства о том, что такое FortiGate.
Аппаратное ускорение и NP offload
Аппаратное ускорение переносит подходящий трафик на чипы NP (Network Processor) и CP (Content Processor), разгружая CPU; этот механизм offload — основа производительности FortiGate.
Многие сессии могут быть выгружены на чипы NP при подходящих условиях, почти не нагружая CPU. Однако некоторые конфигурации (например, определённые комбинации UTM или несовместимые с offload функции) возвращают трафик на CPU и снижают производительность.
Можно проверить статус offload и увидеть, какие сессии ускорены. Отключение ненужных функций, ломающих offload, может значительно повысить пропускную способность.
| Механизм | Эффект |
|---|---|
| NP offload | Обрабатывает маршрутизацию пакетов/IPsec в аппаратуре |
| CP offload | Ускоряет сканирование IPS/AV/SSL |
| настройка asic-offload | Выгружает подходящие сессии в аппаратуру |
| Возврат на CPU | Производительность падает при несовместимых с offload функциях |
Балансировка производительности сканирования UTM
Производительность UTM управляется режимом сканирования (flow vs proxy), охватом инспекции и решениями по расшифровке SSL; применение глубочайшей инспекции ко всему трафику создаёт лишнюю нагрузку.
Для высокообъёмного трафика, требующего низкой задержки, может предпочтительнее flow-based; для чувствительного трафика, требующего более глубокого контроля, используется proxy-based. Глубокая инспекция SSL даёт сильную защиту, но является одной из самых дорогих операций, поэтому применяется избирательно.
Чтобы применять профили UTM в правильном охвате, см. наше руководство по профилям безопасности UTM, а для привязки к политикам — наше руководство по управлению политиками.
Оптимизация политик и сессий
Оптимизация политик означает очистку лишних правил, перемещение часто совпадающих правил вверх, использование узких объектов адресов/сервисов и поддержание здоровья таблицы сессий.
Много лишних или широких правил повышают и риск безопасности, и нагрузку оценки. Размещение часто совпадающих правил в удачной позиции снижает среднее время совпадения. Регулярно очищайте неиспользуемые правила.
Избыточное журналирование тоже может влиять на производительность; журналируйте только нужные события. Отслеживайте заполненность таблицы сессий и скорость их установки, чтобы рано выявлять узкие места.
В средах с высокой доступностью, чтобы планировать производительность и отказоустойчивость вместе, см. нашу статью о настройке FortiGate HA.
Мониторинг и чек-лист производительности
Мониторинг производительности непрерывно отслеживает метрики — CPU, память, число сессий и conserve mode — чтобы рано выявлять узкие места.
- Непрерывно отслеживайте CPU и память; устойчиво высокие значения сигнализируют о проблеме ёмкости/конфигурации.
- Отслеживайте число сессий и скорость их установки.
- Следите за оповещениями conserve mode при нехватке памяти.
- Проверяйте статус offload и пересматривайте функции, ломающие offload.
- Поддерживайте прошивку в актуальном состоянии; релизы приносят улучшения производительности.
Для централизованного мониторинга метрик производительности см. нашу статью о журналировании и мониторинге с FortiAnalyzer.
Часто задаваемые вопросы
По какому числу пропускной способности выбирать модель?
Ближе всего к реальности значение Threat Protection с включёнными антивирусом и IPS. Если будете использовать инспекцию SSL, учтите и это число; выбор по «сырой» пропускной способности вводит в заблуждение.
Что такое NP offload и почему это важно?
NP offload переносит подходящий трафик на чипы Network Processor, снижая нагрузку на CPU. Это даёт высокую пропускную способность; когда offload ломается, трафик возвращается на CPU и производительность падает.
Почему производительность падает при включённом UTM?
Антивирус, IPS и особенно глубокая инспекция SSL добавляют обработку к каждому пакету. Эта нагрузка снижает реальную пропускную способность; влияние можно регулировать балансировкой режима и охвата сканирования.
Что такое conserve mode?
Conserve mode — это когда FortiGate принимает защитные меры при нехватке памяти, что может влиять на производительность. Частый conserve mode сигнализирует о проблеме ёмкости или конфигурации.
Влияет ли множество политик на производительность?
Лишние и широкие правила повышают нагрузку оценки. Перемещение часто совпадающих правил вверх, очистка неиспользуемых и узкие объекты улучшают производительность.
Улучшает ли обновление прошивки производительность?
Часто да. Новые релизы FortiOS включают улучшения производительности и исправления. Но в продакшене предпочитайте зрелые релизы и сначала тестируйте.
Заключение
Оптимизация производительности FortiGate — это сочетание правильных ожиданий по пропускной способности, полного использования аппаратного ускорения, сбалансированных настроек UTM и чистой структуры политик. Непрерывный мониторинг ловит узкие места до их роста.
Чтобы оценить и оптимизировать производительность вашей среды FortiGate, обратитесь к команде Sora Yazılım.