FortiGate Performans Optimizasyonu ve En İyi Pratikler
FortiGate performans optimizasyonu; doğru throughput beklentisi belirlemek, donanım hızlandırmasından (NP/CP offload) yararlanmak, UTM tarama ayarlarını dengelemek ve politika/oturum yapısını sadeleştirmekten oluşur. Amaç, güvenlikten ödün vermeden verimi en üst düzeye çıkarmaktır.
Throughput Rakamlarını Doğru Anlamak
Throughput rakamları; ham firewall, IPS, threat protection ve SSL inceleme için ayrı ayrı verilir. Model seçiminde ve performans beklentisinde gerçek dünyaya en yakın değer 'Threat Protection' throughput'tur.
Ham firewall throughput, hiçbir UTM açık değilken ölçülen en yüksek değerdir ve gerçek kullanımı yansıtmaz. Antivirüs ve IPS açıkken ölçülen Threat Protection rakamı genellikle çok daha düşüktür; SSL inceleme açıldığında ise verim daha da azalır.
Bu yüzden performans sorunlarının çoğu, yanlış throughput beklentisinden kaynaklanır. Doğru planlama için cihazınızın gerçek iş yükü altındaki kapasitesini bilmek gerekir.
Model kapasiteleri ve seçim kriterleri için FortiGate nedir rehberindeki model seçimi bölümüne bakın.
Donanım Hızlandırma ve NP Offload
Donanım hızlandırma, uygun trafiği NP (Network Processor) ve CP (Content Processor) çiplerine devrederek CPU'yu rahatlatır; bu 'offload' mekanizması FortiGate performansının temelidir.
Birçok oturum, koşullar uygun olduğunda NP çiplerine offload edilebilir ve CPU'ya neredeyse hiç yük bindirmez. Ancak bazı yapılandırmalar (örneğin belirli UTM kombinasyonları veya offload uyumsuz özellikler) trafiği CPU'ya geri çekerek performansı düşürür.
Offload durumunu doğrulamak ve hangi oturumların hızlandırıldığını görmek mümkündür. Offload'ı bozan gereksiz özellikleri kapatmak, throughput'u önemli ölçüde artırabilir.
| Mekanizma | Etkisi |
|---|---|
| NP offload | Paket yönlendirme/IPsec'i donanımda işler |
| CP offload | IPS/AV/SSL taramasını hızlandırır |
| asic-offload ayarı | Uygun oturumların donanıma devri |
| CPU'ya geri çekme | Offload uyumsuz özelliklerde performans düşer |
UTM Tarama Performansını Dengeleme
UTM performansı, tarama modu (flow vs proxy), inceleme kapsamı ve SSL açımı kararlarıyla yönetilir; her trafiğe en derin inceleme uygulamak gereksiz yük yaratır.
Düşük gecikme gereken yüksek hacimli trafikte flow-based inceleme tercih edilebilir; daha derin denetim gereken hassas trafikte proxy-based kullanılır. SSL deep inspection güçlü koruma sağlar ancak en maliyetli işlemlerden biridir; bu yüzden seçici uygulanmalıdır.
UTM profillerini doğru kapsamda uygulamak için UTM güvenlik profilleri rehberimize ve profillerin politikaya bağlanması için firewall politikaları yönetimi rehberimize bakın.
Politika ve Oturum Optimizasyonu
Politika optimizasyonu; gereksiz kuralları temizlemek, sık eşleşen kuralları üste taşımak, dar adres/servis nesneleri kullanmak ve oturum tablosunu sağlıklı tutmaktan oluşur.
Çok sayıda gereksiz veya geniş kural, hem güvenlik riskini hem de değerlendirme yükünü artırır. Sık eşleşen kuralların listede uygun konumda olması, ortalama eşleşme süresini azaltır. Kullanılmayan kuralları düzenli temizleyin.
Aşırı loglama da performansı etkileyebilir; yalnızca gerekli olayları loglayın. Oturum tablosu doluluğunu ve oturum kurulma hızını izleyerek darboğazları erkenden yakalayın.
Yüksek erişilebilirlik gerektiren ortamlarda performans ve dayanıklılığı birlikte planlamak için FortiGate HA yapılandırması yazımıza göz atın.
İzleme ve Performans Kontrol Listesi
Performans izleme; CPU, bellek, oturum sayısı ve conserve mode gibi metrikleri sürekli takip ederek darboğazları erken tespit etmeyi sağlar.
- CPU ve bellek kullanımını sürekli izleyin; sürekli yüksek değerler kapasite/yapılandırma sorununa işaret eder.
- Oturum sayısı ve oturum kurulma hızını takip edin.
- Bellek baskısında devreye giren conserve mode uyarılarını izleyin.
- Offload durumunu doğrulayın ve offload'ı bozan özellikleri gözden geçirin.
- Firmware'i güncel tutun; sürümler performans iyileştirmeleri getirir.
Performans metriklerini merkezi izlemek için FortiAnalyzer ile loglama ve izleme yazımıza bakın.
Sık Sorulan Sorular
Hangi throughput rakamına göre model seçmeliyim?
Gerçek dünyaya en yakın değer, antivirüs ve IPS açıkken ölçülen Threat Protection throughput'tur. SSL inceleme kullanacaksanız ilgili rakamı da dikkate alın; ham firewall throughput'a göre seçim yapmak yanıltıcıdır.
NP offload nedir ve neden önemlidir?
NP offload, uygun trafiği Network Processor çiplerine devrederek CPU yükünü azaltır. Bu sayede yüksek throughput elde edilir; offload bozulduğunda trafik CPU'ya döner ve performans düşer.
UTM açınca performans neden düşüyor?
Antivirüs, IPS ve özellikle SSL deep inspection her pakete ek işlem uygular. Bu yük gerçek dünya throughput'unu düşürür; tarama modu ve kapsamını dengeleyerek etkiyi yönetebilirsiniz.
Conserve mode nedir?
Conserve mode, bellek baskısı arttığında FortiGate'in koruyucu önlemler aldığı durumdur ve performansı etkileyebilir. Sık conserve mode, kapasite veya yapılandırma sorununa işaret eder.
Çok sayıda politika performansı etkiler mi?
Gereksiz ve geniş kurallar değerlendirme yükünü artırır. Sık eşleşen kuralları üste taşımak, kullanılmayanları temizlemek ve dar nesneler kullanmak performansı iyileştirir.
Firmware güncellemesi performansı artırır mı?
Çoğu zaman evet. Yeni FortiOS sürümleri performans iyileştirmeleri ve hata düzeltmeleri içerir. Ancak üretimde kararlı (mature) sürümleri tercih edin ve önce test edin.
Sonuç
FortiGate performans optimizasyonu; doğru throughput beklentisi, donanım hızlandırmasından tam yararlanma, dengeli UTM ayarları ve temiz politika yapısının birleşimidir. Sürekli izleme, darboğazları büyümeden yakalamayı sağlar.
Mevcut FortiGate ortamınızın performansını değerlendirmek ve optimize etmek için Sora Yazılım ekibiyle görüşebilirsiniz.