FortiGate IT セキュリティ ネットワーク

【FortiGate】コンサーブモードについて

投稿日:

FortiGateの自己防衛モードであるコンサーブモードについてご紹介します。

注意事項

本記事の内容はFortiOS5.6以降に該当します。
それ以前のOSバージョンでは挙動が異なります。

UTM機能を使いすぎると。。

fortigateはUTM機器です。

  • アンチウイルス
  • アンチスパム
  • Webフィルタ
  • DNSフィルタ
  • DLP
  • アプリケーションコントロール
  • IPS
  • DDoS
  • SSLインスペクション

様々なUTM機能を設定することができます。
これらのUTM機能を有効にすればするほど、
セキュリティは高まるかとは思いますが、
機器の負荷(CPUの使用率メモリの使用率)が高まり、
スループットも低下してしまいます。

特に注意したいメモリの使用率です。
メモリの使用率が高まるとコンサーブモードという、
様々な機能を無効にして、
メモリの使用率を下げる自己防衛モードになってしまいます。

メモリの使用率の閾値

コンサーブモードの詳しい説明の前に、
メモリの使用率の閾値についてご紹介します。

FortiGateには下記の通りに、
メモリの使用率閾値がデフォルトで設定されています。

green:82%
red:88%
extreme:95%

総メモリ数の割合で閾値が決まっています。

redで設定されている閾値以上になるとコンサーブモードに入り、
extremeで設定されている閾値以上になるとより強いコンサーブモードに入ります。
コンサーブモードの状態で、
greenで設定されている閾値以下になるとコンサーブモードが解除されます。

なお、これらの閾値は変更することが可能ですが、
メーカとしては変更しないことを推奨しているようです。

確認コマンド

主に確認するステータスとして、『memory conseve mode:off』
で現在コンサーブモードになっているかを確認することができます。
『off』となっていますので、現在はコンサーブモードではありません。

82%、88%、95%の物理メモリ量を確認することができまが、
実際確認することは少ないかと思います。

コンサーブモード

コンサーブモードには2段階あります。

メモリの使用率が88%(red)超えた場合

メモリの使用率が88%(red)を越えるとコンサーブモードに入ります。
コンサーブモードではアンチウイルスなどのUTM機能が無効になってしまいます。

メモリの使用率が95%(extreme)を超えた場合

コンサーブモードに入っても更にメモリが高騰し続け、95%(extreme)を越えると、
更に強いコンサーブモードに入ります。
このモードでは新規セッションの通信を作成を行わないようになります。

コンサーブモードの解除条件

メモリの使用率が82%(green)を下回るとコンサーブモードが解除されます。

コンサーブモードにさせないために

コンサーブモードに入ってしまうと、
UTM機能が無効になるだけならまだしも、
更にメモリの使用率が上がってしまうと通信断となり、
お客様へ大きな通信影響を与えてしまいますので、
コンサーブモードに入らせないようにすることが重要となってきます。

適切な機器のサイジング

まずは導入するお客様の拠点規模から適切な機器をサイジングをすることが重要です。
例えば、200名以上もいるような大きな拠点で下位機種を採用してしまうと、
下位機種では処理しきれないトラフィックが発生するために、
メモリの使用率が高騰しやすくなってしまいます。

機器の選定方法についてはこちらにも記載しています。

有効にするUTM機能の選定

UTM機能を有効にすればするほどセキュリティは増していくかと思いますが、
お客様にヒアリングして、本当に必要なUTM機能のみに絞ることも重要かと思います。

UTM機能を有効にすれば機器が処理できるスループット量も低下します。
UTM機能を使用しなければ下位機種で良かったけれど、
UTM機能を使用する場合は、
もう少し上位の機種を採用しなければならないケースもあるかと思います。
上位機種であれば値段も上がりますので、
本当に必要なUTM機能に絞ることで導入コストの節約にもつながります。

バグ・不具合の可能性

適切なサイジングや有効にしているUTM機能も1つや2つなのにも関わらず、
CPUやメモリの使用率が高騰する場合は、バグや不具合の可能性も考えられます。
採用しているOSのリリースノートを確認するか、
メーカやベンダーに問い合わせが可能なら確認しましょう。

参考サイト

Fortinet社公式のKnowlegeBase(通称KB)は非常に役立ちます。
CLIリファレンスはコマンドの説明のみですが、
KBはコマンドの例やシナリオベースで紹介されています。

-FortiGate, IT, セキュリティ, ネットワーク

Copyright© 社内ニート@ネットワークブログ , 2020 All Rights Reserved Powered by STINGER.