En algunas ocasiones nos encontramos ante un FortiGate al que se le han habilitado demasiadas funcionalidades y el hardware no es capaz de asumir la carga de tráfico que se le pide. Si bien la solución definitiva sería la de reemplazar el equipo por un nuevo FotiGate correctamente dimensionado para los servicios y los caudales de tráfico que se requieren, de forma provisional, se pueden ahorrar recursos emprendiendo todas o algunos de las siguientes pasos:
Cambiar el algoritmo del Engine de IPS a low. El escaneo del IPS será más lento, pero afectará menos a memoria:
config ips global
set algorithm low
set socket-size 1
end
Después hay que reiniciar el Engine de IPS para que tengan efecto los cambios: diag test app ipsmonitor 99
Si está usanfo el AV, hacer uso de la BBDD normal en lugar de la extendida:
config antivirus settings
set default-db normal
end
Reducir algunos de los timers globales también puede ayudar a la descarga del uso de memoria. Ver, dentro de “config system global”, si se puede bajar el valor de algunos parámetros como:
tcp-halfclose-timer
tcp-halfopen-timer
tcp-timewait-timer
udp-idle-timer
Hacer uso de modo de inspección flow (carga menos que proxy)
Ver si se puede bajar el valor del parámetro por defecto de TTL de sesión. Es el parámetro “default” dentro de “config system session-ttl”.
Se pueden hacer más cosas, pero dependerá de la configuración del equipo. Desactivar todo lo que no sea necesario, es una de ellas; racionalizar los logs; si usan av, ajustar el valor de los threshold….
Fuente: fortixpert
Fortigate Peru Fortinet Perú Vmware Double Take HP Cisco Symantec Juniper Piura Trujillo Chiclayo Chimbote Ica
Grid Solutions es partner oficial de Fortinet, contamos con la experiencia en todo tipo de configuraciones. Si cuenta con alguna necesidad referente a equipos Fortigate u otros no dudes en Contactarnos.