近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况,大家可以参考下面的一些建议;
1,FortiGate设备应该有足够的资源应对攻击 资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的 。
2,只开启用得着的管理服务 如果不用SSH或SNMP,就不要启用,避免开放可用的端口.。
3,将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的。
4,只开启那些必要的流量日志 流量日志会降低系统性能。
5,只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的。
6,最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7,AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。
8,精简保护内容表数量。
9,删除不必要的保护内容表。
10,精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域。
11,如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能
如何优化防火墙内存使用率
1,尽量不启用内存日志
2,尽量不启用不必要的AV扫描协议
3,减小扫描病毒文件的上限值,大多数带病毒的文件文件都小于2、3M
4,删除不用的DHCP服务
5,取消不用的DNS转发服务
6,如IPS不需要,执行命令节省内存 Diag ips global all status disable
7,改变session的ttl值
set default 300 [conf sys session-ttl]
set tcp-halfclose-timer 30 [config sys global]
set tcp-halfopen-timer 20 [conf sys global]
8,改变fortiguard的ttl值
set webfilter-cache-ttl [conf sys fortiguard ]
set antispam-cache-ttl [conf sys fortiguard ]
9,改变DNS缓存的条数
set dns-cache-limit [conf sys dns]
10,不启用DNS转发
unset fwdintf [conf system dns]
上面出现的命令可查看CLI文档中相关用法
