iT邦幫忙

0

請問fortigate的防火牆cpu使用率會影響ips 跟抗ddos的效能嗎??

請問fortigate的防火牆cpu使用率會影響ips 跟抗ddos的效能嗎??

假如超過85%使用率 防護功能還在嗎??

jeles51 iT邦研究生 3 級 ‧ 2017-08-18 08:34:13 檢舉
應該說,開了很多附屬功能/過濾功能後, CPU是一定會變高的.
85%還沒遇過,你可以試試看~~XD
kairosa iT邦新手 3 級 ‧ 2017-08-18 08:53:55 檢舉
防護應該還在,只是整體速度會變成非常的慢!!!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
mytiny
iT邦超人 1 級 ‧ 2017-08-19 10:51:47

樓主可能想要個簡單的答案,
不過答案牽涉到FortiOS各版本運作模式的差異
也與設備型號機種所擁有的晶片而有差異
因此小弟在有限篇幅內做點說明
釐清樓主與眾多使用者常年有誤的想法

事實上CPU使用率與IPS防護跟抗DDoS的效能互為因果
因此當然會有相互的影響
但是某些設備型號的晶片具有nTurbo加速功能
在較新的OS版本如5.4或5.6中
可以將IPS及DDoS的防護優先交由晶片處理
從而大幅降低CPU的負載
只是運作模式要在起始設定要先選對
這也是Fortigate與其他眾多其他產品主要差異之一
(加速晶片效能遠優於CPU處理)

至於CPU到85%是否仍有防護功能
關於此部分,並不是有沒有或慢不慢這麼單純
要看設備是否出現進入conserve mode的警示
一般來說當memory剩下不到20%時會進入到conserve mode
memory可達到剩餘30%以上時,才會離開conserve mode
在conserve mode要看av-failopen的設定才決定防護功能的作用
而即便是採用內定值,卻又跟FortiOS的版本與防護模式有關
(意即:防毒、IPS、應用程式、網頁過濾等等UTM內容防護
功能是否有作用或如何作用要看情況,不一定是全開或全關)

正因為設備判斷的因素其實很複雜
所以大部分的工程師會建議盡量不要讓CPU與Memory過高
如果長期間(幾十分鐘以上)處於很高的狀態
不僅僅是慢不慢的問題,而是效能基本不敷使用
建議要更換更高等級設備為宜

話說回來,小弟研判樓主是遭遇DDoS攻擊
以前就大致提醒過,近年的DDoS非常複雜
已遠非大家所認知的洪水攻擊而已
如果想靠Fortigate上的DDoS來做防禦
恐怕不僅僅是要非常熟悉設備的防護運作(非一般MIS能解)
還要靠點運氣DDoS攻擊時間不會太長(通常是真的不長)
真正防禦還是需要專屬DDoS防禦設備才行

小弟限於篇幅,只能簡單就所知報告,僅供參考而已
想要了解或操作的細節
請還是循正常技術管道尋求協助

我要發表回答

立即登入回答