前陣子因公司資安要求切了VLAN,以L3 Switch將ServerFarm和Client切為不同網段,並在ServerFarm前放了一台舊的防火牆Froti 80E。現在已將所有主機存取的Policy設好,運作上不去看Dashboard的話是沒有感覺有問題。Dashboard的截圖如下:
有以下問題想要請教:
已邀請的邦友 {{ invite_list.length }}/5
80E防禦功能全開的時候, 傳輸效能會降到只剩下 125Mbps, 規格書裡面有寫.
配合 Switch 的 1Gbps port, 你至少應該找: 防禦全開只會降到 1Gbps 的型號.
沒關係, 規格很複雜, 找不到是正常, 我用你貼的文件來說:
(只列會讓你降到很低的項目)
80E 第 5 頁:
SSL VPN 吞吐量: 200Mbps
SSL 檢查吞吐量: 180Mbps
IPS 吞吐量: 450Mbps
NGFW 吞吐量: 360Mbps
威脅防護吞吐量: 250Mbps
80F 第 5 頁 (此版將吞吐一詞改為傳輸):
IPS 傳輸量: 1.4Gbps
NGFW 傳輸量: 1Gbps
威脅防護傳輸量: 900Mbps
SSL VPN 傳輸量: 950Mbps
SSL 檢查傳輸量: 715Mbps
(F版的硬體有大躍進, 所以效能提升很多是正常的)
基本上, 由於現在通通都要求上 SSL 加密, 所以防火牆都必須開 SSL 檢查, 才能偵測到傳輸內容有沒有惡意, 換句話說, 你的傳輸, 最高也無法超過 SSL 檢查傳輸量 這個效能
順帶一提, SI 程度低落已經不是一兩天, 年輕工程師沒有培養出深度研讀文件的能力, 養成訓練就像是水電師徒一樣, 師父講甚麼, 學徒就跟著說, 上面沒講的, 下面也不知道去哪學....
我們以前沒事就翻 IETF 的 RFC 文件出來讀, 現在有幾個工程師能讀完一份 RFC?
可以查一下Forti 80E的datasheet確認設備規格,
1.有可能Forti80E管理介面和資料流跑的CPU是分開的,所以會看到一高一低
2.一般來說借設備測試都是可以的,可以提供目前的資料給合作廠商,請廠商評估適合的設備我自己的狀況沒有借貨轉出貨的,一定都是借測OK,下訂之後,廠商會重新Load全新的設備
借 PO 論壇說法,簡單說重點看錯地方,基本上,只要沒人反映掉線速度慢,等很久,就不需要換機器
還有溫度呢,看過機器溫度,真的那麼高,那個高溫是最明顯的,沒有溫度數據,根本不算數
來源 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Understanding-the-meaning-of-Session-CPU/ta-p/251417
??窮嘶?????
還真是沒有人反映速度慢,大概是因為以前Switch的速度也只有10/100,溫度我是查不到,下指令:
config global
exe sensor list
回應的訊息是:
command parse error before 'sensor'
Command fail. Return code -61
在論壇上查到資訊是這個型號是沒有辦法查溫度的....
Technical Tip: Models that do not support temperature sensors
sam0407 其實隨便找一台,做對外網路的 SPEEDTEST,
對內就是跑 iperf 測跟主要伺服器的速度,這樣數據就出來了
還有買一支紅外溫度槍吧,掃一下馬上就知道了,
但理論上 SESSION 才三千多,不可能讓CPU過載
這種等級的機器,等你有幾十萬的SESSION在考慮要不要換一台
按照官方論壇的說法,你看到的不是CPU 的負載,
而是目前CPU 主要的作業都是SESSION的處理
當然有預算換一台,我也不反對,年底了,該消耗的預算要消耗掉
萬一沒有消耗掉,影響明年的預算就不好了,預算執行力也是重要的KPI指標
不是要消耗預算啦~~是準備要編明年的預算,我剛下指令去查CPU使用率是真的很低,之前主管會擔心資安稽核CPU使用率過高會被算缺失,但若依論壇上說法,其實只是我們理解錯誤。
根據貼圖可以看到幾個重點
大致建議一下,評估效能要以最高需求最低效能來做
raytracy大大說得很好,請參閱規格書
這裡還有關SI的重點
由於市場價格競爭,現在熟悉設備功能及發揮作用的SI不多
(因為沒錢培養專職的技術人員,都是一些會通就好的)
所以測試不是測設備效能
而應是測試新功能及SI對資安的反應能力
你應該開啟SSL及SSH的加解密檢測
不然會測不出效能哦
有多少SI能應付這情況就不知道了
iThome鐵人賽
看影片追技術