iT邦幫忙

0

Fortinet 防火牆效能要怎麼評估

  • 分享至 

  • xImage

  前陣子因公司資安要求切了VLAN,以L3 Switch將ServerFarm和Client切為不同網段,並在ServerFarm前放了一台舊的防火牆Froti 80E。現在已將所有主機存取的Policy設好,運作上不去看Dashboard的話是沒有感覺有問題。Dashboard的截圖如下:
https://ithelp.ithome.com.tw/upload/images/20231016/200126654ThJzkGKj6.png
  有以下問題想要請教:

  1. 在圖中間的CPU區的使用率,我從來沒看他超過10%(通常只有在登入的瞬間),而下方Session區的CPU,我看過最低是89%多(從一開始只有一條Policy All/All/Allow到現在50條Policy都差不多),這樣的Loading到底算是高還是低?我是否應申請預算採購一台新的?
  2. 如果有需要採購一台新的,和我主管討論過,他的想法是再買一台Forti,那我要如何評估那個型號的效能才夠用呢?問了廠商都說很難評估,但他們可以借測,若測的OK直接借貨轉出貨(很無言,離開台灣幾年,現在SI生意都是這樣作的嗎?)
bluegrass iT邦高手 1 級 ‧ 2023-10-17 17:16:02 檢舉
FortiTester ?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
Ray
iT邦大神 1 級 ‧ 2023-10-16 12:53:54
最佳解答

80E防禦功能全開的時候, 傳輸效能會降到只剩下 125Mbps, 規格書裡面有寫.
配合 Switch 的 1Gbps port, 你至少應該找: 防禦全開只會降到 1Gbps 的型號.

sam0407 iT邦大師 1 級 ‧ 2023-10-17 14:45:03 檢舉

了解,不過我查了幾個型號的型錄,都只看到最大傳輸效能,沒有查到雷神大所說的防禦功能全開後的傳輸效能資訊?當然也很有可能是我對這類產品不夠專業,有看沒有懂~~還是其實有更完整的規格書我沒查到呢?
請雷神大再多一些指點,謝謝!!
80E
80F

Ray iT邦大神 1 級 ‧ 2023-10-17 15:06:12 檢舉

沒關係, 規格很複雜, 找不到是正常, 我用你貼的文件來說:
(只列會讓你降到很低的項目)

80E 第 5 頁:
SSL VPN 吞吐量: 200Mbps
SSL 檢查吞吐量: 180Mbps
IPS 吞吐量: 450Mbps
NGFW 吞吐量: 360Mbps
威脅防護吞吐量: 250Mbps

80F 第 5 頁 (此版將吞吐一詞改為傳輸):
IPS 傳輸量: 1.4Gbps
NGFW 傳輸量: 1Gbps
威脅防護傳輸量: 900Mbps
SSL VPN 傳輸量: 950Mbps
SSL 檢查傳輸量: 715Mbps
(F版的硬體有大躍進, 所以效能提升很多是正常的)

基本上, 由於現在通通都要求上 SSL 加密, 所以防火牆都必須開 SSL 檢查, 才能偵測到傳輸內容有沒有惡意, 換句話說, 你的傳輸, 最高也無法超過 SSL 檢查傳輸量 這個效能

順帶一提, SI 程度低落已經不是一兩天, 年輕工程師沒有培養出深度研讀文件的能力, 養成訓練就像是水電師徒一樣, 師父講甚麼, 學徒就跟著說, 上面沒講的, 下面也不知道去哪學....

我們以前沒事就翻 IETF 的 RFC 文件出來讀, 現在有幾個工程師能讀完一份 RFC?

0
runan5678
iT邦研究生 1 級 ‧ 2023-10-16 12:07:43

可以查一下Forti 80E的datasheet確認設備規格,

1.有可能Forti80E管理介面和資料流跑的CPU是分開的,所以會看到一高一低
2.一般來說借設備測試都是可以的,可以提供目前的資料給合作廠商,請廠商評估適合的設備我自己的狀況沒有借貨轉出貨的,一定都是借測OK,下訂之後,廠商會重新Load全新的設備

看更多先前的回應...收起先前的回應...

借 PO 論壇說法,簡單說重點看錯地方,基本上,只要沒人反映掉線速度慢,等很久,就不需要換機器
還有溫度呢,看過機器溫度,真的那麼高,那個高溫是最明顯的,沒有溫度數據,根本不算數
https://ithelp.ithome.com.tw/upload/images/20231016/20097082mxqOc2IW1W.png
來源 https://community.fortinet.com/t5/FortiGate/Technical-Tip-Understanding-the-meaning-of-Session-CPU/ta-p/251417

sam0407 iT邦大師 1 級 ‧ 2023-10-17 14:12:24 檢舉

??窮嘶?????
還真是沒有人反映速度慢,大概是因為以前Switch的速度也只有10/100,溫度我是查不到,下指令:

config global
exe sensor list

回應的訊息是:

command parse error before 'sensor'
Command fail. Return code -61

在論壇上查到資訊是這個型號是沒有辦法查溫度的....
Technical Tip: Models that do not support temperature sensors

sam0407 其實隨便找一台,做對外網路的 SPEEDTEST,
對內就是跑 iperf 測跟主要伺服器的速度,這樣數據就出來了
還有買一支紅外溫度槍吧,掃一下馬上就知道了,
但理論上 SESSION 才三千多,不可能讓CPU過載
這種等級的機器,等你有幾十萬的SESSION在考慮要不要換一台
按照官方論壇的說法,你看到的不是CPU 的負載,
而是目前CPU 主要的作業都是SESSION的處理
當然有預算換一台,我也不反對,年底了,該消耗的預算要消耗掉
萬一沒有消耗掉,影響明年的預算就不好了,預算執行力也是重要的KPI指標

sam0407 iT邦大師 1 級 ‧ 2023-10-17 15:13:55 檢舉

不是要消耗預算啦~~是準備要編明年的預算,我剛下指令去查CPU使用率是真的很低,之前主管會擔心資安稽核CPU使用率過高會被算缺失,但若依論壇上說法,其實只是我們理解錯誤。

0
sd3388
iT邦好手 1 級 ‧ 2023-10-16 14:35:45

根據貼圖可以看到幾個重點

  1. session數量不高
  2. 因為用晶片處理網路,所以CPU很低(正常現象)
  3. 有開VDOM所以整體效能只看這部分不準
    還有不知道有沒有開其他資安政策

大致建議一下,評估效能要以最高需求最低效能來做
raytracy大大說得很好,請參閱規格書

這裡還有關SI的重點
由於市場價格競爭,現在熟悉設備功能及發揮作用的SI不多
(因為沒錢培養專職的技術人員,都是一些會通就好的)
所以測試不是測設備效能
而應是測試新功能及SI對資安的反應能力
你應該開啟SSL及SSH的加解密檢測
不然會測不出效能哦
有多少SI能應付這情況就不知道了

我要發表回答

立即登入回答