EN
EN

FortiGate Bellek Optimizasyonu

08 Ağustos 2019


FortiGate, cihazlar bellek kullanımı %80’in üzerine çıktığında “conserve mode”a girmektedir. Cihaz kendisini korumak için conserve mode’u aktif eder ve geri kalan bellek alanını kurtarma alanı olarak kullanmaya ayırır. Bellek kullanımı %70’in altına düşmedikçe cihaz bu moddan kendisini çıkartmayacaktır. Cihazın conserve moda girip girmediğini öğrenmek için aşağıdaki komutu kullanabilirsiniz;

# diagnose hardware sysinfo conserve

Bellek ve işlemci kullanımı anormal derece de yüksek olan FortiGate cihazlarda, sorun çözmek için bakılabilecek birkaç yer vardır.

1) Kullanılan antivirüs veritabanı modu

FortiGate üzerinde bulunan antivirüsün 3 modu bulunmaktadır. Bu modlar Normal, Extended ve Extreme olmak üzere üçe ayrılır.

Normal: Yayınlandığı zaman için en çok zarar teşkil edebilecek tehditlerin imzalarının bulunduğu veri tabanı.

Extended: Normal veri tabanındaki imzalara ek olarak, yayınlandığı tarihten 1 yıl önceki tehditleri de kapsayan veri tabanı.

Extreme: Normal ve Extended veri tabanlarına ek olarak uzunca zamandır aktif tehdit olarak görülmeyen tüm zararlıları da üzerinde bulunduran veri tabanı.

Bunlara ek olarak adware, downloader, dialer, hacker tool, keylogger, rat ya da spyware tarzı uygulamaları da gözden geçiren “grayware” modu da bulunmaktadır. Grayware modu, antivirüs modlarından bağımsız olarak kullanılabilir.

Bu modları değiştirmek için aşağıdaki yönerge izlenebilir;

config antivirüs settings

set default-db {normal | extended | extreme}

set grayware {enable | disable}

end

2) IPS motoru algoritması

IPS motoru imza eşleşmelerini iki yolla arar. İlk metot daha hızlıdır ancak daha fazla bellek kullanır. İkinci metot ise daha az bellek kullanmasına karşın daha yavaştır. 4 Gb’dan daha fazla belleği olan cihazlarda “high” seçeneğinin aktif edilmesi Fortinet tarafından önerilir. Cihazın üzerindeki yüke göre karar vermesini istiyorsanız, “engine-pick” seçeneğini aktifleştirerek kullanabilirsiniz.

config ips global

set algorithm {super | high | low | engine-pick}

end

3) Oturum Zamanlayıcıları Optimizasyonu

TCP ve UDP protokollerinin standart bağlantı sürelerini düşürmek cihazın performansını olumlu yönde etkileyecektir.

config system global

set tcp-halfclose-timer 30

set tcp-halfopen-timer 30

set tcp-timewait-timer 0

set udp-idle-timer 60

end

Session-TTL, FortiGate’in bir bağlantıyı düşürmeden önce bekleyeceği zaman miktarıdır. Aşağıdaki yönergeler kullanılarak bu süreyi standart olan 3600 saniyeden aşağıya çekebilirsiniz.

config system session-ttl

set default 300

end

4) FortiGuard servislerinin önbelleğini azaltma

FortiGuard servisleri tarafından kullanılan Webfilter ve AntiSpam özelliklerinin cachelerinin süresini azaltmak için aşağıdaki yönergeleri uygulayabilirsiniz.

config system fortiguard

set webfilter-cache-ttl 500

set antispam-cache-ttl 500

end

5) DNS önbelleği süresini düşürme

DNS önbelleğinin tutulacağı süre miktarını azaltmak için aşağıdaki komutlar kullanılabilir.

config system dns

set dns-cache-limit 300

end

DNS Forwarding özelliğini kapatmak içinse:

config system dns

unset fwdintf

end

6) Log kayıtlarının bellek üzerinde tutulması

Logları bellek üzerinde bulundurmak, sistemde bellek azalmasına ve olası bir yavaşlığa sebebiyet verecektir. Eğer logları harici bir cihazda depoluyor ya da FortiAnalyzer log ünitesiyle uzak bir cihazda topluyorsanız, bellek üzerine log tutma özelliğini kapatabilirsiniz.

config log memory setting

set status disable

end