NW機器

FortiGateのコンサーブモードについて

この記事は投稿日から2年以上経過しています。

UTMにはコンサーブモード(節約モード)に切り替わる製品があります。
本記事ではFortiGateのコンサーブモードに関してまとめています。

若手エンジニア志望者を募集!支度金あり

対象バージョン

FortiOS 7.0 7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

コンサーブモードとは

コンサーブモードとはFortiOSのメモリに余裕がない場合に、リスクを抑えながら機能をさせる状態です。

デフォルトではメモリ使用率88%を超えると、コンサーブモードに切り替わります。
インスペクションモードの如何により、コンサーブモードの処理が変わります。

コンサーブモードを終了する閾値や、新しいセッションをドロップする閾値の設定などがあります。

インスペクションモードとは

IPS等の保護機能において、フローモードとプロキシモードの検査というものがサポートされます。
FortiGateが一度パケットをバッファリングするのか、しないのかという差があります。
どちらのモードを利用するのかによって、利用できる保護機能に差があるのか、スループットにも影響が及びます。
詳細はこちらをご参照ください。

プロキシモードでの精査の場合

アンチウィルスの設定において、av-failopenを設定できるようになります。

config system global
 set av-failopen {pass | off | one-shot}
end

pass(デフォルト)設定では、アンチウィルスをバイパスします。

off設定では、アンチウィルスプロファイルが有効化されているポリシーに該当する新規通信はブロックされます。

one-shot設定では、一度コンサーブモードに切り替わると、フェイルオープン設定が変更されるか、再起動されるまで、バイパスする動作を続けます。

フローモードでの精査の場合

フローモードでの精査の場合

IPS設定において、fail-openを設定できるようになります。

config ips global
 set fail-open {enable|disable}
end

disable (デフォルト)設定では、IPSエンジンはフローベース検査をする新しいセッションをドロップします。
enable設定では、IPSエンジンは精査をバイパスします。

コンサーブモードに切り替わった場合の変化

以下が引き起ります。

・ログが生成されます。
・SNMPトラップが生成されます。
・コンサーブモードバナーがGUIに表示されます。

コンサーブモードの状態確認

CLIとGUIから確認が可能ですが、他のコマンドなども実行することを考慮するとCLIから作業することが推奨されます。

diagnose hardware sysinfo conserve

上記を実行することで、コンサーブモードなのか、またメモリの利用状況が確認できます。

コンサーブモードとメモリ使用率は高い関連性がありますので、以下についてもご参照ください。
FortiGateのメモリ使用率が高い時の対応

以上です。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【FortiGate】インスペクションモードについて前のページ

METRICS(メトリクス)収集の使用方法次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    FortiGateにおける複数のSyslogサーバへログ転送を行う設定について

    当記事では、FortiGateにおける複数のSyslogサーバへログ転…

  2. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

  3. FortiGate

    FortiGateのSD-WAN設定について

    FortiGateのSD-WAN設定について当記事では、Forti…

  4. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    当記事の内容は、以下の記事に統合しました。LogStare C…

  5. NW機器

    FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

    当記事では、FortiGateのVDOM毎にログの転送先syslogサ…

  6. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP