NW機器

FortiGateのコンサーブモードについて

この記事は投稿日から1年以上経過しています。

UTMにはコンサーブモード(節約モード)に切り替わる製品があります。
本記事ではFortiGateのコンサーブモードに関してまとめています。

対象バージョン

FortiOS 7.0 7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

コンサーブモードとは

コンサーブモードとはFortiOSのメモリに余裕がない場合に、リスクを抑えながら機能をさせる状態です。

デフォルトではメモリ使用率88%を超えると、コンサーブモードに切り替わります。
インスペクションモードの如何により、コンサーブモードの処理が変わります。

コンサーブモードを終了する閾値や、新しいセッションをドロップする閾値の設定などがあります。

インスペクションモードとは

IPS等の保護機能において、フローモードとプロキシモードの検査というものがサポートされます。
FortiGateが一度パケットをバッファリングするのか、しないのかという差があります。
どちらのモードを利用するのかによって、利用できる保護機能に差があるのか、スループットにも影響が及びます。
詳細はこちらをご参照ください。

プロキシモードでの精査の場合

アンチウィルスの設定において、av-failopenを設定できるようになります。

config system global
 set av-failopen {pass | off | one-shot}
end

pass(デフォルト)設定では、アンチウィルスをバイパスします。

off設定では、アンチウィルスプロファイルが有効化されているポリシーに該当する新規通信はブロックされます。

one-shot設定では、一度コンサーブモードに切り替わると、フェイルオープン設定が変更されるか、再起動されるまで、バイパスする動作を続けます。

フローモードでの精査の場合

フローモードでの精査の場合

IPS設定において、fail-openを設定できるようになります。

config ips global
 set fail-open {enable|disable}
end

disable (デフォルト)設定では、IPSエンジンはフローベース検査をする新しいセッションをドロップします。
enable設定では、IPSエンジンは精査をバイパスします。

コンサーブモードに切り替わった場合の変化

以下が引き起ります。

・ログが生成されます。
・SNMPトラップが生成されます。
・コンサーブモードバナーがGUIに表示されます。

コンサーブモードの状態確認

CLIとGUIから確認が可能ですが、他のコマンドなども実行することを考慮するとCLIから作業することが推奨されます。

diagnose hardware sysinfo conserve

上記を実行することで、コンサーブモードなのか、またメモリの利用状況が確認できます。

コンサーブモードとメモリ使用率は高い関連性がありますので、以下についてもご参照ください。
FortiGateのメモリ使用率が高い時の対応

以上です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【FortiGate】インスペクションモードについて前のページ

METRICS(メトリクス)収集の使用方法次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. Zabbixヒストリデータのレポート生成について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. FortiGate

    FortiGateのGARP(Gratuitous ARP)の送信タイミングについて検証してみた!

    こんにちは、takiです。直近の案件で別チームがUTMのリプレ…

  2. NW機器

    SonicWall UTMにてSNMP(v1/v2/v3)を有効化する方法について

    当記事では、SonicWall UTMにてSNMP(v1/v2/v3)…

  3. FortiGate

    FortiGate 取得するべきSNMPトラップの種類と監視方法

    本記事では、以下の内容を取り上げています。- FortiGateに…

  4. NW機器

    FortiGate・Palo AltoのSyslogが取得できない

    FortiGate・Palo Alto側での確認事項FortiGa…

  5. WatchGuard FireboxをSNMPで監視する

    NW機器

    WatchGuard FireboxをSNMPで監視するための設定方法

    当記事では、WatchGuard社FireboxシリーズのSNMP(v…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP