UTMにはコンサーブモード(節約モード)に切り替わる製品があります。
本記事ではFortiGateのコンサーブモードに関してまとめています。
目次
対象バージョン
FortiOS 7.0 7.2
※上記に合致しない場合であっても同一の方法で対応できる可能性があります。
コンサーブモードとは
コンサーブモードとはFortiOSのメモリに余裕がない場合に、リスクを抑えながら機能をさせる状態です。
デフォルトではメモリ使用率88%を超えると、コンサーブモードに切り替わります。
インスペクションモードの如何により、コンサーブモードの処理が変わります。
コンサーブモードを終了する閾値や、新しいセッションをドロップする閾値の設定などがあります。
インスペクションモードとは
IPS等の保護機能において、フローモードとプロキシモードの検査というものがサポートされます。
FortiGateが一度パケットをバッファリングするのか、しないのかという差があります。
どちらのモードを利用するのかによって、利用できる保護機能に差があるのか、スループットにも影響が及びます。
詳細はこちらをご参照ください。
プロキシモードでの精査の場合
アンチウィルスの設定において、av-failopenを設定できるようになります。
config system global set av-failopen {pass | off | one-shot} end
pass(デフォルト)設定では、アンチウィルスをバイパスします。
off設定では、アンチウィルスプロファイルが有効化されているポリシーに該当する新規通信はブロックされます。
one-shot設定では、一度コンサーブモードに切り替わると、フェイルオープン設定が変更されるか、再起動されるまで、バイパスする動作を続けます。
フローモードでの精査の場合
フローモードでの精査の場合
IPS設定において、fail-openを設定できるようになります。
config ips global set fail-open {enable|disable} end
disable (デフォルト)設定では、IPSエンジンはフローベース検査をする新しいセッションをドロップします。
enable設定では、IPSエンジンは精査をバイパスします。
コンサーブモードに切り替わった場合の変化
以下が引き起ります。
・ログが生成されます。
・SNMPトラップが生成されます。
・コンサーブモードバナーがGUIに表示されます。
コンサーブモードの状態確認
CLIとGUIから確認が可能ですが、他のコマンドなども実行することを考慮するとCLIから作業することが推奨されます。
diagnose hardware sysinfo conserve
上記を実行することで、コンサーブモードなのか、またメモリの利用状況が確認できます。
コンサーブモードとメモリ使用率は高い関連性がありますので、以下についてもご参照ください。
FortiGateのメモリ使用率が高い時の対応
以上です。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。