NW機器

FortiGateのコンサーブモードについて

UTMにはコンサーブモード(節約モード)に切り替わる製品があります。
本記事ではFortiGateのコンサーブモードに関してまとめています。

対象バージョン

FortiOS 7.0 7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

コンサーブモードとは

コンサーブモードとはFortiOSのメモリに余裕がない場合に、リスクを抑えながら機能をさせる状態です。

デフォルトではメモリ使用率88%を超えると、コンサーブモードに切り替わります。
インスペクションモードの如何により、コンサーブモードの処理が変わります。

コンサーブモードを終了する閾値や、新しいセッションをドロップする閾値の設定などがあります。

インスペクションモードとは

IPS等の保護機能において、フローモードとプロキシモードの検査というものがサポートされます。
FortiGateが一度パケットをバッファリングするのか、しないのかという差があります。
どちらのモードを利用するのかによって、利用できる保護機能に差があるのか、スループットにも影響が及びます。
詳細はこちらをご参照ください。

プロキシモードでの精査の場合

アンチウィルスの設定において、av-failopenを設定できるようになります。

config system global
 set av-failopen {pass | off | one-shot}
end

pass(デフォルト)設定では、アンチウィルスをバイパスします。

off設定では、アンチウィルスプロファイルが有効化されているポリシーに該当する新規通信はブロックされます。

one-shot設定では、一度コンサーブモードに切り替わると、フェイルオープン設定が変更されるか、再起動されるまで、バイパスする動作を続けます。

フローモードでの精査の場合

フローモードでの精査の場合

IPS設定において、fail-openを設定できるようになります。

config ips global
 set fail-open {enable|disable}
end

disable (デフォルト)設定では、IPSエンジンはフローベース検査をする新しいセッションをドロップします。
enable設定では、IPSエンジンは精査をバイパスします。

コンサーブモードに切り替わった場合の変化

以下が引き起ります。

・ログが生成されます。
・SNMPトラップが生成されます。
・コンサーブモードバナーがGUIに表示されます。

コンサーブモードの状態確認

CLIとGUIから確認が可能ですが、他のコマンドなども実行することを考慮するとCLIから作業することが推奨されます。

diagnose hardware sysinfo conserve

上記を実行することで、コンサーブモードなのか、またメモリの利用状況が確認できます。

コンサーブモードとメモリ使用率は高い関連性がありますので、以下についてもご参照ください。
FortiGateのメモリ使用率が高い時の対応

以上です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【FortiGate】インスペクションモードについて前のページ

METRICS(メトリクス)収集の使用方法次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    LogStare Collectorにて、UNIVERGE IXシリーズ のSNMP監視をするための…

    当記事では、LogStare Collectorにおける UNIVER…

  2. FortiGate

    FortiGateのGARP(Gratuitous ARP)の送信タイミングについて検証してみた!

    こんにちは、takiです。直近の案件で別チームがUTMのリプレ…

  3. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

  4. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  5. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  6. FortiGate

    【現場SE奮闘記 vol.2 】「天狗となったエンジニア」~FortiGate NATの仕様編~

    筆致についてはタイトル毎に統一されていません。あらかじめご了承ください…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP