NW機器

FortiGateのコンサーブモードについて

この記事は投稿日から1年以上経過しています。

UTMにはコンサーブモード(節約モード)に切り替わる製品があります。
本記事ではFortiGateのコンサーブモードに関してまとめています。

対象バージョン

FortiOS 7.0 7.2

※上記に合致しない場合であっても同一の方法で対応できる可能性があります。

コンサーブモードとは

コンサーブモードとはFortiOSのメモリに余裕がない場合に、リスクを抑えながら機能をさせる状態です。

デフォルトではメモリ使用率88%を超えると、コンサーブモードに切り替わります。
インスペクションモードの如何により、コンサーブモードの処理が変わります。

コンサーブモードを終了する閾値や、新しいセッションをドロップする閾値の設定などがあります。

インスペクションモードとは

IPS等の保護機能において、フローモードとプロキシモードの検査というものがサポートされます。
FortiGateが一度パケットをバッファリングするのか、しないのかという差があります。
どちらのモードを利用するのかによって、利用できる保護機能に差があるのか、スループットにも影響が及びます。
詳細はこちらをご参照ください。

プロキシモードでの精査の場合

アンチウィルスの設定において、av-failopenを設定できるようになります。

config system global
 set av-failopen {pass | off | one-shot}
end

pass(デフォルト)設定では、アンチウィルスをバイパスします。

off設定では、アンチウィルスプロファイルが有効化されているポリシーに該当する新規通信はブロックされます。

one-shot設定では、一度コンサーブモードに切り替わると、フェイルオープン設定が変更されるか、再起動されるまで、バイパスする動作を続けます。

フローモードでの精査の場合

フローモードでの精査の場合

IPS設定において、fail-openを設定できるようになります。

config ips global
 set fail-open {enable|disable}
end

disable (デフォルト)設定では、IPSエンジンはフローベース検査をする新しいセッションをドロップします。
enable設定では、IPSエンジンは精査をバイパスします。

コンサーブモードに切り替わった場合の変化

以下が引き起ります。

・ログが生成されます。
・SNMPトラップが生成されます。
・コンサーブモードバナーがGUIに表示されます。

コンサーブモードの状態確認

CLIとGUIから確認が可能ですが、他のコマンドなども実行することを考慮するとCLIから作業することが推奨されます。

diagnose hardware sysinfo conserve

上記を実行することで、コンサーブモードなのか、またメモリの利用状況が確認できます。

コンサーブモードとメモリ使用率は高い関連性がありますので、以下についてもご参照ください。
FortiGateのメモリ使用率が高い時の対応

以上です。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

【FortiGate】インスペクションモードについて前のページ

METRICS(メトリクス)収集の使用方法次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

  2. NW機器

    PaloAltoにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、PaloAltoにおけるTLS通信を利用してSyslog …

  3. NW機器

    【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2…

    ※本記事の内容は、2021年11月15日現在の公開情報をもとに記載して…

  4. NW機器

    SonicWall UTMのログ活用事例

    当記事では、SonicWall社製UTMのログ活用事例としてSyslo…

  5. PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性
  6. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP