Conserve mode

Para temas sobre las capacidades de FortiGate que permiten el control del trafico basandose en el contenido de la información que se transmite (filtrado a nivel de aplicación)
Responder
mcapo
Mensajes: 23
Registrado: 03 Ago 2015, 15:42

Conserve mode

Mensaje por mcapo »

Hola, buen día!! En la empresa tenemos un FortiGate 80E v6.2.2 build1010, y hace unos meses que cada 15, 20 días se pone en Conseve mode porque la utilización de memoria llega a un 90% aproximadamente, y bloquea todo el trafico.
La única manera de solucionarlo que encontramos es reiniciandolo.

Los procesos ipsengine y wad son los que mas memoria consumen.

Abri un ticket en Fortinet me explicaron que en este tipo de equipos las versiones mas nuevas de FortiOS los features consumen mas memoria, y me recomendaron algunas modificaciones:

https://kb.fortinet.com/kb/documentLink ... ID=FD35126
https://kb.fortinet.com/kb/documentLink ... ID=FD45932

Realice alguna de las modificaciones y si bien a mejorado ahora ocurrió el error después de 1 mes, lo que no me queda claro es porque en ningún momento disminuye el uso de memoria, es decir luego de reiniciarlo queda en un 50% luego pasa a un 60% a los pocos días a un 70% y sigue subiendo, con la disminución del trafico en algún momento no debería de bajar?

Avatar de Usuario
makco10
Mensajes: 1174
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Conserve mode

Mensaje por makco10 »

Hola,

Cada modelo de FortiGate tiene una cantidad limitada de memoria para ser compartida para todas las operaciones. Si toda esa memoria está en uso, las operaciones del sistema pueden verse afectadas de manera inesperada. Para poder controlar cómo actúa FortiOS cuando la cantidad de memoria disponible es muy baja, FortiOS entra en conserve mode. El modo de conservación hace que las funciones de FortiOS, como el análisis antivirus, cambien su funcionamiento para reducir la funcionalidad y conservar la memoria sin comprometer la seguridad.

En cuanto a tu consulta, el equipo sigue analizando diferentes eventos de seguridad, no solamente el trafico interno, y seria de ver que tipo de configuración tienes, si publicas servidores, si tienes puertos externos abiertos que pueden ser escaneados, ataques IPS, ataques DDoS, etc.

Al final lo mejor es que sigas las recomendaciones del TAC y cualquier eventualidad de igual forma lo reportes ya que si te sigue pasando podria ser un problema de hardware y deberias de proceder con el RMA.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Responder