Fortigate güvenlik duvarlarında IPS (Intrusion Prevention System) kaynaklı yüksek RAM kullanımını azaltmak için aşağıdaki adımları uygulayabilirsiniz:
1. IPS Sensörünü Optimize Etme:
– “diagnose ips memory” komutu ile mevcut IPS bellek kullanımını kontrol edin
– IPS sensör ayarlarını gözden geçirin ve gereksiz imzaları devre dışı bırakın
– Sadece ihtiyaç duyulan IPS imzalarını aktif tutun
2. IPS Politikalarını Gözden Geçirme:
– Tüm trafiğe IPS uygulamak yerine, kritik sistemlere yönelik trafiğe IPS uygulayın
– Her politika için ayrı IPS profili oluşturmak yerine, ortak profiller kullanın
– Gereksiz IPS politikalarını kaldırın
3. IPS Engine Ayarlarını Düzenleme:
– “config ips settings” altında buffer-size değerini optimize edin
– Tcp-session-without-syn özelliğini kapatın
– Packet-log-queue-depth değerini düşürün
4. Sistem Kaynaklarının İzlenmesi:
diagnose sys top
diagnose hardware sysinfo memory
komutlarıyla sistem kaynak kullanımını düzenli olarak izleyin
5. Firmware Güncellemesi:
– Cihazınızın firmware’ini güncel tutun
– IPS motorunun optimize edildiği güncel sürümleri tercih edin
6. Hardware Kapasitesi:
– Cihazın donanım kapasitesinin iş yüküne uygun olduğundan emin olun
– Gerekirse daha yüksek kapasiteli bir model kullanmayı değerlendirin
7. Flow-Based vs Proxy-Based Seçimi:
– Mümkünse flow-based IPS kullanın, bu mod daha az kaynak tüketir
– Proxy-based IPS sadece gerekli olduğunda kullanın
8. IPS Database Optimizasyonu:
diagnose ips db-maintain clean
diagnose ips db-maintain optimize
komutlarıyla IPS veritabanını optimize edin
Bu önlemleri uyguladıktan sonra RAM kullanımında önemli bir düşüş göreceksiniz. Ancak güvenlik ve performans arasındaki dengeyi korumaya dikkat edin. Çok fazla IPS özelliğini devre dışı bırakmak güvenlik açıklarına neden olabilir.
Değişikliklerden sonra sistemi bir süre izleyerek RAM kullanımının ve güvenlik etkinliğinin istenen seviyede olduğundan emin olun.
config ips global
set engine-count 1
set cp-accel-mode none
set exclude-signatures none
end
1. config ips global
— IPS’in global (genel) konfigürasyon moduna giriş yapılıyor
2. set engine-count 1
— IPS motoru sayısını 1 olarak ayarlar
— Bu ayar sistemin kaç IPS işlem motoru kullanacağını belirler
— Genellikle düşük-orta seviye trafikte 1 motor yeterlidir
3. set cp-accel-mode none
— Content processor acceleration modunu kapatır
— none seçeneği donanım hızlandırmayı devre dışı bırakır
— Bu ayar bazı durumlarda performansı etkileyebilir
4. set exclude-signatures none
— Hariç tutulacak imza olmadığını belirtir
— Tüm IPS imzalarının aktif olacağını gösterir
5. end
— Konfigürasyon modundan çıkış
Bu konfigürasyon oldukça temel bir ayardır ve bazı iyileştirmeler yapılabilir:
1. Engine-count ayarı:
— Eğer cihazınız çok yoğun trafik alıyorsa ve donanım destekliyorsa, engine-count değerini artırabilirsiniz
— Örnek: set engine-count 2
2. CP-accel-mode:
— Eğer cihazınız destekliyorsa, donanım hızlandırmayı aktif etmek performansı artırabilir
— Örnek: set cp-accel-mode basic
3. Exclude-signatures:
— Gereksiz imzaları hariç tutarak sistem kaynaklarını optimize edebilirsiniz
— Örnek: set exclude-signatures <signature-id1> <signature-id2>
Bu ayarları değiştirmeden önce şunları göz önünde bulundurmanızı öneririm:
– Mevcut trafik yoğunluğunuz
– Donanım kapasiteniiz
– Güvenlik gereksinimleriniz
https://www.linkedin.com/in/mustafa-%C3%B6nder-ak%C3%B6z-23174592/
