Este artículo aborda un problema relevante en los modelos FortiGate 100/101F y 200/201F relacionado con la carga del CPU por políticas de protección contra DoS. La capacidad de desviar estas cargas a través de mejoras en la configuración puede optimizar el rendimiento de la red. A lo largo de este artículo, proporcionaremos un diagnóstico paso a paso, la solución recomendada y buenas prácticas para una gestión más eficiente.
Índice
Descripción del problema
Los modelos FortiGate 100/101F y 200/201F utilizan procesadores ASIC NP6Xlite, que son capaces de gestionar de manera más eficiente la protección contra ataques DoS (Denial of Service). Sin embargo, en versiones anteriores basadas en NP7, las características de protección contra DoS/DDoS siempre dependieron del CPU, lo que puede llevar a un alto uso de este recurso vital, provocando lentitud en el manejo del tráfico de red y un potencial impacto negativo en el rendimiento general del sistema.
Alcance
Este artículo se aplica específicamente a los modelos FortiGate 100/101F y 200/201F.
Diagnóstico paso a paso
Para determinar si su configuración actual está utilizando el CPU para las políticas de DoS, primero revise el estado de la configuración existente. Utilice los siguientes comandos CLI para verificar la configuración actual:
get system performance status
show system settings
Estos comandos le mostrarán el uso del CPU y la configuración actual de las políticas de DoS, lo que le permitirá identificar si necesita realizar ajustes para optimizar el rendimiento.
Solución recomendada
Para habilitar la descarga de políticas de DoS en los modelos FortiGate 100F y 200F, siga estos pasos. Usar el siguiente comando CLI:
config system settings
set policy-offload-level dos-offload
end
Al utilizar el módulo SYNPROXY, se logra una protección efectiva contra ataques de tipo SYN flood, que son uno de los tipos más comunes de ataques DoS que pueden comprometer servidores TCP, como servidores web.
Comandos CLI utilizados
A continuación, se detallan los comandos CLI usados y su finalidad:
- get system performance status: Muestra el uso actual del CPU y el rendimiento general del sistema.
- show system settings: Proporciona la configuración actual del sistema, incluyendo las políticas de DoS.
- config system settings: Inicia la configuración del sistema para ajustar las políticas relevantes.
- set policy-offload-level dos-offload: Establece el nivel de descarga para desviar la carga de trabajo de las políticas de DoS del CPU a componentes especializados.
Buenas prácticas y recomendaciones
Para asegurar el máximo rendimiento de su dispositivo FortiGate y disminuir el riesgo de sobrecarga del CPU, considere las siguientes recomendaciones:
- Monitoree regularmente el estado del sistema y el uso del CPU.
- Habilite las descargas de políticas de DoS cuando sea posible, especialmente en entornos de alto tráfico.
- Actualice su firmware regularmente para beneficiarse de optimizaciones y mejoras de seguridad.
- Realice pruebas de carga para evaluar el rendimiento después de realizar cambios de configuración.
Notas adicionales
Para mayor información sobre la aceleración de hardware para las políticas de DoS, consulte el siguiente documento:
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!