Cómo resolver problemas de carga en la política DoS en modelos FortiGate 100/101F y 200/201F

Este artículo aborda un problema relevante en los modelos FortiGate 100/101F y 200/201F relacionado con la carga del CPU por políticas de protección contra DoS. La capacidad de desviar estas cargas a través de mejoras en la configuración puede optimizar el rendimiento de la red. A lo largo de este artículo, proporcionaremos un diagnóstico paso a paso, la solución recomendada y buenas prácticas para una gestión más eficiente.

Descripción del problema

Los modelos FortiGate 100/101F y 200/201F utilizan procesadores ASIC NP6Xlite, que son capaces de gestionar de manera más eficiente la protección contra ataques DoS (Denial of Service). Sin embargo, en versiones anteriores basadas en NP7, las características de protección contra DoS/DDoS siempre dependieron del CPU, lo que puede llevar a un alto uso de este recurso vital, provocando lentitud en el manejo del tráfico de red y un potencial impacto negativo en el rendimiento general del sistema.

Alcance

Este artículo se aplica específicamente a los modelos FortiGate 100/101F y 200/201F.

Diagnóstico paso a paso

Para determinar si su configuración actual está utilizando el CPU para las políticas de DoS, primero revise el estado de la configuración existente. Utilice los siguientes comandos CLI para verificar la configuración actual:

get system performance status

show system settings

Estos comandos le mostrarán el uso del CPU y la configuración actual de las políticas de DoS, lo que le permitirá identificar si necesita realizar ajustes para optimizar el rendimiento.

Solución recomendada

Para habilitar la descarga de políticas de DoS en los modelos FortiGate 100F y 200F, siga estos pasos. Usar el siguiente comando CLI:

Artículos relacionados  Cómo solucionar problemas de conectividad en dispositivos Fortinet con tiempos de ping de 0.1 ms

config system settings

set policy-offload-level dos-offload

end

Al utilizar el módulo SYNPROXY, se logra una protección efectiva contra ataques de tipo SYN flood, que son uno de los tipos más comunes de ataques DoS que pueden comprometer servidores TCP, como servidores web.

Comandos CLI utilizados

A continuación, se detallan los comandos CLI usados y su finalidad:

  • get system performance status: Muestra el uso actual del CPU y el rendimiento general del sistema.
  • show system settings: Proporciona la configuración actual del sistema, incluyendo las políticas de DoS.
  • config system settings: Inicia la configuración del sistema para ajustar las políticas relevantes.
  • set policy-offload-level dos-offload: Establece el nivel de descarga para desviar la carga de trabajo de las políticas de DoS del CPU a componentes especializados.

Buenas prácticas y recomendaciones

Para asegurar el máximo rendimiento de su dispositivo FortiGate y disminuir el riesgo de sobrecarga del CPU, considere las siguientes recomendaciones:

  • Monitoree regularmente el estado del sistema y el uso del CPU.
  • Habilite las descargas de políticas de DoS cuando sea posible, especialmente en entornos de alto tráfico.
  • Actualice su firmware regularmente para beneficiarse de optimizaciones y mejoras de seguridad.
  • Realice pruebas de carga para evaluar el rendimiento después de realizar cambios de configuración.

Notas adicionales

Para mayor información sobre la aceleración de hardware para las políticas de DoS, consulte el siguiente documento:

Aceleración de hardware para políticas de DoS

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *