如何优化飞塔防火墙的性能

近期经常有群友和坛友反映将FortiOS升级到4.0 MR2后经常出现资源利用率很高的情况，大家可以参考下面的一些建议；

1，FortiGate设备应该有足够的资源应对攻击 资源利用率最好不要超过65% get sys performance status 在65%到85%是正常的 。

2，只开启用得着的管理服务 如果不用SSH或SNMP，就不要启用,避免开放可用的端口.。

3，将用得最多或最重要的防火墙策略尽量靠前 防火墙策略是至上而下执行的。

4，只开启那些必要的流量日志 流量日志会降低系统性能。

5，只开启那些必须的应用层协议检查 应用层检查对系统性能是敏感的。

6，最小化发送系统告警信息 如果已经配置了syslog或FAZ日志,尽可能不要配置SNMP或Email告警。7，AV/IPS特征库更新间隔为4或6小时并启用允许服务器推升级。

8，精简保护内容表数量。

9，删除不必要的保护内容表。

10，精简虚拟域数量 删除不必要的虚拟域 低端设备最好不要用虚拟域。

11，如果性能显示不足就避免启用流量整形 流量整形将降低流量处理性能

如何优化防火墙内存使用率

1，尽量不启用内存日志

2，尽量不启用不必要的AV扫描协议

3，减小扫描病毒文件的上限值，大多数带病毒的文件文件都小于2、3M

4，删除不用的DHCP服务

5，取消不用的DNS转发服务

6，如IPS不需要，执行命令节省内存 Diag ips global all status disable

7，改变session的ttl值

set default 300 [conf sys session-ttl]

set tcp-halfclose-timer 30 [config sys global]

set tcp-halfopen-timer 20 [conf sys global]

8，改变fortiguard的ttl值

set webfilter-cache-ttl [conf sys fortiguard ]

set antispam-cache-ttl [conf sys fortiguard ]

9，改变DNS缓存的条数

set dns-cache-limit [conf sys dns]

10，不启用DNS转发

unset fwdintf [conf system dns]

上面出现的命令可查看CLI文档中相关用法

产品型号 产品描述

FG-50B 3 口(10/100)以太网口、2 口WAN口、 50Mbps吞吐量、25000个并发会话数、20个VPN通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。

FG-60U 7口(10/100)以太网口、 70Mbps吞吐量、50000个并发会话数、40个VPN通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。

FG-100A 2个WAN口,2个DMZ口,4口(10/100)以太网口、100Mbps吞吐量、200K个并发会话数、80个VPN通道数、1000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。

FG-200A 2个WAN口,2个DMZ口,4口(10/100)以太网口、 150Mbps吞吐量、400K个并发会话数、100个VPN通道数、2000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。

FG-300A 4口(10/100)以太网口、2个1000M以太网口, 400Mbps吞吐量、400K个并发会话数、1500个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、内嵌日志

FG-400A 4口(10/100)以太网口、2个1000M以太网口，400Mbps吞吐量、400K个并发会话数、2000个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志

FG-500A 8口(10/100)以太网口、2个1000M以太网口，500Mbps吞吐量、400K个并发会话数、2000个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志

FG-800 4口(10/100/1000)以太网口、4个(10/100)用户可定义端口、 600Mbps吞吐量、400000个并发会话数、2000个VPN通道数、20000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘

FG-800F 4口1000M以太网口、4个1000光纤口、1Gbps吞吐量、400K个并发会话数、3000个VPN通道数、200M吞吐量、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、

FG-1000 4口(10/100)以太网口、2个1000base-T口、 1Gbps吞吐量、600000个并发会话数、3000个VPN通道数、30000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘

FG-1000A 4个10/100M端口,2个1000M端口,每秒连接数600000新建连接数,并发连接数15000并发连接数

FG-3000 3口(10/100)以太网口、2个1000base-SX口、1个1000base-T口、 2.25Gbps吞吐量、975000个并发会话数、5000个VPN通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘

FG-3600 1口(10/100)以太网口、4个1000base-SX口、2个1000base-T口、 4Gbps吞吐量、1M个并发会话数、5000个VPN通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘

---