Tổng hợp các nguyên nhân khiến CPU Firewall FortiGate tăng cao và cách khắc phục.

CPU trên firewall tăng cao là một trong những vấn đề phổ biến nhất khi vận hành hệ thống mạng doanh nghiệp, đặc biệt với các thiết bị của Fortinet. Nếu không xử lý kịp thời, tình trạng này có thể gây chậm mạng, mất kết nối VPN, gián đoạn dịch vụ và ảnh hưởng trực tiếp đến hoạt động kinh doanh.

1. CPU Firewall FortiGate tăng cao là gì?

CPU tăng cao xảy ra khi thiết bị FortiGate phải xử lý quá nhiều tác vụ cùng lúc, vượt quá khả năng phần cứng hoặc cấu hình tối ưu.

Dấu hiệu nhận biết:

CPU > 80% trong thời gian dài
Truy cập Internet chậm bất thường
VPN bị disconnect liên tục
Web filter / IPS hoạt động không ổn định
Log hiển thị nhiều session hoặc process bất thường

2. Nguyên nhân khiến CPU FortiGate tăng cao

2.1. Bật HTTP/HTTPS trên WAN (SSL Inspection sai cách)

Đây là lỗi cực kỳ phổ biến.

Bật admin HTTPS/HTTP trên WAN
Bật deep inspection toàn bộ traffic

Hệ quả:

CPU xử lý SSL tăng đột biến
Dễ bị scan, tấn công từ Internet

Cách khắc phục:

Tắt HTTP/HTTPS trên WAN (chỉ cho phép IP quản trị)
Chỉ bật SSL inspection cho traffic cần thiết

2.2. Quá nhiều session đồng thời

Khi số lượng session vượt ngưỡng thiết bị:

Do user nhiều
Do malware / botnet
Do ứng dụng mở nhiều kết nối

CPU phải xử lý session table liên tục

Cách khắc phục:

Kiểm tra:
```
diagnose sys session stat
```
Giới hạn session per IP
Dùng DoS Policy

2.3. Bật nhiều tính năng UTM cùng lúc

Các tính năng như:

IPS
Antivirus
Web Filter
Application Control

Khi bật đồng thời trên nhiều policy → CPU tăng mạnh

Cách khắc phục:

Chỉ bật UTM cho traffic quan trọng
Tách policy theo mức độ bảo mật
Dùng profile lightweight

2.4. Log quá nhiều (Logging overload)

Log all sessions
Gửi log liên tục về FortiAnalyzer / syslog

CPU phải ghi + xử lý log liên tục

Cách khắc phục:

Giảm mức log (Warning/Error thay vì All)
Disable log không cần thiết
Kiểm tra disk log

2.5. Do tấn công mạng (DDoS, scan port)

SYN flood
Port scanning
Brute force VPN/SSL

CPU tăng đột ngột bất thường

Cách khắc phục:

Bật DoS Policy
Geo-block IP lạ
Dùng IPS signature

2.6. Firmware lỗi hoặc chưa tối ưu

Một số version FortiOS có bug:

Memory leak
CPU spike
Process chạy bất thường

Cách khắc phục:

Kiểm tra process:
```
diagnose sys top
```
Update firmware ổn định (recommended release)

2.7. Không sử dụng Hardware Acceleration (NP/CP)

FortiGate có chip tăng tốc:

NP (Network Processor)
CP (Content Processor)

Nếu không dùng → CPU xử lý toàn bộ

Cách khắc phục:

Kiểm tra:
```
diagnose npu np6lite port-list
```
Tránh config làm disable offload:
- traffic shaping phức tạp
- proxy mode không cần thiết

2.8. Policy hoặc routing cấu hình sai

Policy overlap
Route loop
NAT sai

Gây xử lý lặp → CPU tăng

Cách khắc phục:

Rà soát policy
Kiểm tra routing table:
```
get router info routing-table all
```

2.9. VPN quá tải (IPsec / SSL VPN)

Nhiều user VPN
Encryption mạnh (AES256, SHA512)

CPU bị tiêu tốn cho mã hóa/giải mã

Cách khắc phục:

Giảm thuật toán nếu phù hợp
Dùng hardware hỗ trợ VPN
Scale thiết bị

3. Cách kiểm tra CPU FortiGate chi tiết

3.1. Kiểm tra tổng CPU


get system performance status

3.2. Kiểm tra process tiêu tốn CPU


diagnose sys top

3.3. Kiểm tra session


diagnose sys session list

3.4. Kiểm tra traffic realtime


diagnose sniffer packet any "host x.x.x.x"

4. Sơ đồ nguyên nhân CPU tăng (minh họa)


User/Internet
     ↓
Traffic lớn / Tấn công / SSL
     ↓
Firewall FortiGate
     ↓
[UTM + Log + Session + VPN]
     ↓
CPU tăng cao
     ↓
Chậm mạng / Mất kết nối

5. Best Practice giúp tối ưu CPU FortiGate

Chỉ bật UTM khi cần
Không expose management ra WAN
Tối ưu policy & routing
Giới hạn session / user
Update firmware ổn định
Sử dụng hardware acceleration
Giám sát CPU định kỳ

6. Khi nào cần nâng cấp thiết bị?

Bạn nên cân nhắc upgrade khi:

CPU luôn > 70% trong giờ cao điểm
Số user tăng nhanh
Triển khai thêm VPN / UTM
Firewall không đáp ứng throughput thực tế

7. Kết luận

CPU tăng cao trên FortiGate không chỉ do một nguyên nhân duy nhất mà thường là tổng hợp nhiều yếu tố cấu hình + lưu lượng + bảo mật. Việc hiểu rõ từng nguyên nhân và áp dụng đúng giải pháp sẽ giúp hệ thống:

Ổn định hơn
Tăng hiệu suất
Giảm rủi ro bảo mật

Xem thêm:

10 cấu hình bảo mật FortiGate bắt buộc phải làm (nhiều doanh nghiệp đang bỏ sót)

CPU FortiGate tăng cao do bật HTTP/HTTPS trên WAN – Nguyên nhân và cách xử lý

Tổng hợp các nguyên nhân khiến CPU Firewall FortiGate tăng cao và cách khắc phục.

1. CPU Firewall FortiGate tăng cao là gì?

Dấu hiệu nhận biết:

2. Nguyên nhân khiến CPU FortiGate tăng cao

2.1. Bật HTTP/HTTPS trên WAN (SSL Inspection sai cách)

2.2. Quá nhiều session đồng thời

2.3. Bật nhiều tính năng UTM cùng lúc

2.4. Log quá nhiều (Logging overload)

2.5. Do tấn công mạng (DDoS, scan port)

2.6. Firmware lỗi hoặc chưa tối ưu

2.7. Không sử dụng Hardware Acceleration (NP/CP)

2.8. Policy hoặc routing cấu hình sai

2.9. VPN quá tải (IPsec / SSL VPN)

3. Cách kiểm tra CPU FortiGate chi tiết

3.1. Kiểm tra tổng CPU

3.2. Kiểm tra process tiêu tốn CPU

3.3. Kiểm tra session

3.4. Kiểm tra traffic realtime

4. Sơ đồ nguyên nhân CPU tăng (minh họa)

5. Best Practice giúp tối ưu CPU FortiGate

6. Khi nào cần nâng cấp thiết bị?

7. Kết luận

Danh mục sản phẩm