[Fortigate] policy-offload-level 옵션

• 방화벽 정책의 오프로드 level을 조정하는 설정으로, Fortigate의 하드웨어 가속 기능을 최대한 활용하는 설정이다.
• policy-offload-level 옵션은 NP(network processor) 또는 ASIC 칩을 이용하여 트래픽을 offload하는 방식에 영향을 준다.
• SSL 검사(inspection)나 UTM 기능이 필요한 경우에는 적절히 조정해야 한다. 성능 최적화가 필요하지만 보안 기능을 유지해야 한다면 'default' 또는 'ipsec-offload', 'dos-offload' 옵션을 고려하는 것이 좋다.

 

set policy-offload-level 옵션

• ipsec-offload : ipsec 트래픽에 대해 하드웨어 가속을 적용, 나머지 트래픽은 default 동작.
• dos-offload : DoS 보호 기능만 하드웨어 오프로드로 처리하고, 나머지 트래픽은 CPU에서 처리, 일반 트래픽은 UTM 기능을 사용하면서, 대량의 DoS 트래픽을 하드웨어로 처리해 CPU 보호.
• full-offload : 일부 경우를 제외한 트래픽 처리를 CPU를 우회하여 전용 프로세서(NP)에서 처리하여 CPU 부하를 줄이고, 대용량 트래픽 환경에서 고속 패킷 처리 성능을 극대화.
• default : 트래픽 유형과 방화벽 정책에 따라 자동으로 하드웨어(asic) 처리 또는 소프트웨어 처리(cpu)를 전환하며 동작.
• 트래픽 유형과 방화벽 정책 설정에 따라 가능하면 하드웨어 가속(NP6, CP9 등)을 사용하고, UTM 기능이 활성화되어 있으면 소프트웨어 처리(CPU)로 전환된다.
• disable : 하드웨어 가속(offload) 기능을 비활성화 하고, 모든 트래픽을 CPU에서 처리한다. UTM 기능을 활성화한 상태와 유사하게 동작하며, 모든 패킷이 CPU를 거치므로 fortigate의 보안 기능을 최대로 활용할 수 있다.

 

설정 방법(CLI에서만 가능)

config firewall policy
    edit <Policy_ID>
        set policy-offload-level full-offload
    next
end

 

IT 분야에서 'offload'의 뜻

IT분야에서 offload는 주로 부하를 분산시키거나 특정 작업을 다른 시스템이나 프로세스에 맡기는 행위를 의미한다.

 

주요 예시

서버 오프로딩(Server Offloading): 서버의 처리 부하를 줄이기 위해 일부 작업을 다른 시스템으로 이전하는 것.

예: 로드 밸런서가 트래픽을 여러 서버로 분산.