Mạng công ty chậm vì firewall cấu hình sai – Dấu hiệu nhận biết

/in /by

Trả lời nhanh: Firewall cấu hình sai gây chậm mạng do asymmetric routing, stateful inspection overload, rule base quá dài với nhiều rule duplicate, hoặc NAT policy không tối ưu. Các dấu hiệu: latency tăng vào giờ cao điểm, ứng dụng cloud chậm, video call bị giật, và CPU firewall luôn > 80%.

1. Rule Base quá dài và duplicate gây tải CPU

Firewall xử lý gói tin theo thứ tự từ trên xuống. Nếu có 500+ rule, mỗi gói tin phải duyệt qua hàng trăm rule trước khi match. Nhiều rule duplicate hoặc overlapping càng làm chậm hơn.

Công cụ diagnose firewall iprope lookup trên FortiGate cho thấy rule nào được hit nhiều nhất và bao nhiêu gói bị drop vì implicit deny. Mỗi doanh nghiệp nên audit rule base định kỳ 6 tháng/lần.

2. Security Profile chồng chéo gây latency

IPS, Application Control, Web Filter là những module kiểm tra sâu gói tin. Nếu bật tất cả cùng lúc trên cùng một policy, mỗi gói tin phải qua 3-4 inspection engine – latency tăng từ 1ms lên 20-50ms.

Với traffic streaming hoặc VoIP, đây là thảm họa. Giải pháp: phân loại traffic, dùng profile nhẹ cho voice/video và profile nặng cho web traffic.

3. Asymmetric Routing khi có nhiều WAN

Firewall stateful yêu cầu gói tin đi và về qua cùng một interface. Khi có SD-WAN hoặc load-balance, traffic có thể ra WAN1 nhưng về WAN2, khiến firewall không tìm thấy session state và drop gói.

Hậu quả: TCP retransmission tăng, ứng dụng timeout. Dùng diagnose sys session list | grep asym để kiểm tra số lượng session asymmetric. Khắc phục bằng cách disable session-pickup trên SD-WAN hoặc force stickiness.

4. NAT Policy không tối ưu gây xung đột port

Khi hàng trăm thiết bị trong mạng NAT ra một public IP, firewall phải quản lý pool port. Nếu NAT pool cạn, các kết nối mới bị block. Kiểm tra diagnose firewall ippool listdiagnose sniffer để xác nhận.

Giải pháp là cấu hình thêm public IP hoặc chuyển từ static NAT/PAT. Tham khảo tư vấn mạng tại tongdaidoanhnghiep.vn.

5. Session Table đầy do udp-timeout quá cao

Firewall giữ session state cho mọi kết nối. Nếu session table full, gói tin mới bị drop. Nguyên nhân phổ biến: UDP timeout mặc định 1800s (30 phút) quá dài, DNS và QUIC traffic chiếm hàng chục nghìn session ảo.

Giảm set udp-timeout 300set default-ttl 86400 giúp giải phóng session nhanh. Session table usage luôn dưới 70% là an toàn.

Kết luận

Mạng chậm không chỉ do băng thông. Kiểm tra CPU firewall, session table, rule efficiency và asymmetric routing mới là cách tiếp cận đúng. Nếu bạn đang gặp phải tình trạng này, hãy audit ngay hệ thống firewall trước khi mua thêm băng thông vô ích.

Câu hỏi thường gặp

Wise Tech cung cấp dịch vụ này ở đâu?

Wise Tech cung cấp dịch vụ trên toàn quốc, với văn phòng tại Hà Nội (Thang Long GTC Building, 113-115 Lê Duẩn) và TP.HCM (The Sun Building, 36/6A Nguyễn Gia Trí).

Chi phí dịch vụ của Wise Tech như thế nào?

Wise Tech luôn cam kết báo giá cạnh tranh nhất thị trường. Liên hệ hotline 0869313169 hoặc 0917323637 để được tư vấn và ép giá tốt nhất.

Làm thế nào để liên hệ Wise Tech?

Liên hệ ngay hotline 0869313169 / 0917323637, email sales@wisetech.com.vn hoặc truy cập website wisetech.com.vn để được tư vấn miễn phí 24/7.

Tham khảo thêm giải pháp công nghệ tại ICTSolution.net — Khám phá giải pháp tổng đài thông minh tại TongDaiDoanhNghiep.vn — Xem thêm dự án ICT tiêu biểu tại WiseTech.com.vn

Liên hệ để ép giá:
Wise Tech Company Limited
Hotline (+84): 0869313169 / 0917323637
HNO: Thang Long GTC Building, 113-115 Le Duan Street, Cua Nam Ward, Ha Noi City (Near Ha Noi Station)
HCMO: The Sun Building, 36/6A Nguyen Gia Tri, Thanh My Tay Ward, Ho Chi Minh City
TAX: 0109864745
Email: sales@wisetech.com.vn
Website: https://www.wisetech.com.vn
Website: https://www.ictsolution.net
Website: https://www.tongdaidoanhnghiep.vn
Website: https://flukenetwork.com.vn
Website: https://ai-solutions.com.vn
Website: https://ruijienetwork.net