FortiGate lento? As 5 causas mais comuns e como resolver

Antes de diagnosticar: verifique o baseline

Antes de concluir que o FortiGate é o gargalo, confirme que o problema é realmente no firewall e não no link de internet, no switch ou na estação do usuário. Faça um teste de velocidade direto no link de internet (bypassando o FortiGate) e compare com a velocidade medida atrás do firewall. Se a diferença é mínima, o problema está em outro lugar.

No FortiGate, verifique o uso de CPU e memória em Dashboard > Status. CPU acima de 80% ou memória acima de 90% por períodos prolongados são indicadores claros de gargalo no appliance.

Causa 1: equipamento subdimensionado

A causa mais comum de lentidão persistente é um FortiGate subdimensionado para o volume de tráfego ou número de usuários do ambiente. Com o crescimento da empresa ou o aumento da velocidade do link de internet, o appliance fica saturado.

Diagnóstico: CPU consistentemente acima de 70-80% no horário de pico, especialmente nos processos IPS Engine ou Proxy. Use o comando get system performance status na CLI para ver o breakdown de CPU por processo.

Solução: migrar para um modelo superior. Em curto prazo, desabilitar temporariamente perfis de segurança menos críticos pode aliviar a carga — mas não é solução definitiva.

Causa 2: inspeção SSL sem hardware offload

A inspeção SSL é computacionalmente intensiva. Em modelos sem ASIC CP dedicado para aceleração de criptografia, habilitar inspeção SSL em alto volume de tráfego HTTPS pode consumir a maior parte da CPU disponível.

Diagnóstico: CPU alta especialmente no processo SSL VPN ou Proxy, correlacionada com alto volume de tráfego HTTPS. Compare o throughput com e sem inspeção SSL ativa.

Solução: criar exceções de inspeção SSL para categorias de sites de alto volume e baixo risco (como CDNs de atualização de software, plataformas de streaming não críticas). Isso reduz o volume de tráfego SSL inspecionado sem comprometer a segurança nas categorias de maior risco.

Causa 3: tabela de sessões esgotada

Cada conexão de rede ocupa uma entrada na tabela de sessões do FortiGate. Modelos de menor porte têm tabelas de sessões menores — quando a tabela está cheia, novas conexões são rejeitadas ou o equipamento fica instável.

Diagnóstico: execute get system session status na CLI e compare o número atual de sessões com o limite máximo do modelo. Ambientes com muitos dispositivos IoT ou aplicações que abrem muitas conexões simultâneas (como BitTorrent ou backups) são especialmente suscetíveis.

Solução: em curto prazo, reduzir o TTL de sessões ociosas em System > Settings > Session TTL. Em longo prazo, migrar para um modelo com tabela de sessões maior.

Causa 4: política any/any com perfis pesados

Uma política ampla que cobre muito tráfego com perfis de segurança pesados (antivírus em modo proxy, sandboxing em todos os arquivos) pode criar gargalos mesmo em appliances bem dimensionados.

Diagnóstico: verifique quais políticas têm o maior número de hits e quais perfis estão associados. Uma política any/any com antivírus em modo proxy completo para todo o tráfego é o exemplo clássico.

Solução: usar antivírus em modo flow-based em vez de proxy-based para a maioria dos tráfegos — entrega proteção equivalente com muito menor impacto de performance. Reserve o modo proxy para tráfego específico de alto risco.

Causa 5: firmware desatualizado com bug conhecido

Versões antigas de FortiOS podem conter bugs de performance que foram corrigidos em versões posteriores — memory leaks, processos que não liberam CPU, degradação progressiva de throughput.

Diagnóstico: verifique se a versão atual do FortiOS tem bugs de performance conhecidos nas release notes da Fortinet. Compare o comportamento com a performance logo após o último reboot — melhora no reboot indica memory leak ou acúmulo de estado.

Solução: atualizar para a versão mais recente da branch de firmware em uso. Sempre leia as release notes antes de atualizar para confirmar que a nova versão não introduz outros problemas no seu ambiente.