インスペクションモードとは
スループットよりセキュリティを優先させるか(プロキシモード/ベース)、
セキュリティよりスループットを優先させるか(フローモード/ベース)という設定です。
(※特に厳格な要件が無ければ、スループットへの影響はほとんどないものとされています。)
最新のバージョンではポリシー毎にインスペクションモードを選択できるようになりました。
2つのインスペクションモードの違いについて
プロキシモードとフローベースでの仕様での差異は、パケットを全てバッファリングするのかです。
・プロキシモード
プロキシモードは1度の送信あるいは受信パケットを全てFortiGateが組み立てて、精査を行います。
バッファリングする都合上、メモリとCPU使用率が少々増加する可能性があります。
・フローモード
フローモードはコンテンツパケット(メッセージと思われる)のスナップショットを保持して精査を行います。
精査が完了するまで最後のパケットは送出されず、パケットに異常があればRSTパケットが送出されます。
最後のパケット以外の精査においても問題があれば、RSTパケットがその時点で送出される仕様です。
フローモードはパケットがグレーな状態で通過することから、パケットの一部から外部に情報が漏洩する/内部サーバへ悪意あるパケットが届く恐れがあり、セキュリティレベルの低下につながる可能性があります。
プロキシモードはパケットを全て組み立てるため、セキュリティレベルは高くなりますが、一度バッファするためスループットが犠牲になるほか、バッファリング設定等設計が複雑になります。
また、フローモードとプロキシモード、どちらを使用するのかによって、精査を行う事ができる機能に差があります。
詳細は以下のURLをご参照ください。
Inspection mode feature comparison
https://docs.fortinet.com/document/fortigate/7.0.9/administration-guide/922096/inspection-mode-feature-comparison
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。