NW機器

【FortiGate】インスペクションモードについて

インスペクションモードとは

スループットよりセキュリティを優先させるか(プロキシモード/ベース)、
セキュリティよりスループットを優先させるか(フローモード/ベース)という設定です。

(※特に厳格な要件が無ければ、スループットへの影響はほとんどないものとされています。)

最新のバージョンではポリシー毎にインスペクションモードを選択できるようになりました。

2つのインスペクションモードの違いについて

プロキシモードとフローベースでの仕様での差異は、パケットを全てバッファリングするのかです。

プロキシモード

プロキシモードは1度の送信あるいは受信パケットを全てFortiGateが組み立てて、精査を行います。
バッファリングする都合上、メモリとCPU使用率が少々増加する可能性があります。

フローモード

フローモードはコンテンツパケット(メッセージと思われる)のスナップショットを保持して精査を行います。
精査が完了するまで最後のパケットは送出されず、パケットに異常があればRSTパケットが送出されます。
最後のパケット以外の精査においても問題があれば、RSTパケットがその時点で送出される仕様です。

フローモードはパケットがグレーな状態で通過することから、パケットの一部から外部に情報が漏洩する/内部サーバへ悪意あるパケットが届く恐れがあり、セキュリティレベルの低下につながる可能性があります。

プロキシモードはパケットを全て組み立てるため、セキュリティレベルは高くなりますが、一度バッファするためスループットが犠牲になるほか、バッファリング設定等設計が複雑になります。

また、フローモードとプロキシモード、どちらを使用するのかによって、精査を行う事ができる機能に差があります。

詳細は以下のURLをご参照ください。

Inspection mode feature comparison
https://docs.fortinet.com/document/fortigate/7.0.9/administration-guide/922096/inspection-mode-feature-comparison

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?前のページ

FortiGateのコンサーブモードについて次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. Zabbixヒストリデータのレポート生成について
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. NW機器

    D-Link製レイヤ2スマートスイッチにおけるSYSLOG/SNMP設定

    当記事では、D-Link製レイヤ2スマートスイッチにSYSLOG/SN…

  2. A10ThunderをSNMPで監視する

    NW機器

    A10 ThunderをSNMPで監視するための設定方法

    当記事では、A10ネットワークス社  Thunder シリーズのSNM…

  3. NW機器

    Allied Telesis(インテリジェント・エッジ・スイッチ)にSNMP v1/SNMPv2c設…

    当記事では、Allied Telesis社のインテリジェント・エッジ・…

  4. NW機器

    FortiGateにおけるCEF形式ログ送信設定

    当記事では、FortiGateにおけるCEF形式でのログ送信方法につい…

  5. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  6. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP