NW機器

【FortiGate】インスペクションモードについて

この記事は投稿日から1年以上経過しています。

インスペクションモードとは

スループットよりセキュリティを優先させるか(プロキシモード/ベース)、
セキュリティよりスループットを優先させるか(フローモード/ベース)という設定です。

若手エンジニア志望者を募集!支度金あり

(※特に厳格な要件が無ければ、スループットへの影響はほとんどないものとされています。)

最新のバージョンではポリシー毎にインスペクションモードを選択できるようになりました。

2つのインスペクションモードの違いについて

プロキシモードとフローベースでの仕様での差異は、パケットを全てバッファリングするのかです。

プロキシモード

プロキシモードは1度の送信あるいは受信パケットを全てFortiGateが組み立てて、精査を行います。
バッファリングする都合上、メモリとCPU使用率が少々増加する可能性があります。

フローモード

フローモードはコンテンツパケット(メッセージと思われる)のスナップショットを保持して精査を行います。
精査が完了するまで最後のパケットは送出されず、パケットに異常があればRSTパケットが送出されます。
最後のパケット以外の精査においても問題があれば、RSTパケットがその時点で送出される仕様です。

フローモードはパケットがグレーな状態で通過することから、パケットの一部から外部に情報が漏洩する/内部サーバへ悪意あるパケットが届く恐れがあり、セキュリティレベルの低下につながる可能性があります。

プロキシモードはパケットを全て組み立てるため、セキュリティレベルは高くなりますが、一度バッファするためスループットが犠牲になるほか、バッファリング設定等設計が複雑になります。

また、フローモードとプロキシモード、どちらを使用するのかによって、精査を行う事ができる機能に差があります。

詳細は以下のURLをご参照ください。

Inspection mode feature comparison
https://docs.fortinet.com/document/fortigate/7.0.9/administration-guide/922096/inspection-mode-feature-comparison

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?前のページ

FortiGateのコンサーブモードについて次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. FortiGate

    FortiGateをREST APIを用いて監視しよう (前編)

    本記事では前後編にわたり、REST APIを使ってFortiGateを…

  2. FortiGate

    【FortiGate】SNAT時に変換される送信元IPアドレスの選定フロー

    FortiGateのNATを利用する場合に、送信元IPアドレス変換(S…

  3. FortiGate

    FortiGateのメモリ使用率が高い時の対応

    FortiGate(フォーティゲート)のメモリ使用率の上昇時に確認する…

  4. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API監視について

    当記事では、Nutanix Prism におけるSNMP監視/REST…

  5. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

  6. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP