NW機器

【FortiGate】インスペクションモードについて

この記事は投稿日から1年以上経過しています。

インスペクションモードとは

スループットよりセキュリティを優先させるか(プロキシモード/ベース)、
セキュリティよりスループットを優先させるか(フローモード/ベース)という設定です。

(※特に厳格な要件が無ければ、スループットへの影響はほとんどないものとされています。)

最新のバージョンではポリシー毎にインスペクションモードを選択できるようになりました。

2つのインスペクションモードの違いについて

プロキシモードとフローベースでの仕様での差異は、パケットを全てバッファリングするのかです。

プロキシモード

プロキシモードは1度の送信あるいは受信パケットを全てFortiGateが組み立てて、精査を行います。
バッファリングする都合上、メモリとCPU使用率が少々増加する可能性があります。

フローモード

フローモードはコンテンツパケット(メッセージと思われる)のスナップショットを保持して精査を行います。
精査が完了するまで最後のパケットは送出されず、パケットに異常があればRSTパケットが送出されます。
最後のパケット以外の精査においても問題があれば、RSTパケットがその時点で送出される仕様です。

フローモードはパケットがグレーな状態で通過することから、パケットの一部から外部に情報が漏洩する/内部サーバへ悪意あるパケットが届く恐れがあり、セキュリティレベルの低下につながる可能性があります。

プロキシモードはパケットを全て組み立てるため、セキュリティレベルは高くなりますが、一度バッファするためスループットが犠牲になるほか、バッファリング設定等設計が複雑になります。

また、フローモードとプロキシモード、どちらを使用するのかによって、精査を行う事ができる機能に差があります。

詳細は以下のURLをご参照ください。

Inspection mode feature comparison
https://docs.fortinet.com/document/fortigate/7.0.9/administration-guide/922096/inspection-mode-feature-comparison

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?前のページ

FortiGateのコンサーブモードについて次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. paloalto-edl-hosting
  2. FortiGate

    FortiGateのSD-WAN設定について

    FortiGateのSD-WAN設定について当記事では、Forti…

  3. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

  4. FortiGate

    FortiGateをREST APIを用いて監視しよう(後編)

    本記事では前後編にわたり、REST APIを使ってFortiGateを…

  5. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  6. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP