インスペクションモードとは

スループットよりセキュリティを優先させるか（プロキシモード/ベース）、
セキュリティよりスループットを優先させるか（フローモード/ベース）という設定です。

（※特に厳格な要件が無ければ、スループットへの影響はほとんどないものとされています。）

最新のバージョンではポリシー毎にインスペクションモードを選択できるようになりました。

2つのインスペクションモードの違いについて

プロキシモードとフローベースでの仕様での差異は、パケットを全てバッファリングするのかです。

・プロキシモード

プロキシモードは1度の送信あるいは受信パケットを全てFortiGateが組み立てて、精査を行います。
バッファリングする都合上、メモリとCPU使用率が少々増加する可能性があります。

・フローモード

フローモードはコンテンツパケット（メッセージと思われる）のスナップショットを保持して精査を行います。
精査が完了するまで最後のパケットは送出されず、パケットに異常があればRSTパケットが送出されます。
最後のパケット以外の精査においても問題があれば、RSTパケットがその時点で送出される仕様です。

フローモードはパケットがグレーな状態で通過することから、パケットの一部から外部に情報が漏洩する/内部サーバへ悪意あるパケットが届く恐れがあり、セキュリティレベルの低下につながる可能性があります。

プロキシモードはパケットを全て組み立てるため、セキュリティレベルは高くなりますが、一度バッファするためスループットが犠牲になるほか、バッファリング設定等設計が複雑になります。

また、フローモードとプロキシモード、どちらを使用するのかによって、精査を行う事ができる機能に差があります。

詳細は以下のURLをご参照ください。

Inspection mode feature comparison
https://docs.fortinet.com/document/fortigate/7.0.9/administration-guide/922096/inspection-mode-feature-comparison

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。