FortiGate フローベースとプロキシベースの違い

FortiGateにはインスペクションモードとして、「フローベース」と「プロキシベース」があります。モードの違いによって、FortiGateのUTM機能全体に影響を及ぼします。

現在、デフォルトは「フローベース」となっています。

フローベースとプロキシベースの違い

「フローベース」は、トラフィックをバッファせずに、パケットごとに検査し、「プロキシベース」は、トラフィックはバッファし、ファイルを再構成した上で検査を行います。

フローベース

　メリット：検査スピードが速く、スループットが速い

　デメリット：詳細な検査ができない

プロキシベース

　メリット：詳細な検査が可能なため、セキュリティレベルが高くなる

　デメリット：スループットが低下する

どちらを選択するかは、利用する機能や環境によって選択する必要があります。
基本的に「プロキシベース」としておき、速度が出ないといった場合に「フローベース」へ変更するのが良いかと考えます。

ちなみに、VDOMごとにインスペクションモードを変更することも可能です。

フローベースのNGFWモードについて

「フローベース」を選択すると、そこからさらにNGFWモードとして「プロファイルベース」と「ポリシーベース」があります。

プロファイルベース：アプリケーションコントロールまたはWebフィルタリング等のプロファイルを作成したのち、ポリシーに適応する必要がある。

ポリシーベース：アプリケーションコントロールまたはWebフィルタリング等のプロファイルを作成せずに直接セキュリティポリシーに追加する必要がある。
下図は新規ポリシーを追加する画面ですが、そこに直接アプリケーションやURLカテゴリを追加します。

複数のセキュリティポリシーに割り当てる場合は、それぞれにWebカテゴリを追加していくといった仕組みとなるので、見にくそうです。基本、「プロファイルベース」かと思います。

フローベースとプロキシベースで使えるUTM機能一覧

Inspection mode feature comparison | Administration Guide

docs.fortinet.com

参考書籍