FortiGateのプロキシベースとフローベースの違いについて

FortiGateファイアウォールにおいて「プロキシベース（Proxy-based）」と「フローベース（Flow-based）」の2種類のインスペクションモード（検査方式）は、トラフィックの検査方法において大きく異なります。

それぞれの仕組み・特徴・メリット・デメリットを深掘りして解説します。

概要比較表

プロキシベース（Proxy-based Inspection）の詳細

処理の流れ

1. クライアントからのリクエストがFortiGateに届く。
2. FortiGateが「プロキシ」として通信を代行。
3. サーバーからのレスポンスをFortiGateがすべて受け取り、コンテンツ全体を解析。
4. 問題なければクライアントに転送。

特徴

• フルコンテンツの検査が可能（ファイル全体を保持してから判断するため）。
• DLP（Data Loss Prevention）やSSL復号後の精密検査に最適。
• スキャン精度が高く、FortiSandbox連携で未知の脅威検知も可能。
• メール・Web・FTPなど特定のプロトコルに強い。

利点

• 高度なセキュリティ対策が可能。
• 悪意のあるコードや情報漏洩の精密検知。
• ファイルサイズや内容に応じた柔軟なポリシー設定。

欠点

• 処理が重くなりがち。多量のトラフィックや大容量ファイルで性能低下。
• レイテンシ（遅延）が発生しやすく、リアルタイム性が求められる環境では不利。

フローベース（Flow-based Inspection）の詳細

処理の流れ

1. パケットがFortiGateを通過する際に、
2. ストリーム（リアルタイム）でインスペクションを実施。
3. 通信を中断せず、継続的にスキャンしながら通過させる。

特徴

• トラフィックの一部を検査しながら即時処理。
• ストリーミングAVやIPSなど、処理速度を優先。
• SSL復号も対応可能だが、一部機能はProxyより制限あり。

利点

• 高速処理が可能（ネットワーク性能を落とさない）。
• 特にデータセンターや高速インターネット接続環境に適する。
• FortiASICやNP（Network Processor）との連携で高スループット。

欠点

• 完全なコンテンツ分析ができない場合あり。
• 高度なDLPや一部の詳細スキャン機能は利用できない。
• 通信の一部しか見ないため、ゼロデイ攻撃や難解なマルウェア検出には不向きなことも。

どちらを選べばいいか？目的別の選定ガイド

モードの設定場所

FortiOSのGUIで以下のように設定可能です。

1. ポリシーごとに設定可能（プロキシ / フロー）
   → セキュリティポリシーの中にある「インスペクションモード」で切替可能
2. UTMプロファイルの適用
   各モードに応じて利用可能なセキュリティプロファイルが異なります。

注意点

• 一部のUTMプロファイル（特にDLPや高度なWebフィルタ）は、Proxyモードでのみ有効。
• FortiOSのバージョンやモデルによって、サポートされる機能・パフォーマンスが異なるため、運用環境に応じたテストや設計が重要。
• 実際には、用途によって両者を使い分けるのが一般的（メールはProxy、WebはFlowなど）。

まとめ

最適なモードはネットワークの目的・トラフィック量・セキュリティ要求に応じて決めることが重要です。

以上、FortiGateのプロキシベースとフローベースの違いについてでした。

最後までお読みいただき、ありがとうございました。