FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

FortiGate 内部のパケットフロー図 処理順序

2016.12.15 (Thu)

FortiGateの内部ロジックを簡単に確認したのでメモ。


Ingress packet flow
l Interface TCP/IP?stack
l DoS Sensor
l IP integrity header checking
l IPsec VPN
l Destination NAT (DNAT)
l Routing

Stateful inspection
l Local Management Traffic
l Policy Lookup
l Session Tracking
l Session helpers
l SSL VPN
l User Authentication
l Traffic Shaping







Flow-based inspection
l IPS
l Application Control
l Web Filter
l DLP
l Antivirus

Proxy-based inspection
l VoIP Inspection
l DLP
l Email Filter
l Web Filter
l Antivirus
l ICAP

Egress packet flow
l IPsec VPN
l Source NAT (SNAT)
l Routing
l Interface TCP/IP stack


フロー図
FortiGateパケットフローダイアグラム








スポンサーサイト



FortiGate アンチウイルス概要 2種類のモード Proxyベース vs Flowベース

2016.12.14 (Wed)

FortiGateにはアンチウイルススキャンの手法が2種類ある

1.プロキシベース
2.フローベース

それぞれの簡単な概要を調べたのでメモ。







1.プロキシベース

フローベースよりセキュアで検知率が良い
パケット一旦バッファしてファイルを組み立ててからスキャンするため、多少の遅延がある。
スキャン可能なファイルサイズに制限がある。
デフォルトでは10MB。


2.フローベース

プロキシベースより検知率が低め。
パケット単位でスキャンするため、
ドキュメント、圧縮ファイルにマルウェアが組み込まれていると検知できない場合が多い。
感染したファイルを完全にブロックすることは不可。
スキャン可能なファイルサイズに制限がない。







FortiGate SSLインスペクションの概要 2種類の違い

2016.12.13 (Tue)

SSL/TLSによるWebサイトの暗号化を行うサイトの割合が増えてきて、
SSL通信のスキャニングやフィルタリングの要望が増えている。

FortiGateにおけるSSLインスペクションの簡単な概要を調べたのでメモ。





1.Deep-Inspection

暗号化された通信をFortiGateで復号化する。
通信内容のウイルススキャン等が可能。
用意されているデフォルトのCAを使うと証明書エラーが出るので、
各クライアントでFortiGateのCAを信頼されたルート認証機関として登録する必要がある。
パフォーマンスが落ちるので、個人的には実環境での評価、実測が必須。


2.Certificate-Inspection

FortiOS5.2から利用可能。
セッション確立時のハンドシェイクで証明書のコモンネームを確認し、
WebフィルタリングのFortiGuardカテゴリで許可されたURLかを照合する。
復号化しないので処理にかかる負荷が少ないが、ウイルススキャン等が不可。





 | HOME |