FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate SSLインスペクションの概要 2種類の違い

2016.12.13 (Tue)

SSL/TLSによるWebサイトの暗号化を行うサイトの割合が増えてきて、
SSL通信のスキャニングやフィルタリングの要望が増えている。

FortiGateにおけるSSLインスペクションの簡単な概要を調べたのでメモ。





1.Deep-Inspection

暗号化された通信をFortiGateで復号化する。
通信内容のウイルススキャン等が可能。
用意されているデフォルトのCAを使うと証明書エラーが出るので、
各クライアントでFortiGateのCAを信頼されたルート認証機関として登録する必要がある。
パフォーマンスが落ちるので、個人的には実環境での評価、実測が必須。


2.Certificate-Inspection

FortiOS5.2から利用可能。
セッション確立時のハンドシェイクで証明書のコモンネームを確認し、
WebフィルタリングのFortiGuardカテゴリで許可されたURLかを照合する。
復号化しないので処理にかかる負荷が少ないが、ウイルススキャン等が不可。





関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック