트래픽은 FortiGate에서 흐름 기반 또는 프록시 기반으로 UTM 검사를 받을 수 있습니다. 두 검사 모드 모두 장단점이 있습니다. 따라서 관련 목적에 맞는 올바른 검사 모드를 사용하는 것이 매우 중요합니다.
흐름 기반 검사
- 기본 검사 모드
- 단일 패스 직접 필터 접근 방식(DFA) 패턴 매칭을 사용하여 가능한 공격 또는 위협을 식별합니다.
- 파일은 FortiGate를 통과할 때 흐름 기준으로 검사됩니다.
- 처리 리소스가 덜 필요합니다
- 더 빠른 스캐닝을 제공합니다
흐름 기반 세션을 살펴보면 다음과 같은 동작을 볼 수 있습니다.
프록시 기반 검사
- 더욱 철저한 검사
- 대기 시간을 추가합니다
- 전체 콘텐츠가 스캔되었습니다.
- 두 개의 TCP 연결(클라이언트에서 프록시 서버 역할을 하는 FortiGate로 / FortiGate에서 서버로)
- 통신은 Layer 4에서 종료됩니다.
- 더 많은 리소스 집약적
- 더 높은 수준의 위협 보호 제공
흐름 기반 세션을 살펴보면 다음과 같은 동작을 볼 수 있습니다.
Flow 기반 검사나 프록시 기반 검사 또는 UTM 검사를 전혀 사용하지 않는 트래픽, 일치 정책
… FortiOS 커널에서 처리되며 이 프로세스를 "상태 검사"라고 합니다. 트래픽이 IPS 엔진(흐름 기반 검사용)이나 WAD 데몬(프록시 기반 검사용)으로 전송되지 않으므로 이 모드는 시스템 리소스를 덜 사용합니다.
어떤 검사 모드를 선택해야 하나요?
흐름 기반 검사는 콘텐츠 패킷의 스냅샷을 찍고 패턴 일치를 사용하여 콘텐츠 내의 보안 위협을 식별합니다.
스트리밍이나 파일 서버에 대한 연결을 허용하는 등 트래픽 처리량을 우선시하는 정책에는 흐름 검사가 권장됩니다.
프록시 기반 검사는 FortiGate를 통과하는 콘텐츠를 재구성하고 콘텐츠에 보안 위협이 있는지 검사합니다.
프록시 모드는 가장 철저한 검사를 제공하므로 데이터 유출이나 악성 콘텐츠를 방지하는 것이 중요한 정책에는 프록시 검사를 사용하는 것이 좋습니다.
각 검사 모드는 목적지로 이동하는 트래픽을 처리하는 역할을 합니다. 두 모드 모두 상당한 보안을 제공하지만 프록시 기반은 더 많은 기능 구성 옵션을 제공하는 반면 흐름 기반은 성능을 최적화하도록 설계되었습니다.
정보 소스
본 기사의 내용은 아래 링크된 여러 Fortinet 정보 소스에서 얻은 것입니다.
https://docs.fortinet.com/document/fortigate/7.4.1/administration-guide/721410/inspection-modes
FortiGate Administrator(FCP) 및 Fortinet Enterprise Firewall(FCSS) 교육 과정.
