کد 70

Modeهای FortiWeb

این مقاله Operation Modeهای FortiWeb را بررسی می‌کند و تفاوت Reverse Proxy، True Transparent Proxy، Transparent Inspection، Offline Protection و WCCP را از نظر توپولوژی، قابلیت Block، نیاز به تغییر DNS/NAT، SSL/TLS، سناریوی کاربردی و محدودیت‌ها توضیح می‌دهد. در پایان مقاله یک جدول مقایسه‌ای برای انتخاب سریع Mode مناسب در پروژه‌های FortiWeb ارائه شده است.

Operation Modeهای FortiWeb چیست و هرکدام برای چه سناریویی مناسب است؟

FortiWeb به‌عنوان Web Application Firewall می‌تواند در چند حالت عملیاتی مختلف در شبکه قرار بگیرد. انتخاب این حالت فقط یک گزینه ساده در تنظیمات سیستم نیست؛ بلکه روی طراحی شبکه، مسیر عبور ترافیک، نوع Server Policy، نحوه SSL/TLS، قابلیت Block کردن حملات، دید سرور نسبت به IP واقعی کاربر، HA، Fail-to-wire، Load Balancing و حتی قابلیت‌هایی مثل HTTP Content Routing اثر می‌گذارد.

در این مقاله Operation Modeهای FortiWeb را بر اساس FortiWeb 7.6 توضیح می‌دهیم. در نسخه 7.6، حالت‌های اصلی شامل Reverse Proxy، True Transparent Proxy، Transparent Inspection، Offline Protection و WCCP هستند. هرکدام از این حالت‌ها برای یک نوع توپولوژی و سناریوی عملیاتی مناسب‌اند و انتخاب اشتباه می‌تواند باعث محدود شدن قابلیت‌ها یا سخت‌تر شدن پیاده‌سازی شود.

نکته مهم: در اغلب پروژه‌های جدید و عملیاتی، اگر محدودیت خاصی در توپولوژی وجود نداشته باشد، Reverse Proxy بهترین و کامل‌ترین انتخاب است؛ چون بیشترین قابلیت‌های FortiWeb در این Mode پشتیبانی می‌شود. اما در بعضی سازمان‌ها به دلیل محدودیت تغییر IP، عدم امکان تغییر DNS، حساسیت مسیر شبکه یا نیاز به اتصال غیرخطی، Modeهای دیگر هم کاربرد جدی دارند.

مروری بر این مقاله

Operation Mode در FortiWeb یعنی چه؟
چرا انتخاب Mode مهم است؟
لیست Operation Modeهای FortiWeb 7.6
Reverse Proxy Mode چیست؟
True Transparent Proxy Mode چیست؟
Transparent Inspection Mode چیست؟
Offline Protection Mode چیست؟
WCCP Mode چیست؟
چطور Operation Mode را از GUI تغییر دهیم؟
چطور Operation Mode را از CLI تغییر دهیم؟
سناریوهای کاربردی و انتخاب Mode مناسب
اشتباهات رایج در انتخاب Operation Mode
چک‌لیست انتخاب Mode قبل از پیاده‌سازی
جدول مقایسه Operation Modeهای FortiWeb

1. Operation Mode در FortiWeb یعنی چه؟

Operation Mode مشخص می‌کند FortiWeb از نظر شبکه‌ای کجا قرار می‌گیرد و ترافیک HTTP/HTTPS را چطور دریافت، بررسی و عبور می‌دهد. به زبان ساده، این Mode تعیین می‌کند FortiWeb یک Reverse Proxy جلوی سرورها باشد، به‌صورت شفاف داخل مسیر شبکه قرار بگیرد، فقط کپی ترافیک را از SPAN/TAP ببیند یا ترافیک را از طریق WCCP از FortiGate دریافت کند.

Fortinet در مستندات FortiWeb توضیح می‌دهد که FortiWeb می‌تواند Security Check را از طریق حالت‌های عملیاتی مختلف اعمال کند و هر Mode مزایا و محدودیت‌های خودش را دارد. به همین دلیل باید توپولوژی فعلی یا طراحی آینده شبکه بررسی شود و سپس Operation Mode انتخاب شود.

2. چرا انتخاب Mode مهم است؟

انتخاب Operation Mode روی موارد زیر اثر مستقیم دارد:

آیا FortiWeb در مسیر اصلی ترافیک قرار می‌گیرد یا فقط ترافیک را مانیتور می‌کند؟
آیا FortiWeb می‌تواند حمله را مطمئن Block کند یا فقط Alert بدهد؟
آیا نیاز به تغییر DNS، NAT، Gateway یا Route وجود دارد؟
آیا سرور IP واقعی کلاینت را می‌بیند یا IP FortiWeb را؟
آیا SSL/TLS روی FortiWeb Terminate می‌شود یا روی سرور باقی می‌ماند؟
آیا قابلیت‌هایی مثل HTTP Content Routing، SSL Offloading، HTTP/2، User Authentication و Client Certificate Verification در دسترس هستند؟
آیا HA، Fail-to-wire یا Bridge/V-zone قابل استفاده است؟
آیا FortiWeb-VM در Public Cloud مثل AWS/Azure قابل پیاده‌سازی است؟

پس قبل از ساخت Server Policy، Upload کردن Certificate یا تعریف Protection Profile باید بدانید FortiWeb قرار است در کدام Mode کار کند.

3. لیست Operation Modeهای FortiWeb 7.6

در FortiWeb 7.6، Operation Modeهای اصلی عبارت‌اند از:

Operation Mode	نام رایج	نوع قرارگیری در شبکه
Reverse Proxy	پروکسی معکوس	FortiWeb جلوی Web Server قرار می‌گیرد و Client به Virtual Server روی FortiWeb وصل می‌شود.
True Transparent Proxy	TTP	FortiWeb به‌صورت شفاف و Inline در مسیر قرار می‌گیرد و معمولاً نیاز به تغییر IP/DNS کمتر است.
Transparent Inspection	TI	FortiWeb Inline است، اما بیشتر برای Inspection استفاده می‌شود و قابلیت Block/Modify مثل Reverse Proxy یا TTP قابل اتکا نیست.
Offline Protection	Out-of-band / SPAN	FortiWeb خارج از مسیر اصلی است و کپی ترافیک را از SPAN/TAP دریافت می‌کند.
WCCP	Redirect-based	FortiGate یا Router ترافیک HTTP/HTTPS را با WCCP به FortiWeb هدایت می‌کند.

هشدار عملیاتی: تغییر Operation Mode معمولاً کار بی‌خطر و ساده‌ای نیست. Fortinet تأکید می‌کند قبل از تغییر Mode باید Backup گرفته شود، چون تغییر Mode می‌تواند Policyهای ناسازگار با Mode جدید، Static Routeها، V-zone IPها، VLANها و برخی تنظیمات دیگر را حذف کند. همچنین ممکن است نیاز به کابل‌کشی مجدد و تغییر توپولوژی داشته باشید.

4. Reverse Proxy Mode چیست؟

Reverse Proxy رایج‌ترین و معمولاً پیشنهادی‌ترین Mode برای پیاده‌سازی FortiWeb است. در این حالت، کاربران به IP یا FQDNای وصل می‌شوند که روی FortiWeb تعریف شده است. FortiWeb درخواست کاربر را دریافت می‌کند، SSL/TLS را در صورت نیاز Terminate می‌کند، ترافیک را بررسی می‌کند و سپس یک اتصال جداگانه به Backend Server برقرار می‌کند.

Client  →  FortiWeb Virtual Server  →  Server Pool  →  Web Server

مزیت‌های Reverse Proxy

بیشترین پشتیبانی از قابلیت‌های FortiWeb
مناسب برای SSL Offloading و SSL Inspection
امکان استفاده از HTTP Content Routing
مناسب برای Load Balancing بین چند Web Server
کنترل کامل‌تر روی Request و Response
گزینه مناسب برای سایت‌های اینترنتی، Portalها، APIها و سرویس‌های حساس
قابل استفاده در FortiWeb-VM روی AWS/Azure؛ در مستندات Fortinet اشاره شده که در AWS/Azure فقط Reverse Proxy قابل استفاده است

محدودیت‌های Reverse Proxy

معمولاً نیاز به تغییر DNS یا NAT دارد تا ترافیک به FortiWeb برسد.
از دید Backend Server، Source IP معمولاً IP FortiWeb است، مگر اینکه X-Forwarded-For یا Client Real IP درست تنظیم شود.
برای HTTPS باید Certificate سایت روی FortiWeb Import شود.
اگر برنامه به IP واقعی Client وابسته باشد، باید طراحی Header یا Route با دقت انجام شود.

سناریوی پیشنهادی: اگر سایت اینترنتی دارید، DNS دست خودتان است، می‌توانید NAT یا VIP را تغییر دهید و می‌خواهید بیشترین قابلیت WAF را داشته باشید، Reverse Proxy بهترین گزینه است.

5. True Transparent Proxy Mode چیست؟

در True Transparent Proxy یا TTP، FortiWeb به‌صورت شفاف داخل مسیر ترافیک قرار می‌گیرد. یعنی Client و Server معمولاً احساس نمی‌کنند که یک Proxy جلوی آن‌ها قرار گرفته است. این Mode برای زمانی مناسب است که سازمان نمی‌خواهد DNS، IP سرورها یا ساختار NAT را زیاد تغییر دهد، اما همچنان می‌خواهد FortiWeb Inline باشد و بتواند حملات را Block یا Modify کند.

Client  →  Firewall/Router  →  FortiWeb Bridge/V-zone  →  Web Server

مزیت‌های True Transparent Proxy

نیاز کمتر به تغییر DNS یا IP سرویس‌ها نسبت به Reverse Proxy
FortiWeb در مسیر اصلی ترافیک قرار دارد و می‌تواند طبق Profile ترافیک را Block یا Modify کند
مناسب برای دیتاسنترهایی که نمی‌خواهند معماری آدرس‌دهی سرورها تغییر کند
قابلیت استفاده از Bridge/V-zone
در بسیاری از سناریوهای Migration از WAF دیگر یا اضافه کردن WAF به سرویس موجود کاربرد دارد

محدودیت‌های True Transparent Proxy

پیاده‌سازی شبکه‌ای آن حساس‌تر از Reverse Proxy است.
برای SSL Inspection همچنان باید Certificate و نحوه Decryption درست طراحی شود.
همه قابلیت‌های FortiWeb مثل Reverse Proxy در دسترس نیستند.
عیب‌یابی Route، Bridge، MAC Learning و مسیر برگشت ممکن است پیچیده‌تر شود.

سناریوی پیشنهادی: وقتی نمی‌خواهید IP یا DNS وب‌سرویس‌ها تغییر کند، اما می‌خواهید FortiWeb واقعاً Inline باشد و توان Block قابل اتکا داشته باشد، TTP انتخاب خوبی است.

6. Transparent Inspection Mode چیست؟

Transparent Inspection هم FortiWeb را به شکل شفاف در مسیر قرار می‌دهد، اما رفتار آن با True Transparent Proxy فرق دارد. در این Mode، FortiWeb بیشتر برای مشاهده و بررسی ترافیک استفاده می‌شود و طبق مستندات Fortinet، اقداماتی غیر از Alert در Transparent Inspection نمی‌توانند مثل Reverse Proxy یا TTP تضمین‌شده باشند. FortiWeb ممکن است تلاش کند ترافیک مخرب را Block کند، اما به دلیل ماهیت این Mode، نتیجه همیشه قابل اتکا نیست.

Client  →  FortiWeb Transparent Inspection  →  Web Server
                │
                └── Detection / Logging / Attempted Blocking

مزیت‌های Transparent Inspection

مناسب برای مانیتورینگ Inline با تغییرات کمتر
برای فاز ارزیابی و تحلیل ترافیک مفید است
می‌تواند قبل از مهاجرت به Modeهای قوی‌تر برای شناخت رفتار برنامه استفاده شود
برای سازمان‌هایی که ابتدا می‌خواهند اثر WAF را ببینند، کاربرد دارد

محدودیت‌های Transparent Inspection

برای Block کردن حملات، مثل Reverse Proxy یا TTP قابل اتکا نیست.
برخی قابلیت‌ها در این Mode پشتیبانی نمی‌شوند.
برای محیطی که نیاز به Enforcement قوی دارد، انتخاب اول نیست.

نکته مهم: اگر هدف شما فقط مانیتورینگ، شناخت Attack Surface یا تحلیل اولیه ترافیک است، Transparent Inspection می‌تواند مفید باشد. اما اگر هدف شما حفاظت عملیاتی و Block مطمئن است، Reverse Proxy یا True Transparent Proxy معمولاً انتخاب مناسب‌تری هستند.

7. Offline Protection Mode چیست؟

Offline Protection یک حالت Out-of-band است. در این Mode، FortiWeb معمولاً کپی ترافیک را از SPAN Port، Mirror Port یا TAP دریافت می‌کند. FortiWeb در مسیر اصلی عبور ترافیک نیست؛ بنابراین ترافیک مجاز را Forward نمی‌کند و نقش اصلی آن Detection، Logging و کمک به شناخت رفتار برنامه است.

Client  →  Switch/Firewall  →  Web Server
             │
             └── SPAN/TAP Copy  →  FortiWeb Offline Protection

مزیت‌های Offline Protection

بدون ریسک قطعی مستقیم برای سرویس‌های عملیاتی
مناسب برای POC، ارزیابی اولیه و یادگیری ترافیک برنامه
مناسب برای زمانی که سازمان هنوز آماده قرار دادن WAF در مسیر اصلی نیست
کمک به تنظیم Protection Profile قبل از Inline کردن FortiWeb

محدودیت‌های Offline Protection

FortiWeb در مسیر اصلی نیست و نمی‌تواند ترافیک مجاز را Forward کند.
Block کردن حملات قابل تضمین نیست؛ چون FortiWeb فقط می‌تواند با ارسال TCP RST تلاش کند ارتباط را قطع کند.
برای حفاظت دائمی و جدی از سرویس اینترنتی، Mode نهایی مناسبی نیست.
بیشتر برای Detection و Transition استفاده می‌شود.

سناریوی پیشنهادی: اگر می‌خواهید FortiWeb را بدون دست زدن به مسیر Production تست کنید، حملات و False Positiveها را ببینید و بعداً به یک Mode عملیاتی مهاجرت کنید، Offline Protection انتخاب مناسبی برای شروع است.

8. WCCP Mode چیست؟

WCCP یا Web Cache Communication Protocol حالتی است که در آن یک دستگاه مثل FortiGate نقش WCCP Server را دارد و ترافیک HTTP/HTTPS را به FortiWeb که WCCP Client است Redirect می‌کند. این روش برای سازمان‌هایی کاربرد دارد که نمی‌خواهند FortiWeb را به شکل مستقیم در مسیر کابل‌کشی اصلی قرار دهند، اما می‌خواهند ترافیک وب به FortiWeb هدایت شود.

Client  →  FortiGate / Router WCCP Server  →  Web Server
               │
               └── Redirect HTTP/HTTPS  →  FortiWeb WCCP Client

مزیت‌های WCCP

مناسب برای Redirect ترافیک از FortiGate به FortiWeb
نیاز کمتر به تغییر مستقیم کابل‌کشی مسیر وب‌سرورها
امکان استفاده از چند WCCP Client و توزیع ترافیک در برخی طراحی‌ها
در صورت Fail شدن یک Client، WCCP Server می‌تواند ترافیک را به Clientهای دیگر هدایت کند
مناسب برای شبکه‌هایی که FortiGate در مسیر اصلی قرار دارد

محدودیت‌های WCCP

طراحی آن وابسته به FortiGate یا Router پشتیبان WCCP است.
عیب‌یابی Redirect و مسیر برگشت ممکن است پیچیده شود.
طبق مستندات Fortinet، WCCP از نظر رفتار به True Transparent Proxy شبیه است، با این تفاوت که وب‌سرورها IP اینترفیس FortiWeb را می‌بینند، نه IP واقعی Client.
برای انتخاب این Mode باید WCCP را در Feature Visibility فعال کنید تا در لیست Operation Mode نمایش داده شود.

سناریوی پیشنهادی: اگر FortiGate در مسیر اصلی دارید و می‌خواهید ترافیک HTTP/HTTPS را بدون قرار دادن مستقیم FortiWeb در مسیر فیزیکی به WAF بفرستید، WCCP می‌تواند گزینه مناسبی باشد.

9. چطور Operation Mode را از GUI تغییر دهیم؟

در GUI مسیر اصلی تغییر Operation Mode در FortiWeb 7.6 به شکل زیر است:

System > Config > Operation

یا می‌توانید از Dashboard وضعیت سیستم اقدام کنید:

System > Status > Status > System Information > Operation Mode > Change

در این بخش یکی از Modeهای زیر را انتخاب می‌کنید:

Reverse Proxy
Offline Protection
True Transparent Proxy
Transparent Inspection
WCCP

اگر True Transparent Proxy، Transparent Inspection یا WCCP را انتخاب کنید، باید Management IP و Default Gateway را هم مشخص کنید. همچنین اگر WCCP را در لیست نمی‌بینید، ابتدا باید از Feature Visibility آن را فعال کنید.

10. چطور Operation Mode را از CLI تغییر دهیم؟

ساختار کلی تغییر Mode در CLI به این شکل است:

config system settings
    set opmode {offline-protection | reverse-proxy | transparent | transparent-inspection | wccp}
end

نمونه برای Reverse Proxy:

config system settings
    set opmode reverse-proxy
end

نمونه برای True Transparent Proxy:

config system settings
    set opmode transparent
    set gateway 192.168.1.1
end

نمونه برای Transparent Inspection:

config system settings
    set opmode transparent-inspection
    set gateway 192.168.1.1
end

نمونه برای Offline Protection:

config system settings
    set opmode offline-protection
end

نمونه برای WCCP:

config system settings
    set opmode wccp
    set gateway 192.168.1.1
end

هشدار: قبل از اجرای این دستورات در محیط عملیاتی، حتماً Backup بگیرید و سناریوی Rollback داشته باشید. تغییر Mode می‌تواند باعث حذف تنظیمات ناسازگار، نیاز به تغییر کابل‌کشی، تغییر Virtual Server، Bridge/V-zone، Route و تنظیمات SSL/TLS شود.

11. سناریوهای کاربردی و انتخاب Mode مناسب

سناریوی اول: سایت اینترنتی سازمان با DNS قابل تغییر

در این سناریو، سازمان یک یا چند سایت اینترنتی دارد و می‌تواند DNS یا NAT را طوری تغییر دهد که کاربران ابتدا به FortiWeb وصل شوند. اینجا بهترین انتخاب معمولاً Reverse Proxy است.

Mode پیشنهادی: Reverse Proxy
دلیل: بیشترین قابلیت، SSL Offloading، Routing، Load Balancing و Enforcement بهتر
مثال: پرتال مشتریان، سایت فروشگاهی، API Gateway، سامانه بانکداری یا سامانه ثبت‌نام

سناریوی دوم: دیتاسنتر با محدودیت تغییر IP و DNS

گاهی سرورها و DNS سال‌هاست در حال کار هستند و تیم زیرساخت نمی‌خواهد IP یا DNS تغییر کند. در این حالت اگر امکان قرار دادن FortiWeb داخل مسیر وجود داشته باشد، True Transparent Proxy گزینه خوبی است.

Mode پیشنهادی: True Transparent Proxy
دلیل: تغییر کمتر در آدرس‌دهی و همچنان توانایی Enforcement بهتر نسبت به Modeهای مانیتورینگ
مثال: سامانه قدیمی سازمانی، دیتاسنتر داخلی، سرویس‌هایی که تغییر DNS آن‌ها پرریسک است

سناریوی سوم: POC و تست بدون ریسک

اگر سازمان می‌خواهد ابتدا فقط بداند چه حملاتی روی سایت وجود دارد و نمی‌خواهد FortiWeb را در مسیر اصلی قرار دهد، Offline Protection شروع مناسبی است.

Mode پیشنهادی: Offline Protection
دلیل: بدون تغییر مسیر Production، مناسب برای مانیتورینگ و شناخت False Positive
مثال: تست اولیه WAF، گزارش‌گیری قبل از خرید، بررسی رفتار برنامه قبل از Inline کردن FortiWeb

سناریوی چهارم: FortiGate در مسیر اصلی است و می‌خواهید ترافیک را Redirect کنید

اگر FortiGate یا Router پشتیبان WCCP دارید و نمی‌خواهید FortiWeb را مستقیماً در مسیر فیزیکی قرار دهید، WCCP می‌تواند گزینه مناسبی باشد.

Mode پیشنهادی: WCCP
دلیل: Redirect ترافیک HTTP/HTTPS از FortiGate به FortiWeb
مثال: شعب یا دیتاسنتری که FortiGate جلوی سرورها قرار دارد و تغییر کابل‌کشی دشوار است

سناریوی پنجم: مانیتورینگ Inline با حداقل Enforcement

اگر FortiWeb در مسیر قرار می‌گیرد، اما سازمان هنوز نمی‌خواهد روی Block حساب جدی باز کند و بیشتر دنبال مشاهده، Logging و تحلیل است، Transparent Inspection می‌تواند موقتاً استفاده شود.

Mode پیشنهادی: Transparent Inspection
دلیل: بررسی ترافیک و کاهش ریسک تغییرات، اما نه برای Block مطمئن
مثال: فاز Pilot، تحلیل ترافیک برنامه، آماده‌سازی برای مهاجرت به TTP یا Reverse Proxy

12. اشتباهات رایج در انتخاب Operation Mode

انتخاب Offline Protection برای حفاظت دائمی، در حالی که این Mode بیشتر برای Detection و Transition مناسب است.
انتخاب Transparent Inspection با انتظار Block مطمئن مثل Reverse Proxy.
انتخاب Reverse Proxy بدون آماده کردن Certificate، DNS/NAT و تنظیمات X-Forwarded-For.
انتخاب TTP بدون بررسی Bridge/V-zone، مسیر برگشت، VLAN و توپولوژی فیزیکی.
انتخاب WCCP بدون بررسی دقیق FortiGate/Router، Service ID، Redirect و مسیر برگشت.
تغییر Operation Mode در محیط Production بدون Backup و Rollback Plan.
نادیده گرفتن اینکه همه قابلیت‌ها در همه Modeها پشتیبانی نمی‌شوند.

13. چک‌لیست انتخاب Mode قبل از پیاده‌سازی

سوال	اگر پاسخ مثبت است	Mode محتمل
می‌توانید DNS یا NAT سرویس را به FortiWeb تغییر دهید؟	بله، و نیاز به بیشترین قابلیت دارید	Reverse Proxy
نمی‌خواهید IP/DNS سرویس تغییر کند اما FortiWeb می‌تواند Inline باشد؟	بله	True Transparent Proxy
فقط می‌خواهید ترافیک را ببینید و ریسک قطعی نداشته باشید؟	بله	Offline Protection
FortiGate در مسیر دارید و می‌خواهید ترافیک را Redirect کنید؟	بله	WCCP
نیاز به SSL Offloading و HTTP Content Routing دارید؟	بله	Reverse Proxy
Block مطمئن برای حملات نیاز دارید؟	بله	Reverse Proxy یا True Transparent Proxy
سرویس روی AWS/Azure با FortiWeb-VM است؟	بله	Reverse Proxy
در حال POC یا یادگیری ترافیک هستید؟	بله	Offline Protection یا Transparent Inspection

14. جدول مقایسه Operation Modeهای FortiWeb

Mode	نوع توپولوژی	قابلیت Block	نیاز به تغییر DNS/NAT	دید Web Server نسبت به Client IP	SSL/TLS	سناریوی مناسب	جمع‌بندی انتخاب
Reverse Proxy	FortiWeb جلوی Web Server و به‌عنوان Virtual Server	قوی و قابل اتکا	معمولاً بله	معمولاً IP FortiWeb؛ با XFF یا Client Real IP قابل اصلاح است	SSL Offloading/Inspection بسیار مناسب	سایت اینترنتی، API، Portal، سرویس حساس، Load Balancing	بهترین انتخاب برای بیشتر پروژه‌های جدید
True Transparent Proxy	Inline و شفاف، معمولاً با Bridge/V-zone	قوی‌تر از TI و Offline، مناسب Enforcement	کمتر از Reverse Proxy	معمولاً حفظ ساختار شفاف‌تر، وابسته به طراحی	نیازمند طراحی دقیق Certificate/Inspection	دیتاسنتر با محدودیت تغییر IP/DNS، سرویس‌های Legacy	مناسب وقتی تغییر DNS سخت است ولی Enforcement لازم است
Transparent Inspection	Inline شفاف برای Inspection	غیرقابل اتکای کامل برای Block	کم	وابسته به توپولوژی	محدودتر و وابسته به طراحی	مانیتورینگ، Pilot، بررسی ترافیک	برای مشاهده خوب است، برای حفاظت نهایی معمولاً نه
Offline Protection	Out-of-band با SPAN/TAP	قابل تضمین نیست؛ تلاش با TCP RST	خیر، معمولاً فقط SPAN/TAP	FortiWeb در مسیر نیست	برای Detection محدودیت دارد و وابسته به دید ترافیک است	POC، یادگیری، ارزیابی False Positive، Transition	شروع کم‌ریسک، نه Mode نهایی برای حفاظت جدی
WCCP	Redirect ترافیک از FortiGate/Router به FortiWeb	خوب، وابسته به طراحی WCCP	معمولاً کمتر از Reverse Proxy	وب‌سرور IP اینترفیس FortiWeb را می‌بیند، نه IP واقعی Client	نیازمند طراحی FortiGate/FortiWeb و SSL	وقتی FortiGate در مسیر است و نمی‌خواهید FortiWeb Inline فیزیکی باشد	گزینه خوب برای Redirect-based deployment

برای تسهیل در تصمیم گیری FortiNet نیز جدولی برای انتخاب بهتر منتشر کرده است:

FortiWeb Opration Modes

فورتی وب

آخرین بروزرسانی: ۲۵ اردیبهشت ۱۴۰۵
تعداد کلیک: ۳۲