کد 73

Flow-based و Proxy-based در FortiGate چه فرقی دارند؟

این مقاله تفاوت Flow-based و Proxy-based در FortiGate / FortiOS 7.6 را توضیح می‌دهد و بررسی می‌کند هر Inspection Mode چطور کار می‌کند، چه اثری روی Performance و مدیریت FortiGate دارد، کدام Security Profileها باید با دقت بیشتری طراحی شوند، در چه سناریویی Flow یا Proxy مناسب‌تر است و ادمین‌ها قبل از فعال‌سازی Proxy-based باید چه چک‌لیستی را بررسی کنند.
Flow-based و Proxy-based در FortiGate 7.6 چه فرقی دارند؟

Flow-based و Proxy-based در FortiGate چه فرقی دارند؟

Inspection Mode در FortiGate مشخص می‌کند ترافیک عبوری از یک Firewall Policy چطور توسط Security Profileها بررسی شود. در FortiOS 7.6، FortiGate از دو مدل اصلی Flow-based و Proxy-based پشتیبانی می‌کند. انتخاب بین این دو فقط یک گزینه ساده در Policy نیست؛ روی Performance، میزان تأخیر، قابلیت‌های قابل استفاده در Security Profileها، عیب‌یابی، طراحی SSL Inspection و حتی پایداری بعد از Upgrade اثر مستقیم دارد.

این مقاله بر اساس FortiGate / FortiOS 7.6 نوشته شده است و هدفش این است که ادمین بداند در چه سناریویی Flow بهتر است، کجا Proxy ارزش دارد، Security Profileها را چطور جدا کند و قبل از فعال‌سازی چه دقت‌هایی لازم است.

خلاصه مدیریتی: برای بیشتر Policyهای پرترافیک و اینترنت کاربران، Flow-based انتخاب منطقی‌تر و سبک‌تر است. برای سناریوهایی که کنترل عمیق‌تر محتوا، قابلیت‌های Proxy-only یا بررسی کامل‌تر Payload لازم است، Proxy-based می‌تواند مناسب باشد؛ اما باید با دقت، محدود و روی دستگاهی که از نظر منابع و Feature Support مناسب است استفاده شود.

مروری بر این مقاله

  1. Inspection Mode در FortiGate چیست؟
  2. Flow-based Inspection چطور کار می‌کند؟
  3. Proxy-based Inspection چطور کار می‌کند؟
  4. تفاوت Flow و Proxy در عمل
  5. اثر Inspection Mode روی مدیریت FortiGate
  6. Feature Set در Security Profileها یعنی چه؟
  7. چه زمانی Flow-based انتخاب کنیم؟
  8. چه زمانی Proxy-based انتخاب کنیم؟
  9. طراحی Security Profileها برای Flow و Proxy
  10. نمونه کانفیگ GUI و CLI در FortiOS 7.6
  11. نکات مهم برای SSL Inspection
  12. عیب‌یابی و Audit بعد از تغییر Mode
  13. جدول مقایسه نهایی

1. Inspection Mode در FortiGate چیست؟

وقتی روی یک Firewall Policy در FortiGate، Security Profileهایی مثل Antivirus، Web Filter، DNS Filter، Application Control، IPS، DLP یا File Filter فعال می‌کنید، FortiGate باید تصمیم بگیرد ترافیک را به چه روشی بررسی کند. این روش همان Inspection Mode است.

در FortiOS 7.6، دو حالت اصلی وجود دارد:

  • Flow-based Inspection
  • Proxy-based Inspection

طبق مستندات رسمی Fortinet، FortiOS در Firewall Policy از هر دو حالت پشتیبانی می‌کند. در Flow-based، FortiGate از Packetهای محتوا Snapshot می‌گیرد و با Pattern Matching تهدید را تشخیص می‌دهد. در Proxy-based، محتوا را بازسازی و سپس برای تهدیدهای امنیتی بررسی می‌کند.

نکته عملیاتی: انتخاب درست بین Flow-based و Proxy-based فقط زمانی اثر امنیتی واقعی دارد که دیتابیس‌های امنیتی FortiGate به‌روز باشند. پروفایل‌هایی مثل Antivirus، IPS و Application Control برای تشخیص تهدیدهای جدید، Exploitها، بدافزارها و ابزارهای دور زدن Policy به Signatureهای به‌روز وابسته‌اند. در سازمان‌هایی که دسترسی پایدار به به‌روزرسانی‌های امنیتی ندارند، سرویس سیبتا می‌تواند به حفظ اثربخشی Security Profileها کمک کند.

2. Flow-based Inspection چطور کار می‌کند؟

در Flow-based، FortiGate ترافیک را در مسیر عبور بررسی می‌کند. یعنی قرار نیست الزاماً کل فایل، کل صفحه وب یا کل Payload را کامل نگه دارد و بعد تصمیم بگیرد. موتورهای امنیتی روی جریان ترافیک کار می‌کنند و با استفاده از Signature، Pattern Matching، Context و Engineهای امنیتی تشخیص می‌دهند که ترافیک مجاز است یا باید Drop/Block شود.

Flow-Base

مزیت‌های Flow-based

  • سبک‌تر و مناسب‌تر برای ترافیک پرتعداد و پرترافیک است.
  • Latency کمتری نسبت به Proxy-based دارد.
  • برای Policyهای عمومی مثل اینترنت کاربران، Guest Network و شعب معمولاً انتخاب بهتری است.
  • با Security Profileهای رایج مثل IPS، Application Control، DNS Filter، Web Filter و Antivirus قابل استفاده است.
  • در FortiGateهای کوچک و محیط‌هایی که منابع محدود است، انتخاب محافظه‌کارانه‌تری محسوب می‌شود.

محدودیت‌های Flow-based

  • بعضی قابلیت‌های پیشرفته Security Profile در Flow وجود ندارد یا محدودتر است.
  • برای سناریوهایی که نیاز به بازسازی کامل محتوا دارند، همیشه بهترین انتخاب نیست.
  • برخی Featureها مثل Web Quota، WAF در FortiGate، Inline CASB یا CDR در Proxy-based معنا پیدا می‌کنند.

3. Proxy-based Inspection چطور کار می‌کند؟

در Proxy-based، FortiGate نقش فعال‌تری در ارتباط می‌گیرد. ترافیک عبوری از Policy را Buffer یا Reconstruct می‌کند، محتوا را کامل‌تر بررسی می‌کند و بعد اجازه عبور یا Block می‌دهد. در مستندات Fortinet توضیح داده شده که در Proxy Mode، Packetهای مربوط به فایل، ایمیل یا صفحه وب می‌توانند نگه داشته شوند تا کل Payload از نظر Virus، Spam یا لینک مخرب بررسی شود.

Client  →  FortiGate Proxy Inspection  →  Server
           Buffer / Reconstruct / Inspect / Forward or Drop

Proxy-Base  

مزیت‌های Proxy-based

  • برای بررسی عمیق‌تر محتوا مناسب‌تر است.
  • بعضی قابلیت‌ها فقط در Proxy-based در دسترس هستند یا کامل‌تر کار می‌کنند.
  • برای سناریوهای محدود و حساس مثل DLP، کنترل فایل، Web Quota، WAF یا Inline Sandbox ارزشمند است.
  • در مواردی که لازم است FortiGate پیام جایگزین، Client Comforting یا کنترل دقیق‌تر روی Payload داشته باشد، کاربرد دارد.

محدودیت‌های Proxy-based

  • مصرف CPU/RAM بیشتری دارد.
  • ممکن است Latency را افزایش دهد.
  • عیب‌یابی آن سخت‌تر است، چون FortiGate در مسیر ارتباط نقش Proxy فعال‌تری دارد.
  • روی بعضی مدل‌های کوچک یا مدل‌های دارای RAM محدود، برخی قابلیت‌های Proxy پشتیبانی نمی‌شوند.
  • اگر روی همه Policyها بدون طراحی فعال شود، می‌تواند مدیریت، Upgrade و Troubleshooting را پیچیده کند.

4. تفاوت Flow و Proxy در عمل

مورد Flow-based Proxy-based
روش بررسی بررسی ترافیک در جریان عبور Buffer یا Reconstruct و بررسی کامل‌تر محتوا
Performance بهتر برای Throughput و ترافیک زیاد سنگین‌تر و وابسته‌تر به منابع دستگاه
Latency کمتر بیشتر، مخصوصاً روی فایل یا محتوای حجیم
Featureهای پیشرفته بعضی موارد محدودتر بعضی قابلیت‌ها فقط اینجا پشتیبانی می‌شوند
کاربرد رایج اینترنت کاربران، Guest، شعب، Policyهای پرترافیک Policyهای حساس، کنترل محتوا، DLP، Web Quota، WAF، CDR
ریسک اختلال کمتر بیشتر، به‌خصوص با SSL Deep Inspection یا اپلیکیشن‌های حساس
مدیریت روزمره ساده‌تر نیازمند دقت بیشتر در منابع، Feature Support و لاگ‌ها

InspectionModes01  

5. اثر Inspection Mode روی مدیریت FortiGate

انتخاب Inspection Mode فقط روی امنیت اثر ندارد؛ روی مدیریت روزمره FortiGate هم تأثیر جدی دارد.

  • ممکن است بعضی تنظیمات Security Profile در GUI فقط وقتی دیده شوند که Feature Set درست انتخاب شده باشد.
  • برخی UTM Profileها در GUI مخفی‌اند و فقط از CLI قابل تنظیم هستند؛ برای اعمال آن‌ها روی Policy باید utm-status فعال باشد.
  • در بعضی Profileها، Featureها بین Flow و Proxy فرق دارند؛ مثلاً Web Filter، Antivirus، Email Filter و DLP رفتار و قابلیت‌های متفاوتی دارند.
  • روی مدل‌های دارای RAM محدود، بعضی Proxy-related features پشتیبانی نمی‌شوند.
  • بعد از Upgrade باید بررسی شود Policyها، Profileها و Featureهای وابسته به Proxy همچنان درست هستند.
هشدار عملیاتی: اگر Profile را بدون توجه به Mode بنویسید، ممکن است تصور کنید قابلیتی فعال است اما در همان Mode اثر کامل ندارد یا اصلاً روی آن Policy پشتیبانی نمی‌شود. همیشه Mode Policy و Feature Set پروفایل را با هم بررسی کنید.

6. Feature Set در Security Profileها یعنی چه؟

در FortiGate بعضی Security Profileها می‌توانند Feature Set مربوط به Flow یا Proxy داشته باشند. یعنی ممکن است خود Firewall Policy روی یک Inspection Mode باشد، اما Profile هم تنظیمات متفاوتی برای حالت Flow یا Proxy نشان دهد. Fortinet در مستندات Feature Comparison توضیح می‌دهد که بعضی Profileها از نظر Feature بین Flow و Proxy تفاوت دارند و از GUI و CLI می‌توان Feature Set را روی Flow-based یا Proxy-based گذاشت تا فقط تنظیمات همان Mode نمایش داده شود.

این موضوع مخصوصاً برای این Profileها مهم است:

  • Antivirus
  • Web Filter
  • Email Filter
  • DLP
  • File Filter
پیشنهاد Partian: برای جلوگیری از اشتباه، اسم Profileها را طوری انتخاب کنید که Mode داخل نام مشخص باشد؛ مثل WF-Users-Flow یا AV-Finance-Proxy.

7. چه زمانی Flow-based انتخاب کنیم؟

در FortiOS 7.6، برای بیشتر سناریوهای عمومی، Flow-based انتخاب منطقی‌تری است. مخصوصاً وقتی هدف اصلی این است که ترافیک کاربران با Security Profileهای رایج بررسی شود اما Performance و پایداری هم مهم باشد.

سناریوهای مناسب Flow-based

  • Policy اینترنت کاربران سازمان
  • Guest Network
  • شعب سازمانی با منابع محدود
  • Policyهای پرترافیک
  • ترافیک عمومی با IPS، Application Control، DNS Filter و Web Filter
  • محیط‌هایی که Latency پایین مهم است
  • FortiGateهای کوچک یا مدل‌هایی که Proxy Feature محدود دارند

نمونه طراحی برای کاربران

بخش پیشنهاد
Inspection Mode Flow-based
Web Filter Flow Feature Set با Categoryهای سازمانی
DNS Filter فعال، مخصوصاً برای Malware، Phishing و Botnet C&C
Application Control فعال برای کنترل Proxy، Remote Access، DoH و ابزارهای دور زدن
IPS فعال با Profile مناسب Client-to-Internet
Antivirus Flow-based برای دانلود و ترافیک عمومی
SSL Inspection Certificate Inspection یا Deep Inspection محدود و مرحله‌ای

8. چه زمانی Proxy-based انتخاب کنیم؟

Proxy-based زمانی ارزش دارد که کنترل عمیق‌تر محتوا از Performance مهم‌تر باشد یا Feature خاصی نیاز داشته باشید که در Flow پشتیبانی نمی‌شود یا محدود است. Fortinet در مستندات Proxy Mode نمونه‌هایی مثل Video Filter، Inline CASB، Web Application Firewall، Content Disarm and Reconstruction، Web Quota و Sandbox Inline Scanning را به‌عنوان قابلیت‌هایی معرفی می‌کند که در Proxy نسبت به Flow در دسترس‌اند.

سناریوهای مناسب Proxy-based

  • واحدهای حساس مثل مالی، منابع انسانی یا تیم‌های دارای داده محرمانه
  • Policyهایی که DLP یا کنترل فایل برایشان مهم است
  • سناریوهای Web Quota یا کنترل دقیق‌تر Web Filter
  • جایی که CDR یا Sandbox Inline Scanning واقعاً نیاز است
  • Policyهای محدود با ترافیک قابل پیش‌بینی، نه کل اینترنت سازمان
  • سناریوهایی که FortiGate قرار است به‌عنوان Explicit Proxy یا ZTNA Gateway استفاده شود
نکته مهم: Proxy-based را روی همه Policyها فعال نکنید مگر اینکه دلیل روشن داشته باشید. Fortinet هم توصیه می‌کند قابلیت‌های موردنیاز را قبل از انتخاب Flow یا Proxy بررسی کنید و برای بهینه‌سازی Performance، استفاده یکنواخت از Scan Mode در Policyها می‌تواند کمک‌کننده باشد.

9. طراحی Security Profileها برای Flow و Proxy

یکی از اشتباهات رایج این است که ادمین یک Profile عمومی می‌سازد و آن را روی همه Policyها می‌گذارد. در FortiGate بهتر است Profileها بر اساس نوع کاربر، نوع ترافیک، حساسیت سرویس و Inspection Mode جدا شوند.

نام‌گذاری پیشنهادی

WF-Users-Flow
AV-Users-Flow
IPS-Users-Flow
APP-Users-Flow
DNS-Users

WF-Finance-Proxy
AV-Finance-Proxy
DLP-Finance-Proxy
SSL-Deep-Finance

پروفایل کاربران عادی

  • Policy Mode: Flow-based
  • DNS Filter: فعال و سخت‌گیرانه برای دسته‌های مخرب
  • Web Filter: دسته‌بندی‌های سازمانی و Static URL طبق نیاز
  • Application Control: کنترل Proxy، VPN، Remote Access و DoH
  • IPS: Client Protection یا Profile سفارشی سبک
  • AV: Flow-based

پروفایل سرورها

  • برای Server VLAN معمولاً Flow-based کافی است، مگر نیاز مشخص به Proxy وجود داشته باشد.
  • ابتدا Monitor کنید و سپس Block را مرحله‌ای اعمال کنید.
  • IPS را متناسب با سرویس واقعی سرور تنظیم کنید، نه یک Profile عمومی سنگین.
  • DNS/Web Filter خروجی سرورها را برای Repository، Update Server و Vendorها با Allow List مستند کنید.

پروفایل واحدهای حساس

  • اگر نیاز به DLP، CDR یا کنترل فایل دقیق دارید، Proxy-based را فقط روی همان Policy محدود بررسی کنید.
  • Deep Inspection را عمومی فعال نکنید؛ Scope را محدود کنید.
  • Log کامل به FortiAnalyzer ارسال شود.
  • قبل از Block نهایی، چند روز Monitor و Exceptionها مستند شوند.

10. نمونه کانفیگ GUI و CLI در FortiOS 7.6

تغییر Inspection Mode در GUI

در GUI، هنگام ساخت یا ویرایش Firewall Policy، در بخش Security Profiles یا Advanced Settings، گزینه Inspection Mode را بررسی کنید. مسیر کلی:

Policy & Objects > Firewall Policy > Edit Policy > Security Profiles > Inspection Mode

سپس بسته به سناریو یکی از این دو گزینه را انتخاب کنید:

Flow-based
Proxy-based

نمونه Policy با Flow-based

config firewall policy
    edit 101
        set name "Users-to-Internet-Flow"
        set srcintf "Users-VLAN"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
        set inspection-mode flow
        set utm-status enable
        set ssl-ssh-profile "certificate-inspection"
        set webfilter-profile "WF-Users-Flow"
        set dnsfilter-profile "DNS-Users"
        set application-list "APP-Users-Flow"
        set ips-sensor "IPS-Users-Flow"
        set av-profile "AV-Users-Flow"
        set logtraffic all
    next
end

نمونه Policy با Proxy-based

config firewall policy
    edit 201
        set name "Finance-to-Internet-Proxy"
        set srcintf "Finance-VLAN"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
        set inspection-mode proxy
        set utm-status enable
        set ssl-ssh-profile "SSL-Deep-Finance"
        set webfilter-profile "WF-Finance-Proxy"
        set av-profile "AV-Finance-Proxy"
        set dlp-profile "DLP-Finance-Proxy"
        set logtraffic all
    next
end
توجه: نام دقیق بعضی Profileها و پارامترها به Feature Visibility، مدل دستگاه، لایسنس، Patch Version و فعال بودن قابلیت‌ها بستگی دارد. قبل از اجرای Script در Production، روی همان دستگاه از علامت سؤال و دستور show استفاده کنید.

11. نکات مهم برای SSL Inspection

Flow یا Proxy هر دو می‌توانند با SSL Inspection درگیر شوند، اما هرچه Inspection عمیق‌تر باشد، ریسک اختلال و مصرف منابع بیشتر می‌شود. بنابراین SSL Inspection باید جداگانه طراحی شود، نه اینکه فقط به‌خاطر انتخاب Proxy، همه ترافیک را Deep Inspect کنید.

سناریو پیشنهاد
کاربران عمومی شروع با Certificate Inspection یا Deep Inspection محدود برای دسته‌های مشخص
واحد حساس Deep Inspection کنترل‌شده با نصب CA روی Clientها و Exception مستند
سرورها با احتیاط؛ فقط روی ترافیک‌های مشخص و بعد از بررسی سازگاری برنامه
اپلیکیشن‌های حساس به Certificate Pinning معمولاً نیازمند Exception یا طراحی جداگانه
هشدار: فعال‌سازی عمومی Deep Inspection می‌تواند باعث خطای Certificate، اختلال در اپلیکیشن‌ها، مشکل روی Mobile Appها و افزایش مصرف منابع شود. همیشه Scope، Exception و Rollback Plan داشته باشید.

12. عیب‌یابی و Audit بعد از تغییر Mode

بعد از تغییر Inspection Mode یا Profileها، فقط باز شدن سایت‌ها کافی نیست. باید Policy Hit، Log، Security Event و رفتار Profileها بررسی شود.

دستورهای مفید

show firewall policy
show firewall policy 101
show webfilter profile
show antivirus profile
show firewall ssl-ssh-profile

get system status
get hardware status

برای بررسی Flow Debug:

diagnose debug reset
diagnose debug flow filter addr <client-or-server-ip>
diagnose debug flow show function-name enable
diagnose debug enable
diagnose debug flow trace start 50

بعد از تست:

diagnose debug disable
diagnose debug reset

مواردی که باید Audit شوند

  • آیا Policy واقعاً روی Mode موردنظر است؟
  • آیا utm-status فعال است؟
  • آیا Profileهایی که انتخاب شده‌اند با همان Mode سازگارند؟
  • آیا Logهای UTM در FortiAnalyzer دیده می‌شوند؟
  • آیا بعد از Upgrade، Profile یا Feature حذف یا غیرفعال نشده است؟
  • آیا مدل FortiGate برای Proxy Featureهای موردنیاز منابع کافی دارد؟

13. جدول مقایسه نهایی

معیار Flow-based Proxy-based پیشنهاد عملیاتی
ترافیک کاربران عمومی مناسب معمولاً غیرضروری Flow را پیش‌فرض بگیرید
Guest Network مناسب به‌ندرت لازم Flow با DNS/Web/App Control
واحدهای حساس قابل استفاده در صورت نیاز مناسب Proxy فقط برای Policy محدود
DLP و کنترل فایل برخی قابلیت‌ها محدود کامل‌تر قبل از پیاده‌سازی Feature Comparison را چک کنید
Web Quota / WAF / CDR محدود یا غیرقابل استفاده مناسب نیاز واقعی را بررسی کنید
Performance بهتر مصرف بیشتر برای ترافیک بالا Flow
Troubleshooting ساده‌تر پیچیده‌تر در Proxy لاگ و مستندسازی دقیق‌تر لازم است
مدل‌های کوچک مطمئن‌تر ممکن است محدود باشد RAM و Data Sheet را بررسی کنید

14. چک‌لیست پیشنهادی برای ادمین‌ها

مورد وضعیت مطلوب
نسخه مقاله و کانفیگ با FortiOS 7.6 و Patch Version دستگاه تطبیق داده شده باشد
مدل دستگاه RAM و پشتیبانی Proxy-related features بررسی شده باشد
Policy Mode برای هر Policy، Flow یا Proxy آگاهانه انتخاب شده باشد
Feature Set در Profileهایی مثل Web Filter و AV، حالت Flow/Proxy درست انتخاب شده باشد
نام‌گذاری Mode داخل نام Profile مشخص باشد
SSL Inspection Scope، CA، Exception و Rollback Plan مشخص باشد
Log Logهای UTM و Traffic به FortiAnalyzer ارسال شوند
Upgrade Audit بعد از Upgrade، Policyها و Profileها مجدد بررسی شوند
Proxy Scope Proxy فقط روی Policyهایی استفاده شود که واقعاً به قابلیت‌های آن نیاز دارند

آخرین بروزرسانی
۸ خرداد ۱۴۰۵ 
تعداد کلیک
۲