FortiGate에서 Web 트래픽을 제어하기 위한 탐지 방법으로 두 가지 옵션을 가지고 있습니다.
1. Certificate-inspection
-SSL Certificate-inspection을 사용하게 되면, 실제 암호화된 트래픽을 검사할 수 없습니다.
2. Deep-Inspection
-SSL로 암호화된 트래픽의 payload 데이터 까지 inspection하기 위해서는 SSL Deep-Inspection 이 필요합니다.
SSL Certificate-inspection이용 시 확인 하는 부분
1. SNI(Server Name Indicator)
2. SSL인증서의 subject 또는 subject alternative name
때문에 CN 값이 실제 URL과 다른 경우 원하지 않는 동작을 할 수 있습니다.
v7.0.1부터 SSL 통신관 관련하여 SSL 서버 인증서 정보와 핸드쉐이크 정보를 로그로 표출하는 기능이 추가
https://docs.fortinet.com/document/fortigate/7.0.0/new-features/183724/enhance-tls-logging-7-0-1
Deep Inspection을 사용할 경우 아래와 같은 문제에 대비하여 예외처리가 필요합니다.
https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/329138/preventing-certificate-warnings