ENVÍOS EXPRESS 24H GRATUITOS EN TODOS LOS PEDIDOS 

Cómo habilitar inspección SSL en FortiGate sin perder rendimiento

Cómo habilitar inspección SSL en FortiGate sin perder rendimiento

La inspección SSL en FortiGate es esencial para detectar amenazas ocultas en tráfico cifrado, pero también es una de las funciones que más impacto puede tener en el rendimiento del firewall. En este artículo encontrarás una guía clara para habilitar SSL Inspection sin comprometer la velocidad, la latencia ni la capacidad de tu FortiGate, junto con buenas prácticas para equilibrar seguridad y eficiencia.

Qué es la inspección SSL en FortiGate y por qué afecta al rendimiento

La SSL Inspection (o Deep Packet Inspection, DPI) permite que FortiGate descifre, analice y vuelva a cifrar el tráfico HTTPS. Esto permite aplicar:

  • Antivirus

  • IPS

  • Web Filtering

  • Application Control

  • Detección de malware en tráfico cifrado

Sin embargo, este proceso requiere CPU y, en algunos modelos, también recursos de hardware ASIC. Por eso, una mala configuración puede provocar:

  • Aumento de latencia

  • Caída de throughput

  • Sobrecarga de CPU

  • Problemas con aplicaciones sensibles

Tipos de inspección SSL en FortiGate

FortiGate ofrece dos modos principales, cada uno con impacto distinto en rendimiento:

 1. Full SSL Inspection

FortiGate actúa como man-in-the-middle: descifra, inspecciona y vuelve a cifrar. Ventajas: máxima seguridad. Desventajas: mayor consumo de CPU y posibles incompatibilidades con apps.

 2. Certificate Inspection

Solo inspecciona el certificado sin descifrar el tráfico. Ventajas: impacto mínimo en rendimiento. Desventajas: menor visibilidad y detección.

 3. SSL Offloading (en modelos avanzados)

Descarga parte del proceso a hardware especializado. Ventajas: mejor rendimiento. Desventajas: no disponible en todos los modelos.

Pasos para habilitar SSL Inspection en FortiGate sin perder rendimiento

1. Instala el certificado CA del FortiGate en los equipos

Para evitar errores HTTPS, instala la CA en:

  • Navegadores

  • Sistemas operativos

  • Dispositivos móviles (si aplica)

Esto es obligatorio para Full SSL Inspection.

2. Selecciona el modo de inspección adecuado

En Security Profiles → SSL/SSH Inspection:

  • Usa Certificate Inspection para tráfico general.

  • Usa Full SSL Inspection solo en políticas críticas (navegación web, descargas, tráfico desconocido).

Esta segmentación reduce carga sin perder seguridad.

3. Crea políticas separadas según tipo de tráfico

Divide el tráfico en categorías:

  • Navegación web → Full SSL Inspection

  • Servicios de streaming → Certificate Inspection

  • Tráfico interno confiable → No inspection

  • Aplicaciones sensibles (banca, salud) → Exempt

Esto evita descifrar tráfico que no aporta valor.

4. Excluye dominios problemáticos o de alto volumen

En SSL Inspection → Exemptions, añade:

  • Bancos

  • Plataformas de videoconferencia

  • Servicios cloud críticos

  • Dominios con HSTS estricto

Esto reduce errores y mejora rendimiento.

5. Activa hardware acceleration (si tu modelo lo soporta)

En modelos con CP9/CP10 o NP6/NP7, asegúrate de que:

  • El tráfico pasa por interfaces aceleradas

  • No hay configuraciones que deshabiliten offloading

  • Las políticas permiten flow-based inspection cuando sea posible

Esto puede duplicar o triplicar el throughput.

6. Usa inspección basada en flujo (flow-based) cuando sea viable

En Security Profiles, selecciona:

  • Flow-based en lugar de Proxy-based

Flow-based consume menos recursos y es suficiente para la mayoría de escenarios.

7. Monitoriza el rendimiento tras activar SSL Inspection

Revisa:

  • CPU Usage

  • Session Count

  • Throughput

  • Logs de errores SSL

Si detectas saturación, ajusta políticas o reduce el uso de Full SSL.

Buenas prácticas para maximizar rendimiento con SSL Inspection

  • Mantén el firmware actualizado (mejoras constantes en DPI).

  • Evita inspeccionar tráfico interno de confianza.

  • Usa listas de exclusión para dominios de alto volumen.

  • Prioriza Full SSL solo donde aporta valor real.

  • Revisa compatibilidad con aplicaciones corporativas.

  • Aprovecha perfiles de seguridad ligeros cuando el tráfico es masivo.

Ejemplo de configuración recomendada

Política 1 – Navegación web corporativa

  • Full SSL Inspection

  • Web Filter + IPS + Antivirus

  • Flow-based

Política 2 – Streaming y videoconferencia

  • Certificate Inspection

  • Sin antivirus

  • Sin SSL deep inspection

Política 3 – Tráfico interno

  • No SSL Inspection

  • Solo IPS si aplica

Conclusión

Habilitar la inspección SSL en FortiGate sin perder rendimiento es totalmente posible si se combinan correctamente los modos de inspección, las exclusiones y el uso eficiente de hardware. La clave está en aplicar Full SSL Inspection solo donde realmente aporta seguridad, y optimizar el resto del tráfico con modos más ligeros.

Facebook Twitter LinkedIn WhatsApp
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y razones técnicas, para mejorar tu experiencia de navegación, para almacenar tus preferencias y, opcionalmente, para mostrarte publicidad relacionada con tus preferencias mediante el análisis de tus hábitos de navegación. Hemos incluido algunas opciones de configuración que te permiten decirnos exactamente las cookies que prefieres y las que no. Pulsa ACEPTAR para consentir todas las cookies. Pulsa CONFIGURACIÓN para decidir las opciones que prefieres. Para obtener más información sobre nuestras cookies accede a nuestra Política de cookies aquí: Más información
Aceptar Rechazar Gestionar Cookies