本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア2年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜お問い合わせ NO.5 Transparent mode＞

FortiGate を利用想定です。

• トランスペアレントモードで NGFW 機能は NAT モード同様に使用できますか？
• トランスペアレントモードで L2 通信のフォワーディングは可能ですか？

というお問い合わせをいただきました。

トランスペアレントモードは FortiGate の基本機能で、既存環境を変更せずにトラフィックに対してセキュリティスキャンをかけることができます。
また L2 スイッチのようにポートごとにVLANフレームを振り分けることが可能です。
今回はトランスペアレントモードの基本的な説明に加えて、フォワーディングドメインについて紹介していきます。
FortiGate の OS は 6.0 です。

＜トランスペアレントモード＞

FortiGate では NAT モードとトランスペアレント（透過）モード（以下 TP モード）の2種類の動作モードを選択できます。
TP モードは既存のネットワーク環境を変更せずに FortiGate を導入することができるソリューションです。
IP アドレスは FortiGate のマネジメント IP アドレスを設定するだけで、簡単に導入できます。
L3 スイッチ、ルータ配下に設置することで内部ネットワークをセキュリティの強化が可能です。

図は導入イメージです。

FortiGate はデフォルトでは NAT モードで動作しているため、TP モードに変更する必要があります。
CLI から変更が可能です。

TP モードに変更後は GUI の設定から動作モード、管理 IP アドレスの変更ができます。

＜L2 フォワードドメイン（転送ドメイン）＞

TP モードの FortiGate では L2 ブロードキャストフレームは全てのポートに転送されます。
これは FortiGate がブリッジとして動作しており、デフォルトで全てのポートが同じ VLAN、転送ドメインに所属しているためです。
転送ドメインを変更することで、受信した VLAN フレームをあらかじめ設定したポートごとに振り分けることが可能です。
また転送ドメインを設定することにより、不要なブロードキャストを減らすことができます。

転送ドメインは CLI から設定できます。
作成した VLAN とポートに転送ドメインを割り当てます。

同じ転送ドメイン ID を持つポートと VLAN でファイアウォールポリシーを作成します。

この時、異なる転送ドメイン ID に属するインターフェースでポリシーを作ろうとすると以下のようなエラーが出ます。

デフォルトでは全てのインターフェースは転送ドメインの ID0 に属しています。
そのため設定した転送ドメインを元に戻したい場合は CLI より対象のインターフェースの転送ドメイン ID を 0 に設定する必要があります。

----------------------

検証後記

トランスペアレントモードについてはお問い合わせも非常に多いです。
実際に FortiGate を導入する際は既存のネットワークに設置しますが、トランスペアレントモードを用いれば、既存環境の IP アドレスの変更やルータの設定引き継ぎを行わずともセキュリティの強化が可能となるソリューションです。

NAT モードと同様に様々な機能が使用できますが、SSL-VPN 等の一部機能についてはトランスペアレントモードでは使用不可の場合があるため、注意が必要です。

以上