FortiGateのzone設定について

FortiGateにおける「Zone（ゾーン）」の設定は、複雑なネットワーク環境を論理的に整理・簡素化し、セキュリティポリシーの管理を効率化するための強力な機能です。

特に、大規模なネットワークや複数のインターフェースを持つFortiGateを運用する際に、ゾーンを活用することで設定が一貫性を持ち、運用ミスも減らすことが可能になります。

以下では、FortiGateにおけるゾーンの基本から、実際の設定方法、使用上の注意点まで詳しく解説します。

FortiGateのZoneとは？

FortiGateの「Zone」は、複数の物理・仮想インターフェースを1つの論理グループとしてまとめる機能です。

このグループに対してセキュリティポリシーを適用することで、個別のインターフェースごとにポリシーを書く必要がなくなります。

たとえば、「LAN1」「LAN2」「LAN3」という3つのインターフェースが社内ネットワークとして存在するとします。

この3つすべてを同じポリシーでインターネットへ接続させたい場合、各インターフェースに個別にポリシーを書くと冗長になります。

そこで「Internal」というZoneを作り、3つのLANインターフェースをその中に入れてしまえば、「Internal → WAN1」という1本のポリシーで済むのです。

メリット	詳細
セキュリティポリシーの簡素化	複数インターフェースにまたがる同一ポリシーを1本に集約できる
一貫性ある運用	インターフェースの追加や削除が容易。ポリシー側を大きく変更しなくてもよい
可視性の向上	GUIやログで「ゾーン名」でまとめて表示されるため、視認性が上がる
トラブルシューティングが容易	ゾーン単位でのトラフィック監視が可能になる

FortiGateのGUIにログイン
[Network] → [Interfaces] → [Create New] → [Zone]
以下の項目を入力：
- Name: ゾーン名（例：Internal）
- Interface Members: ゾーンに含めるインターフェース（例：lan1, lan2 など）
- Allow Traffic Between Members: チェックを入れると、ゾーン内のインターフェース間通信を許可（入れないと相互通信不可）
[OK]をクリックして保存

[Policy & Objects] → [IPv4 Policy]
[Create New] をクリック
以下を設定：
- Incoming Interface: 作成したゾーン（例：Internal）
- Outgoing Interface: 例えば wan1 など
- その他、適切なサービス・アクションを設定
ポリシーを保存

config system zone
    edit "Internal"
        set interface "lan1" "lan2" "lan3"
        set intrazone enable
    next
end

注意点	説明
インターフェースは1つのゾーンにしか所属できない	インターフェースを複数ゾーンにまたがらせることは不可
ゾーンを削除するにはポリシーからの参照を解除する必要がある	使用中のゾーンは削除できないため、ポリシーなどから外す必要がある
VLANなどの仮想インターフェースもゾーンに入れられる	ただし、その親インターフェースとの整合性に注意
ゾーンを設定した後は、インターフェース単体でポリシーを使えない	ゾーンに含まれたインターフェースは、以降「ゾーン名」でポリシー管理する必要がある

用途	具体例
拠点LANの統合	複数フロアのLANインターフェースを `Internal` ゾーンとしてまとめる
IoT機器用ネットワーク分離	`IoT` ゾーンを作成し、他のゾーンと厳密に通信制御
DMZ環境の簡素化	`DMZ` ゾーンにWebサーバやメールサーバのインターフェースをまとめ、ポリシーで一括制御