FortiGateのNATモードについて

FortiGateには大きく分けて 「NAT/Route（NAT）モード」 と 「Transparent（ブリッジ）モード」 の2種類の動作モードがあります。

そのうち NATモード は、FortiGateがルーターのように動作し、サブネットを分けながら必要に応じてNAT（Network Address Translation）を行う形態です。

企業ネットワークのインターネット接続やUTM導入では、このNATモードが最も一般的に使われています。

NATモードの特徴

• インターフェースにIPアドレスを設定可能
  • WAN、LAN、DMZといった各ポートに異なるサブネットのIPを割り当て可能。
  • FortiGate自身がルーティングを行い、各ネットワークを中継します。
• NATは「任意で有効化」
  • NATモードだからといって常にNATするわけではなく、ポリシーでNATを有効化したときにのみ動作します。
  • 送信元NAT（SNAT）は「出口IFのアドレス」や「IP Pool」を利用可能。
  • 中央管理の Central SNAT を使えば、変換ルールを柔軟に制御できます。
• 公開サーバのアクセス制御が容易
  • 宛先NAT（DNAT）は「Virtual IP（VIP）」として設定し、外部から内部サーバへ転送できます。
  • Static 1:1 NATやPort Forwardingなど用途に応じて使い分け可能。
• セキュリティ機能の適用
  • アプリケーション制御、IPS/IDS、Webフィルタ、アンチウイルスなどのUTM機能を適用可能。
  • NATモードでは境界を明確に分けるため、ポリシーベースでトラフィックを細かく制御できます。

NATの代表的な種類

• SNAT（送信元NAT）
  内部クライアントのプライベートIPを、外部通信時にグローバルIPへ変換。
  例：192.168.1.10 → 203.x.x.x
• DNAT（宛先NAT / VIP）
  外部からのアクセスを内部サーバに振り分ける。
  例：203.x.x.x:80 → 192.168.1.100:80
• 双方向NAT
  Static VIPやSNATを組み合わせることで、送受信両方向で対応するアドレス変換を実現可能。
  CLIの set nat-source-vip enable を使えば、VIPに対して双方向的な変換を適用できます。

NATモードとTransparentモードの違い

補足：透明モードは「通常はアドレス変換を行わない」と説明されることがありますが、実際にはCLIでNATを有効化可能です。

利点と注意点

• 利点
  • 内部ネットワークをプライベートIPで運用しつつ、外部アクセスはグローバルIPに変換。
  • セキュリティポリシーを明確に設定でき、UTM機能をフル活用可能。
• 注意点
  • 導入時にルーティング設計を見直す必要がある。
  • Transparentモードと比べて導入影響は大きめ。

まとめ

FortiGateのNATモードは、企業ネットワークにおいて最も一般的な導入形態です。

内部ネットワークの隠蔽、外部公開サーバの制御、柔軟なセキュリティ適用といった点で優れており、境界ファイアウォールとしての役割を果たす際に基本となります。

以上、FortiGateのNATモードについてでした。

最後までお読みいただき、ありがとうございました。