FortiGateのポート開放について

2025-10-07

ポート開放の基本概念

FortiGateでいう「ポート開放」とは、外部ネットワーク（インターネットなど）から内部ネットワーク上のサーバやサービスへアクセスできるようにすることです。

具体的には、VIP（Virtual IP: DNAT設定）とファイアウォールポリシーを組み合わせて制御します。

設定の基本ステップ

VIPの作成
外部IPと内部サーバIPをマッピングします。必要に応じてポート番号も変換可能です。
例：外部 203.0.113.10:80 → 内部 192.168.1.10:80
サービスの定義
HTTP(80) や HTTPS(443) など標準サービスはプリセット済み。カスタムポート（例：8080）が必要なら新規作成。
ファイアウォールポリシーの作成
WAN→LAN方向の通信を許可し、宛先に作成したVIPを指定します。必要に応じてアクセス元IPを制限することでセキュリティを強化できます。

GUIによる設定手順

VIPの作成
- [ポリシー & オブジェクト] → [仮想IP] → [新規作成]
- 名前を入力（例：VIP_WebServer80）
- 外部IPまたはインターフェースのIPを指定
- 内部サーバIPを入力
- 「ポートフォワード」を有効にして外部ポートと内部ポートを指定
サービスの確認／作成
- [ポリシー & オブジェクト] → [サービス]
- デフォルトに無いポートは「新規作成」で追加
IPv4ポリシーの作成
- 送信元インターフェース＝WAN
- 宛先インターフェース＝LAN
- 送信元アドレス＝任意（または制限IP）
- 宛先アドレス＝作成したVIP
- サービス＝対象ポート
- アクション＝Accept
- 「ログ有効化」を推奨

CLIによる設定例

# VIP作成
config firewall vip
    edit "VIP_WebServer80"
        set extintf "wan1"
        set extip 203.0.113.10
        set mappedip "192.168.1.10"
        set portforward enable
        set protocol tcp
        set extport 80
        set mappedport 80
    next
end

# ポリシー作成
config firewall policy
    edit 1
        set name "WAN_to_Web80"
        set srcintf "wan1"
        set dstintf "lan"
        set srcaddr "all"              # 可能なら制限推奨
        set dstaddr "VIP_WebServer80"
        set action accept
        set service "HTTP"
        set schedule "always"
        set logtraffic all
    next
end

セキュリティ上の注意点

アクセス元を制限
可能な限り特定のIPや地域に限定してください。特にRDP(3389)などはVPN経由利用が推奨です。
管理ポートはLocal-In Policyで制御
FortiGate自身の管理アクセス（HTTPS, SSH, VPN）はVIPではなくLocal-In Policyで制御します。
NATの扱い
通常はVIPによるDNATで十分。非対称ルーティングが起きる場合のみSNAT（set nat enable）を検討。
HTTPS公開時の検査
アプリ層検査を行いたい場合はFortiGateのWAF機能やリバースプロキシを併用します。単純なSSLインスペクションでは仕組みが異なります。
ログ監視・IPS併用
常時ログを有効化し、IPSやアプリケーション制御を組み合わせて監視することが望ましいです。