Fortinet商品など
FortiGateのローカルブレイクアウト設定について
FortiGate(フォーティゲート)のローカルブレイクアウト(Local Breakout)とは、インターネット向けトラフィックを本社のデータセンターやVPNトンネルを通さずに、拠点(支社)側で直接インターネットへ出す仕組みのことを指します。
SaaS(Microsoft 365 や Google Workspace など)を利用する企業が増えている中で、ローカルブレイクアウトはネットワークの遅延を最小限に抑え、帯域の逼迫を回避するために非常に重要です。
ローカルブレイクアウトの主な用途
- SaaSアプリケーションの快適な利用
- 本社のインターネット回線への負荷軽減
- VPNトラフィックのオフロード
- SD-WAN導入時のパス選定最適化
FortiGateでのローカルブレイクアウト設定手順(基本構成)
以下は SD-WAN 機能を活用したローカルブレイクアウトの代表的な設定フローです。
インターフェースの確認・設定
ローカル回線を利用するため、支社拠点のインターネット接続用の物理インターフェース(例:wan1)が正しく設定されていることを確認します。
SD-WANゾーンへのインターフェース追加
ローカルブレイクアウトは基本的にSD-WANの機能とセットで使うケースが多いため、wan1 を SD-WAN ゾーンに追加します。
config system virtual-wan-link
config members
edit 1
set interface "wan1"
set gateway 192.168.1.1
next
end
end
SD-WAN ルールの設定
宛先に応じて適切なWANインターフェース(インターネット)を選択するようにルールを作成します。
例:Microsoft 365 や Zoom などのSaaSトラフィックをローカルでブレイクアウトさせる
config system sdwan
config service
edit 1
set name "Office365"
set dst "office365"
set priority-members 1 2
next
end
end
set dst "office365"のような特定のアプリケーションを指定するには、アプリケーションベースのSD-WANポリシーが有効である必要があります。
ポリシールーティング(必要に応じて)
ルーティングを制御するために、SD-WAN ではなく手動でポリシールートを設定することもあります。
以下のように構成します。
config router policy
edit 1
set input-device "lan"
set src 192.168.10.0 255.255.255.0
set dst 0.0.0.0 0.0.0.0
set output-device "wan1"
set gateway 192.168.1.1
next
end
セキュリティポリシーの追加
ローカルブレイクアウト後もトラフィックを制御・可視化できるように、インターネットアクセス用のポリシーを設定します。
config firewall policy
edit 10
set name "Internet Access"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
DNSフィルタ・SSLインスペクション・Webフィルタ(オプション)
ローカルで直接インターネットへ出す以上、セキュリティ制御の実装は必須です。
- DNS Filter:悪意あるドメインへのアクセスをブロック
- SSL Inspection:HTTPSトラフィックの中身をチェック
- Web Filter:URLカテゴリごとのアクセス制御
これらをポリシーにバインドして設定しましょう。
FortiGateでローカルブレイクアウトを行う際の注意点
| ポイント | 説明 |
|---|---|
| セキュリティ管理の徹底 | セキュリティ機能がクラウドベースになっていない場合、直接インターネットに出ることで脅威にさらされるリスクがある |
| アプリケーション識別の精度 | SaaSごとにIPレンジやドメインが頻繁に変わるので、アプリ識別の自動更新(Application Control DB)を有効に |
| SD-WANのパフォーマンス監視 | 帯域や遅延、パケットロスによって動的に回線を切り替えるルールを設けるとベター |
| ログと可視化 | FortiAnalyzer などと連携し、ローカルブレイクアウトの影響をモニタリングすることが望ましい |
応用構成:Microsoft 365用のブレイクアウト
Microsoft が提供している Office365 カテゴリ(ドメインベース or IPベース)を使ってSD-WANルールを適用すれば、以下のような振り分けも可能。
- OutlookやTeamsだけローカルブレイクアウト
- Windows UpdateはVPNトンネル経由
- SharePointは帯域に応じてルーティング切替
FortiOSにはこれを支援する「Application Control」「SaaS Control」「Fabric Connector」といった機能もあるため、SaaS利用が多い企業には非常に有効です。
まとめ
FortiGateにおけるローカルブレイクアウトは、ネットワークの高速化と帯域の効率化、そしてセキュアなSaaSアクセスの実現において不可欠な技術です。
要点まとめ
- SD-WANと組み合わせることで柔軟なトラフィック制御が可能
- セキュリティポリシーの適用を忘れずに
- ポリシールートやDNSフィルタ、アプリケーション制御との組み合わせで精度が向上
- FortiAnalyzerやCloud Loggingとの連携で可視化強化も検討を
以上、FortiGateのローカルブレイクアウト設定についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
