FortiGateのミラーポート機能について

FortiGateの「ミラーポート機能（Mirror Port）」は、ネットワークトラフィックの監視・解析を目的とした非常に重要な機能です。

この機能は、トラフィックのコピーを別のインターフェースへ転送することで、IDS/IPS、パケットキャプチャ、トラフィック分析装置（例：WiresharkやSnortなど）に対してリアルタイムでネットワークの挙動を見せる役割を果たします。

以下に、FortiGateにおけるミラーポート機能の概要、構成方法、注意点、ユースケースなどを詳しく解説します。

FortiGateのミラーポートとは？

ミラーポート（Port Mirroring）は、特定のインターフェースを通過するトラフィックをコピーして別のインターフェースに出力する機能です。

FortiGateでは、CLIから設定を行い、物理インターフェース（またはVLANインターフェース）上で動作します。

パッシブ監視の一種であり、フォレンジック、IDS（侵入検知）、ログ分析などの用途で使われます。

ミラーポートの構成方法（CLI）

ミラーポート機能はGUIからは設定できないため、CLIを使用して設定します。

以下は典型的な設定例です。

例：ポート"port1"のトラフィックを"port3"にミラーする

config system interface
    edit "mirror-interface"
        set type mirror
        set interface "port1"
        set destination "port3"
    next
end

各項目の意味

ミラーポートの使用例

トラフィック解析

• FortiGate上を通過するパケットをキャプチャし、パケットレベルで解析（Wiresharkなど）
• マルウェア感染時の通信挙動を追跡

IDS/IPSとの連携

• SnortやSuricataなどのIDSと組み合わせ、FortiGateを"SPAN元"として使う

コンテンツ検査

• DLPやアプリケーションフィルタの詳細なログを第三者機器に流すことで高度な分析が可能

注意点と制限

ハードウェア制限

• 一部のエントリーレベルのFortiGateモデルでは、ミラーポートがサポートされていない場合があります。
• モデルによってはハードウェアオフロード（ASIC）と相性が悪いため、CPUに負荷がかかることがあります。

ポートの競合

• ミラー対象のインターフェースや出力インターフェースが、他の用途（VLAN、PPPoEなど）に使われていると設定できない場合があります。

ミラーは一方向

• 入出力の両方向をミラーしたい場合は、それぞれ別の設定が必要
• 例：送信と受信を分けて2つのミラーを作る必要がある

帯域制限なし

• ミラーされたトラフィックは帯域制限されずに送信されるため、出力インターフェースの帯域を超えるとドロップの可能性あり

FortiOSのバージョンによる差異

ミラーポート機能の細部は、FortiOSのバージョンやハードウェアプラットフォームにより異なることがあります。

たとえば

• FortiOS 6.0以前：設定できるミラーインターフェース数に制限あり
• FortiOS 7.0以降：複数インターフェースの同時ミラーが可能なモデルも

ミラーポートの代替機能

状況によっては、以下のようなFortiGateの他機能でも目的を達成できる場合があります。

まとめ：FortiGateのミラーポートはこんな時に有効

以上、FortiGateのミラーポート機能についてでした。

最後までお読みいただき、ありがとうございました。