FortiGateの透過モード(トランスペアレントモード)について

FortiGateの透過モード（トランスペアレントモード、Transparent Mode）は、FortiGateがレイヤ2（データリンク層）で動作するモードで、ファイアウォール機能をL2スイッチのようにネットワークに挿入し、IPアドレスの変更なしにセキュリティ制御を行える構成です。

以下では、透過モードの概要、用途、特徴、構成のポイント、ルーティングとの違い、設計上の注意点などを詳しく解説します。

透過モードとは？

透過モード（Transparent Mode）とは、FortiGateをブリッジ（bridge）モードで動作させる設定方法です

FortiGate自身はL2スイッチのように振る舞い、IPアドレスの割り当てやルーティングを必要とせずに通信を通過させながら、ファイアウォール検査を行います。

要点まとめ

利用シナリオとメリット

主な利用シーン

• 既存ネットワークにIP変更を加えずにセキュリティ装置を導入したい場合
• スイッチやルータの間にFortiGateを挟み、外部/内部トラフィックを可視化したい場合
• ゲートウェイ型の構成変更が困難な場合（既存ネットワークへの侵入が困難）

主なメリット

• IPアドレス設計の変更不要
  → FortiGateは通信の送信元・送信先IPに手を加えないため、アドレス体系に影響を与えません。
• 設置が容易
  → ネットワークにL2スイッチのように挿入するだけで導入可能。
• トラフィックの可視化と制御
  → パケット検査やロギング、アプリケーション制御が可能。
• 既存ネットワークとの互換性が高い
  → ゲートウェイとしての機能は使わず、パッシブにセキュリティを追加。

設定と構成のポイント

初期構成の流れ（概要）

1. FortiGateの管理用IPアドレスを1つ設定（ブリッジインターフェースに付与）
2. スイッチポート同様に2つ以上の物理インターフェースを「ブリッジモード」に設定
3. インターフェース間でファイアウォールポリシーを定義（通常通り適用可能）
4. 必要に応じて、NATやセキュリティプロファイル（IPS, AV, DLPなど）を設定

注意点

トランスペアレントモード vs ルーティングモード（NATモード）

代表的なユースケース（ネットワーク例）

例1：社内ネットワークの中間に設置

[スイッチ]---[FortiGate]---[ルータ]

• 社内スイッチとインターネットルータの間に透過モードで設置
• セキュリティ検査・Webフィルタ・ウイルス対策などを追加

例2：DMZ構成に透過的に挿入

[Webサーバ]---[FortiGate]---[ファイアウォール]---[インターネット]

• WebサーバとFWの間に設置し、公開系のトラフィックを検査

補足：CLIでの切り替え例

FortiGateを透過モードに変更するにはCLI操作が必要です（初期セットアップ後の変更は再起動を伴います）。

config system settings
set opmode transparent
end

# 管理IP設定
config system interface
edit "lan"
set ip 192.168.1.254 255.255.255.0
set allowaccess ping https ssh
end

設計時の注意点とベストプラクティス

• スパニングツリーの考慮：L2構成なのでループ防止のためSTPが必要な場合もある
• トラフィックの可視化：フローやログを有効にしておくことで監視が容易に
• セキュリティプロファイルを併用：透過モードでもIPSやアンチウイルス、アプリ制御が使用可能
• VLAN対応：VLANトラフィックにも対応。VLANインターフェースをブリッジに参加させることで処理可能

まとめ

• 既存ネットワークに影響を与えずにファイアウォールやセキュリティ対策を導入したい
• サーバと外部間、クライアントとインターネット間の通信を見える化・制御したい
• フォーティゲートの導入においてIP設計やルーティング変更を避けたいとき

以上、FortiGateの透過モード(トランスペアレントモード)についてでした。

最後までお読みいただき、ありがとうございました。