【FortiGate】インターネットサービスデータベースを利用した通信経路制御【インターネットブレイクアウト】

ファイアウォール(UTM)

はじめに

最近では様々なクラウドサービスが提供されていて、クラウド向けの通信量が激増しています。

拠点を展開している企業では、拠点と本社間を閉域網で接続して以下のような通信を行っているケースが良くあるかと思います。

  • 本社サーバ向けの業務用通信
  • 本社を経由したインターネット通信

この場合、クラウドサービス向けの多大な通信も閉域網を通ることになり、業務通信への影響が懸念されます。そのため閉域網としてはより高品質・高コストの回線を選択する必要が発生します。

ここで、拠点からクラウドサービスへの通信のみ拠点から直接インターネットへ抜けて通信すれば、閉域網の負荷を軽減できます。

このように、特定のクラウドサービスについてのみ経路を分けて直接インターネット回線から通信させることをインターネットブレイクアウト(ローカルブレイクアウトとも)と言います。

拠点側で、閉域網とは別にインターネット回線を契約している前提です。

ISDB(インターネットサービスデータベース)とは

FortiGate には以下のような ISDB があり、これを利用してインターネットブレイクアウトを実現できます。

  • ISDB は、IP アドレス範囲、IP 所有者、サービスポート番号、および IP セキュリティの信頼性を組み合わせた包括的なパブリック IP アドレスデータベースです
  • データは FortiGuard サービスシステムから自動取得されます
  • このデータベースには、地理的な場所、IP レピュテーション、人気と DNS などの情報が定期的に追加されます
  • ライセンスが有効であれば 1 日 1 回の頻度で更新されます
  • FortiOS バージョン 6.0 以降、インターネットサービスはポリシーの送信元オブジェクトと宛先オブジェクトのどちらでも適用できます

ポリシーに適用できるインターネットサービスには次の 3 つのタイプがあります。

  • 事前定義されたインターネットサービス
  • カスタムインターネットサービス
  • 拡張インターネットサービス

通常は事前定義されたインターネットサービスを利用することが多いかと思います。

GUI では [ポリシー&オブジェクト > インターネットサービスデータベース] 画面で一覧を確認できます。

インターネットブレイクアウト設定例

Microsoft 365 (Office 365) 宛の通信のみ拠点から直接インターネットへ抜けて通信させる場合の設定例を記載します。

作業環境

  • 型番: FortiGate 60E
  • バージョン: 6.4.5

以下のような構成における拠点の FortiGate を対象に、Microsoft Office 365 へ通信するための設定を行います。

なお、拠点と本社間で通信するための IPsec 設定等は完了している前提とします。

設定内容概要

設定する内容は以下の通りです。

  1. ISDB(インターネットサービスデータベース)を使用したポリシーの設定
  2. ISDB を使用したスタティックルートの設定

ISDB には Microsoft 365 (Office 365) も含まれているため、それを利用して設定していきます。

ISDB を使用したポリシーの設定

[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。

新規ポリシー画面で次の通り設定します。

  • 発信インターフェース: インターネット向けのインターフェース(例では wan1)
  • 宛先:
    • インターネットサービスを選択
    • 「office」で検索し、Microsoft-Office365 を選択
  • その他: 要件に合わせて設定

サービス情報(ポート番号情報)はインターネットサービスに含まれるため、[サービス] 設定項目は表示が消えます。

動作確認時にログを確認するため、ロギングオプションですべてのセッションを選択します。

ポリシー作成後、ポリシーの順番を変更します。デフォルトルートを本社宛にしている場合は、本社への通信を許可するポリシーよりも先に上で作成したポリシーが適用されるような順へ変更します。

ISDB を使用したスタティックルートの設定

Microsoft 365 (Office 365) 宛のスタティックルートを設定します。

[ネットワーク > スタティックルート] 画面で [新規作成] をクリックします。

新規スタティックルート画面で次の通り設定します。

  • 宛先:
    • インターネットサービス
    • Microsoft-Office365
  • ゲートウェイアドレス: インターネットへのゲートウェイアドレス
  • インターフェース: インターネット向けのインターフェース(例では wan1)
  • ステータス: 有効化済み

設定後の動作確認

Microsoft 365 (Office 365) へアクセスした上でログを確認します。

ポリシー編集画面ではポリシーが適用されてトラフィックが発生していることを確認できます。

[ダッシュボード > ネットワーク > ルーティング > ポリシー] 画面では設定したスタティックルートが適用されていることを確認できます。

[ログ&レポート > 転送トラフィック] 画面で、Microsoft-Office365 サービスのトラフィックが発生していることを確認できます。

参考資料

Using Internet Service in policy | Administration Guide
Office365 ネットワーク・セキュリティ ソリューション|ソリューション|ネットワークセキュリティのフォーティネット
Microsoft Office 365の利用に際し、インフラの負荷軽減やセキュリティの向上に役立つセキュリティソリューションを提供しています。フォーティネットは、様々な製品を効果的に組み合わせ、万全のセキュリティを確立するソリューションを構築します。

Microsoft Office 365 用 FortiGate SD-WAN 設定ガイド(https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-sd-wan-setup-for-office365.pdf)

―――――――――――――

タイトルとURLをコピーしました