【Fortigate】アドレスオブジェクト(サブネット・IP範囲・FQDN・ジオグラフィ)の設定と動作確認 FortiOS6.4.3

Fortigate

セキュリティポリシーを設定する際に、制限をかけるIPアドレスなどをアドレスオブジェクトとして設定します。 設定できるアドレスオブジェクトはIPアドレス(サブネット、IP範囲)だけでなく、FQDN・ジオグラフィなども指定しての設定も可能です。

アドレスオブジェクトは、ポリシー&オブジェクト >> アドレス より、新規作成 >> アドレスを選択することで、新しくオブジェクトを作成できます。

今回は、よく使用するサブネットIP範囲FQDNジオグラフィについて設定し、動作確認してみます。

スポンサーリンク

サブネット

タイプをサブネットとして、IPアドレスとネットマスク(今回は8.8.8.8/32)を設定します。 名前は任意の名前(今回は、Subnet)としインタフェースはインターネット側(port1)を指定します。

IPアドレスとネットマスクの設定の仕方は、以下2通りどちらでも可能です。

もしくは

設定後、OKをクリックすると、以下のように登録されているのが確認できます。

ポリシー&オブジェクト >> ファイアウォールポリシー に上で登録したアドレスオブジェクトに対して、ICMPを拒否します。

端末から8.8.8.8/32へPingを実行し、ログ&レポート >> 転送トラフィックを確認すると、以下の通り、接続が拒否されていることが確認できます。

スポンサーリンク

IP範囲

次に、サブネットではなく、IPアドレスの範囲を指定してみます。

タイプをIP範囲として、IP範囲(今回は8.0.0.0-8.255.255.255)を設定します。名前は任意の名前(今回は、IP_Range)としインタフェースはインターネット側(port1)を指定します。

設定後、OKをクリックすると、以下のように登録されているのが確認できます。

ポリシー&オブジェクト >> ファイアウォールポリシー に上で登録したアドレスオブジェクトに対して、ICMPを拒否します。

端末から8.0.0.1 ,8.0.0.2・・・・と順番にPingを実行し、ログ&レポート >> 転送トラフィックを確認すると、以下の通り、接続が拒否されていることが確認できます。

スポンサーリンク

FQDN

タイプをFQDNとして、FQDN(今回はgoogle.com)を設定します。 ここで設定したFQDN(google.com)は名前解決ができる必要があります。

設定後、OKをクリックすると、以下のように登録されているのが確認できます。 ただし、設定直後は、名前解決ができていないため、以下の通り、赤い表示となります。

しばらくして、名前解決ができると、以下の通り、赤い表示が消え、解決先にIPアドレスが列挙されます。

ポリシー&オブジェクト >> ファイアウォールポリシー に上で登録したアドレスオブジェクトに対して、ICMPを拒否します。

端末からgoogle.comへPingを実行すると、以下の通り、接続が拒否されていることが確認できます。

ジオグラフィ(地域)

タイプをジオグラフィとして、地域(今回は米国(United States))を設定します。

名前は任意の名前(今回はUnited States)としインタフェースはインターネット側(port1)を指定します。

ポリシー&オブジェクト >> ファイアウォールポリシー に上で登録したアドレスオブジェクトに対して、HTTP/HTTPSを拒否します。

端末からGoogleやYahooなど、いくつかのサイトにアクセスし、ログ&レポート >> 転送トラフィックを確認すると、宛先IPアドレスが米国(United States)だけ接続が拒否されていることがわかります。

コメント

タイトルとURLをコピーしました