本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するアドレスオブジェクトの設定方法について記載します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
アドレスオブジェクトとは
アドレスオブジェクトとは、主にファイアウォールポリシーを設定する際の送信元アドレスや宛先アドレスの設定で使用されるオブジェクトで、その名の通り内容として特定のアドレスを示すオブジェクトです。
アドレスオブジェクトのタイプとしては以下があります。
- サブネット
- IP範囲
- FQDN
- ジオグラフィ
- ダイナミック
- デバイス(MACアドレス)
ほとんどの場合は「サブネット」タイプが使用されますが、「FQDN」が使用されているケースも見たことがあります。
ここでは、「サブネット」「IP範囲」「FQDN」タイプのアドレスオブジェクトの設定方法について説明します。
また複数のアドレスをまとめてグループ化したアドレスグループの設定方法についても記載します。
アドレスオブジェクトの設定方法
GUI でのアドレスオブジェクト設定方法
GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。
表示された画面で「Address」画面になっていることを確認し「新規作成」をクリックします。
以下のアドレス設定画面が表示されます。
以下でアドレスタイプ別の設定方法を説明します。
サブネットタイプの場合
サブネットタイプにする場合は、「タイプ」で「サブネット」を選択し各項目を設定します。
- 「名前」では任意の表示名を入力します
- 「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
- 「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
- 「タイプ」では「サブネット」を指定します
- 「IP/ネットマスク」ではこのオブジェクトが示すアドレスを入力します
- 指定形式としては上の画面例のようにプレフィックス長で指定するか、またはサブネットマスク形式で指定します
- 「スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
- このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します
以上の設定ができたら「OK」をクリックします。
IP範囲タイプの場合
サブネットタイプにする場合は、「タイプ」で「IP範囲」を選択し各項目を設定します。
- 「名前」では任意の表示名を入力します
- 「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
- 「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
- 「タイプ」では「IP範囲」を指定します
- 「IP範囲」ではこのオブジェクトが示すアドレスを入力します
- 指定形式としては上の画面例のように「<開始アドレス>-<終了アドレス>」の形式で指定します
- このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します
以上の設定ができたら「OK」をクリックします。
FQDNタイプの場合
サブネットタイプにする場合は、「タイプ」で「FQDN」を選択し各項目を設定します。
- 「名前」では任意の表示名を入力します
- 「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
- 「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
- 「タイプ」では「FQDN」を指定します
- 「FQDN」ではこのオブジェクトが示す FQDN を入力します
- 「スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
- このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します
以上の設定ができたら「OK」をクリックします。
アドレス画面にて設定したアドレスが追加されていることを確認します。
以上でアドレスオブジェクトの設定は完了です。
CLI でのアドレスオブジェクト設定方法
CLI でアドレスオブジェクトを設定する場合はconfig firewall addressで行います。
以下のコンフィグのようにconfig firewall addressの中のedit項目が一つのアドレスオブジェクトの設定に該当します。
config firewall address
edit "10.10.11.0/24"
set uuid 5f0a255c-e9b3-51ee-c0b6-63c3478119aa
set type ipmask
set comment ''
set associated-interface "internal1"
set color 0
set allow-routing disable
set fabric-object disable
set subnet 10.10.11.0 255.255.255.0
next
endアドレスオブジェクトの名前の設定
アドレスオブジェクトの名前はedit項目の ID として設定します。以下のコンフィグでは「10.10.11.0/24」という名前のアドレスオブジェクトを作成しています。
config firewall address
edit "10.10.11.0/24"
...
next
endアドレスタイプとアドレスの設定
アドレスタイプはset typeで設定します。値は以下の通りです。
- ipmask
- サブネット
- iprange
- IP範囲
- fqdn
- FQDN
サブネットタイプの場合は以下のようにset subnetでアドレスを設定します。
config firewall address
edit "10.10.11.0/24"
set type ipmask
set subnet 10.10.11.0 255.255.255.0
next
endIP範囲タイプの場合は以下のようにset start-ipとset end-ipでIP範囲を設定します。
config firewall address
edit "10.10.13.1-10"
set type iprange
set start-ip 10.10.13.1
set end-ip 10.10.13.10
next
endFQDNタイプの場合は以下のようにset fqdnで FQDN を設定します。
config firewall address
edit "shadowgarden.org"
set type fqdn
set fqdn "shadowgarden.org"
next
endインターフェース設定
設定するアドレスがどのインターフェース先に存在するかを設定するインターフェースの設定はset associated-interfaceで行います。
config firewall address
edit "10.10.12.0/24"
set associated-interface "internal1"
next
endその他オプション設定
- set comment
- コメント
- set color
- カラー。0-32 の整数値で指定
- set allow-routing
- スタティックルート設定
config firewall address
edit "10.10.12.0/24"
set comment ''
set color 1
set allow-routing disable
next
endCLI でのアドレスオブジェクト設定については以上です。
アドレスグループの設定方法
複数のアドレスをまとめてグループ化したアドレスグループの設定方法について記載します。
GUI でのアドレスグループ設定方法
GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。
表示された画面で「Address Group」をクリックして画面を切り替え、「新規作成」をクリックします。
アドレスグループの設定画面で各項目を設定します。
- 「名前」には任意の表示名を入力します
- 「タイプ」ではグループがフォルダを選択します。フォルダにすると、そのフォルダに含まれているメンバーは他のアドレスグループに所属できなくなります。通常はグループを選択します
- 「カラー」では GUI でのアイコンの表示色を変えたい場合は設定変更します
- 「メンバー」ではグループに所属するアドレスオブジェクトを指定します。欄をクリックすると右側にアドレスオブジェクト選択画面が表示されます
- 「メンバー」に含めたいアドレスオブジェクトを選択します
- 「メンバーの除外」では除外したいアドレスを指定することができます
- 「スタティックルート設定」では、スタティックルート設定時に宛先としてこのアドレスグループを指定したい場合は有効にします。通常は無効にします
- このアドレスグループにコメントを付けたい場合は「コメント」欄に入力します
以上の設定ができたら⑨「OK」をクリックします。
アドレスグループ画面に戻るため、設定したアドレスグループが追加されていることを確認します。
以上でアドレスグループの設定は完了です。
CLI でのアドレスグループ設定方法
CLI でアドレスグループを設定する場合はconfig firewall addrgrpにて行います。
以下のコンフィグのようにconfig firewall addrgrpの中のedit項目が一つのアドレスグループの設定に該当します。
config firewall addrgrp
edit "MyAddressGroup"
set type default
set category default
set uuid bbf1e136-e9bf-51ee-b98e-a2e2a163b848
set member "10.10.11.0/24" "10.10.12.0/24"
set comment ''
set exclude disable
set color 0
set fabric-object disable
next
endアドレスグループの名前の設定
アドレスグループの名前はedit項目の ID として設定します。以下のコンフィグでは「MyAddressGroup」という名前のアドレスグループを作成しています。
config firewall addrgrp
edit "MyAddressGroup"
...
next
endタイプの設定
アドレスグループのタイプはset typeで設定します。値は以下の通りです。
- default
- グループにする場合はこの値にします
- folder
- フォルダにする場合はこの値にします
config firewall addrgrp
edit "MyAddressGroup"
set type default
next
endメンバーの設定
メンバーの設定はset memberで行います。値にはメンバーにしたいアドレスオブジェクト名を指定します。半角スペース区切りで複数のアドレスオブジェクトを指定できます。
config firewall addrgrp
edit "MyAddressGroup"
set member "10.10.11.0/24" "10.10.12.0/24"
next
endその他オプション設定
- comment
- コメント
- exclude
- メンバーの除外
- color
- カラー。0-32 の整数値で指定
config firewall addrgrp
edit "MyAddressGroup"
set comment ''
set exclude disable
set color 0
next
endCLI でのアドレスグループ設定については以上です。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント