FortiGate アドレスオブジェクト設定ガイド

2024-03-242024-04-21

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するアドレスオブジェクトの設定方法について記載します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- バージョン 7.4.3

アドレスオブジェクトとは

アドレスオブジェクトとは、主にファイアウォールポリシーを設定する際の送信元アドレスや宛先アドレスの設定で使用されるオブジェクトで、その名の通り内容として特定のアドレスを示すオブジェクトです。

アドレスオブジェクトのタイプとしては以下があります。

アドレスのタイプ

サブネット
IP範囲
FQDN
ジオグラフィ
ダイナミック
デバイス(MACアドレス)

ほとんどの場合は「サブネット」タイプが使用されますが、「FQDN」が使用されているケースも見たことがあります。

ここでは、「サブネット」「IP範囲」「FQDN」タイプのアドレスオブジェクトの設定方法について説明します。

また複数のアドレスをまとめてグループ化したアドレスグループの設定方法についても記載します。

アドレスオブジェクトの設定方法

GUI でのアドレスオブジェクト設定方法

STEP

アドレス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。

STEP

アドレス新規作成画面の表示

表示された画面で「Address」画面になっていることを確認し「新規作成」をクリックします。

STEP

アドレス設定

以下のアドレス設定画面が表示されます。

以下でアドレスタイプ別の設定方法を説明します。

サブネットタイプの場合

サブネットタイプにする場合は、「タイプ」で「サブネット」を選択し各項目を設定します。

「名前」では任意の表示名を入力します
「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
「タイプ」では「サブネット」を指定します
「IP/ネットマスク」ではこのオブジェクトが示すアドレスを入力します
- 指定形式としては上の画面例のようにプレフィックス長で指定するか、またはサブネットマスク形式で指定します
「スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

IP範囲タイプの場合

サブネットタイプにする場合は、「タイプ」で「IP範囲」を選択し各項目を設定します。

「名前」では任意の表示名を入力します
「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
「タイプ」では「IP範囲」を指定します
「IP範囲」ではこのオブジェクトが示すアドレスを入力します
- 指定形式としては上の画面例のように「<開始アドレス>-<終了アドレス>」の形式で指定します
このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

FQDNタイプの場合

サブネットタイプにする場合は、「タイプ」で「FQDN」を選択し各項目を設定します。

「名前」では任意の表示名を入力します
「カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
「インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します
「タイプ」では「FQDN」を指定します
「FQDN」ではこのオブジェクトが示す FQDN を入力します
「スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

STEP

設定確認

アドレス画面にて設定したアドレスが追加されていることを確認します。

以上でアドレスオブジェクトの設定は完了です。

CLI でのアドレスオブジェクト設定方法

CLI でアドレスオブジェクトを設定する場合はconfig firewall addressで行います。

以下のコンフィグのようにconfig firewall addressの中のedit項目が一つのアドレスオブジェクトの設定に該当します。

config firewall address
    edit "10.10.11.0/24"
        set uuid 5f0a255c-e9b3-51ee-c0b6-63c3478119aa
        set type ipmask
        set comment ''
        set associated-interface "internal1"
        set color 0
        set allow-routing disable
        set fabric-object disable
        set subnet 10.10.11.0 255.255.255.0
    next
end

アドレスオブジェクトの名前の設定

アドレスオブジェクトの名前はedit項目の ID として設定します。以下のコンフィグでは「10.10.11.0/24」という名前のアドレスオブジェクトを作成しています。

config firewall address
    edit "10.10.11.0/24"
        ...
    next
end

アドレスタイプとアドレスの設定

アドレスタイプはset typeで設定します。値は以下の通りです。

ipmask
- サブネット
iprange
- IP範囲
fqdn
- FQDN

サブネットタイプの場合は以下のようにset subnetでアドレスを設定します。

config firewall address
    edit "10.10.11.0/24"
        set type ipmask
        set subnet 10.10.11.0 255.255.255.0
    next
end

IP範囲タイプの場合は以下のようにset start-ipとset end-ipでIP範囲を設定します。

config firewall address
    edit "10.10.13.1-10"
        set type iprange
        set start-ip 10.10.13.1
        set end-ip 10.10.13.10
    next
end

FQDNタイプの場合は以下のようにset fqdnで FQDN を設定します。

config firewall address
    edit "shadowgarden.org"
        set type fqdn
        set fqdn "shadowgarden.org"
    next
end

インターフェース設定

設定するアドレスがどのインターフェース先に存在するかを設定するインターフェースの設定はset associated-interfaceで行います。

config firewall address
    edit "10.10.12.0/24"
        set associated-interface "internal1"
    next
end

その他オプション設定

set comment
- コメント
set color
- カラー。0-32 の整数値で指定
set allow-routing
- スタティックルート設定

config firewall address
    edit "10.10.12.0/24"
        set comment ''
        set color 1
        set allow-routing disable
    next
end

CLI でのアドレスオブジェクト設定については以上です。

アドレスグループの設定方法

複数のアドレスをまとめてグループ化したアドレスグループの設定方法について記載します。

GUI でのアドレスグループ設定方法

STEP

アドレス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。

STEP

アドレスグループの新規作成

表示された画面で「Address Group」をクリックして画面を切り替え、「新規作成」をクリックします。

STEP

アドレスグループの設定

アドレスグループの設定画面で各項目を設定します。

「名前」には任意の表示名を入力します
「タイプ」ではグループがフォルダを選択します。フォルダにすると、そのフォルダに含まれているメンバーは他のアドレスグループに所属できなくなります。通常はグループを選択します
「カラー」では GUI でのアイコンの表示色を変えたい場合は設定変更します
「メンバー」ではグループに所属するアドレスオブジェクトを指定します。欄をクリックすると右側にアドレスオブジェクト選択画面が表示されます
「メンバー」に含めたいアドレスオブジェクトを選択します
「メンバーの除外」では除外したいアドレスを指定することができます
「スタティックルート設定」では、スタティックルート設定時に宛先としてこのアドレスグループを指定したい場合は有効にします。通常は無効にします
このアドレスグループにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら⑨「OK」をクリックします。

STEP

設定の確認

アドレスグループ画面に戻るため、設定したアドレスグループが追加されていることを確認します。

以上でアドレスグループの設定は完了です。

CLI でのアドレスグループ設定方法

CLI でアドレスグループを設定する場合はconfig firewall addrgrpにて行います。

以下のコンフィグのようにconfig firewall addrgrpの中のedit項目が一つのアドレスグループの設定に該当します。

config firewall addrgrp
    edit "MyAddressGroup"
        set type default
        set category default
        set uuid bbf1e136-e9bf-51ee-b98e-a2e2a163b848
        set member "10.10.11.0/24" "10.10.12.0/24"
        set comment ''
        set exclude disable
        set color 0
        set fabric-object disable
    next
end

アドレスグループの名前の設定

アドレスグループの名前はedit項目の ID として設定します。以下のコンフィグでは「MyAddressGroup」という名前のアドレスグループを作成しています。

config firewall addrgrp
    edit "MyAddressGroup"
        ...
    next
end

タイプの設定

アドレスグループのタイプはset typeで設定します。値は以下の通りです。

default
- グループにする場合はこの値にします
folder
- フォルダにする場合はこの値にします

config firewall addrgrp
    edit "MyAddressGroup"
        set type default
    next
end

メンバーの設定

メンバーの設定はset memberで行います。値にはメンバーにしたいアドレスオブジェクト名を指定します。半角スペース区切りで複数のアドレスオブジェクトを指定できます。

config firewall addrgrp
    edit "MyAddressGroup"
        set member "10.10.11.0/24" "10.10.12.0/24"
    next
end

その他オプション設定

comment
- コメント
exclude
- メンバーの除外
color
- カラー。0-32 の整数値で指定

config firewall addrgrp
    edit "MyAddressGroup"
        set comment ''
        set exclude disable
        set color 0
    next
end

CLI でのアドレスグループ設定については以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

基礎知識
HA (冗長構成) 設定
VDOM (バーチャルドメイン) 設定
- FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
トランスペアレントモード設定
システム系設定
- 管理者アカウント設定
  - FortiGate 管理者アカウントの設定変更及び新規作成ガイド
- 時刻・NTP 設定
  - FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
- ロギング・Syslog 送信設定
  - FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
  - FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
- SNMP 設定
  - FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
- DHCP サーバ機能設定
  - FortiGate DHCP サーバ機能設定ガイド
  - FortiGate での DHCP リレー設定ガイド
- Proxy サーバ機能設定
  - FortiGate を Proxy サーバとして使用するための設定ガイド
- アラートメール送信
  - FortiGate 設定変更発生時のアラートメール送信設定ガイド
ネットワーク系設定
ファイアウォール系設定
- アドレス設定
  - FortiGate アドレスオブジェクト設定ガイド
- サービス設定
  - FortiGate サービスオブジェクト設定ガイド
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
  - FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
VPN 系設定
- SSL-VPN 設定
- IPsec VPN 設定
  - FortiGate 拠点間 IPsec VPN 接続設定ガイド
Tips
- FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
- FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています！

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね！

URLをコピーしました！

URLをコピーしました！

FortiGate アドレスオブジェクト設定ガイド

本記事について

動作確認環境

アドレスオブジェクトとは

アドレスオブジェクトの設定方法

GUI でのアドレスオブジェクト設定方法

サブネットタイプの場合

IP範囲タイプの場合

FQDNタイプの場合

CLI でのアドレスオブジェクト設定方法

アドレスオブジェクトの名前の設定

アドレスタイプとアドレスの設定

インターフェース設定

その他オプション設定

アドレスグループの設定方法

GUI でのアドレスグループ設定方法

CLI でのアドレスグループ設定方法

アドレスグループの名前の設定

タイプの設定

メンバーの設定

その他オプション設定

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル