FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:3.FWの設定 > 3.2 アドレス

FortiGateを勉強する女性SE (1) 
ポリシーに対して、複数のセグメントを設定する場合はどうするのでしょうか?
たとえば10.1.0.0/16と192.168.1.0/24をまとめてポリシーを作る場合です。
「ポリシー&オブジェクト」から「アドレス」および「アドレスグループ」を作成します。
以下にて、順に解説します。

「アドレス」および「アドレスグループ」について
・アドレス:先ほどでいうと、「10.1.0.0/16」や「192.168.1.0/24」をアドレスとして定義します。
・アドレスグループ:アドレスを複数束ねてグループ化したものです。

「アドレスの作成方法
①「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレス」を押します。
policy5

②アドレス作成画面
サブネット/IP範囲ですが、「10.1.0.0/16」でも「10.1.0.0/255.255.0.0」とどちらで書いても構いません。
登録後に「10.1.0.0/255.255.0.0」と表記されます。
policy6

 
作成したら、「OK」を押します。
この画面の詳細解説はアドレスオブジェクトの作成(詳細)を参照ください。

③アドレスグループの作成
「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレスグループ」を押します。
ここで、複数のアドレスをまとめたアドレスグループを作成します。

または、ポリシー画面で、「エントリーを選択」して、複数のアドレスを入れることも可能です。
policy7

アドレスオブジェクトの作成画面の詳細を解説します。
「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレス」を押します。policy6

・名前:任意の名前を付けます。
・タイプ:以下の5つから選びます。
【参考:タイプについて】
・FQDN:www.viva-fortigate.comなどのFQDNを登録します。
・地域:国を指定します。各国のアドレス情報は GeoIP リストとして更新をしています。
・IP範囲:IPアドレスを指定します。
・IP/ネットマスク:上記との違いは、サブネットやホストアドレスとして指定が出来る点です。
・ワイルドカードFQDN:
・サブネット/IP範囲ですが、「10.1.0.0/16」でも「10.1.0.0/255.255.0.0」とどちらで書いても構いません。登録後に「10.1.0.0/255.255.0.0」と表記されます。
・インターフェース:明示的にインターフェースを指定すると、ポリシーを設定する際に該当インターフェースに関連付けたアドレスオブジェクトに登録されます。
 ANYだと、インターフェースにも登録されている状態です。
・アドレスリストに表示:ポリシーのアドレスオブジェクト内に表示させるかどうかを指定します。
・スタティックルートに設定:スタティックルートを設定する際、作成したアドレスオブジェクトを利用するかどうかを指定します。スタティックルーティングの場合、指定すると以下のように選択ができるようになります。※この場合、必ずインターフェースを指定してください。

スタティックルーティングの宛先を「名前付きアドレス」を選択することで、アドレスオブジェクトを利用することができます。
Fortigate-Static-Routing



スポンサードリンク

↑このページのトップヘ