ForiGate v7.6.1 からデフォルトのローカルインポリシーが追加

2026-05-30

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、FortiOS 7.6.1 以降追加されたデフォルトのローカルインポリシーについて説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- FortiOS 7.6.6
- FortiOS 7.4.12

ローカルインポリシーとは

ローカルインポリシーは、FortiGate のインターフェース宛の通信に対して適用されるファイアウォールポリシーです。ローカルインポリシーを設定すると、FortiGate 宛の HTTPS、SSH、Ping 、VPN 等のアクセスについて、特定の送信元アドレスからのみアクセスを許可するといった制限をかけることができます。

ローカルインポリシーについて詳しくはこちらの記事を参照してください。

デフォルトのローカルインポリシー

過去のバージョンでは未設定状態

過去のバージョンではデフォルトではローカルインポリシーは何も設定されていませんでした。ローカルインポリシーは暗黙の許可の動作となるため、すべてのローカルイントラフィックは許可されることになります。

FortiOS 7.6.1 からデフォルトのポリシーが追加

FortiOS 7.6.1 からは、セキュリティ強化のためにデフォルトのローカルインポリシーが追加されました。これにより工場出荷状態のコンフィグではデフォルトのローカルインポリシーが存在することになります。

デフォルトローカルインポリシーの内容

FortiOS 7.6.1 から追加されたデフォルトのローカルインポリシーは、インターネットサービスデータベース(ISDB)の以下のオブジェクトをソースとするすべての通信を拒否するという内容になっています。

拒否対象ISDBオブジェクト

Malicious-Malicious.Server
Tor-Exit.Node
Tor-Relay.Node

これらのソースは既知の悪意のある脅威アクターを示しています。具体的なIPアドレスはGUIのインターネットサービスデータベース画面で該当オブジェクトの詳細を表示することで確認できます。

GUI ではデフォルトローカルインポリシーは以下のように表示されます。

GUI でローカルインポリシーを確認するためには「システム>表示機能設定」で」「Local Inポリシー」を有効にする必要があります。

CLI ではデフォルトローカルインポリシーは以下のように表示されます。
※uuidは省略しています

config firewall local-in-policy
    edit 1
        set intf "any"
        set dstaddr "all"
        set internet-service-src enable
        set internet-service-src-name "Malicious-Malicious.Server" "Tor-Exit.Node" "Tor-Relay.Node"
        set dstaddr-negate disable
        set action deny
        set service "ALL"
        set service-negate disable
        set internet-service-src-negate disable
        set schedule "always"
        set status enable
        set comments ''
    next
end