MENU
This site covers Fortinet and A10 as part of *** Shadowgarden.org ***
  1. ホーム
  2. Network
  3. FortiGate アドレスオブジェクト設定ガイド

FortiGate アドレスオブジェクト設定ガイド

Network
目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するアドレスオブジェクトの設定方法について記載します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

アドレスオブジェクトとは

アドレスオブジェクトとは、主にファイアウォールポリシーを設定する際の送信元アドレスや宛先アドレスの設定で使用されるオブジェクトで、その名の通り内容として特定のアドレスを示すオブジェクトです。

画像:ファイアウォールポリシー設定画面

アドレスオブジェクトのタイプとしては以下があります。

アドレスのタイプ
  • サブネット・・・アドレス/ネットマスク
  • IP範囲・・・特定アドレス範囲
  • FQDN・・・名前解決を前提としたFQDNでの指定
  • ジオグラフィ・・・FortiGuard のデータベースに基づく国・地域別アドレスリスト
  • ダイナミック・・・FortiGate内部・外部から動的に取得したアドレスリスト
  • デバイス(MACアドレス)・・・MAC アドレス

ほとんどの場合は「サブネット」タイプが使用されますが、「IP範囲」「FQDN」等が使用されるケースもあります。最近では日本のアドレスに制限するために「ジオグラフィ」が使われるケースも増えています。

ここでは、「サブネット」「IP範囲」「FQDN」タイプのアドレスオブジェクトの設定方法について説明します。

また複数のアドレスをまとめてグループ化したアドレスグループの設定方法についても記載します。

アドレスオブジェクトの設定方法

GUI でのアドレスオブジェクト設定方法

STEP
アドレス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。

STEP
アドレス新規作成画面の表示

表示された画面で「Address」画面になっていることを確認し「新規作成」をクリックします。

STEP
アドレス設定

以下のアドレス設定画面が表示されます。

以下でアドレスタイプ別の設定方法を説明します。

サブネットタイプの場合

サブネットタイプにする場合は、「タイプ」で「サブネット」を選択し各項目を設定します。

  • 名前」では任意の表示名を入力します
  • カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
  • インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します。設定は任意でありデフォルトだと「any (空設定)」です
  • タイプ」では「サブネット」を指定します
  • IP/ネットマスク」ではこのオブジェクトが示すアドレスを入力します
    • 指定形式としては上の画面例のようにプレフィックス長で指定するか、またはサブネットマスク形式で指定します
  • スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
    • 新しいバージョン(v7.6.6等)では項目名が「ルーティング設定」に変わっています
  • このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

IP範囲タイプの場合

IP範囲タイプにする場合は、「タイプ」で「IP範囲」を選択し各項目を設定します。

  • 名前」では任意の表示名を入力します
  • カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
  • インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します。設定は任意でありデフォルトだと「any (空設定)」です
  • タイプ」では「IP範囲」を指定します
  • IP範囲」ではこのオブジェクトが示すアドレスを入力します
    • 指定形式としては上画面例のように「<開始アドレス>-<終了アドレス>」形式で指定します
  • このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

IP 範囲タイプの場合「スタティックルート設定(ルーティング設定)」を有効化することはできません。つまり、IP 範囲のアドレスオブジェクトをスタティックルートの宛先に設定することはできません。

FQDNタイプの場合

FQDN タイプにする場合は、「タイプ」で「FQDN」を選択し各項目を設定します。

  • 名前」では任意の表示名を入力します
  • カラー」は GUI でのオブジェクトアイコンの表示色を設定できます。色を変えたい場合は設定変更します
  • インターフェース」では設定するアドレスがどのインターフェース先に存在するアドレスかを設定します。設定は任意でありデフォルトだと「any (空設定)」です
  • タイプ」では「FQDN」を指定します
  • FQDN」ではこのオブジェクトが示す FQDN を入力します
  • スタティックルート設定」については、これを有効にするとスタティックルート設定時に宛先ネットワークとしてこのアドレスオブジェクトを指定できるようになります。通常は無効のままにします
    • 新しいバージョン(v7.6.6等)では項目名が「ルーティング設定」に変わっています
  • このオブジェクトにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら「OK」をクリックします。

STEP
設定確認

アドレス画面にて設定したアドレスが追加されていることを確認します。

以上でアドレスオブジェクトの設定は完了です。

CLI でのアドレスオブジェクト設定方法

CLI でアドレスオブジェクトを設定する場合はconfig firewall addressで行います。

以下のコンフィグのようにconfig firewall addressの中のedit項目が一つのアドレスオブジェクトの設定に該当します。

config firewall address
    edit "10.10.11.0/24"
        set uuid 5f0a255c-e9b3-51ee-c0b6-63c3478119aa
        set type ipmask
        set comment ''
        set associated-interface "internal1"
        set color 0
        set allow-routing disable
        set fabric-object disable
        set subnet 10.10.11.0 255.255.255.0
    next
end

アドレスオブジェクトの名前の設定

アドレスオブジェクトの名前はedit項目の ID として設定します。以下のコンフィグでは「10.10.11.0/24」という名前のアドレスオブジェクトを作成しています。

config firewall address
    edit "10.10.11.0/24"
        ...
    next
end

アドレスタイプとアドレスの設定

アドレスタイプはset typeで設定します。値は以下の通りです。

  • ipmask
    • サブネット
  • iprange
    • IP範囲
  • fqdn
    • FQDN

サブネットタイプの場合は以下のようにset subnetでアドレスを設定します。

config firewall address
    edit "10.10.11.0/24"
        set type ipmask
        set subnet 10.10.11.0 255.255.255.0
    next
end

IP範囲タイプの場合は以下のようにset start-ipset end-ipでIP範囲を設定します。

config firewall address
    edit "10.10.13.1-10"
        set type iprange
        set start-ip 10.10.13.1
        set end-ip 10.10.13.10
    next
end

FQDNタイプの場合は以下のようにset fqdnで FQDN を設定します。

config firewall address
    edit "kagechiku.com"
        set type fqdn
        set fqdn "kagechiku.com"
    next
end

インターフェース設定

設定するアドレスがどのインターフェース先に存在するかを設定するインターフェースの設定はset associated-interfaceで行います。

config firewall address
    edit "10.10.12.0/24"
        set associated-interface "internal1"
    next
end

インターフェースの設定は任意でありデフォルトだと「any (空設定)」です。

その他オプション設定

  • set comment
    • コメント
  • set color
    • カラー。0-32 の整数値で指定
  • set allow-routing
    • スタティックルート設定 (ルーティング設定)
    • サブネット、FQDN タイプ限定オプション
config firewall address
    edit "10.10.12.0/24"
        set comment ''
        set color 1
        set allow-routing disable
    next
end

CLI でのアドレスオブジェクト設定については以上です。

「インターフェース」設定は未設定でもOK

アドレスオブジェクトにおける「インターフェース(associated-interface)」設定は未設定(空設定)でも問題ありません。GUI表示だと「any」が未設定を示します。

インターフェースを設定すると、ポリシーでアドレスを指定する際に、入力・出力インターフェース設定との整合性チェックが行われ、入力・出力インターフェースと合わないアドレスオブジェクトは指定できなくなります。また異なるインターフェースが設定されているアドレス同士は同じアドレスグループには所属できません。

インターフェース設定は不整合な設定を行ってしまうことを防止する目的で設定できますが、柔軟性が失われるため当サイトとしては必要ないなら未設定としておくことを推奨します。

アドレスグループの設定方法

複数のアドレスをまとめてグループ化したアドレスグループの設定方法について記載します。

GUI でのアドレスグループ設定方法

STEP
アドレス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > アドレス」をクリックします。

STEP
アドレスグループの新規作成

表示された画面で「Address Group」をクリックして画面を切り替え、「新規作成」をクリックします。

STEP
アドレスグループの設定

アドレスグループの設定画面で各項目を設定します。

  • 名前」には任意の表示名を入力します
  • タイプ」ではグループがフォルダを選択します。フォルダにすると、そのフォルダに含まれているメンバーは他のアドレスグループに所属できなくなります。通常はグループを選択します
  • カラー」では GUI でのアイコンの表示色を変えたい場合は設定変更します
  • メンバー」ではグループに所属するアドレスオブジェクトを指定します。欄をクリックすると右側にアドレスオブジェクト選択画面が表示されます
  • メンバー」に含めたいアドレスオブジェクトを選択します
  • メンバーの除外」では除外したいアドレスを指定することができます
  • スタティックルート設定」では、スタティックルート設定時に宛先としてこのアドレスグループを指定したい場合は有効にします。通常は無効にします
    • スタティックルート設定」を有効にした場合、「スタティックルート設定」が有効なアドレスのみをメンバーに含めることができる状態になります
    • 新しいバージョン(v7.6.6等)では項目名が「ルーティング設定」に変わっています
  • このアドレスグループにコメントを付けたい場合は「コメント」欄に入力します

以上の設定ができたら⑨「OK」をクリックします。

同一アドレスグループに含めることができるアドレスは、インターフェース設定 (CLI設定におけるassociated-interface) の値が同じ、または未設定(any)のアドレスのみです。

STEP
設定の確認

アドレスグループ画面に戻るため、設定したアドレスグループが追加されていることを確認します。

以上でアドレスグループの設定は完了です。

CLI でのアドレスグループ設定方法

CLI でアドレスグループを設定する場合はconfig firewall addrgrpにて行います。

以下のコンフィグのようにconfig firewall addrgrpの中のedit項目が一つのアドレスグループの設定に該当します。

config firewall addrgrp
    edit "MyAddressGroup"
        set type default
        set category default
        set uuid bbf1e136-e9bf-51ee-b98e-a2e2a163b848
        set member "10.10.11.0/24" "10.10.12.0/24"
        set comment ''
        set exclude disable
        set color 0
        set fabric-object disable
    next
end

アドレスグループの名前の設定

アドレスグループの名前はedit項目の ID として設定します。以下のコンフィグでは「MyAddressGroup」という名前のアドレスグループを作成しています。

config firewall addrgrp
    edit "MyAddressGroup"
        ...
    next
end

タイプの設定

アドレスグループのタイプはset typeで設定します。値は以下の通りです。

  • default
    • グループにする場合はこの値にします
  • folder
    • フォルダにする場合はこの値にします
config firewall addrgrp
    edit "MyAddressGroup"
        set type default
    next
end

メンバーの設定

メンバーの設定はset memberで行います。値にはメンバーにしたいアドレスオブジェクト名を指定します。半角スペース区切りで複数のアドレスオブジェクトを指定できます。

config firewall addrgrp
    edit "MyAddressGroup"
        set member "10.10.11.0/24" "10.10.12.0/24"
    next
end

その他オプション設定

  • comment
    • コメント
  • exclude
    • メンバーの除外
  • color
    • カラー。0-32 の整数値で指定
  • allow-routing
    • スタティックルート設定
config firewall addrgrp
    edit "MyAddressGroup"
        set comment ''
        set exclude disable
        set color 0
        set allow-routing enable
    next
end

CLI でのアドレスグループ設定については以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

【アフィリエイト】ブログ始めるならおすすめ

Network
FortiGate
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

目次