FortiGateのアドレスオブジェクトの設定について

FortiGateのアドレスオブジェクト設定について詳しく解説します。

アドレスオブジェクトは、ファイアウォールポリシーやNATルールで利用される「通信先や送信元を識別するための定義」です。

効率的な管理や柔軟な運用のために欠かせない要素になります。

以下で体系的にまとめます。

アドレスオブジェクトの役割

• 通信制御の基本単位
  ポリシーやNATで「送信元」「宛先」を指定する際に直接IPを書くのではなく、アドレスオブジェクトを参照することで管理が容易になります。
• 運用効率化
  同じアドレスを複数ポリシーで利用する場合、オブジェクト化しておけば変更が一箇所で済みます。
• 可読性向上
  ポリシー画面上に「192.168.10.1」ではなく「Web_Server」と表示されるため、直感的に理解できます。

アドレスオブジェクトの種類

FortiGateでは以下のタイプを定義可能です。

• IPアドレス / サブネット
  • 単一IP（例: 192.168.1.10/32）
  • ネットワーク（例: 192.168.1.0/24）
• FQDN (Fully Qualified Domain Name)
  • 例: www.example.com
    → DNS解決で得たIPを使い、変動IPに対応。
• レンジ (Range)
  • 例: 192.168.1.10 - 192.168.1.20
• MACアドレス
  • 特定端末を物理アドレスで識別。
• Geography (GeoIP)
  • 国や地域単位での指定が可能（例: JP, US）。
• Dynamic（Fabric Connector連携）
  • AWSやAzure、VMwareなどのクラウド連携で動的に取得されるIP群。

設定方法

GUIからの設定手順

1. [ポリシー&オブジェクト] > [アドレス] > [新規作成] をクリック。
2. 名前：わかりやすいオブジェクト名を入力（例: Web_Server1）。
3. タイプ：IP/Range/Subnet/FQDN などを選択。
4. 値の入力：実際のIPやFQDNを入力。
5. インターフェースバインディング（任意）：特定のインターフェースに関連付け可能。
6. 保存すると、ポリシー設定で利用できるようになります。

CLIからの設定例

config firewall address
    edit "Web_Server1"
        set subnet 192.168.1.10 255.255.255.255
    next
    edit "Example_FQDN"
        set type fqdn
        set fqdn "www.example.com"
    next
end

アドレスグループ

複数のアドレスオブジェクトをグループ化して利用可能。

• 例：Web_Servers グループに Web_Server1 と Web_Server2 を登録。
• ポリシー設定でまとめて指定できるため、運用負荷を削減。

ベストプラクティス

• 命名規則を統一
  例: サーバーは SRV_xxx、ネットワークは NET_xxx、FQDNは FQDN_xxx
• 不要オブジェクトの整理
  ポリシーから未使用のアドレスオブジェクトは削除して管理を簡潔に。
• FQDNの利用注意点
  • DNSキャッシュ時間や解決失敗時の挙動を考慮。
  • ダイナミックに変わるクラウドサービスはFQDNまたはFabric Connectorを活用。
• グループを活用
  サーバ群・クライアント群ごとに整理し、ポリシーをシンプルに。

まとめ

FortiGateのアドレスオブジェクトは、IPやFQDN、範囲、地域などを柔軟に定義して、ポリシーやNATで利用するための基本要素です。

適切に命名規則を設けてグループ化すると、管理の一貫性と効率性が大幅に向上します。

以上、FortiGateのアドレスオブジェクトの設定についてでした。

最後までお読みいただき、ありがとうございました。