Fortinet商品など
FortiGateのワイルドカードFQDNについて
FortiGateの「ワイルドカードFQDN(Fully Qualified Domain Name)」は、動的なホスト名に基づいたファイアウォールポリシーの柔軟な適用を可能にする強力な機能です。
クラウドサービスやCDNなど、IPアドレスが頻繁に変わる環境に対応するために使われます。
以下に、ワイルドカードFQDNの詳細について、「基本概念」「動作の仕組み」「ユースケース」「制限事項」「設定方法」などに分けて詳しく解説します。
基本概念:FQDNとワイルドカードFQDNの違い
| 種類 | 説明 |
|---|---|
| FQDN | example.com や login.example.com などの完全なドメイン名にマッチするオブジェクト。 |
| ワイルドカードFQDN | *.example.com のように、サブドメイン全体にマッチする動的なドメインオブジェクト。 |
通常のFQDNは1つの名前にしかマッチしませんが、ワイルドカードFQDNは複数のサブドメインをまとめて制御可能なため、可変性の高いSaaSやクラウドベースのサービスに向いています。
動作の仕組み
FortiGateは、以下の流れでワイルドカードFQDNを処理します。
- 名前解決(DNSクエリ)
FortiGateは設定されたワイルドカードFQDNに対し、DNSクエリをバックグラウンドで定期的に実行します。 - キャッシュと動的アドレス登録
DNSで得られたIPアドレスはFortiGate内部にキャッシュされ、そのIPを元にファイアウォールポリシーが適用されます。 - 定期的な更新
キャッシュは定期的に更新され、TTL(Time-To-Live)に基づき有効期限が管理されます。 - IPセットがポリシーに反映
例えば「*.example.com」に一致するすべてのIPがポリシーで対象となるように動作します。
この動作によって、GoogleやAmazonのようなIPが頻繁に変わるサービスにも対応できます。
ユースケース(使用例)
| 利用シーン | ワイルドカードFQDNの利点 |
|---|---|
| Microsoft 365 のアクセス制御 | *.office365.com, *.microsoftonline.com などで多数のサブドメインを網羅的に許可 |
| CDNサービスのアクセス許可 | *.akamai.net, *.cloudfront.net など動的なIPをカバー |
| Web APIへの通信制限 | *.api.example.com のようなAPI群への通信を制御 |
| 国やリージョン別クラウドアクセス制限 | *.jp.region.aws.amazon.com などに絞って許可 |
注意点・制限事項
FortiGateのワイルドカードFQDNには、いくつかの注意点があります。
DNS解決が必須
- FortiGateが独自にDNSリクエストを出す必要があるため、適切なDNSサーバーが設定されていることが必須です。
ワイルドカードはあくまでドメイン名のみに適用
- 例:
*.example.comはsub.example.comにはマッチしますが、example.comそのものにはマッチしません。
逆引き(PTRレコード)は使用しない
- FortiGateは順引き(AやCNAMEレコード)ベースでIPを解決し、逆引きは使いません。
ワイルドカードFQDNはGUIからは登録不可(CLI限定)
ワイルドカードFQDNの設定は GUIではできずCLIからのみ可能 です。
設定方法(CLI)
例:*.example.com を許可対象とするアドレスオブジェクトを作成
config firewall address
edit "wildcard-example"
set type fqdn
set fqdn "*.example.com"
next
end
※
set type fqdnによってドメイン指定のアドレスオブジェクトが作られ、*.example.comのワイルドカードが有効となります。
その後、このオブジェクトをポリシーに組み込みます。
config firewall policy
edit 10
set srcintf "port1"
set dstintf "port2"
set srcaddr "all"
set dstaddr "wildcard-example"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
end
トラブルシューティングのポイント
- DNSログを確認
diagnose debug application dnsproxy -1でFortiGateがどのように名前解決しているか確認できます。 - 動的に解決されたIPの確認
diagnose firewall fqdn list
これにより、現在FQDNオブジェクトにどのIPが割り当てられているか確認可能。
- キャッシュクリア
execute firewall fqdn clear
補足:ワイルドカードFQDNが使えない場合の代替手段
- Webフィルタプロファイル
アプリケーションごとにフィルタリング可能。ドメインベースのアクセス制御にも強い。 - IPアドレスの手動登録
DNSによる自動更新が使えない場合は、IPを静的に登録するしかありません。
まとめ
| 項目 | 内容 |
|---|---|
| 目的 | IPが変わるドメインに対して柔軟にファイアウォール制御を行う |
| メリット | サブドメイン一括管理・SaaSとの親和性が高い |
| デメリット | GUI非対応、DNS解決に依存、解決失敗時に通信不可になるリスクあり |
| 適用例 | Microsoft 365、CDN、API通信など動的ホスト制御に最適 |
以上、FortiGateのワイルドカードFQDNについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
