FortiGateにおいてmatch-vipという重要な設定があります。
本記事はmatch-vipを有効化しない場合に意図しない挙動になることを紹介します。

設定例

上記の設定は、「172.23.61.61」から「vip」への通信を許可しないために行われています。
しかし、上記設定においてひと手間をかけなければ、「172.23.61.61」から「vip」へのアクセスが行えてしまいます。

なおFortiGateにおいてVIPを設定する方法については以下をご参照ください。
FortiGate NAT設定(VIP)の確認事項

解説

上記設定例において、match-vipを最上段のポリシーにおいて有効化しなければいけません。
VIPが適用されたファイアウォールポリシーと通常のファイアウォールポリシーは扱いが異なるためです。

最上段のポリシーが以下の通り設定されていれば、「172.23.61.61」から「vip」への通信は遮断されます。

しかし、「vip_a」「vip_b」などVIPが追加されるたびに、それを最上段の遮断ポリシーの宛先に追加する作業は運用の負荷の増大や設定の見落としになりかねません。そのため、運用上match-vipの有効化を推奨します。

設定方法

GUIにログイン後、[ポリシー＆オブジェクト] > [ファイアウォールポリシー] 設定変更対象のポリシーを選択します。

ポリシーの編集画面の右側の [追加情報] > [CLIで編集] ボタンをクリックします。

CLIの編集画面が表示されたら以下のコマンドを実行します。

set match-vip enable
end

参考

FortiGate 管理者ガイド Firewall policy <バーチャルIPを適用したポリシーとのマッチングを拒否する>

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。