FortiGate

FortiGate 遮断ポリシーが意図しない挙動になるケース

この記事は投稿日から1年以上経過しています。

FortiGateにおいてmatch-vipという重要な設定があります。
本記事はmatch-vipを有効化しない場合に意図しない挙動になることを紹介します。

設定例

上記の設定は、「172.23.61.61」から「vip」への通信を許可しないために行われています。
しかし、上記設定においてひと手間をかけなければ、「172.23.61.61」から「vip」へのアクセスが行えてしまいます。

なおFortiGateにおいてVIPを設定する方法については以下をご参照ください。
FortiGate NAT設定(VIP)の確認事項

解説

上記設定例において、match-vipを最上段のポリシーにおいて有効化しなければいけません。
VIPが適用されたファイアウォールポリシーと通常のファイアウォールポリシーは扱いが異なるためです。

最上段のポリシーが以下の通り設定されていれば、「172.23.61.61」から「vip」への通信は遮断されます。

しかし、「vip_a」「vip_b」などVIPが追加されるたびに、それを最上段の遮断ポリシーの宛先に追加する作業は運用の負荷の増大や設定の見落としになりかねません。そのため、運用上match-vipの有効化を推奨します。

設定方法

GUIにログイン後、[ポリシー&オブジェクト] > [ファイアウォールポリシー] 設定変更対象のポリシーを選択します。

ポリシーの編集画面の右側の [追加情報] > [CLIで編集] ボタンをクリックします。

CLIの編集画面が表示されたら以下のコマンドを実行します。

set match-vip enable
end

参考

FortiGate 管理者ガイド Firewall policy <バーチャルIPを適用したポリシーとのマッチングを拒否する>

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

AWS Network Firewallの設定方法前のページ

AWS Network Firewallにおけるログの出力方法次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. FortiGate

    【禁断の異機種間HA】FortiGate-60F/60EでHAを組んでみた!

    こんにちは。takiです。タイトルの通り今回もやってみた系の記…

  2. FortiGate

    FortiGateのGARP(Gratuitous ARP)の送信タイミングについて検証してみた!

    こんにちは、takiです。直近の案件で別チームがUTMのリプレ…

  3. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  4. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

  5. FortiGate

    FortiGateをREST APIを用いて監視しよう(後編)

    本記事では前後編にわたり、REST APIを使ってFortiGateを…

  6. FortiGate

    FortiGate NAT設定(VIP)の確認事項

    正しくNATの設計を行わないと、NATが動作しない、意図した送信元IP…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP