FortiGate

FortiGate 遮断ポリシーが意図しない挙動になるケース

FortiGateにおいてmatch-vipという重要な設定があります。
本記事はmatch-vipを有効化しない場合に意図しない挙動になることを紹介します。

設定例

上記の設定は、「172.23.61.61」から「vip」への通信を許可しないために行われています。
しかし、上記設定においてひと手間をかけなければ、「172.23.61.61」から「vip」へのアクセスが行えてしまいます。

なおFortiGateにおいてVIPを設定する方法については以下をご参照ください。
FortiGate NAT設定(VIP)の確認事項

解説

上記設定例において、match-vipを最上段のポリシーにおいて有効化しなければいけません。
VIPが適用されたファイアウォールポリシーと通常のファイアウォールポリシーは扱いが異なるためです。

最上段のポリシーが以下の通り設定されていれば、「172.23.61.61」から「vip」への通信は遮断されます。

しかし、「vip_a」「vip_b」などVIPが追加されるたびに、それを最上段の遮断ポリシーの宛先に追加する作業は運用の負荷の増大や設定の見落としになりかねません。そのため、運用上match-vipの有効化を推奨します。

設定方法

GUIにログイン後、[ポリシー&オブジェクト] > [ファイアウォールポリシー] 設定変更対象のポリシーを選択します。

ポリシーの編集画面の右側の [追加情報] > [CLIで編集] ボタンをクリックします。

CLIの編集画面が表示されたら以下のコマンドを実行します。

set match-vip enable
end

参考

FortiGate 管理者ガイド Firewall policy <バーチャルIPを適用したポリシーとのマッチングを拒否する>

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

AWS Network Firewallの設定方法前のページ

AWS Network Firewallにおけるログの出力方法次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

    当記事では、FortiGateのVDOM毎にログの転送先syslogサ…

  2. FortiGate

    FortiGate NAT設定(VIP)の確認事項

    正しくNATの設計を行わないと、NATが動作しない、意図した送信元IP…

  3. FortiGate

    【現場SE奮闘記 vol.2 】「天狗となったエンジニア」~FortiGate NATの仕様編~

    筆致についてはタイトル毎に統一されていません。あらかじめご了承ください…

  4. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    事象VPNトンネルの認証方式においてIKE2を使用した場合、監視項…

  5. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  6. FortiGate

    まずは、FortiGateを監視したい!

    始めてLSCを導入される方が、FortiGate側の準備、LSCをイン…

LogStareセミナー

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP