FortiGate

FortiGate 遮断ポリシーが意図しない挙動になるケース

この記事は投稿日から1年以上経過しています。

FortiGateにおいてmatch-vipという重要な設定があります。
本記事はmatch-vipを有効化しない場合に意図しない挙動になることを紹介します。

設定例

上記の設定は、「172.23.61.61」から「vip」への通信を許可しないために行われています。
しかし、上記設定においてひと手間をかけなければ、「172.23.61.61」から「vip」へのアクセスが行えてしまいます。

なおFortiGateにおいてVIPを設定する方法については以下をご参照ください。
FortiGate NAT設定(VIP)の確認事項

解説

上記設定例において、match-vipを最上段のポリシーにおいて有効化しなければいけません。
VIPが適用されたファイアウォールポリシーと通常のファイアウォールポリシーは扱いが異なるためです。

最上段のポリシーが以下の通り設定されていれば、「172.23.61.61」から「vip」への通信は遮断されます。

しかし、「vip_a」「vip_b」などVIPが追加されるたびに、それを最上段の遮断ポリシーの宛先に追加する作業は運用の負荷の増大や設定の見落としになりかねません。そのため、運用上match-vipの有効化を推奨します。

設定方法

GUIにログイン後、[ポリシー&オブジェクト] > [ファイアウォールポリシー] 設定変更対象のポリシーを選択します。

ポリシーの編集画面の右側の [追加情報] > [CLIで編集] ボタンをクリックします。

CLIの編集画面が表示されたら以下のコマンドを実行します。

set match-vip enable
end

参考

FortiGate 管理者ガイド Firewall policy <バーチャルIPを適用したポリシーとのマッチングを拒否する>

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

AWS Network Firewallの設定方法前のページ

AWS Network Firewallにおけるログの出力方法次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. FortiGate

    FortiGateをREST APIを用いて監視しよう(後編)

    本記事では前後編にわたり、REST APIを使ってFortiGateを…

  2. FortiGate

    【FortiGate】CLIコンソールでのログの表示方法

    本記事では、CLIコンソールでのログの表示方法について解説します。…

  3. NW機器

    【仕様】VPNトンネルの認証方式においてIKE2を使用した場合、「FortiGuard_VPNステー…

    当記事の内容は、以下の記事に統合しました。LogStare C…

  4. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

  5. FortiGate

    【FortiGate】トラフィックログ生成のタイミングについて

    FortiGateのトラフィックログは、許可トラフィックのセッション開…

  6. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP