FortiGate ではポリシーを作成する際に送信元や送信先としてあらかじめ作成されたアドレスオブジェクトを指定します。ここではそのアドレスオブジェクトの作成手順について記載します。
作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.0.9
アドレスオブジェクトの作成
アドレスオブジェクトにはいくつか種類があり、主に以下があります。
- サブネット
- IP 範囲
- FQDN
※ FQDN を使用する場合は FortiGate で名前解決できる状態である必要があります
アドレスオブジェクト作成画面の表示
GUI で [ポリシー&オブジェクト] → [アドレス] と選択し、アドレス画面で [新規作成] → [アドレス] と選択します。
以下のアドレス作成画面になります。
サブネットの場合
サブネットタイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [サブネット] を選択します。
| 項目 | 説明 |
| 名前 | アドレスオブジェクトの表示名 |
| カラー | GUI 上でのアイコンの色 |
| タイプ | アドレスオブジェクトのタイプ |
| サブネット/IP範囲 | サブネットを指定 サブネット形式、プレフィックス形式のどちらでも可 |
| インターフェース | 指定したサブネットがどのインターフェースの先に存在するかを指定 |
| アドレスリストに表示 | ポリシー設定画面等のアドレスリストに表示させるかどうか |
| スタティックルート設定 | スタティックルート設定画面のアドレスリストに表示させるかどうか |
| コメント | 任意のコメント |
| タグ | アドレスオブジェクトにタグ付けする場合は設定 |
IP 範囲の場合
IP 範囲タイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [IP 範囲] を選択します。
設定項目 [サブネット/IP範囲] については、範囲の開始アドレスが xxx.xxx.xxx.xxx で終了アドレスが yyy.yyy.yyy.yyy の場合は、以下のように開始アドレスと終了アドレスの間にハイフンを入れた形式で記載します。
xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyyFQDN の場合
FQDN タイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [FQDN] を選択します。
タイプを FQDN にすると、[FQDN] という設定項目が現れるため、[FQDN] 欄に FQDN を入力します。
作成後の確認
アドレスを作成したらアドレス一覧画面で作成したアドレスが表示されていることを確認します。
FQDN タイプのアドレスオブジェクトについては、FortiGate で名前解決できていない場合は上の画像のように赤背景で表示されます。
名前解決できている場合は以下のように表示されます。
CLI でのコンフィグ確認
アドレスの設定に該当するコンフィグ項目は config firewall address です。
上で記載している設定例の通り設定した後のコンフィグは以下の通りです。
FGT # show firewall address
config firewall address
edit "10.20.30.0/24"
set uuid 5e400ebc-b1f8-51ea-426c-d221dad67632
set associated-interface "internal1"
set subnet 10.20.30.0 255.255.255.0
next
edit "10.110.120.1-10.110.120.100"
set uuid 9288f0ee-b1f8-51ea-836b-b9b1d38565d1
set type iprange
set associated-interface "internal1"
set color 3
set start-ip 10.110.120.1
set end-ip 10.110.120.100
next
edit "yahoo.co.jp"
set uuid 004a3f02-b1f9-51ea-87b4-bf017ece3b62
set type fqdn
set associated-interface "wan1"
set fqdn "yahoo.co.jp"
next
end
※コンフィグの [ set uuid *** ] の設定はアドレス作成時に自動で設定されるため指定する必要はありません
アドレスグループオブジェクトの作成
複数のアドレスオブジェクトをまとめたアドレスグループを作成することができます。
GUI で [ポリシー&オブジェクト] → [アドレス] と選択し、アドレス画面で [新規作成] → [アドレスグループ] と選択します。
以下のようなアドレスグループ作成画面が表示されます。
| 項目 | 説明 |
| グループ名 | アドレスグループオブジェクトの表示名 |
| カラー | GUI 上でのアイコンの色 |
| メンバー | アドレスグループに所属するアドレスオブジェクト |
| アドレスリストに表示 | ポリシー設定画面等のアドレスリストに表示させるかどうか |
| スタティックルート設定 | スタティックルート設定画面のアドレスリストに表示させるかどうか |
| コメント | 任意のコメント |
| タグ | アドレスグループオブジェクトにタグ付けする場合は設定 |
アドレスグループを作成したらアドレス一覧画面で作成したアドレスグループが表示されていることを確認します。
CLI でのコンフィグ確認
アドレスグループの設定に該当するコンフィグ項目は config firewall addrgrp です。
上で記載している設定例の通り設定した後のコンフィグは以下の通りです。
FGT # show firewall addrgrp
config firewall addrgrp
edit "HogeGroup"
set uuid d554e328-b1f9-51ea-843a-c55789848eb7
set member "10.110.120.1-10.110.120.100" "10.20.30.0/24"
next
end
※コンフィグの [ set uuid *** ] の設定はアドレスグループ作成時に自動で設定されるため指定する必要はありません
―――――――――――――
次のステップ → FortiGate でサービスオブジェクトを作成する手順
―――――――――――――
