FortiGate でアドレスオブジェクトを作成する手順(v6.0.9)

ファイアウォール(UTM)

FortiGate ではポリシーを作成する際に送信元や送信先としてあらかじめ作成されたアドレスオブジェクトを指定します。ここではそのアドレスオブジェクトの作成手順について記載します。

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.0.9

アドレスオブジェクトの作成

アドレスオブジェクトにはいくつか種類があり、主に以下があります。

  • サブネット
  • IP 範囲
  • FQDN

※ FQDN を使用する場合は FortiGate で名前解決できる状態である必要があります

アドレスオブジェクト作成画面の表示

GUI で [ポリシー&オブジェクト] → [アドレス] と選択し、アドレス画面で [新規作成] → [アドレス] と選択します。

以下のアドレス作成画面になります。

サブネットの場合

サブネットタイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [サブネット] を選択します。

画像:サブネット設定例
項目説明
名前アドレスオブジェクトの表示名
カラーGUI 上でのアイコンの色
タイプアドレスオブジェクトのタイプ
サブネット/IP範囲サブネットを指定
サブネット形式、プレフィックス形式のどちらでも可
インターフェース指定したサブネットがどのインターフェースの先に存在するかを指定
アドレスリストに表示ポリシー設定画面等のアドレスリストに表示させるかどうか
スタティックルート設定スタティックルート設定画面のアドレスリストに表示させるかどうか
コメント任意のコメント
タグアドレスオブジェクトにタグ付けする場合は設定

IP 範囲の場合

IP 範囲タイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [IP 範囲] を選択します。

画像:IP 範囲設定例

設定項目 [サブネット/IP範囲] については、範囲の開始アドレスが xxx.xxx.xxx.xxx で終了アドレスが yyy.yyy.yyy.yyy の場合は、以下のように開始アドレスと終了アドレスの間にハイフンを入れた形式で記載します。

xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy

FQDN の場合

FQDN タイプのアドレスを作成する場合は、アドレス作成画面にて [タイプ] として [FQDN] を選択します。

タイプを FQDN にすると、[FQDN] という設定項目が現れるため、[FQDN] 欄に FQDN を入力します。

作成後の確認

アドレスを作成したらアドレス一覧画面で作成したアドレスが表示されていることを確認します。

FQDN タイプのアドレスオブジェクトについては、FortiGate で名前解決できていない場合は上の画像のように赤背景で表示されます。

名前解決できている場合は以下のように表示されます。

CLI でのコンフィグ確認

アドレスの設定に該当するコンフィグ項目は config firewall address です。

上で記載している設定例の通り設定した後のコンフィグは以下の通りです。

FGT # show firewall address
config firewall address
    edit "10.20.30.0/24"
        set uuid 5e400ebc-b1f8-51ea-426c-d221dad67632
        set associated-interface "internal1"
        set subnet 10.20.30.0 255.255.255.0
    next
    edit "10.110.120.1-10.110.120.100"
        set uuid 9288f0ee-b1f8-51ea-836b-b9b1d38565d1
        set type iprange
        set associated-interface "internal1"
        set color 3
        set start-ip 10.110.120.1
        set end-ip 10.110.120.100
    next
    edit "yahoo.co.jp"
        set uuid 004a3f02-b1f9-51ea-87b4-bf017ece3b62
        set type fqdn
        set associated-interface "wan1"
        set fqdn "yahoo.co.jp"
    next
end

※コンフィグの [ set uuid *** ] の設定はアドレス作成時に自動で設定されるため指定する必要はありません

アドレスグループオブジェクトの作成

複数のアドレスオブジェクトをまとめたアドレスグループを作成することができます。

GUI で [ポリシー&オブジェクト] → [アドレス] と選択し、アドレス画面で [新規作成] → [アドレスグループ] と選択します。

以下のようなアドレスグループ作成画面が表示されます。

項目説明
グループ名アドレスグループオブジェクトの表示名
カラーGUI 上でのアイコンの色
メンバーアドレスグループに所属するアドレスオブジェクト
アドレスリストに表示ポリシー設定画面等のアドレスリストに表示させるかどうか
スタティックルート設定スタティックルート設定画面のアドレスリストに表示させるかどうか
コメント任意のコメント
タグアドレスグループオブジェクトにタグ付けする場合は設定

アドレスグループを作成したらアドレス一覧画面で作成したアドレスグループが表示されていることを確認します。

CLI でのコンフィグ確認

アドレスグループの設定に該当するコンフィグ項目は config firewall addrgrp です。

上で記載している設定例の通り設定した後のコンフィグは以下の通りです。

FGT # show firewall addrgrp
config firewall addrgrp
    edit "HogeGroup"
        set uuid d554e328-b1f9-51ea-843a-c55789848eb7
        set member "10.110.120.1-10.110.120.100" "10.20.30.0/24"
    next
end

※コンフィグの [ set uuid *** ] の設定はアドレスグループ作成時に自動で設定されるため指定する必要はありません

―――――――――――――

次のステップ → FortiGate でサービスオブジェクトを作成する手順

―――――――――――――

【初学者向け】FortiGateのベース機能を構築できるようになるまでの学習ロードマップ
はじめに FortiGate の各機能について説明されている Web ページはある程度存在するものの、初学者向けに体系的に情報がまとめられている Web サイトはあまり見つからなかったため、初学者向けの学習ロードマップを作成しました。 想定...
nwengblog.com
2020.03.01
【完全版】FortiGate 設定用情報まとめ
初学者向けの FortiGate 設定方法解説のまとめです。ベース機能については大体カバーしています。これから FortiGate を学ぶ方はぜひ確認してみてください。
nwengblog.com
2020.02.18
スポンサーリンク
タイトルとURLをコピーしました