FortiGate FAQ - ファイアウォール / UTM

F/Wポリシーにワイルドカードを含むFQDNアドレスを設定できますか
ID
 : 
FG-21-0050
公開日
 : 
2019/04/01
更新日
 : 
2023/02/07
OS Ver
 : 
6.2, 6.4, 7.0, 7.2, 7.4
F/Wポリシーで、ワイルドカードを含むFQDNアドレスを設定することができます。
但し、ワイルドカードを持つFQDNの処理では、FortiGateを通過するDNSトラフィックを分析し、対応するIPアドレスを判断する為、以下の条件を満たす必要があります。

  1. 当該FQDNを判断するDNSトラフィックがFortiGateを通過する。
  2. FortiGateでDNSのセッションヘルパーが有効になっている。(デフォルト)
  3. DNS over TLS(DoT)、DNS over HTTPS(DoH)を利用していない。
   ※7.0以降のバージョンでは、DNS over TLS(DoT)をサポートしますが、DoT環境下で利用する場合は、通過するDNS
    トラフィックの処理でDoTをサポートするDNSフィルタが設定されている必要があります。

ワイルドカードを含むFQDNアドレスを利用する場合は、ワイルドカードを含むFQDNアドレスをF/Wポリシーに設定します。
GUIの場合は、以下手順で作成します。
以下例では、Address名をsample_wildcard_address、割り当てるインタフェースを lan としています。

  1. 左メニューから、Policy & Objects 配下の Addresses を選択する。
  2. TYPE項でFQDNを選択する。
  3. FQDN項に、ワイルドカードを持つFQDNを設定する。


config firewall address edit "sample_wildcard_address" set type fqdn set associated-interface "lan" set fqdn "*.hitachi-solutions.co.jp" next end