FQDN オブジェクトの設定およびテスト方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure and Test FQDN Objects

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-and-Test-FQDN-Objects/t...

 

 

考察

  • FQDN オブジェクトはアドレス オブジェクトです。すなわち、セキュリティ ポリシーで送信元アドレスや宛先アドレスを参照するのと同様の使い方ができます。
  • そのため、Palo Alto Networks ファイアウォールは、30 分ごとに FQDN リフレッシュを行います。FQDN リフレッシュでは、設定されている DNS サーバー (Setup > Services) へ NS ルックアップを行います。Palo Alto Networks ファイアウォールでは 1 つの FQDN オブジェクトに IP アドレス 10 個までマッピングできます。
  • この DNS サーバーが、ホストが使用しているのと同じ DNS サーバーであることを確認してください。DNS マルウェアはこのようなソリューションに悪影響を及ぼす場合があります。
  • この方法はIP アドレスを使用することができない場合のみ使用してください。つまり、このタイプのオブジェクトを URL フィルタリング ポリシーの一部として使用しないでください。
  • この方法はまた、Web Browsing と関連のない他のサービス (FTP、SSH、またはその他のサービス) を制御するのにも役立ちます。
  • オブジェクトが IPv6 アドレスに解決される場合は、IPv6 Firewalling (Setup > Session) を有効にします。

 

オブジェクトの設定

FQDN オブジェクトの設定を始めるために、Objects > Addresses へ移動します。

  1. Add をクリックして新しいアドレス オブジェクトを作成します。
  2. タイプを‘IP/Netmask’から‘FQDN’へ変更します。
  3. アドレスを入力します (http:// またはその他のヘッダーは含めないでください)。
  4. OK をクリックします。
  5. 変更をコミットします。

2.JPG

 

FQDN オブジェクトは CLI のコンフィグレーション モードで以下のコマンドを使用して設定できます。

# set address Google fqdn www.google.com

 

変更の確認

  • 自動 FQDN リフレッシュ タスクはバックグラウンドで実行されます。このジョブのステータスは GUI の右下角の Tasks ボタンをクリックして確認できます。
  • CLI コマンド 'request system fqdn show' は、FQDN オブジェクトとその名前に紐づく IP アドレスの一覧を参照するために使用できます。
  • リフレッシュの強制実行は 'request system fqdn refresh' コマンドを実行することにより可能です。
  • 推奨される追加の確認としては、デスクトップからホストへ ping し、その IP アドレスが 'request system fqdn refresh' コマンド実行後一覧に表示された IP アドレスに一致することを確認することが挙げられます。

 

著者: kgotlob