ドメイン名別のポリシーについて (FQDN)

Firebox ポリシー構成では完全修飾ドメイン名 (FQDN) を使用できます。構成に FQDN を使用する場合、Firebox がドメイン名を解決できるよう、Firebox で DNS も構成する必要があります。詳細については、DNS 構成を参照してください。

ポリシーでドメイン名を使用して、ドメインに基づいてトラフィックを制御することができます。例:

他のトラフィックはすべてブロックされていても、windowsupdate.microsoft.com などのソフトウェア更新サイトや、ウイルス対策署名の更新サイトへのトラフィックを許可します。
特定のドメインへのトラフィックをブロックまたは許可します。
特定のドメインへのトラフィックをブロックして、サブドメインには例外を作成します。
すべての Web トラフィックには HTTP プロキシを使用し、*.akamai.com などのコンテンツ配信ネットワークの場合はプロキシをバイパスします。
異なるドメインに異なるプロキシポリシーを使用します。たとえば、example.com と example2.com に異なるプロキシポリシーを使用することができます。

ドメイン名のサポートにより、以下を実行できます：

エイリアスのメンバーとしてドメイン名を使用する
ブロックされたサイトとブロックされたサイトの例外でドメイン名を使用する。
クォータ例外でドメイン名を使用する
Geolocation の例外でドメイン名を使用する
ポリシーの送信元と送信先フィールドでドメイン名を使用する

ポリシーの送信元フィールドに定義されている FQDN ホスト名はリアルタイムで解決されず、変更されることがほとんどない内部ホスト名など、動的でないホスト名が対象となっています。ネットワーク上の別のデバイスまたはシステムでホスト名が解決され、対応する IP アドレスが FQDN マッピングデータベースで更新されない限り、FQDN は能動的に解決されません。この場合は、代わりにエイリアスを使用することをお勧めします。詳細については、エイリアスについてを参照してください。

特定のドメイン名 (host.example.com) またはワイルドカードドメイン名 (*.example.com) を使用できます。たとえば、ワイルドカードドメイン *.example.com には以下が含まれます。

example.com
a.example.com
b.example.com
a.b.example.com

ワイルドカードドメイン名には、少なくとも 2 つのドメインラベルを含める必要があります (例：*.example.com)。*.com などのトップレベルドメインのみを含むワイルドカードドメイン名はサポートされていません。

以下の例のように、サブドメインワイルドカードも使用できます：

*.b.example.com
*.b.c.example.com
*.b.c.example.com

複数レベルのサブドメインワイルドカードは、 Fireware v12.2 以降でのみサポートしています。

次のワイルドカードの入力はサポートされていません：

*.net または *.com (IP アドレスエントリのリストは、処理するには大きすぎます)
*.*.example.com
example*.com
*. example.*.com
example.*.com

ドメイン名解決

構成でドメイン名を定義した場合、Firebox は指定されたドメインの正引き DNS 解決を実行し、IP アドレスマッピングを格納します。*.example.com などのワイルドカードドメインについては、デバイスは example.com と www.example.com について正引き DNS 解決を実行します。

*.example.com により暗黙に示されるサブドメインを解決するために、Firebox はドメイン名構成と一致する DNS 応答を分析します。DNS トラフィックが Firebox を通過するときに、該当するクエリへの IP アドレスマッピング応答が Firebox に保存されます。A と CNAME レコードのみ使用されます。その他のレコードは無視されます。

制限

ドメイン名を使用する際はこれらの制限に留意してください：

ドメイン名の解決に使用する認可 DNS サーバーとは、構成で最初に指定されている静的 DNS サーバーです。Firebox が外部インターフェイス上で DHCP または PPPoE を使用する場合は、最初に動的に取得する DNS サーバーです。
IPv4 アドレスのみサポートされます。
ポリシー、エイリアスメンバー、ブロックされたサイト、ブロックされたサイトの例外、Geolocation の例外、およびクォータの例外で構成できるドメイン名の総数は、Fireware のバージョンとデバイスモデルによって異なります。
Fireware OS 12.7 以降：
- 構成できるドメイン名の数に制限はありません。Firebox の次のようにモデルに基づいて、ドメイン名の数が 2048 または 1024 を超える構成を保存すると、Firebox は警告ログメッセージを生成します。
  - Firebox M270、M370、M400, M440, M470、M500、M570、M670、M4600、M5600、T55、T55-W、T70、FireboxV および Firebox Cloud：ドメイン名 2048 個
  - その他すべてのデバイス：ドメイン名最大 1024 個
- ログメッセージの例：
Fireware 12.4 から 12.6.x：
- Firebox M200、M270、M300、M370、M400、M440、M470、M500、M570、M670、M4600、M5600、T55、T55-W、T70、FireboxV、Firebox Cloud：ドメイン名最大 2048 個
- その他のすべてのデバイス：ドメイン名最大 1024 個
Fireware 12.3.1 以前：
- すべてのデバイス：ドメイン名最大1024個
各ドメインに IP アドレスを 255 までマッピングできます。マッピングが最大数に達すると、古い IP アドレスがドロップされます。

Firebox では、DNS サーバーから提供される TTL (有効期間) 値で指定された期間、FQDN の DNS エントリが保持されます。

構成に関する注意事項

ドメイン名を構成する際には、次の点に注意してください：

1 つのドメイン名が複数の IP アドレスに対応する可能性がある — 地理的な位置、タイムゾーン、負荷バランシングの構成、その他の要素に基づいて、異なる DNS サーバーから異なる IP アドレス応答が返される可能性があります。
特定の IP アドレスを複数のドメイン名にマッピングすることができる — ドメインが IP アドレスに解決されるということは、ポリシー内のその特定の IP アドレスに関するファイアウォールポリシーが、このドメインにも存在することになります。別のドメインまたはサブドメインも同じ IP アドレスに解決される場合、そのドメインの発信･着信トラフィックもこのポリシーと照合されます。そのため、各ドメインまたはワイルドカードドメインに異なるトラフィックアクションを構成する場合に、状況が複雑になる可能性があります。使用される FQDN IP マッピングは、次の処理優先度によって決定されます：
1. ブロックされたサイトの例外
2. ブロックされたサイト
3. ポリシー (ポリシーの順番に基づく)
1 つ以上のポリシーで同じ FQDN を使用できます — ポリシー構成は、ブロックされたサイトの例外、ブロックされたサイト、およびポリシーなどの異なるパケットレベルの機能で発生した複数の FQDN の一致における問題を予防します。FQDN はポリシーの優先度で解決されます。
同じサイトに複数のドメイン名 — Web サイトのメインページの多くは、別の Web サイトからデータを、第 2 レベルのドメインから画像や他の情報をプルします。トラフィックをすべてブロックした上で特定のドメインだけ許可する場合は、ページに呼び出される他のドメインも許可する必要があります。Firebox は、サイトコンテンツ全体を提供するために、ワイルドカードドメインには第 2 レベルドメインからの IP アドレスをマッピングします。

DNS 構成

Firebox は、DNS サーバーを使用して IP アドレスの各ドメイン名を解決します。FQDN を使用するには、Firebox のネットワーク設定で DNS サーバーを構成するか、または外部インターフェイスを DHCP または PPPoE に設定して DNS 構成を取得する必要があります。クライアントと Firebox で同じ DNS サーバーを使用することをお勧めします。クライアントの IP とドメインのマッピングが Firebox のマッピングと異なる場合、トラフィックは正しいポリシーに一致せず、そのため別のポリシーによって許可されたり、いずれのポリシーとも一致しないのでドロップされる可能性があります。

クライアントが内部の行き先に到達するのに内部 DNS サーバーを使用する場合は、ローカルサーバーに関するこのトラフィックを Firebox で分析する機会が得られない可能性があります。内部 DNS サーバーを使用する場合は、DNS サーバーをクライアントと異なる内部ネットワークに設置して、Firebox が DNS サーバーからの応答を認識し分析できるようにすることをお勧めします。

v11.12.2 より前の Fireware バージョンでは、構成されていない FQDN および DNS が含まれている場合、Policy Manager では Firebox に構成を保存できません。v11.12.2 以降の Fireware では、DNS が構成されていない場合 Policy Manager から警告メッセージが発信されますが、Firebox に構成を保存することは許可されます。

ドメイン名の構成と管理は、次のセクションに説明されているように、現在のネットワークトポロジや DNS サーバーの位置によって影響を受けます。

ローカルネットワークの内部 DNS

クライアントと Firebox が同じネットワークゾーンにある内部 DNS サーバーを使用する場合：

クライアントと Firebox の両方で、ローカル DNS サーバーをプライマリ名前サーバーとして使用するよう構成します。
ワイルドカードドメインエントリを追加するときは、ドメイン/IP マッピングが確実に更新されるように、クライアントと DNS サーバーのローカル DNS キャッシュをフラッシュする必要があります。これにより、Firebox は DNS 応答の分析とマッピングをやり直します。
DNS サーバーのローカル DNS キャッシュをフラッシュするには、DNS サーバーのマニュアルを参照してください。
Windows クライアントの DNS キャッシュを表示してフラッシュするには、コマンド行から次のコマンドを入力します：
ipconfig /displaydns
ipconfig /flushdns
Firebox の起動時に、ドメインマッピングは保存されません。ドメイン/IP マッピングが確実に更新されるように、クライアントと DNS サーバーのローカル DNS キャッシュをフラッシュする必要があります。
別の方法として、Firebox を再起動した後に復元可能なフラッシュファイルにドメインマッピングを保存しておくことができます。ドメインマッピングをフラッシュファイルに保存するには、CLI メインモードから、次のように入力します： diagnose fqdn "/fqdnd/save_wildcard_domain_labels"

異なるネットワーク上の内部 DNS

クライアントが異なるネットワークゾーンにある内部ローカル DNS サーバーを使用する場合 (たとえば、Firebox と別のネットワークなど)：

クライアントと Firebox の両方で、ローカル DNS サーバーをプライマリ名前サーバーとして使用するよう構成します。
構成にワイルドカードドメインを追加する際や Firebox を再起動する際に、クライアントまたは DNS サーバーのローカル DNS キャッシュをフラッシュする必要はありません。

外部 DNS

クライアントと Firebox が外部 DNS サーバーを使用する場合：

クライアントと Firebox の両方で、外部 DNS サーバーをプライマリ名前サーバーとして使用するよう構成します。Firebox の外部インターフェイスで DHCP または PPPoE を使用して DNS 構成を取得する場合は、使用するのはこの DNS サーバーです。
構成にワイルドカードドメインを追加する際や Firebox を再起動する際に、クライアントまたは DNS サーバーのローカル DNS キャッシュをフラッシュする必要はありません。

ログとレポート

ログメッセージとレポートでは、他の IP アドレスやホストと同様に、ドメイン名解決とアクションを表示できます。

ワイルドカードドメインを使用すると、ログメッセージに *.example.com のようにワイルドカードとして表示されます。アクションをトリガした固有のサブドメインアドレスは表示されません。