FQDNアドレスオブジェクトを含むアドレスグループを使ったアクセスルールで、グループ内のアドレスオブジェクトを削除した場合に許可されるはずの宛先への通信がブロックされてしまう場合について
Description
FQDNアドレスオブジェクトを含むアドレスグループを使ったアクセスルールで、グループ内のアドレスオブジェクトを削除した場合に許可されるはずの宛先への通信がブロックされてしまう場合についての説明と回避策をここで説明します。
FQDNアドレスオブジェクトを含むアドレスグループの例:
”www.mysonicwall.com”というFQDNを定義したアドレスオブジェクトと、”204.212.170.131”というホストを定義したアドレスオブジェクトを、1つのアドレスグループに含めます。
”www.mysonicwall.com”の解決されたIPアドレスは、「204.212.170.131 」で、同じグループ内のホストアドレスオブジェクトと同じIPアドレスになりますが、FQDNアドレスオブジェクトなので同じグループで設定できます。
このアドレスグループを宛先にした許可動作のアクセスルールを作成します。
この段階では、許可ルールにしたがいアクセスは可能です。
しかし、アドレスグループからこの”www.mysonicwall.com”のFQDNを削除した場合、”204.212.170.131”のホストアドレスオブジェクトが残っていても、同じIPアドレスのオブジェクトをアクセスルールから削除したために「204.212.170.131 」への通信が許可されなくなります。
Cause
SonicWall UTM製品では、アドレスグループにIPアドレスがオーバーラップする複数のアドレスオブジェクトを追加することができない仕様です。
ただしFQDNアドレスオブジェクトの場合、動的に変更される可能性があるためこの検査は回避されます。
そのためアドレスグループでは、FQDNオブジェクトと他のアドレスオブジェクトでIPアドレスのオーバーラップが発生する可能性があります。
そのFQDNアドレスオブジェクトを含むアドレスグループを使ったアクセスルールをご利用の場合、潜在的な問題が発生することがあります。
Resolution
回避策:
あらかじめ同じIPアドレスであることが判っている場合は、グループにせずにそれぞれのアドレスオブジェクトを使ったアクセスルールを作成してください。
この現象が発生してしまった場合は、このアクセスルールを一旦無効にして有効に戻してください。ただし上記の通り、グループにせずにそれぞれのアドレスオブジェクトを使ったアクセスルールを作成する事が根本的な回避策になります。