FQDN DAO の使用による、ドメインに対するすべてのプロトコルのアクセス遮断

非標準ポートを使った処理や、未知のプロトコルの使用、暗号化やトンネル化 (またはその両方) によるトラフィックの意図的な不明瞭化などを行っているという理由から、特定の送信先 IP アドレスへのすべてのプロトコルのアクセスを遮断することが望ましい場合があります。具体的な例としては、ホーム ネットワークのトンネルを通すことによってトラフィックを不明瞭化するという目的で、DSL モデムまたはケーブル モデムに接続されたホーム ネットワーク上に HTTPS プロキシ サーバを設定した場合 (あるいはその他の方法で、53、80、443 などの“信頼できる"ポート、および 5734、23221、63466 などの非標準ポートのポート転送/トンネル化を行っている場合) などが考えられるでしょう。このようなネットワークではポートが予測不能であるだけでなく、多くの場合、IP アドレスも動的に設定されるため同様に予測不能となり、状況はさらに複雑化します。

これらのシナリオでは、通常、ユーザによるホーム ネットワークの特定ができるように動的 DNS (DDNS) 登録が利用されるので、FQDN AO を積極的に使えば DDNS レジストラに登録されているすべてのホストへのアクセスを遮断できます。

ここでは例として DDNS ターゲットの場合を示しています。非 DDNS ターゲット ドメインも同様に使用できます。

想定条件

• 10.50.165.3 と 10.50.128.53 の DNS サーバを使うようにファイアウォールが構成されているとします。
• ファイアウォールは、ファイアウォールで保護されているすべてのユーザに対して DHCP リースを提供しているものとします。ネットワーク上のすべてのホストは上記の構成済み DNS サーバを使用して解決を行います。
  • 未承認 DNS サーバへの DNS 通信を遮断したければアクセス ルールを使います。「ネットワーク上の承認済みサーバの使用の強制」を参照してください。
• DSL ホーム ネットワークのユーザが DDNS プロバイダ DynDNS に登録しているホスト名が moosifer.dyndns.org であるとします。このセッションで ISP がこの DSL 接続に割り当てたアドレスは、71.35.249.153 であるとします。
  • 同じ IP アドレスに対して別のホスト名を登録することは容易なので、後からホスト名が追加されることを想定して FQDN AO を使用しています。必要に応じて、別の DDNS プロバイダに対応するエントリを追加することもできます。

手順 1 － FQDN アドレス オブジェクトの作成:

1. 「オブジェクト > 一致オブジェクト > アドレス > アドレス オブジェクト」ページに移動します。

2. 「追加」をクリックし、次の FQDN アドレス オブジェクトを作成します。

   

   最初に作成された時点では、dyndns.org のアドレス (例えば、63.208.196.110) のみがこのエントリの解決先になります。ファイアウォールで保護されているホストが承認済み DNS サーバを使用して moosifer.dyndns.orgの解決を試行した場合、その問い合わせに対する応答として返された (1 つまたは複数の) IP アドレスが FQDN AO に動的に追加されます。

手順 2 － アクセス ルールの作成:

1. 「ポリシー > アクセス ルール」ページに移動します。

2. 「追加」をクリックし、次のアクセス ルールを作成します。

   

   この FQDN に含まれるターゲット ホストへのアクセスはプロトコルに関係なく遮断され、アクセスが試行された場合は、そのイベントがログに記録されます。