FTDアクセスコントロールポリシーのサブドメインに一致しない基本ドメインを使用したFQDNオブジェクトのトラブルシューティング( )
内容
お問い合わせ内容
Cisco Firewall Threat Defense(FTD)アクセスコントロールポリシーで完全修飾ドメイン名(FQDN)オブジェクトを設定する場合、基本ドメインエントリはサブドメインと自動的には一致しません。たとえば、「example.com」として設定された宛先オブジェクトを許可するポリシーを作成する場合、サブドメイン「maps.example.com」は、同じポリシールールによって許可されるのではなくブロックされます。この動作により、ベースドメインがすべてのサブドメインでワイルドカードとして機能できるかどうか、およびFTDポリシーでワイルドカードFQDN照合を実装するための適切な設定方法に関して疑問が生じます。
環境
FTDバージョン7.2他のバージョンも影響を受ける可能性があります。
FMCバージョン7.2他のバージョンも影響を受ける可能性があります。
アクセスコントロールポリシーで構成されたFQDNオブジェクト。
解決策
確認された動作は、FQDNオブジェクトの予期された動作です。
Cisco FMCでは、FQDNオブジェクトは正確なドメイン名に一致するように設計されており、サブドメインのワイルドカードとして自動的に機能しません。
サブドメイン照合を適切に設定するには、FQDNオブジェクトの代わりにURLフィルタリングとURL条件を使用する必要があります。
サブドメイン照合のためのURLフィルタリングの設定
FMCでドメインとそのすべてのサブドメインを一致させるには、次の設定手順を使用します。
ステップ 1:アクセスコントロールポリシールール設定に移動します
FMCで、Policies > Access Control > Access Control Policy > [Your Policy Name] > Rulesの順に移動します。
ステップ 2アクセスコントロールルールの作成または編集
新しい規則を作成するか、サブドメイン照合を実装する既存のアクセス制御規則を編集します。
ステップ 3URL条件の設定
ルール設定で、FQDNオブジェクトを使用する代わりにURL条件を追加します。URL条件を設定して、サブドメインに一致する適切なワイルドカード構文を持つ基本ドメインを含めます。
ステップ 4URLフィルタリングポリシーの適用
URLフィルタリングが有効になっており、アクセスコントロールポリシー内で適切に設定され、URL条件が効果的に処理されることを確認します。
ステップ 5構成の展開
サブドメインの照合機能を実装するには、設定の変更をターゲットのFTDデバイスに展開します。
代替の設定方法
URLフィルタリングが特定の使用例に適さない場合は、明示的に一致させる必要があるサブドメインごとに複数のFQDNオブジェクトを作成するか、ドメインが予測可能なIPアドレス空間に解決される場合は、IPアドレス範囲を持つネットワークオブジェクトを使用することを検討してください。
原因
Cisco FMCのFQDNオブジェクトは、ワイルドカードによる照合ではなく、正確なドメイン名照合を実行するように設計されています。これは、システムの正常な動作です。FQDNオブジェクトの機能には、サブドメインの暗黙的な照合機能は含まれていません。そのため、目的のサブドメインの照合動作を実現するには、URLフィルタリング条件を使用する必要があります。
関連コンテンツ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
19-May-2026
|
初版 |
フィードバック