FirewallでのCDNサイト等へのルール設定について

Firewallの設定にて指定のFQDNに対してFirewallを許可する必要があるのですが、対象のFQDNは、どうもCDN上のサーバのようで、DNSの問い合わせをするたびにIPアドレスが変わります。
このような場合には、Firwallでは、指定のFQDNのみ許可する。といったことはあきらめるしかないのでしょうか？
・当方はyamahaRTX1100を利用してます。

補足：
RTX1100は運用の都合上参照先のDNSサーバが指定があり、RTX1100のインターナル（LAN側）にある多数のクライアントの参照するDNSサーバは、回線キャリアにて用意される参照のDNSを利用してます。

No.1 回答者： wellow 回答日時： 2019/03/11 20:51

あなたが提示する条件では、RTX1100はハンドリングできません。

http://www.rtpro.yamaha.co.jp/RT/docs/fqdn_filte …

もちろん、そのURIのサーバのAレコードを固定にしたフォワーダを用意して、そこを参照させればできますが、そんなことを求めてはいないでしょう。
同様のことをやろうするのであれば、FortigateとかのFireWallを用意すべきです。INSやV.92での接続でない限りは、Firewallでルータも兼用させることはできます。

この回答へのお礼

早々のご回答を頂きありがとうございます。RTX1100ではCDNを利用しているサイトへの許可スールは定義ができないとのこと承知しました。
また、興味本位となりますが、Fortigateを利用すればできるとのことですが、これはどのようなすくみにて対処されるのでしょうか？
・Fortigateが解決したAレコードと、CDNへアクセスするクライアントが解決するAレコードの差分が発生する懸念がございます。この場合にはクライアントは指定のURLへアクセス時にFortigateでは、FQDNにてFirewallルールを定義し、該当のFQDN宛ての通信であればIPアドレスに関係なく、通信を許可するような仕組みをもっているのでしょうか？

お礼日時：2019/03/12 16:20

No.2 ベストアンサー 回答者： wellow 回答日時： 2019/03/12 22:02

＞これはどのようなすくみにて対処されるのでしょうか？

RTX1100の場合では、設定のときにIPアドレスを解決するという記述があります。FortigateのようなFW製品では設定されたポリシを適用するにあたり、都度アドレス解決を試みます。
しかしながら、引いたアドレスキャッシュの有効期限が０のような場合（香港の銀行なんかはこういうものがあった気がします）、ちょっと際どいかなという気もします。一般的にはアドレス解決してからアクセスになるので連続性はありますが、アドレス解決もせずにアクセスする輩とか、頻繁にアドレスが変わるサイトを複数のクライアントがやたらとアクセスすると、どこまで追随できるか不安ではあります。もちろん、FW内に得られたアドレスは一定時間キャッシュしておくとは思いますが。
帰ってくるAレコードが、タイミングで異なる例としては、googleとかwindows updateなんかがありますが、リクエスタのIPで変えたり、ラウンドロビンで引く度に変わったりというものはあります。

ここいら辺は、リセーラに仕様を確認したうえで導入を決められる方が後悔はしないでしょうし、リセーラがどの程度仕様を把握できているかの試金石にもなろうかと思います。

この回答へのお礼

回答がおそくなってしまい申し訳ありません。最終的にはFirwallについてそこまできつく定義しないことで同意を得られました。こちらの回答をいただいたことで、対処のURL（FQDN）の対処の難しを説明することができました。大変にありがとうございました。

お礼日時：2019/03/24 13:29