インターネットブレイクアウト
FQDNパターンとのマッチングによる経路制御機能を提供します。
| 機能 | 状態 | 備考 |
|---|---|---|
| インターネットブレイクアウト | 無効 |
機能概要
- FQDNパターンによる経路制御
- FQDNパターンを指定し、指定に一致するホストへの通信経路を制御することができます。
- 外部情報との連動
- インターネット上のWebアプリケーションサービスがAPIによって提供するFQDNパターンおよび経路情報を自動的に取得して経路表に反映することができます。
- 対応サービス
- Microsoft Office 365
- 取得間隔
- 24時間
- 経路の保持
- インターネットブレイクアウト機能による経路情報(FQDNパターンとのマッチによる名前解決、および外部情報取得によって生成した経路)は、IPv4経路とIPv6経路の合計で5120個まで保持します。上限に達していると新たな経路は追加されません。
基本動作と使用条件
IP通信では、パケットの送信先はIPヘッダに書き込まれたIPアドレスによって判断します。このためFQDNによって送信先を制御するためには、クライアント装置のアクセス先ホスト名を本装置が知り、それとパケットの送信先IPアドレスとを関連付けて経路制御を行う必要があります。本機能は、これをDNS中継機能と経路制御機能の連携によって実現します。このため、DNS中継機能を適切に設定する必要があり、かつ、クライアント装置は本装置のDNS中継機能を使用する必要があります。これは本装置自身の通信にもいえ、自発の通信の送信経路をFQDNから反映するには、リゾルバがDNS中継機能を使用する(localhostを指定する)必要があります。
クライアント装置が任意のホストへアクセスするために本装置のDNS中継機能を利用して名前解決を行ったとき、予め指定されたFQDNパターンに一致すると、解決したIPアドレスを送信先とする経路情報を生成します。その後にクライアント装置からの送信パケットを受信すると、DNS中継機能による名前解決結果に基づく経路制御が行われます。
FQDNパターンに一致する名前解決のDNSレスポンスから未知のアドレス情報が得られるたびに経路情報が生成され、追加された経路は一定時間保持します。
FQDNパターンとマッチング例を次に示します。
| FQDNパターン | 一致するリクエスト例 | 一致しないリクエスト例 |
|---|---|---|
| example.jp |
|
|
| *.example.jp |
|
|
| asp.*.example.jp |
|
|
| sa*.example.jp |
|
|
| service.example.* |
|
|
外部サービスの仕様変更に関する注意
Micorosoft社のWebAPIを利用してOffice365関連ホストのFQDNパターン情報を得るとき、本装置は以下のルートCA証明書を信頼します。サービス側が他のルートCAを使用するように仕様変更した場合、FQDNパターンを取得できなくなる可能性があります。
- Baltimore CyberTrust Root
- CNNIC ROOT
- D-TRUST Root Class 3 CA 2 2009
- D-TRUST Root Class 3 CA 2 EV 2009
- DigiCert High Assurance EV Root CA
- DigiCert Global Root CA
- DigiCert Global Root G2
- DST Root CA X3
- Entrust Root Certification Authority - G2
- Entrust.net Certification Authority (2048)
- GlobalSign Root CA
- GlobalSign Root CA - R2
- GlobalSign Root CA - R3
- Microsoft EV ECC Root Certificate Authority 2017
- Microsoft RSA Root Certificate Authority 2017
- thawte Primary Root CA - G3
- VeriSign Class 3 Public Primary Certification Authority - G5