近年のファイアウォール製品は、一般的に FQDN (Fully Qualified Domain Name) を使用してフィルタリングを行うことが可能であり、Juniper SSG 5 でも可能です。この機能は便利な面がありますが、以下のような注意が必要です。
まず、FQDN フィルタリングの仕組みを理解する必要があります。ファイアウォールは、DNS サーバーを指定して必要な DNS レコードを参照し、FQDN を指定したフィルタリングルールを作成します。その後、ルールにマッチしたトラフィックを受信すると、ファイアウォールは DNS サーバーに問い合わせて IP アドレスを取得し、トラフィックを処理します。
しかし、この手法にはいくつかのデメリットがあります。まず第一に、DNS 情報を信頼する必要があります。また、トラフィックごとに DNS に問い合わせるため、効率が悪くなる可能性があります。そのため、ファイアウォールは DNS キャッシュを保持し、キャッシュに関する適切な設定が必要です。さらに、DNS 情報を取得するタイミングによっては、フィルタリングが正常に機能しない場合があります。
以上の理由から、FQDN フィルタリングは便利な機能ではありますが、注意が必要です。特に中小企業のなどではあまり深く考えずに設定している場合もありますが、特性を理解した上で実装することをおすすめします。
Juniper SSG 5 のフィルタリングに FQDN を使用するメリットとデメリット