HTTP 応答ページについて
アクセス制御の一部として、アクセス コントロール ルールあるいはアクセス コントロール ポリシーのデフォルト アクションを使って、システムが Web リクエストをブロックしたときに表示する HTTP 応答ページを設定できます。
表示される応答ページは、セッションのブロック方法によって異なります。
-
ブロック応答ページにより、接続が拒否されたことを示すデフォルトのブラウザ ページまたはサーバー ページは上書きされます。
-
[インタラクティブ ブロック応答(Interactive Block Response)] ページ:ユーザーに警告しますが、ユーザーはボタンをクリック(あるいはページを更新)して要求したサイトをロードできます。応答ページをバイパスした後、ロードされなかったページの要素をロードするために、ページを最新表示しなければならない場合があります。
応答ページを選択していない場合、インタラクションや説明なしでシステムはセッションをブロックします。
HTTP 応答ページの制限
応答ページはアクセス制御のルール/デフォルト アクションのみ
システムは、アクセス制御ルールまたはアクセス制御ルールのデフォルト アクションのいずれかによってブロックされた(またはインタラクティブにブロックされた)暗号化されていないか、または復号された HTTP/HTTPS 接続の場合にのみ、応答ページを表示します。システムは、他のポリシーまたはメカニズムによってブロックされた接続の応答ページは表示しません。
応答ページによる接続リセットの無効化の表示
システムは、接続がリセットされた場合(RST パケットが送信)された場合は、応答ページを表示できません。応答ページを有効にすると、システムその接続を優先します。[リセットしてブロック(Block with reset)] または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] をルール アクションとして選択した場合、システムは応答ページを表示し、一致する Web 接続をリセットしません。ブロックされた Web 接続のリセットを確認するには、応答ページを無効にする必要があります。
ルールに一致する Web 以外のすべてのトラフィックがリセットによりブロックされます。
暗号化された接続の応答ページなし(複合が必要)
アクセス制御ルール(または、その他の設定)によってブロックされている暗号化された接続の場合、システムは応答ページを表示しません。アクセス制御ルールは SSL ポリシーを設定しなかった場合に暗号化された接続を評価し、それ以外の場合は、SSL ポリシーが暗号化されたトラフィックを受け渡します。
たとえば、システムは HTTP/2 または SPDY セッションを復号できません。これらのプロトコルのいずれかを使用して暗号化された Web トラフィックがアクセス制御ルールの評価に達したが、セッションがブロックされている場合、システムは応答ページを表示しません。
ただし、システムは、SSL ポリシーによって復号された後に、アクセス制御ルールまたはアクセス制御ルールのデフォルト アクションのいずれかによってブロックされた(またはインタラクティブにブロックされた)接続の場合に、応答ページを表示します。このような場合、システムは応答ページを暗号化して、再暗号化された SSL ストリームの最後にそれを送信します。
「昇格した」接続の応答ページなし
Web トラフィックがプロモートされたアクセス制御ルール(単純なネットワーク条件のみの早期に適用されたブロッキング ルール)の結果としてブロックされている場合、システムは応答ページを表示しません。
特定のリダイレクトされた接続の応答ページなし
URL が「http」または「https」を指定せずに入力され、ブラウザがポート 80 で接続を開始し、ユーザーが応答ページをクリックスルーし、その後、接続がポート 443 にリダイレクトされる場合、この URL への応答はすでにキャッシュされているため、ユーザーには 2 番目のインタラクティブな応答ページが表示されません。
URL 識別の前に応答ページなし
システムは、システムが要求された URL を識別する前にトラフィックがブロックされた場合は、応答ページを表示しません。URL フィルタリングのベスト プラクティスを参照してください。
特定のデバイスで URL カテゴリを含む応答ページなし
5506-X および 5508-X デバイスは、FMC によって管理されているか、Adaptive Device Security Manager を使用しているかにかかわらず、URL カテゴリを使用するアクセスコントロールルールが TLS の False Startトラフィックと一致する場合、応答ページを表示しません。TLS False Start トラフィックは、RFC 7918 で定義されています。