Web 要求の代行受信の概要
Secure Web Applianceは、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Secure Web Applianceなどがあげられます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章で説明する内容は、次のとおりです。
Secure Web Applianceは、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Secure Web Applianceなどがあげられます。
手順 |
タスク |
関連項目および手順へのリンク |
---|---|---|
ステップ 1 |
ベスト プラクティスを検討します。 |
|
ステップ 2 |
(任意)以下のネットワーク関連のフォローアップ タスクを実行します。
|
|
ステップ 3: |
(任意)次の Web プロキシのフォローアップ タスクを実行する。
|
|
ステップ 4: |
以下のクライアント タスクを実行します。
|
|
ステップ 5: |
(任意)FTP プロキシを有効化して設定します。 |
必要なプロキシ サービスのみをイネーブルにします。
Secure Web Applianceで定義されているすべての WCCP サービスに対して、同じ転送方式とリターン方式(L2 または GRE)を使用します。これによって、プロキシ バイパス リストが確実に機能します。
ユーザーが企業ネットワークの外部から PAC ファイルにアクセスできないことを確認します。これによって、モバイル ワーカーは、企業ネットワーク上にいるときは Web プロキシを使用し、それ以外の場合は Web サーバーに直接接続できます。
信頼できるダウンストリーム プロキシまたはロード バランサからの X-Forwarded-For ヘッダーのみが Web プロキシで許可されるようにします。
当初は明示的な転送だけを使用していた場合でも、Web プロキシをデフォルトの透過モードのままにしておきます。透過モードでは、明示的な転送要求も許可されます。
単独では、Web プロキシは HTTP(FTP over HTTP を含む)および HTTPS を使用する Web 要求を代行受信できます。プロトコル管理を向上させるために、さらに次のプロキシ モジュールを利用できます。
(注) |
透過モードでは、HTTPS プロキシがイネーブルでない場合、Web プロキシは透過的にリダイレクトされたすべての HTTPS 要求をドロップします。透過的にリダイレクトされた HTTPS 要求がドロップされた場合、その要求のログ エントリは作成されません。 |
これらの追加のプロキシのそれぞれが機能するには、Web プロキシが必要です。Web プロキシをディセーブルにすると、これらをイネーブルにできません。
(注) |
Web プロキシはデフォルトでイネーブルになります。デフォルトでは、他のプロキシはすべてディセーブルになります。 |
関連項目
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
||||||||||||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||||||||||||
ステップ 3 |
必要に応じて基本的な Web プロキシ設定項目を設定します。
|
||||||||||||||||||||
ステップ 4 |
必要に応じて Web プロキシの詳細設定を完了します。
|
||||||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。AsyncOS には「セーフ」から「アグレッシブ」の範囲の定義済みキャッシュ モードがあり、またカスタマイズしたキャッシングも使用できます。キャッシュ対象から特定の URL を除外することもできます。これを行うには、その URL をキャッシュから削除するか、無視するようにキャッシュを設定します。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
ステップ 2 |
[キャッシュを消去(Clear Cache)] をクリックしてアクションを確定します。 |
ステップ 1 |
CLI にアクセスします。 |
||
ステップ 2 |
|
||
ステップ 3 |
Enter the URL to be removed from the cache.
|
ステップ 1 |
CLI にアクセスします。 |
ステップ 2 |
|
ステップ 3 |
管理するアドレス タイプを入力します(
|
ステップ 4 |
add と入力して新しいエントリを追加します。
|
ステップ 5 |
以下の例のように、1 行に 1 つずつ、ドメインまたは URL を入力します。
ドメインまたは URL を指定する際に、特定の正規表現(regex)文字を含めることができます。 |
ステップ 6 |
値の入力を終了するには、メイン コマンドライン インターフェイスに戻るまで Enter キーを押します。 |
ステップ 7 |
変更を保存します。 |
ステップ 1 |
CLI にアクセスします。 |
|||||||||||||||
ステップ 2 |
|
|||||||||||||||
ステップ 3 |
必要な Web プロキシ キャッシュ設定に対応する番号を入力します。
|
|||||||||||||||
ステップ 4 |
オプション 4(カスタマイズ モード)を選択した場合は、各カスタム設定の値を入力します(または、デフォルト値のままにします)。 |
|||||||||||||||
ステップ 5 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
|||||||||||||||
ステップ 6 |
変更を保存します。 |
関連項目
デフォルトでは、Web プロキシは要求を転送する際に、自身のアドレスに合わせて要求の送信元 IP アドレスを変更します。これによってセキュリティは強化されますが、IP スプーフィングを実装してこの動作を変更し、 Secure Web Applianceからではなく、要求がクライアント IP やその他のルーティング可能なカスタム IP アドレスから発信されたように見せることができます。Web プロキシ IP スプーフィングを設定するには、カスタム IP アドレスの IP スプーフィングプロファイルを作成し、それらをルーティングポリシーに追加します。
IP スプーフィングは、透過的または明示的に転送されたトラフィックに対して機能します。Web プロキシが透過モードで展開されている場合は、透過的にリダイレクトされた接続のみ、またはすべての接続(透過的にリダイレクトされた接続と明示的に転送された接続)に対して (IP スプーフィング接続タイプを設定できる)ことができます。明示的に転送された接続で IP スプーフィングを使用する場合は、リターンパケットを Secure Web Applianceにルーティングする適切なネットワークデバイスがあることを確認してください。
IP スプーフィングがイネーブルで、アプライアンスが WCCP ルータに接続されている場合は、2 つの WCCP サービス(送信元ポートに基づくサービスと宛先ポートに基づくサービス)を設定する必要があります。
IP スプーフィングプロファイルには、HTTPS トラフィックが透過的にリダイレクトされる場合の制限があります。URL カテゴリ基準を使用しているルーティング ポリシーによる HTTPS サイトへのアクセス を参照してください。
Web プロキシ設定でプロキシモードと IP スプーフィング接続タイプが選択されていることを確認します。詳細については、Web プロキシの設定を参照してください。
ステップ 1 |
[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。 |
ステップ 2 |
[プロファイルを追加(Add Profile)] をクリックします。 |
ステップ 3 |
IP スプーフィングプロファイルの名前を入力します。 |
ステップ 4 |
スプーフィングプロファイル名に割り当てる IP アドレスを入力します。 |
ステップ 5 |
変更を送信し、保存します。 |
IP スプーフィングプロファイルをルーティングポリシーに追加します。詳細については、ルーティングポリシーへのルーティング先と IP スプーフィングプロファイルの追加を参照してください。
(注) |
IP スプーフィングプロファイルを更新すると、そのプロファイルに関連付けられているすべてのルーティングポリシーでそのプロファイルが更新されます。 |
ステップ 1 |
[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。 |
ステップ 2 |
編集する IP スプーフィングプロファイル名のリンクをクリックします。 |
ステップ 3 |
プロファイルの詳細を変更します。 |
ステップ 4 |
変更を送信し、保存します。 |
ステップ 1 |
[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。 |
||
ステップ 2 |
削除する IP スプーフィングプロファイルに対応するゴミ箱アイコンをクリックします。
|
||
ステップ 3 |
変更を送信し、保存します。 |
特定の発信トランザクションにカスタム ヘッダーを追加することにより、宛先サーバーによる特別な処理を要求できます。たとえば、YouTube for Schools と関係がある場合、カスタム ヘッダーを使用して、YouTube.com へのトランザクション要求を自身のネットワークから発信された、特別な処理を必要とする要求として識別させることができます。
ステップ 1 |
CLI にアクセスします。 |
||||||||
ステップ 2 |
|
||||||||
ステップ 3 |
次のように、必要なサブコマンドを入力します。
|
||||||||
ステップ 4 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
||||||||
ステップ 5 |
変更を保存します。 |
特定のクライアントからの透過的要求や特定の宛先への透過的要求が Web プロキシをバイパスするように、 Secure Web Applianceを設定できます。
Web プロキシをバイパスすることによって、以下のことが可能になります。
HTTP ポートを使用しているが、適切に機能しない HTTP 非対応の(または独自の)プロトコルが、プロキシ サーバーに接続するときに干渉されないようにします。
ネットワーク内の特定のマシンからのトラフィックが、マルウェアのテスト マシンなど、ネットワーク プロキシおよび組み込みのセキュリティ保護をすべてバイパスすることを確認します。
バイパスは、Web プロキシに透過的にリダイレクトされる要求に対してのみ機能します。Web プロキシは、トランスペアレント モードでも転送モードでも、クライアントから明示的に転送されたすべての要求を処理します。
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
||||
ステップ 2 |
[バイパス設定の編集(Edit Bypass Settings)] をクリックします。 |
||||
ステップ 3 |
Web プロキシをバイパスするアドレスを入力します。
|
||||
ステップ 4 |
プロキシバイパスリストに追加するカスタム URL カテゴリを選択します。
|
||||
ステップ 5 |
変更を送信し、保存します。 |
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
||
ステップ 2 |
[アプリケーションのスキップ設定を編集(Edit Application Bypass Settings)] をクリックします。 |
||
ステップ 3 |
スキャンをバイパスするアプリケーションを選択します。 |
||
ステップ 4 |
変更を送信し、保存します。
|
HTTP リクエストのカスタム ヘッダー プロファイルを設定し、ヘッダー書き換えプロファイルの下に複数のヘッダーを作成できます。各プロファイルには最大 12 のヘッダーを設定できます。既存のヘッダー プロファイルを変更または削除することもできます。既存のアクセス ポリシーにヘッダー書き換えプロファイルを追加して、特定のアクセス ポリシーが適用されるすべてのトランザクションにヘッダーを含めることができます。
ヘッダー書き換えプロファイル機能を使用すると、認証が成功した後、アプライアンスがユーザとグループの情報を別のアップストリーム デバイスに渡すことができます。アップストリーム プロキシはユーザを認証済みと見なし、追加の認証をバイパスし、定義されたアクセス ポリシーに基づいてユーザにアクセスを提供します。
AsyncOS バージョン 14.0 以降では、CLI コマンド advancedproxyconfig-> customheader
を使用した Web プロキシ カスタム ヘッダーの作成を避けることを推奨します。
ステップ 1 |
[Web Security Manager] > [HTTP 書き換えプロファイル(HTTP Rewrite Profiles)] を選択します |
||||
ステップ 2 |
[プロファイルを追加(Add Profile)] をクリックします。 |
||||
ステップ 3 |
作成するヘッダー書き換えプロファイルに一意の名前を割り当てます。 |
||||
ステップ 4 |
[ヘッダー(Headers)] エリアで、次の情報を入力します。
ヘッダーの値が Null の場合、ヘッダーは発信リクエストに含まれません。これは、以下を実行しない場合に発生します。
|
||||
ステップ 5 |
変更を送信し、保存します。 |
ステップ 1 |
[Web Security Manager] > [HTTP 書き換えプロファイル(HTTP Rewrite Profiles)] を選択します。 |
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 3 |
形式を変更します。 許可される形式は次のとおりです。
|
ステップ 4 |
変更を送信し、保存します。 |
アクセス ポリシーの設定ポリシーの作成 を参照してください。
ステップ 1 |
[Web セキュリティ マネージャ(Web Security Manager)] > [アクセス ポリシー(Access Policies)] を選択します。 |
ステップ 2 |
[アクセス ポリシー(Access Policies)] ページで、[HTTP 書き換えプロファイル(HTTP Rewrite Profile)] のリンクをクリックします。 新しいアクセス ポリシーを作成し、それにヘッダー書き換えプロファイルを追加することもできます。新しいアクセス ポリシーを作成するには、次を参照してください。ポリシーの作成 |
ステップ 3 |
ポリシーに追加するヘッダー書き換えプロファイルを選択します。追加すると、特定のアクセス ポリシーが適用される HTTP トランザクションにヘッダーが含まれます。 |
ステップ 4 |
変更を送信し、保存します。 アクセス ポリシーにリンクされたヘッダー書き換えプロファイルは削除できます。削除する前に、別のプロファイルを選択すると、選択したプロファイルがアクセス ポリシーに自動的に適用されます。 |
Secure Web Appliance を設定して、Web アクティビティのフィルタリングとモニタリングが行われていることをユーザに通知できます。アプライアンスは、ユーザーが初めてブラウザにアクセスしたときに、一定時間の経過後、エンド ユーザー確認ページを表示します。エンド ユーザー確認ページが表示されたら、ユーザーはリンクをクリックして、要求した元のサイトまたは他の Web サイトにアクセスする必要があります。
関連項目
特定のクライアントからの透過的 HTTPS 要求や特定の宛先への透過的 HTTPS 要求が HTTPS プロキシをバイパスするように、 Secure Web Applianceを設定できます。
トラフィックがアプライアンスを通過することを必要とするアプリケーションに関して、変更や宛先サーバーの証明書チェックを行わずに、パススルーを使用することができます。
特定のサーバーへのパススルートラフィックを必要とするデバイスに関して定義された識別ポリシーがあることを確認してください。詳細については、ユーザーおよびクライアント ソフトウェアの分類を参照してください。具体的には、次のことを行う必要があります。
[認証/識別から除外(Exempt from authentication/identification)] をオンします。
この識別プロファイルを適用するアドレスを指定します。IP アドレス、CIDR ブロック、およびサブネットを入力できます。
ステップ 1 |
HTTPS プロキシを有効にします。詳細については、HTTPS プロキシのイネーブル化を参照してください。 |
||
ステップ 2 |
[Webセキュリティマネージャ(Web Security Manager)] > [ドメインマップ(Domain Map)] を選択します。
|
||
ステップ 3 |
[Webセキュリティマネージャ(Web Security Manager)] > [カスタムおよび外部URLカテゴリ(Custom and External URL Categories)] を選択します。 |
||
ステップ 4 |
[Webセキュリティマネージャ(Web Security Manager)] > [復号化ポリシー(Decryption Policies)] を選択します。
%( フォーマット指定子を使用してアクセスログ情報を表示することができます。詳細については、アクセス ログのカスタマイズを参照してください。
|
クライアントから Web プロキシに明示的に要求を転送することを選択した場合は、それを実行するためのクライアントの設定方法も指定する必要があります。以下の方法から選択します。
(注) |
デフォルトでは、Web プロキシ ポートはポート番号 80 と 3128 を使用します。クライアントはいずれかのポートを使用できます。 |
PAC ファイルを使用する場合は、PAC ファイルの保存場所とクライアントがそれらを検出する方法を選択する必要があります。
関連項目
クライアントがアクセスできる場所に PAC ファイルをパブリッシュする必要があります。有効な場所は以下のとおりです。
Web サーバー
Secure Web Appliance。クライアントに対しては Web ブラウザとして表示される Secure Web Applianceに PAC ファイルを配置できます。アプライアンスには、さまざまなホスト名、ポート、ファイル名を使用している要求に対応する機能など、PAC ファイルを管理するための追加オプションもあります。
ローカル マシン。クライアントのハード ディスクに PAC ファイルをローカルに配置できます。これを一般的な解決方法として使用することは推奨されません。自動 PAC ファイル検出には適していませんが、テストには役立つ可能性があります。
関連項目
クライアントに対して PAC ファイルを使用する場合は、クライアントが PAC ファイルを検索する方法を選択する必要があります。以下の 2 つの対処法があります。
WPAD は、DHCP および DNS ルックアップを使用してブラウザが PAC ファイルの場所を判別できるようにするプロトコルです。
いずれかまたは両方のオプションを設定できます。WPAD は最初に DHCP を使用して PAC ファイルの検出を試み、検出できなかった場合は DNS を使って試みます。
関連項目
ステップ 1 |
[セキュリティ サービス(Security Services)] > [PAC ファイル ホスティング(PAC File Hosting)] を選択します。 |
||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします。 |
||||||||
ステップ 3 |
(任意)以下の基本設定項目を設定します。
|
||||||||
ステップ 4 |
[PACファイル(PAC Files)] セクションで [参照(Browse)] をクリックし、 Secure Web Applianceにアップロードする PAC ファイルをローカルマシンから選択します。
|
||||||||
ステップ 5 |
[アップロード(Upload)] をクリックして、ステップ 4 で選択した PAC ファイルを Secure Web Applianceにアップロードします。 |
||||||||
ステップ 6 |
(任意)[PAC ファイルサービスを直接提供するホスト名(Hostnames for Serving PAC Files Directly)] セクションで、ポート番号を含まない PAC ファイル要求のホスト名と関連ファイル名を設定します。
|
||||||||
ステップ 7 |
変更を送信し、保存します。 |
ステップ 1 |
PAC ファイルを作成してパブリッシュします。 |
ステップ 2 |
ブラウザの PAC ファイル設定領域に PAC ファイルの場所を示す URL を入力します。 Secure Web Applianceが PAC ファイルをホストしている場合、有効な URL 形式は以下のようになります。 WSAHostname は、 Secure Web Applianceに PAC ファイルをホストするときに設定した [ホスト名(hostname)] の値です。ホストしていない場合、URL の形式は格納場所と(場合によっては)クライアントに応じて異なります。 |
ステップ 1 |
wpad.dat という名前の PAC ファイルを作成し、Web サーバーまたは Secure Web Applianceにパブリッシュします(DNS と共に WPAD を使用する場合は、Web サーバーのルートフォルダにファイルを配置する必要があります)。 |
||
ステップ 2 |
次の MIME タイプで .dat ファイルを設定するように Web サーバーを設定します。
|
||
ステップ 3 |
DNS ルックアップをサポートするには、「 |
||
ステップ 4 |
DHCP ルックアップをサポートするには、DHCP サーバーのオプション 252 に wpad.dat ファイルの場所の URL を設定します(例:「 |
Web プロキシは、以下の 2 種類の FTP 要求を代行受信できます。
(注) |
FTP over HTTP 接続に適用されるプロキシ設定を設定するには、Web プロキシの設定を参照してください。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [FTP プロキシ(FTP Proxy)] を選択します。 |
||||||||||||||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします(表示されるオプションが [設定の編集(Edit Settings)] だけの場合、FTP プロキシは設定済みです。) |
||||||||||||||||||||
ステップ 3 |
(任意)基本的な FTP プロキシ設定項目を設定します。
|
||||||||||||||||||||
ステップ 4 |
(任意)FTP プロキシの詳細設定を設定します。
|
||||||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Secure Web Applianceには、SOCKS トラフィックを処理するための SOCKS プロキシが含まれます。SOCKS ポリシーは、SOCKS トラフィックを制御するアクセス ポリシーと同等です。アクセス ポリシーと同様に、識別プロファイルを使用して、各 SOCKS ポリシーによってどのトランザクションを管理するかを指定できます。SOCKS ポリシーをトランザクションに適用すると、ルーティング ポリシーによてトラフィックのルーティングを管理できます。
SOCKS プロキシでは、以下の点に注意してください。
SOCKS プロトコルは、直接転送接続のみをサポートしています。
SOCKS プロキシは、アップストリーム プロキシをサポートしていません(アップストリーム プロキシに転送されません)。
SOCKS プロキシは、Application Visibility and Control(AVC)、 Data Loss Prevention(DLP)、およびマルウェア検出に使用されるスキャニングサービスをサポートしていません。
SOCKS プロキシは、ポリシー追跡をサポートしていません。
SOCKS プロキシは、SSL トラフィックを復号化できません。これは、クライアントからサーバーにトンネリングします。
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
ステップ 4 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 4 |
基本および高度な SOCKS プロキシ設定を設定します。
|
ステップ 1 |
[Web セキュリティ マネージャ(Web Security Manager)] > [SOCKS ポリシー(SOCKS Policies)] を選択します。 |
||||||||||
ステップ 2 |
[ポリシーを追加(Add Policy)] をクリックします。 |
||||||||||
ステップ 3 |
[ポリシー名(Policy Name)] フィールドに名前を割り当てます。
|
||||||||||
ステップ 4 |
(任意)説明を追加します。 |
||||||||||
ステップ 5 |
[上記ポリシーを挿入(Insert Above Policy)] フィールドで、この SOCKS ポリシーに挿入する SOCKS ポリシーの場所を選択します。
|
||||||||||
ステップ 6 |
[アイデンティティとユーザー(Identities and Users)] セクションで、このグループ ポリシーに適用する 1 つ以上の ID を選択します。 |
||||||||||
ステップ 7 |
(任意)[詳細(Advanced)] セクションを拡張して、追加のメンバーシップ要件を定義します。
|
||||||||||
ステップ 8 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |
Cisco Umbrella シームレス ID 機能を使用すると、正常に認証された後に、アプライアンスからユーザ識別情報を Cisco Umbrella セキュア Web ゲートウェイ(SWG)にパスすることができます。Cisco Umbrella SWG は、 Secure Web Applianceから受信した認証済み識別情報に基づいて、Active Directory のユーザー情報をチェックします。Cisco Umbrella SWG は、ユーザを認証済みと見なし、定義されたセキュリティポリシーに基づいてユーザにアクセスを提供します。
Secure Web Applianceは、X-USWG-PKH、X-USWG-SK、および X-USWG-Data を含む HTTP ヘッダーを使用して Cisco Umbrella SWG にユーザー識別情報を渡します。
(注) |
|
構成モード |
サロゲート |
認証のための復号化 |
Secure Web Appliance 認証 |
Cisco Umbrella シームレス ID の共有 |
---|---|---|---|---|
Explicit |
IP サロゲート |
はい/いいえ |
対応 |
対応 |
透過 |
IP サロゲート |
対応 |
対応 |
対応 |
透過 |
IP サロゲート |
非対応 |
認証をスキップ |
非対応 |
Explicit |
Cookie、クレデンシャルの暗号化なし |
はい/いいえ |
対応 |
対応 |
Explicit |
Cookie、クレデンシャルの暗号化あり |
はい/いいえ |
対応 |
× |
透過 |
Cookie、クレデンシャル暗号化あり/なし |
はい/いいえ |
認証をスキップ |
非対応 |
(注) |
Secure Web Applianceは、認証されたユーザーの UPN 値を Active Directory から取得し、Cisco Umbrella シームレス ID でユーザーに正しい Web ポリシーを適用できるようにします。この機能を利用するには、すべての Active Directory ユーザーにデフォルトまたはカスタマイズされた UPN 値を割り当てる必要があります。 |
ここでは、次の内容について説明します。
証明書の管理」を参照してください。
を選択して、ルートまたはカスタムの Umbrella 証明書をアプライアンスに手動でアップロードします。「認証用の識別プロファイルが設定されていることを確認します。
設定済みの識別プロファイルを使用してルーティングポリシーを定義します。
ステップ 1 |
を選択します。 |
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 3 |
Cisco Umbrella SWG ホスト名または IP アドレスを入力します。 |
ステップ 4 |
HTTP および HTTPS トラフィック用の SWG のポート番号を入力します。 最大 6 つのポート番号を入力できます。 |
ステップ 5 |
(オプション)[接続テスト(Connectivity Test)] をクリックして、ポートを介した Cisco Umbrella SWG の接続と証明書の検証が正常に行われていることを確認します。 |
ステップ 6 |
Cisco Umbrella SWG の一意のカスタマー組織 ID を入力します。 |
ステップ 7 |
送信して確定します。 |
新しいルーティングポリシーを作成するには、「ルーティングポリシーへのルーティング先と IP スプーフィングプロファイルの追加」を参照してください。
。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[ルーティングポリシー(Routing Policies)] ページで、必要なポートを含む Cisco Umbrella シームレス ID を設定するルーティングポリシーの [ルーティング先(Routing Destination )] 列の下にあるリンクをクリックします。 |
||
ステップ 3 |
ポリシーのアップストリーム プロキシグ グループとして、ポートを含む適切な Cisco Umbrella シームレス ID を選択します。[アップストリームプロキシグループ(Upstream Proxy Group)] ドロップダウンリストには、[Cisco UmbrellaシームレスID(Cisco Umbrella Seamless ID)] ページ( )で設定したすべての Cisco Umbrella シームレス ID とポートが表示されす。
|
||
ステップ 4 |
変更を送信し、保存します。 |