Web 要求の代行受信

この章で説明する内容は、次のとおりです。

Web 要求の代行受信の概要

Secure Web Applianceは、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。

アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Secure Web Applianceなどがあげられます。

Web 要求の代行受信のためのタスク

手順

タスク

関連項目および手順へのリンク

ステップ 1

ベスト プラクティスを検討します。

ステップ 2

(任意)以下のネットワーク関連のフォローアップ タスクを実行します。

  • アップストリーム プロキシを接続および設定する。
  • ネットワーク インターフェイス ポリシーを設定する。
  • 透過リダイレクション デバイスを設定する。
  • TCP/IP ルートを設定する。
  • VLAN の設定。

ステップ 3:

(任意)次の Web プロキシのフォローアップ タスクを実行する。

  • 転送モードまたは透過モードで動作するように Web プロキシを設定する。
  • 代行受信するプロトコル タイプに追加のサービスが必要かどうかを決定。
  • IP スプーフィングの設定。
  • Web プロキシ キャッシュの管理。
  • カスタム Web 要求ヘッダーの使用。
  • 一部の要求に対してプロキシをバイパス。

ステップ 4:

以下のクライアント タスクを実行します。

  • クライアントが Web プロキシに要求をリダイレクトする方法を決定。
  • クライアントとクライアント リソースの設定。

ステップ 5:

(任意)FTP プロキシを有効化して設定します。

Web 要求の代行受信のベスト プラクティス

  • 必要なプロキシ サービスのみをイネーブルにします。

  • Secure Web Applianceで定義されているすべての WCCP サービスに対して、同じ転送方式とリターン方式(L2 または GRE)を使用します。これによって、プロキシ バイパス リストが確実に機能します。

  • ユーザーが企業ネットワークの外部から PAC ファイルにアクセスできないことを確認します。これによって、モバイル ワーカーは、企業ネットワーク上にいるときは Web プロキシを使用し、それ以外の場合は Web サーバーに直接接続できます。

  • 信頼できるダウンストリーム プロキシまたはロード バランサからの X-Forwarded-For ヘッダーのみが Web プロキシで許可されるようにします。

  • 当初は明示的な転送だけを使用していた場合でも、Web プロキシをデフォルトの透過モードのままにしておきます。透過モードでは、明示的な転送要求も許可されます。

Web 要求を代行受信するための Web プロキシ オプション

単独では、Web プロキシは HTTP(FTP over HTTP を含む)および HTTPS を使用する Web 要求を代行受信できます。プロトコル管理を向上させるために、さらに次のプロキシ モジュールを利用できます。

  • FTP プロキシ。FTP プロキシを使用すると、(HTTP でエンコードされた FTP トラフィックだけでなく)ネイティブ FTP トラフィックを代行受信できます。
  • HTTPS プロキシ。HTTPS プロキシは HTTPS トラフィックの復号をサポートしているので、Web プロキシは、暗号化されていない HTTPS 要求をコンテンツ分析のためにポリシーに渡すことができます。

(注)  
透過モードでは、HTTPS プロキシがイネーブルでない場合、Web プロキシは透過的にリダイレクトされたすべての HTTPS 要求をドロップします。透過的にリダイレクトされた HTTPS 要求がドロップされた場合、その要求のログ エントリは作成されません。
  • SOCKS プロキシ。SOCKS プロキシを使用すると、SOCKS トラフィックを代行受信できます。

これらの追加のプロキシのそれぞれが機能するには、Web プロキシが必要です。Web プロキシをディセーブルにすると、これらをイネーブルにできません。


(注)  
Web プロキシはデフォルトでイネーブルになります。デフォルトでは、他のプロキシはすべてディセーブルになります。

関連項目

Configuring Web Proxy Settings

Before you begin

Enable the web proxy.

Procedure

Step 1

Choose Security Services > Web Proxy.

Step 2

Click Edit Settings.

Step 3

Configure the basic web proxy settings as required.

Property

Description

HTTP Ports to Proxy

The ports that the web Proxy will listen on for HTTP connections

Caching

Specifies whether to enable or disable Web Proxy caching.

The web proxy caches data to increase performance.

Proxy Mode

  • Transparent (Recommended) — Allow the web proxy to name the internet target. The web proxy can intercept both transparent and explicitly forwarded web requests in this mode.

  • Forward — Allow the client browser to name the internet target. Requires individual configuration of each web browser to use the web proxy. The web proxy can intercept only explicitly forwarded web requests in this mode.

IP Spoofing Connection Type

If you have selected the Proxy Mode as Transparent, choose one of the IP spoofing connection types:

  • For Transparent Connections Only - To configure IP Spoofing for transparent connections only.

  • For All Connections - To configure IP Spoofing for Transparent and Explicit connections.

If you have selected the Proxy Mode as Forward, then the IP Spoofing Connection Type is always Explicit.

Note

 

The IP spoofing connection type that you choose is applicable for all protocols - native FTP, HTTP, and HTTPS.

To add IP spoofing profiles in routing policies, see ルーティングポリシーへのルーティング先と IP スプーフィングプロファイルの追加

Step 4

Complete the advanced web proxy settings as required.

Property

Description

Persistent Connection Timeout

The maximum time in seconds the web proxy keeps open a connection to a client or server after a transaction has been completed and no further activity is detected.

  • Client side. The timeout value for connections to clients.

  • Server side. The timeout value for connections to servers.

If you increase these values connections will remain open longer and reduce the overhead used to open and close connections repeatedly. However, you also reduce the ability of the Web Proxy to open new connections if the maximum number of simultaneous persistent connections has been reached.

After establishing a connection and performing an SSL handshake, if client requests are not sent to the proxy, the proxy waits for the persistent connection timeout, and then ceases its connection with the client.

Cisco recommends keeping the default values.

In-Use Connection Timeout

The maximum time in seconds that the web proxy waits for more data from an idle client or server when the current transaction has not yet been completed.

  • Client side. The timeout value for connections to clients.

  • Server side. The timeout value for connections to servers.

Simultaneous Persistent Connections (Server Maximum Number)

The maximum number of connections (sockets) the Web Proxy keeps open with servers.

Maximum Connections Per Client

Restricts the number of concurrent connections initiated by the client to a configured value. When the number of connections exceed the configured limit, the connections are dropped, and an alert is sent to the administrator.

Note

 
By default, Maximum Connections Per Client is disabled.

To configure the limit, check the Maximum Connections Per Client check box, and do the following:

  • Connections—Enter the number of permissible concurrent connections.

  • Exempted Downstream Proxy or Load Balancer—Enter the IP address of the downstream proxy, load balancer, or any other client IP address (you cannot configure the subnets or host names). The web proxy does not apply the restrictions of the concurrent connections on the IP addresses that are included in this exempted list.

Generate Headers

Generate and add headers that encode information about the request.

  • X-Forwarded-For headers encode the IP address of the client from which an HTTP request originated.

    Note

     

    • To turn header forwarding on or off, use the CLI advancedproxyconfig command, Miscellaneous option, “Do you want to pass HTTP X-Forwarded-For headers?”

    • Using an explicit forward upstream proxy to manage user authentication or access control with proxy authentication requires forwarding of these headers.

    • For transparent HTTPS requests, the appliance does not decrypt the XFF header. For explicit requests, the appliance uses the XFF header received in the CONNECT request, and does not decrypt the XFF inside the SSL tunnel, so identification of client IP Addresses using X-Forwarded-For is not applicable for HTTPS transparent requests.

  • Request Side VIA headers encode the proxies through which the request passed on its way from the client to the server.

  • Response Side VIA headers encode the proxies through which the request passed on its way from the server to the client.

Use Received Headers

Allows a Web proxy deployed as an upstream proxy to identify clients using X-Forwarded-For headers send by downstream proxies. The Web Proxy will not accept the IP address in a X-Forwarded-For header from a source that is not included in this list.

If enabled, requires the IP address of a downstream proxy or load balancer (you cannot enter subnets or host names).

Range Request Forwarding

Use the Enable Range Request Forwarding check box to enable or disable forwarding of range requests. Refer to Web アプリケーションへのアクセスの管理 for more information.

Step 5

Submit and commit your changes.

What to do next

Web プロキシ キャッシュ

Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。AsyncOS には「セーフ」から「アグレッシブ」の範囲の定義済みキャッシュ モードがあり、またカスタマイズしたキャッシングも使用できます。キャッシュ対象から特定の URL を除外することもできます。これを行うには、その URL をキャッシュから削除するか、無視するようにキャッシュを設定します。

Web プロキシ キャッシュのクリア

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。

ステップ 2

[キャッシュを消去(Clear Cache)] をクリックしてアクションを確定します。

Web プロキシ キャッシュからの URL の削除

手順

ステップ 1

CLI にアクセスします。

ステップ 2

webcache> evict コマンドを使用して、必要なキャッシング エリアにアクセスします。 


example.com> webcache
Choose the operation you want to perform:
- EVICT - Remove URL from the cache
- DESCRIBE - Describe URL cache status
- IGNORE - Configure domains and URLs never to be cached
[]> evict
Enter the URL to be removed from the cache.
[]>

ステップ 3

Enter the URL to be removed from the cache.

(注)  

 

URL にプロトコルが含まれていない場合は、URL に http:// が追加されます(たとえば、www.cisco.comhttp://www.cisco.com となります)。

Web プロキシによってキャッシュしないドメインまたは URL の指定

手順

ステップ 1

CLI にアクセスします。

ステップ 2

webcache -> ignore コマンドを使用して、必要なサブメニューにアクセスします。 


example.com> webcache
Choose the operation you want to perform:
- EVICT - Remove URL from the cache
- DESCRIBE - Describe URL cache status
- IGNORE - Configure domains and URLs never to be cached
[]> ignore
Choose the operation you want to perform:
- DOMAINS - Manage domains
- URLS - Manage urls
[]>

ステップ 3

管理するアドレス タイプを入力します(DOMAINS または URLS)。 


[]> urls
Manage url entries:
Choose the operation you want to perform:
- DELETE - Delete entries
- ADD - Add new entries
- LIST - List entries
[]>

ステップ 4

add と入力して新しいエントリを追加します。 


[]> add
Enter new url values; one on each line; an empty line to finish
[]>

ステップ 5

以下の例のように、1 行に 1 つずつ、ドメインまたは URL を入力します。 


Enter new url values; one on each line; an empty line to finish
[]> www.example1.com
Enter new url values; one on each line; an empty line to finish
[]>

ドメインまたは URL を指定する際に、特定の正規表現(regex)文字を含めることができます。DOMAINS オプションでは、前にピリオドを付けることで、キャッシュ対象からドメインとそのサブドメイン全体を除外できます。たとえば、google.com ではなく、.google.com と入力すると、www.google.com、docs.google.com などを除外することができます。

URLS オプションでは、正規表現文字の全一式を使用できます。正規表現の使用方法については、正規表現を参照してください。

ステップ 6

値の入力を終了するには、メイン コマンドライン インターフェイスに戻るまで Enter キーを押します。

ステップ 7

変更を保存します。

Web プロキシのキャッシュ モードの選択

手順

ステップ 1

CLI にアクセスします。

ステップ 2

advancedproxyconfig -> caching コマンドを使用して、必要なサブメニューにアクセスします。 


example.com> advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
[]> caching
Enter values for the caching options:
The following predefined choices exist for configuring advanced caching
options:
1. Safe Mode
2. Optimized Mode
3. Aggressive Mode
4. Customized Mode
Please select from one of the above choices:
[2]>

ステップ 3

必要な Web プロキシ キャッシュ設定に対応する番号を入力します。

入力

モード

説明

1

セーフ

他のモードと比較して、キャッシングが最も少なく、RFC #2616 には最大限準拠します。

2

最適化

キャッシングと RFC #2616 への準拠が適度です。セーフ モードと比較した場合、Last-Modified ヘッダーが存在するときにキャッシング時間が指定されていない場合に、最適化モードでは Web プロキシがオブジェクトをキャッシュします。Web プロキシは、ネガティブ応答をキャッシュします。

3

アグレッシブ

キャッシングが最も多く、RFC #2616 への準拠は最小限です。最適化モードと比較した場合、アグレッシブ モードでは、認証済みコンテンツ、ETag の不一致、および Last-Modified ヘッダーのないコンテンツがキャッシュされます。Web プロキシは非キャッシュ パラメータを無視します。

4

カスタマイズドモード

各パラメータを個々に設定します。

ステップ 4

オプション 4(カスタマイズ モード)を選択した場合は、各カスタム設定の値を入力します(または、デフォルト値のままにします)。

ステップ 5

メイン コマンド インターフェイスに戻るまで、Enter キーを押します。

ステップ 6

変更を保存します。

次のタスク

関連項目

Web プロキシの IP スプーフィング

デフォルトでは、Web プロキシは要求を転送する際に、自身のアドレスに合わせて要求の送信元 IP アドレスを変更します。これによってセキュリティは強化されますが、IP スプーフィングを実装してこの動作を変更し、 Secure Web Applianceからではなく、要求がクライアント IP やその他のルーティング可能なカスタム IP アドレスから発信されたように見せることができます。Web プロキシ IP スプーフィングを設定するには、カスタム IP アドレスの IP スプーフィングプロファイルを作成し、それらをルーティングポリシーに追加します。

IP スプーフィングは、透過的または明示的に転送されたトラフィックに対して機能します。Web プロキシが透過モードで展開されている場合は、透過的にリダイレクトされた接続のみ、またはすべての接続(透過的にリダイレクトされた接続と明示的に転送された接続)に対して (IP スプーフィング接続タイプを設定できる)ことができます。明示的に転送された接続で IP スプーフィングを使用する場合は、リターンパケットを Secure Web Applianceにルーティングする適切なネットワークデバイスがあることを確認してください。

IP スプーフィングがイネーブルで、アプライアンスが WCCP ルータに接続されている場合は、2 つの WCCP サービス(送信元ポートに基づくサービスと宛先ポートに基づくサービス)を設定する必要があります。

IP スプーフィングプロファイルには、HTTPS トラフィックが透過的にリダイレクトされる場合の制限があります。URL カテゴリ基準を使用しているルーティング ポリシーによる HTTPS サイトへのアクセス を参照してください。

関連項目

IP スプーフィングプロファイルの作成

始める前に

Web プロキシ設定でプロキシモードと IP スプーフィング接続タイプが選択されていることを確認します。詳細については、Configuring Web Proxy Settingsを参照してください。

手順

ステップ 1

[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。

ステップ 2

[プロファイルを追加(Add Profile)] をクリックします。

ステップ 3

IP スプーフィングプロファイルの名前を入力します。

ステップ 4

スプーフィングプロファイル名に割り当てる IP アドレスを入力します。

ステップ 5

変更を送信し、保存します。
次のタスク

IP スプーフィングプロファイルをルーティングポリシーに追加します。詳細については、ルーティングポリシーへのルーティング先と IP スプーフィングプロファイルの追加を参照してください。

IP スプーフィングプロファイルの編集

(注)  

IP スプーフィングプロファイルを更新すると、そのプロファイルに関連付けられているすべてのルーティングポリシーでそのプロファイルが更新されます。
手順

ステップ 1

[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。

ステップ 2

編集する IP スプーフィングプロファイル名のリンクをクリックします。

ステップ 3

プロファイルの詳細を変更します。

ステップ 4

変更を送信し、保存します。
IP スプーフィングプロファイルの削除
手順

ステップ 1

[Web Security Manager] > [IP スプーフィングプロファイル(IP Spoofing Profiles)] を選択します。

ステップ 2

削除する IP スプーフィングプロファイルに対応するゴミ箱アイコンをクリックします。

(注)  

 

削除しようとしている IP スプーフィングプロファイルが 1 つ以上のルーティングポリシーに割り当てられている場合は、アプライアンスによって警告が表示されます。この場合は、影響を受けるすべてのルーティングポリシーに割り当てる別の IP スプーフィングプロファイルを選択します。

ステップ 3

変更を送信し、保存します。

Web プロキシのカスタム ヘッダー

特定の発信トランザクションにカスタム ヘッダーを追加することにより、宛先サーバーによる特別な処理を要求できます。たとえば、YouTube for Schools と関係がある場合、カスタム ヘッダーを使用して、YouTube.com へのトランザクション要求を自身のネットワークから発信された、特別な処理を必要とする要求として識別させることができます。

Adding Custom Headers To Web Requests

Procedure

Step 1

Access the CLI.

Step 2

Use the advancedproxyconfig -> customheaders commands to access the required submenus: 


example.com> advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
[]> customheaders
Currently defined custom headers:
Choose the operation you want to perform:
- DELETE - Delete entries
- NEW - Add new entries
- EDIT - Edit entries
[]>

Step 3

Enter the required subcommand as follows:

Option

Description

Delete

Deletes the custom header you identify. Identify the header to delete using the number associated with the header in the list returned by the command.

New

Creates the header you provide for use with the domain or domains you specify.

Example header:

X-YouTube-Edu-Filter: ABCD1234567890abcdef

(The value in this case is a unique key provided by YouTube.)

Example domain:

youtube.com

The maximum length of the custom header is 16k and may contain arbitrary values as well except CR or LF.

Example custom header:

Choose the operation you want to perform:
- DELETE -  Delete entries
- NEW -  Add new entries
- EDIT -  Edit entries
[]> new
Please enter the custom HTTP header (in the form field: value):
[]>
[:characters colon(:) and double quotes(“) are not allowed]

Edit

Replaces an existing header with one you specify. Identify the header to delete using the number associated with the header in the list returned by the command.

Step 4

Press Enter until you return to the main command interface.

Step 5

Commit your changes.

Web プロキシのバイパス

Web プロキシのバイパス(Web 要求の場合)

特定のクライアントからの透過的要求や特定の宛先への透過的要求が Web プロキシをバイパスするように、 Secure Web Applianceを設定できます。

Web プロキシをバイパスすることによって、以下のことが可能になります。

  • HTTP ポートを使用しているが、適切に機能しない HTTP 非対応の(または独自の)プロトコルが、プロキシ サーバーに接続するときに干渉されないようにします。

  • ネットワーク内の特定のマシンからのトラフィックが、マルウェアのテスト マシンなど、ネットワーク プロキシおよび組み込みのセキュリティ保護をすべてバイパスすることを確認します。

バイパスは、Web プロキシに透過的にリダイレクトされる要求に対してのみ機能します。Web プロキシは、トランスペアレント モードでも転送モードでも、クライアントから明示的に転送されたすべての要求を処理します。

Web プロキシのバイパス設定(Web 要求の場合)

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。

ステップ 2

[バイパス設定の編集(Edit Bypass Settings)] をクリックします。

ステップ 3

Web プロキシをバイパスするアドレスを入力します。

(注)  

 

/0 をバイパスリスト内の任意の IP のサブネットマスクとして設定すると、アプライアンスはすべての Web トラフィックをバイパスします。この場合、アプライアンスは設定を 0.0.0.0/0 として解釈します。

ステップ 4

プロキシバイパスリストに追加するカスタム URL カテゴリを選択します。

(注)  

 

[正規表現(Regular Expressions)] に Web プロキシバイパスを設定することはできません。

(注)  

 

カスタム URL カテゴリをプロキシバイパスリストに追加すると、カスタム URL カテゴリのすべての IP アドレスとドメイン名が、送信元と宛先の両方でバイパスされます。

ステップ 5

変更を送信し、保存します。

Web プロキシのバイパス設定(アプリケーションの場合)

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。

ステップ 2

[アプリケーションのスキップ設定を編集(Edit Application Bypass Settings)] をクリックします。

ステップ 3

スキャンをバイパスするアプリケーションを選択します。

ステップ 4

変更を送信し、保存します。

(注)  

 
Webex バイパス設定は、HTTPS トラフィックにのみ適用されます。ただし、HTTP トラフィックの場合、アプリケーションはアクセスポリシーを介してブロックできます。

ポリシーごとの Web プロキシ カスタム ヘッダー

HTTP リクエストのカスタム ヘッダー プロファイルを設定し、ヘッダー書き換えプロファイルの下に複数のヘッダーを作成できます。各プロファイルには最大 12 のヘッダーを設定できます。既存のヘッダー プロファイルを変更または削除することもできます。既存のアクセス ポリシーにヘッダー書き換えプロファイルを追加して、特定のアクセス ポリシーが適用されるすべてのトランザクションにヘッダーを含めることができます。

ヘッダー書き換えプロファイル機能を使用すると、認証が成功した後、アプライアンスがユーザとグループの情報を別のアップストリーム デバイスに渡すことができます。アップストリーム プロキシはユーザを認証済みと見なし、追加の認証をバイパスし、定義されたアクセス ポリシーに基づいてユーザにアクセスを提供します。

AsynOS バージョン 14.0 以降では、CLI コマンド advancedproxyconfig-> customheader を使用した Web プロキシ カスタム ヘッダーの作成を避けることを推奨します。

HTTP Web リクエストのヘッダー書き換えプロファイルの作成

手順

ステップ 1

[Web Security Manager] > [HTTP 書き換えプロファイル(HTTP Rewrite Profiles)] を選択します

ステップ 2

[プロファイルを追加(Add Profile)] をクリックします。

ステップ 3

作成するヘッダー書き換えプロファイルに一意の名前を割り当てます。

ステップ 4

[ヘッダー(Headers)] エリアで、次の情報を入力します。

(注)  

 

[ヘッダー書き換えプロファイル(Header Rewrite Profiles)] には空または Null のヘッダー値を入力できます。ヘッダーを保存して、Null または値なしで送信すると、ヘッダーは発信リクエストに含まれません。たとえば、アウトバウンド サーバーへのヘッダー Via を非表示にする場合は、値「“”」でHTTP書き換えプロファイルにヘッダー名 Via を追加します。

  • [ヘッダー名(Header Name)]:HTTP リクエストに追加するヘッダー名を入力します。例:X-Client-IP、X-Authenticated-User、X-Authenticated-Groups など

  • [ヘッダー値(Header Value)]:ヘッダー名に対応するリクエスト ヘッダーに含める値を入力します。ヘッダー変数のプレフィックス:

    • $ ReqMeta:クライアント IP、ユーザー、グループなどの標準 HTTP ヘッダー変数を取得します。たとえば、リクエスト ヘッダーにユーザー名を含める場合、形式は ($ReqMeta[X-Authenticated-User]) です。

    • $ReqHeader:標準の HTTP ヘッダーの値、または同じヘッダー書き換えプロファイルに定義された他のヘッダーのヘッダーの値を使用します。

      たとえば、

      Header1:32

      Header2: 44-($ReqHeader[Header1])-46

      ヘッダー 2 の値は 44-32-46 になります

  • [テキスト形式(Text Format)]:エンコーディングのテキスト形式を選択します。使用可能なオプションは ASCII と UTF-8 です。

  • [バイナリ エンコーディング(Binary Encoding)]:リクエスト ヘッダーにバイナリ エンコーディング(Base64)を使用するかどうかを選択します。

(注)  

 

サーバー タイプに基づいて、送信されたリクエスト ヘッダー フィールドのサイズがサーバーの上限を超えた場合、アプライアンスはエラー メッセージを表示します。たとえば、異なるサーバー タイプは異なるヘッダー長をサポートします。

  • Apache 2.0、2.2:8k

  • Nginx:4k 〜 8k

  • IIS(バージョンによって異なります):8K 〜 16K

  • Tomcat :(バージョンによって異なります)8K

ISE を使用したユーザー識別の場合、グローバル X-authentication ヘッダー設定(X-Authenticated-User および X-Authenticated-Groups)は、プレフィックスとしてドメインおよび認証メカニズムを適用しません。

ASCII としてテキスト形式を選択した場合でも、($ ReqMeta [HTTP_header]) 値として UTF+8 を入力できます。現在、次のヘッダーは ($ReqMeta[HTTP_header]) をサポートしています。

  • X-Authenticated-User

  • X-Authenticated-Groups

  • X-Client-IP

ヘッダーの値が Null の場合、ヘッダーは発信リクエストに含まれません。これは、以下を実行しない場合に発生します。

  • プロキシ認証を有効にします。

  • アクセス ポリシー、復号ポリシー、またはルーティング ポリシーのメンバーシップ基準でグループを定義します。

ステップ 5

変更を送信し、保存します。

ユーザー名とグループ ヘッダー形式の変更

手順

ステップ 1

[Web Security Manager] > [HTTP 書き換えプロファイル(HTTP Rewrite Profiles)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

形式を変更します。

許可される形式は次のとおりです。

  • ユーザー名:$authMechanism://$domainName/$userName、$authMechanism:\\$domainName\$userName、$domainName/$userName、$domainName\$userName、$userName

  • グループ:$authMechanism://$domainName/$groupName、$authMechanism:\\$domainName\$groupName、$domainName/$groupName、$domainName\$groupName、$groupName

    カンマ(,)、コロン(:)、セミコロン(;)、バックスラッシュ(\)、縦棒(|)などのデリミタも変更できます。

ステップ 4

変更を送信し、保存します。

アクセス ポリシーへのヘッダー プロファイルの追加

始める前に

アクセス ポリシーの設定Creating a Policy を参照してください。

手順

ステップ 1

[Web セキュリティ マネージャ(Web Security Manager)] > [アクセス ポリシー(Access Policies)] を選択します。

ステップ 2

[アクセス ポリシー(Access Policies)] ページで、[HTTP 書き換えプロファイル(HTTP Rewrite Profile)] のリンクをクリックします。

新しいアクセス ポリシーを作成し、それにヘッダー書き換えプロファイルを追加することもできます。新しいアクセス ポリシーを作成するには、次を参照してください。Creating a Policy

ステップ 3

ポリシーに追加するヘッダー書き換えプロファイルを選択します。追加すると、特定のアクセス ポリシーが適用される HTTP トランザクションにヘッダーが含まれます。

ステップ 4

変更を送信し、保存します。

アクセス ポリシーにリンクされたヘッダー書き換えプロファイルは削除できます。削除する前に、別のプロファイルを選択すると、選択したプロファイルがアクセス ポリシーに自動的に適用されます。

Web プロキシ使用規約

Secure Web Appliance を設定して、Web アクティビティのフィルタリングとモニタリングが行われていることをユーザに通知できます。アプライアンスは、ユーザーが初めてブラウザにアクセスしたときに、一定時間の経過後、エンド ユーザー確認ページを表示します。エンド ユーザー確認ページが表示されたら、ユーザーはリンクをクリックして、要求した元のサイトまたは他の Web サイトにアクセスする必要があります。

関連項目

ドメイン マップ

特定のクライアントからの透過的 HTTPS 要求や特定の宛先への透過的 HTTPS 要求が HTTPS プロキシをバイパスするように、 Secure Web Applianceを設定できます。

トラフィックがアプライアンスを通過することを必要とするアプリケーションに関して、変更や宛先サーバーの証明書チェックを行わずに、パススルーを使用することができます。

特定アプリケーションのドメインマップ

始める前に

特定のサーバーへのパススルートラフィックを必要とするデバイスに関して定義された識別ポリシーがあることを確認してください。詳細については、ユーザーおよびクライアント ソフトウェアの分類を参照してください。具体的には、次のことを行う必要があります。

  • [認証/識別から除外(Exempt from authentication/identification)] をオンします。

  • この識別プロファイルを適用するアドレスを指定します。IP アドレス、CIDR ブロック、およびサブネットを入力できます。

手順

ステップ 1

HTTPS プロキシを有効にします。詳細については、HTTPS プロキシのイネーブル化を参照してください。

ステップ 2

[Webセキュリティマネージャ(Web Security Manager)] > [ドメインマップ(Domain Map)] を選択します。

  1. [ドメインの追加(Add Domain)] をクリックします。

  2. [ドメイン名(Domain Name)] に宛先サーバーのドメイン名を入力します。

  3. 既存のドメインが指定されている場合は、優先順位を選択します。

  4. IP アドレスを入力します。

  5. [送信(Submit)] をクリックします。

ステップ 3

[Webセキュリティマネージャ(Web Security Manager)] > [カスタムおよび外部URLカテゴリ(Custom and External URL Categories)] を選択します。

  1. [Add Category] をクリックします。

  2. 次の情報を入力します。

    設定

    説明

    カテゴリ名(Category Name)

    この URL カテゴリの識別子を入力します。この名前は、ポリシー グループに URL フィルタリングを設定するときに表示されます。

    リスト順(List Order)

    カスタム URL カテゴリのリストで、このカテゴリの順序を指定します。リスト内の最初の URL カテゴリに「1」を入力します。

    URL フィルタリング エンジンでは、指定した順序でカスタム URL カテゴリに対してクライアント要求が評価されます。

    カテゴリ タイプ(Category Type)

    [ローカルカスタムカテゴリ(Local Custom Category)] を選択します。

    詳細設定(Advanced)

    このセクションに、追加のアドレスセットを指定する正規表現を入力できます。

    正規表現を使用して、入力したパターンと一致する複数のアドレスを指定できます。

    正規表現の使用方法については、正規表現を参照してください。

  3. 変更を送信し、保存します。

ステップ 4

[Webセキュリティマネージャ(Web Security Manager)] > [復号ポリシー(Decryption Policies)] を選択します。

  1. 新しい復号ポリシーを作成します。

  2. 特定のアプリケーションの HTTPS トラフィックをバイパスするために作成した識別プロファイルを選択します。

  3. [詳細設定(Advanced)] パネルで、[URLカテゴリ(URL Categories)] のリンクをクリックします。

  4. [追加(Add)] カラムをクリックして、手順 3 で作成したカスタム URL カテゴリを追加します。

  5. [完了(Done)] をクリックします。

  6. [復号ポリシー(Decryption Policies)] ページで、[URLフィルタリング(URL Filtering)] のリンクをクリックします。

  7. [パススルー(Pass Through)] を選択します。

  8. 変更を送信し、保存します。

%( フォーマット指定子を使用してアクセスログ情報を表示することができます。詳細については、Customizing Access Logsを参照してください。

(注)  

 

  • ドメインマップ機能は HTTPS 透過モードで動作します。

  • この機能は、明示モードでは動作せず、HTTP トラフィックについても動作しません。

  • この機能を使用してトラフィックを許可するには、ローカルカスタムカテゴリを設定する必要があります。

  • この機能を有効にすると、SNI 情報が利用できる場合でも、ドメインマップで設定されたサーバー名に従ってサーバー名の変更または割り当てが行われます。

  • この機能は、ドメイン名に基づくトラフィックがドメインマップと一致し、対応するカスタムカテゴリ、復号ポリシー、パススルーアクションが設定されている場合、そのトラフィックをブロックしません。

  • 認証をこのパススルー機能と併用することはできません。認証には復号が必要ですが、この場合、トラフィックは復号されません。

  • UDP トラフィックはモニターされません。 Secure Web Applianceに到達しないように UDP トラフィックを設定する必要があります。代わりに、WhatsApp、Telegram などのアプリケーションのためにファイアウォールを経由してインターネットに直接アクセスする必要があります。

  • WhatsApp、Telegram、および Skype は透過モードで動作します。ただし、WhatsApp などの一部のアプリケーションは、アプリケーションの制限のために、明示モードでは動作しません。

Web 要求をリダイレクトするためのクライアント オプション

クライアントから Web プロキシに明示的に要求を転送することを選択した場合は、それを実行するためのクライアントの設定方法も指定する必要があります。以下の方法から選択します。

  • 明示的な設定を使用してクライアントを設定する。Web プロキシのホスト名とポート番号を使ってクライアントを設定します。設定方法の詳細については、個々のクライアントのマニュアルを参照してください。

(注)  
デフォルトでは、Web プロキシ ポートはポート番号 80 と 3128 を使用します。クライアントはいずれかのポートを使用できます。
  • プロキシ自動設定(PAC)ファイルを使用してクライアントを設定する。PAC ファイルは、Web 要求の送信先をクライアントに指示します。このオプションを使用すると、プロキシの詳細に対する以降の変更を一元管理できます。

PAC ファイルを使用する場合は、PAC ファイルの保存場所とクライアントがそれらを検出する方法を選択する必要があります。

関連項目

クライアント アプリケーションによる PAC ファイルの使用

プロキシ自動設定(PAC)ファイルのパブリッシュ オプション

クライアントがアクセスできる場所に PAC ファイルをパブリッシュする必要があります。有効な場所は以下のとおりです。

  • Web サーバー

  • Secure Web Appliance。クライアントに対しては Web ブラウザとして表示される Secure Web Applianceに PAC ファイルを配置できます。アプライアンスには、さまざまなホスト名、ポート、ファイル名を使用している要求に対応する機能など、PAC ファイルを管理するための追加オプションもあります。

  • ローカル マシン。クライアントのハード ディスクに PAC ファイルをローカルに配置できます。これを一般的な解決方法として使用することは推奨されません。自動 PAC ファイル検出には適していませんが、テストには役立つ可能性があります。

関連項目

プロキシ自動設定(PAC)ファイルを検索するクライアント オプション

クライアントに対して PAC ファイルを使用する場合は、クライアントが PAC ファイルを検索する方法を選択する必要があります。以下の 2 つの対処法があります。

  • PAC ファイルの場所をクライアントに設定する。この PAC ファイルを明確に差し指す URL をクライアントに設定します。
  • PAC ファイルの場所を自動的に検出するようにクライアントを設定する。DHCP または DNS とともに WPAD プロトコルを使用して PAC ファイルを自動的に検索するようにクライアントを設定します。

PAC ファイルの自動検出

WPAD は、DHCP および DNS ルックアップを使用してブラウザが PAC ファイルの場所を判別できるようにするプロトコルです。

  • DHCP と共に WPAD を使用するには、DHCP サーバーに PAC ファイルの場所の URL と共にオプション 252 を設定します。ただし、すべてのブラウザが DHCP をサポートしているわけではありません。
  • DNS と共に WPAD を使用するには、PAC ファイルのホスト サーバーを指し示すように DNS レコードを設定します。

いずれかまたは両方のオプションを設定できます。WPAD は最初に DHCP を使用して PAC ファイルの検出を試み、検出できなかった場合は DNS を使って試みます。

関連項目

Secure Web Applianceでの PAC ファイルのホスト

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [PAC ファイル ホスティング(PAC File Hosting)] を選択します。

ステップ 2

[設定の有効化と編集(Enable and Edit Settings)] をクリックします。

ステップ 3

(任意)以下の基本設定項目を設定します。

オプション

説明

PAC サーバー ポート(PAC Server Ports)

Secure Web Applianceが PAC ファイル要求のリッスンに使用するポート。

PAC ファイルの有効期限(PAC File Expiration)

ブラウザ キャッシュで指定されている分数が経過した後に PAC ファイルを期限切れにできます。

ステップ 4

[PACファイル(PAC Files)] セクションで [参照(Browse)] をクリックし、 Secure Web Applianceにアップロードする PAC ファイルをローカルマシンから選択します。

(注)  

 
選択したファイルの名前が default.pac である場合は、ブラウザで場所を設定するときにファイル名を指定する必要がありません。名前が指定されていない場合、 Secure Web Appliancedefault.pac というファイルを検索します。

ステップ 5

[アップロード(Upload)] をクリックして、ステップ 4 で選択した PAC ファイルを Secure Web Applianceにアップロードします。

ステップ 6

(任意)[PAC ファイルサービスを直接提供するホスト名(Hostnames for Serving PAC Files Directly)] セクションで、ポート番号を含まない PAC ファイル要求のホスト名と関連ファイル名を設定します。

オプション

説明

ホスト名(Hostname)

Secure Web Applianceが要求を処理する場合に、PAC ファイル要求に含める必要があるホスト名。要求にはポート番号が含まれていないため、要求は Web プロキシの HTTP ポート(ポート80)を使用して処理され、ホスト名評価から PAC ファイル要求として識別できます。

プロキシ ポートを通じた「GET」要求に対するデフォルト PAC ファイル(Default PAC File for "Get/" Request through Proxy Port)

同じ行のホスト名に関連付けられる PAC ファイル名。ホスト名に対する要求は、ここで指定した PAC ファイルを返します。

アップロード済みの PAC ファイルのみを選択できます。

行を追加(Add Row)

別の行を追加して、追加のホスト名と PAC ファイル名を指定します。

ステップ 7

変更を送信し、保存します。

クライアント アプリケーションでの PAC ファイルの指定

クライアントでの PAC ファイルの場所の手動設定

手順

ステップ 1

PAC ファイルを作成してパブリッシュします。

ステップ 2

ブラウザの PAC ファイル設定領域に PAC ファイルの場所を示す URL を入力します。

Secure Web Applianceが PAC ファイルをホストしている場合、有効な URL 形式は以下のようになります。

http://server_address[.domain][:port][/filename] | http://WSAHostname[/filename]

WSAHostname は、 Secure Web Applianceに PAC ファイルをホストするときに設定した [ホスト名(hostname)] の値です。ホストしていない場合、URL の形式は格納場所と(場合によっては)クライアントに応じて異なります。

次のタスク

クライアントでの PAC ファイルの自動検出

手順

ステップ 1

wpad.dat という名前の PAC ファイルを作成し、Web サーバーまたは Secure Web Applianceにパブリッシュします(DNS と共に WPAD を使用する場合は、Web サーバーのルートフォルダにファイルを配置する必要があります)。

ステップ 2

次の MIME タイプで .dat ファイルを設定するように Web サーバーを設定します。

application/x-ns-proxy-autoconfig

(注)  

 

Secure Web Applianceはこれを自動的に実行します。

ステップ 3

DNS ルックアップをサポートするには、「wpad」から始まる、内部的に解決可能な DNS 名を作成して(例:wpad.example.com)、wpad.dat ファイルをホストしているサーバーの IP アドレスに関連付けます。

ステップ 4

DHCP ルックアップをサポートするには、DHCP サーバーのオプション 252 に wpad.dat ファイルの場所の URL を設定します(例:「http://wpad.example.com/wpad.dat」)。URL には、IP アドレスなど、有効な任意のホスト アドレスを使用できます。特定の DNS エントリは必要ありません。

次のタスク

FTP プロキシ サービス

FTP プロキシ サービスの概要

Web プロキシは、以下の 2 種類の FTP 要求を代行受信できます。

  • ネイティブ FTP。ネイティブ FTP 要求は、専用 FTP クライアントによって生成されます(または、ブラウザで組み込みの FTP クライアントを使用して生成されます)。FTP プロキシが必要です。
  • FTP over HTTP。ブラウザは、ネイティブ FTP を使用する代わりに、HTTP 要求内に FTP 要求をエンコードすることがあります。FTP プロキシは必要ありません。
関連項目

FTP プロキシの有効化と設定


(注)  
FTP over HTTP 接続に適用されるプロキシ設定を設定するには、Configuring Web Proxy Settingsを参照してください。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [FTP プロキシ(FTP Proxy)] を選択します。

ステップ 2

[設定の有効化と編集(Enable and Edit Settings)] をクリックします(表示されるオプションが [設定の編集(Edit Settings)] だけの場合、FTP プロキシは設定済みです。)

ステップ 3

(任意)基本的な FTP プロキシ設定項目を設定します。

プロパティ

説明

プロキシ リスニング ポート(Proxy Listening Port)

FTP プロキシが FTP 制御接続をリッスンするポート。クライアントは、(FTP サーバーに接続するためのポート(通常はポート 21 を使用)としてではなく)FTP プロキシを設定するときにこのポートを使用する必要があります。

キャッシング(Caching)

匿名ユーザーからのデータ接続をキャッシュするかどうか。

(注)  

 
匿名ではないユーザーからのデータはキャッシュされません。

サーバー側の IP スプーフィング(Server Side IP Spoofing)

FTP プロキシが FTP サーバーの IP アドレスをシミュレートできるようにします。これによって、IP アドレスが制御接続とデータ接続で異なる場合に、トランザクションを許可しない FTP クライアントに対応できます。

クライアント IP スプーフィング

FTP プロキシが FTP クライアントの送信元 IP アドレスを模倣できるようにします。有効にすると、FTP 要求は FTP プロキシではなく FTP クライアントから発信されたように見えます。

認証形式(Authentication Format)

FTP クライアントと通信するときに FTP プロキシが使用する認証形式を選択できるようにします。

パッシブモードのデータポート範囲(Passive Mode Data Port Range)

パッシブ モード接続で FTP プロキシとのデータ接続を確立するために FTP クライアントが使用する TCP ポートの範囲。

アクティブモードのデータポート範囲(Active Mode Data Port Range)

アクティブ モード接続で FTP プロキシとのデータ接続を確立するために FTP サーバーが使用する TCP ポートの範囲。この設定は、ネイティブ FTP および FTP over HTTP 接続の両方に適用されます。

ポート範囲を大きくすると、同じ FTP サーバーからのさらに多くの要求に対応できます。TCP セッションの TIME-WAIT 遅延(通常数分)によって、ポートは使用された直後に、同じ FTP サーバーで再び使用できるようになりません。その結果、所定の FTP サーバーは短時間アクティブ モードで n 回以上 FTP プロキシに接続できません。ここでは n は、このフィールドに指定されたポート数です。

ウェルカム バナー(Welcome Banner)

接続時に FTP クライアントに表示されるウェルカム バナー。次から選択します。

  • [FTP サーバーメッセージを(FTP server message)]。メッセージは宛先 FTP サーバーによって表示されます。このオプションは、Web プロキシが透過モードに設定されている場合にのみ利用でき、透過接続にのみ適用されます。
  • [カスタム メッセージ(Custom message)]。このオプションをオンにすると、すべてのネイティブ FTP 接続に対してこのカスタム メッセージが表示されます。オフにした場合は、明示的な転送ネイティブ FTP 接続に使用されます。

ステップ 4

(任意)FTP プロキシの詳細設定を設定します。

プロパティ

説明

制御接続のタイムアウト(Control Connection Timeouts)

現在のトランザクションが完了していない場合に、アイドル状態の FTP クライアントまたは FTP サーバーからの制御接続による通信を、FTP プロキシがさらに待機する最大時間(秒単位)。

  • [クライアント側(Client side)]。アイドル状態の FTP クライアントとの制御接続のタイムアウト値。
  • [サーバー側(Server side)]。アイドル状態の FTP サーバーとの制御接続のタイムアウト値。

データ接続のタイムアウト(Data Connection Timeouts)

現在のトランザクションが完了していない場合に、アイドル状態の FTP クライアントまたは FTP サーバーからのデータ接続による通信を、FTP プロキシがさらに待機する時間。

  • [クライアント側(Client side)]。アイドル状態の FTP クライアントとのデータ接続のタイムアウト値。
  • [サーバー側(Server side)]。アイドル状態の FTP サーバーとのデータ接続のタイムアウト値。

ステップ 5

変更を送信し、保存します。

次のタスク

SOCKS プロキシ サービス

SOCKS プロキシ サービスの概要

Secure Web Applianceには、SOCKS トラフィックを処理するための SOCKS プロキシが含まれます。SOCKS ポリシーは、SOCKS トラフィックを制御するアクセス ポリシーと同等です。アクセス ポリシーと同様に、識別プロファイルを使用して、各 SOCKS ポリシーによってどのトランザクションを管理するかを指定できます。SOCKS ポリシーをトランザクションに適用すると、ルーティング ポリシーによてトラフィックのルーティングを管理できます。

SOCKS プロキシでは、以下の点に注意してください。

  • SOCKS プロトコルは、直接転送接続のみをサポートしています。

  • SOCKS プロキシは、アップストリーム プロキシをサポートしていません(アップストリーム プロキシに転送されません)。

  • SOCKS プロキシは、Application Visibility and Control(AVC)、 Application Discovery and Control(ADC)、Data Loss Prevention(DLP)、およびマルウェア検出に使用されるスキャニングサービスをサポートしていません。

  • SOCKS プロキシは、ポリシー追跡をサポートしていません。

  • SOCKS プロキシは、SSL トラフィックを復号できません。これは、クライアントからサーバーにトンネリングします。

SOCKS トラフィックの処理のイネーブル化

始める前に

Web プロキシをイネーブルにします。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。

ステップ 4

変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。

Configuring the SOCKS Proxy

Procedure

Step 1

Choose Security Services > SOCKS Proxy.

Step 2

Click Edit Settings.

Step 3

Select Enable SOCKS Proxy.

Step 4

Configure the basic and advanced SOCKS Proxy settings.

SOCKS Proxy

Enabled.

SOCKS Control Ports

Ports that accept SOCKS requests. Default is 1080.

UDP Request Ports

UDP ports on which the SOCKS server should listen. Default is 16000-16100.

Proxy Negotiation Timeout

Time to wait (in seconds) to send or receive data from a SOCKS client in the negotiation phase. Default is 60.

UDP Tunnel Timeout

Time to wait (in seconds) for data from a UDP client or server before closing the UDP tunnel. Default is 60.

Creating SOCKS Policies

Procedure

Step 1

Choose Web Security Manager > SOCKS Policies.

Step 2

Click Add Policy.

Step 3

Assign a name in the Policy Name field.

Note

 
Each policy group name must be unique and only contain alphanumeric characters or the space character.

Step 4

(Optional) Add a description.

Step 5

In the Insert Above Policy field, choose where in the SOCKS policies table to insert this SOCKS policy.

Note

 
When configuring multiple SOCKS policies, determine a logical order for each policy. Order your policies to ensure that correct matching occurs.

Step 6

In the Identities and Users section, choose one or more Identities to apply to this policy group.

Step 7

(Optional) Expand the Advanced section to define additional membership requirements.

Proxy Ports

The port configured in the browser.

(Optional) Define policy group membership by the proxy port used to access the Web Proxy. Enter one or more port numbers in the Proxy Ports field. Separate multiple ports with commas.

You might want to define policy group membership on the proxy port if you have one set of clients configured to explicitly forward requests on one port, and another set of clients configured to explicitly forward requests on a different port.

Note

 
If the Identity associated with this policy group defines Identity membership by this advanced setting, the setting is not configurable at the SOCKS policy group level.

Subnets

(Optional) Define policy group membership by subnet or other addresses.

You can choose to use the addresses that may be defined with the associated Identity, or you can enter specific addresses here.

Note

 
If the Identity associated with this policy group defines its membership by addresses, then in this policy group you must enter addresses that are a subset of the Identity’s addresses. Adding addresses in the policy group further narrows down the list of transactions that match this policy group.

Time Range

(Optional) Define policy group membership by time range:

  1. Select a time range from the Time Range field.
  2. Specify whether this policy group should apply to the times inside or outside the selected time range.

Step 8

Submit and Commit Changes.

What to do next

  • (Optional) Add an Identity for use with SOCKS Policies.
  • Add one or more SOCKS Policies to manage SOCKS traffic.

Cisco Umbrella シームレス ID

Cisco Umbrella シームレス ID 機能を使用すると、正常に認証された後に、アプライアンスからユーザ識別情報を Cisco Umbrella セキュア Web ゲートウェイ(SWG)にパスすることができます。Cisco Umbrella SWG は、 Secure Web Applianceから受信した認証済み識別情報に基づいて、Active Directory のユーザー情報をチェックします。Cisco Umbrella SWG は、ユーザを認証済みと見なし、定義されたセキュリティポリシーに基づいてユーザにアクセスを提供します。

Secure Web Applianceは、X-USWG-PKH、X-USWG-SK、および X-USWG-Data を含む HTTP ヘッダーを使用して Cisco Umbrella SWG にユーザー識別情報を渡します。


(注)  

  • Cisco Umbrella シームレス ID ヘッダーは、 Secure Web Appliance上の同じ名前のヘッダーを上書きします。

  • Cisco Umbrella シームレス ID 機能は、Active Directory でのみ認証方式をサポートします。この機能は、LDAP、Cisco Identity Services Engine(ISE)、および Cisco Context Directory Agent(CDA)をサポートしていません。

  • Cisco Umbrella SWG は FTP および SOCKS トラフィックをサポートしていません。
表 1. HTTPS トラフィックの動作

構成モード

サロゲート

認証のための復号

Secure Web Appliance 認証

Cisco Umbrella シームレス ID の共有

Explicit

IP サロゲート

はい/いいえ

対応

対応

透過

IP サロゲート

対応

対応

対応

透過

IP サロゲート

非対応

認証をスキップ

非対応

Explicit

Cookie、クレデンシャルの暗号化なし

はい/いいえ

対応

対応

Explicit

Cookie、クレデンシャルの暗号化あり

はい/いいえ

対応

非対応

透過

Cookie、クレデンシャル暗号化あり/なし

はい/いいえ

認証をスキップ

非対応

(注)  
Secure Web Applianceは、認証されたユーザーの UPN 値を Active Directory から取得し、Cisco Umbrella シームレス ID でユーザーに正しい Web ポリシーを適用できるようにします。この機能を利用するには、すべての Active Directory ユーザーにデフォルトまたはカスタマイズされた UPN 値を割り当てる必要があります。

ここでは、次の内容について説明します。

Cisco Umbrella シームレス ID の設定

始める前に

  • [ネットワーク(Network)] > [証明書の管理(Certificate Management)] > [信頼できるルート証明書の管理(Manage Trusted Root Certificates)]を選択して、ルートまたはカスタムの Umbrella 証明書をアプライアンスに手動でアップロードします。「証明書の管理」を参照してください。

  • 認証用の識別プロファイルが設定されていることを確認します。

  • 設定済みの識別プロファイルを使用してルーティングポリシーを定義します。

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [Cisco UmbrellaシームレスID(Cisco Umbrella Seamless ID)]を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

Cisco Umbrella SWG ホスト名または IP アドレスを入力します。

ステップ 4

HTTP および HTTPS トラフィック用の SWG のポート番号を入力します。

最大 6 つのポート番号を入力できます。

ステップ 5

(オプション)[接続テスト(Connectivity Test)] をクリックして、ポートを介した Cisco Umbrella SWG の接続と証明書の検証が正常に行われていることを確認します。

ステップ 6

Cisco Umbrella SWG の一意のカスタマー組織 ID を入力します。

ステップ 7

送信して確定します。

Cisco Umbrella SWG のルーティング先の設定

新しいルーティングポリシーを作成するには、「ルーティングポリシーへのルーティング先と IP スプーフィングプロファイルの追加」を参照してください。

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [ルーティングポリシー(Routing Policies)]を選択します。

ステップ 2

[ルーティングポリシー(Routing Policies)] ページで、必要なポートを含む Cisco Umbrella シームレス ID を設定するルーティングポリシーの [ルーティング先(Routing Destination )] 列の下にあるリンクをクリックします。

ステップ 3

ポリシーのアップストリーム プロキシグ グループとして、ポートを含む適切な Cisco Umbrella シームレス ID を選択します。[アップストリームプロキシグループ(Upstream Proxy Group)] ドロップダウンリストには、[Cisco UmbrellaシームレスID(Cisco Umbrella Seamless ID)] ページ([Webセキュリティマネージャ(Web Security Manager)] > [Cisco UmbrellaシームレスID(Cisco Umbrella Seamless ID)])で設定したすべての Cisco Umbrella シームレス ID とポートが表示されす。

(注)  

 
ルーティングポリシーにすでにリンクされているポート番号を持つ Cisco Umbrella シームレス ID を削除すると([Webセキュリティマネージャ(Web Security Manager)] > [Cisco UmbrellaシームレスID(Cisco Umbrella Seamless ID))、ルーティング先が [直接接続(Direct Connection)] に変わります。

ステップ 4

変更を送信し、保存します。

要求の代替受信に関するトラブルシューティング