Web 要求の代行受信の概要
Web セキュリティ アプライアンスは、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、透過リダイレクション デバイス、ネットワーク タップ、およびその他のプロキシ サーバまたは Web セキュリティ アプライアンスなどがあげられます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
Web セキュリティ アプライアンスは、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、透過リダイレクション デバイス、ネットワーク タップ、およびその他のプロキシ サーバまたは Web セキュリティ アプライアンスなどがあげられます。
手順 |
タスク |
関連項目および手順へのリンク |
---|---|---|
ステップ 1 |
ベスト プラクティスを検討します。 |
|
ステップ 2 |
(任意)以下のネットワーク関連のフォローアップ タスクを実行します。
|
|
ステップ 3: |
(任意)次の Web プロキシのフォローアップ タスクを実行する。
|
|
ステップ 4: |
以下のクライアント タスクを実行します。
|
|
ステップ 5: |
(任意)FTP プロキシを有効化して設定します。 |
単独では、Web プロキシは HTTP(FTP over HTTP を含む)および HTTPS を使用する Web 要求を代行受信できます。プロトコル管理を向上させるために、さらに次のプロキシ モジュールを利用できます。
(注) |
透過モードでは、HTTPS プロキシがイネーブルでない場合、Web プロキシは透過的にリダイレクトされたすべての HTTPS 要求をドロップします。透過的にリダイレクトされた HTTPS 要求がドロップされた場合、その要求のログ エントリは作成されません。 |
これらの追加のプロキシのそれぞれが機能するには、Web プロキシが必要です。Web プロキシをディセーブルにすると、これらをイネーブルにできません。
(注) |
Web プロキシはデフォルトでイネーブルになります。デフォルトでは、他のプロキシはすべてディセーブルになります。 |
関連項目
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
||||||||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||||||||
ステップ 3 |
必要に応じて基本的な Web プロキシ設定項目を設定します。
|
||||||||||||||||
ステップ 4 |
必要に応じて Web プロキシの詳細設定を完了します。
|
||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。AsyncOS には「セーフ」から「アグレッシブ」の範囲の定義済みキャッシュ モードがあり、またカスタマイズしたキャッシングも使用できます。キャッシュ対象から特定の URL を除外することもできます。これを行うには、その URL をキャッシュから削除するか、無視するようにキャッシュを設定します。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
ステップ 2 |
[キャッシュを消去(Clear Cache)] をクリックしてアクションを確定します。 |
ステップ 1 |
CLI にアクセスします。 |
||
ステップ 2 |
|
||
ステップ 3 |
Enter the URL to be removed from the cache.
|
ステップ 1 |
CLI にアクセスします。 |
ステップ 2 |
|
ステップ 3 |
管理するアドレス タイプを入力します(
|
ステップ 4 |
add と入力して新しいエントリを追加します。
|
ステップ 5 |
以下の例のように、1 行に 1 つずつ、ドメインまたは URL を入力します。
ドメインまたは URL を指定する際に、特定の正規表現(regex)文字を含めることができます。 |
ステップ 6 |
値の入力を終了するには、メイン コマンドライン インターフェイスに戻るまで Enter キーを押します。 |
ステップ 7 |
変更を保存します。 |
ステップ 1 |
CLI にアクセスします。 |
|||||||||||||||
ステップ 2 |
|
|||||||||||||||
ステップ 3 |
必要な Web プロキシ キャッシュ設定に対応する番号を入力します。
|
|||||||||||||||
ステップ 4 |
オプション 4(カスタマイズ モード)を選択した場合は、各カスタム設定の値を入力します(または、デフォルト値のままにします)。 |
|||||||||||||||
ステップ 5 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
|||||||||||||||
ステップ 6 |
変更を保存します。 |
関連項目
デフォルトでは、Web プロキシは要求を転する際に、自身のアドレスに合わせて要求の送信元 IP アドレスを変更します。これによってセキュリティは向上しますが、この動作は IP スプーフィングを実装することによって変更できます。IP スプーフィングを使用すると、要求は送信元アドレスを維持するので、Web セキュリティ アプライアンスからではなく、送信元クライアントから発信されたように見えます。
IP スプーフィングは、透過的または明示的に転送されたトラフィックに対して機能します。Web プロキシが透過モードで展開されている場合は、透過的にリダイレクトされた接続のみ、またはすべての接続(透過的にリダイレクトされた接続と明示的に転送された接続)に対して IP スプーフィングを有効にすることができます。明示的に転送された接続で IP スプーフィングを使用する場合は、リターンパケットを Web セキュリティ アプライアンスにルーティングする適切なネットワーク デバイスがあることを確認してください。
IP スプーフィングがイネーブルで、アプライアンスが WCCP ルータに接続されている場合は、2 つの WCCP サービス(送信元ポートに基づくサービスと宛先ポートに基づくサービス)を設定する必要があります。
特定の発信トランザクションにカスタム ヘッダーを追加することにより、宛先サーバによる特別な処理を要求できます。たとえば、YouTube for Schools と関係がある場合、カスタム ヘッダーを使用して、YouTube.com へのトランザクション要求を自身のネットワークから発信された、特別な処理を必要とする要求として識別させることができます。
ステップ 1 |
CLI にアクセスします。 |
||||||||
ステップ 2 |
|
||||||||
ステップ 3 |
次のように、必要なサブコマンドを入力します。
|
||||||||
ステップ 4 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
||||||||
ステップ 5 |
変更を保存します。 |
特定のクライアントからの透過的要求や特定の宛先への透過的要求が Web プロキシをバイパスするように、Web セキュリティ アプライアンスを設定できます。
Web プロキシをバイパスすることによって、以下のことが可能になります。
バイパスは、Web プロキシに透過的にリダイレクトされる要求に対してのみ機能します。Web プロキシは、トランスペアレント モードでも転送モードでも、クライアントから明示的に転送されたすべての要求を処理します。
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
||
ステップ 2 |
[バイパス設定の編集(Edit Bypass Settings)] をクリックします。 |
||
ステップ 3 |
Web プロキシをバイパスするアドレスを入力します。
|
||
ステップ 4 |
変更を送信し、保存します。 |
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
ステップ 2 |
[アプリケーションのスキップ設定を編集(Edit Application Bypass Settings)] をクリックします。 |
ステップ 3 |
スキャンをバイパスするアプリケーションを選択します。 |
ステップ 4 |
変更を送信し、保存します。 |
Web アクティビティのフィルタリングおよびモニタリングが行われていることをユーザに通知するように Web セキュリティ アプライアンスを設定できます。アプライアンスは、ユーザが初めてブラウザにアクセスしたときに、一定時間の経過後、エンド ユーザ確認ページを表示します。エンド ユーザ確認ページが表示されたら、ユーザはリンクをクリックして、要求した元のサイトまたは他の Web サイトにアクセスする必要があります。
関連項目
特定のクライアントからの透過的 HTTPS 要求や特定の宛先への透過的 HTTPS 要求が HTTPS プロキシをバイパスするように、Web セキュリティアプライアンスを設定できます。
トラフィックがアプライアンスを通過することを必要とするアプリケーションに関して、変更や宛先サーバの証明書チェックを行わずに、パススルーを使用することができます。
特定のサーバへのパススルートラフィックを必要とするデバイスに関して定義された識別ポリシーがあることを確認してください。詳細については、ユーザおよびクライアント ソフトウェアの分類を参照してください。具体的には、次のことを行う必要があります。
[認証/識別から除外(Exempt from authentication/identification)] をオンします。
この識別プロファイルを適用するアドレスを指定します。IP アドレス、CIDR ブロック、およびサブネットを入力できます。
ステップ 1 |
HTTPS プロキシを有効にします。詳細については、HTTPS プロキシのイネーブル化を参照してください。 |
||
ステップ 2 |
[Webセキュリティマネージャ(Web Security Manager)] > [ドメインマップ(Domain Map)] を選択します。
|
||
ステップ 3 |
[Webセキュリティマネージャ(Web Security Manager)] > [カスタムおよび外部URLカテゴリ(Custom and External URL Categories)] を選択します。 |
||
ステップ 4 |
[Webセキュリティマネージャ(Web Security Manager)] > [復号化ポリシー(Decryption Policies)] を選択します。
%( フォーマット指定子を使用してアクセスログ情報を表示することができます。詳細については、アクセス ログのカスタマイズを参照してください。
|
クライアントから Web プロキシに明示的に要求を転送することを選択した場合は、それを実行するためのクライアントの設定方法も指定する必要があります。以下の方法から選択します。
(注) |
デフォルトでは、Web プロキシ ポートはポート番号 80 と 3128 を使用します。クライアントはいずれかのポートを使用できます。 |
PAC ファイルを使用する場合は、PAC ファイルの保存場所とクライアントがそれらを検出する方法を選択する必要があります。
関連項目
クライアントがアクセスできる場所に PAC ファイルをパブリッシュする必要があります。有効な場所は以下のとおりです。
クライアントに対して PAC ファイルを使用する場合は、クライアントが PAC ファイルを検索する方法を選択する必要があります。以下の 2 つの対処法があります。
WPAD は、DHCP および DNS ルックアップを使用してブラウザが PAC ファイルの場所を判別できるようにするプロトコルです。
いずれかまたは両方のオプションを設定できます。WPAD は最初に DHCP を使用して PAC ファイルの検出を試み、検出できなかった場合は DNS を使って試みます。
関連項目
ステップ 1 |
[セキュリティ サービス(Security Services)] > [PAC ファイル ホスティング(PAC File Hosting)] を選択します。 |
||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします。 |
||||||||
ステップ 3 |
(任意)以下の基本設定項目を設定します。
|
||||||||
ステップ 4 |
[PAC ファイル(PAC Files)] セクションで [参照(Browse)] をクリックし、Web セキュリティ アプライアンスにアップロードする PAC ファイルをローカル マシンから選択します。
|
||||||||
ステップ 5 |
[アップロード(Upload)] をクリックして、ステップ 4 で選択した PAC ファイルを Web セキュリティ アプライアンスにアップロードします。 |
||||||||
ステップ 6 |
(任意)[PAC ファイルサービスを直接提供するホスト名(Hostnames for Serving PAC Files Directly)] セクションで、ポート番号を含まない PAC ファイル要求のホスト名と関連ファイル名を設定します。
|
||||||||
ステップ 7 |
変更を送信し、保存します。 |
ステップ 1 |
PAC ファイルを作成してパブリッシュします。 |
ステップ 2 |
ブラウザの PAC ファイル設定領域に PAC ファイルの場所を示す URL を入力します。 Web セキュリティ アプライアンスが PAC ファイルをホストしている場合、有効な URL 形式は以下のようになります。 WSAHostname は、Web セキュリティ アプライアンスに PAC ファイルをホストするときに設定した [ホスト名(hostname)] の値です。ホストしていない場合、URL の形式は格納場所と(場合によっては)クライアントに応じて異なります。 |
ステップ 1 |
wpad.dat という名前の PAC ファイルを作成し、Web サーバまたは Web セキュリティ アプライアンスにパブリッシュします(DNS と共に WPAD を使用する場合は、Web サーバのルート フォルダにファイルを配置する必要があります)。 |
||
ステップ 2 |
次の MIME タイプで .dat ファイルを設定するように Web サーバを設定します。
|
||
ステップ 3 |
DNS ルックアップをサポートするには、「 |
||
ステップ 4 |
DHCP ルックアップをサポートするには、DHCP サーバのオプション 252 に wpad.dat ファイルの場所の URL を設定します(例:「 |
Web プロキシは、以下の 2 種類の FTP 要求を代行受信できます。
(注) |
FTP over HTTP 接続に適用されるプロキシ設定を設定するには、Web プロキシの設定を参照してください。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [FTP プロキシ(FTP Proxy)] を選択します。 |
||||||||||||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします(表示されるオプションが [設定の編集(Edit Settings)] だけの場合、FTP プロキシは設定済みです。) |
||||||||||||||||||
ステップ 3 |
(任意)基本的な FTP プロキシ設定項目を設定します。
|
||||||||||||||||||
ステップ 4 |
(任意)FTP プロキシの詳細設定を設定します。
|
||||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Web セキュリティ アプライアンスには、SOCKS トラフィックを処理するための SOCKS プロキシが含まれます。SOCKS ポリシーは、SOCKS トラフィックを制御するアクセス ポリシーと同等です。アクセス ポリシーと同様に、識別プロファイルを使用して、各 SOCKS ポリシーによってどのトランザクションを管理するかを指定できます。SOCKS ポリシーをトランザクションに適用すると、ルーティング ポリシーによてトラフィックのルーティングを管理できます。
SOCKS プロキシでは、以下の点に注意してください。
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
ステップ 4 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 4 |
基本および高度な SOCKS プロキシ設定を設定します。
|
ステップ 1 |
[Web セキュリティ マネージャ(Web Security Manager)] > [SOCKS ポリシー(SOCKS Policies)] を選択します。 |
||||||||||
ステップ 2 |
[ポリシーを追加(Add Policy)] をクリックします。 |
||||||||||
ステップ 3 |
[ポリシー名(Policy Name)] フィールドに名前を割り当てます。
|
||||||||||
ステップ 4 |
(任意)説明を追加します。 |
||||||||||
ステップ 5 |
[上記ポリシーを挿入(Insert Above Policy)] フィールドで、この SOCKS ポリシーに挿入する SOCKS ポリシーの場所を選択します。
|
||||||||||
ステップ 6 |
[アイデンティティとユーザ(Identities and Users)] セクションで、このグループ ポリシーに適用する 1 つ以上の ID を選択します。 |
||||||||||
ステップ 7 |
(任意)[詳細(Advanced)] セクションを拡張して、追加のメンバーシップ要件を定義します。
|
||||||||||
ステップ 8 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |