Web 要求の代行受信

この章で説明する内容は、次のとおりです。

Web 要求の代行受信の概要

Web セキュリティアプライアンス は、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。

アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Web セキュリティアプライアンス などがあげられます。

Web 要求の代行受信のためのタスク

手順

タスク

関連項目および手順へのリンク

ステップ 1

ベスト プラクティスを検討します。

ステップ 2

(任意)以下のネットワーク関連のフォローアップ タスクを実行します。

  • アップストリーム プロキシを接続および設定する。
  • ネットワーク インターフェイス ポリシーを設定する。
  • 透過リダイレクション デバイスを設定する。
  • TCP/IP ルートを設定する。
  • VLAN の設定。

ステップ 3:

(任意)次の Web プロキシのフォローアップ タスクを実行する。

  • 転送モードまたは透過モードで動作するように Web プロキシを設定する。
  • 代行受信するプロトコル タイプに追加のサービスが必要かどうかを決定。
  • IP スプーフィングの設定。
  • Web プロキシ キャッシュの管理。
  • カスタム Web 要求ヘッダーの使用。
  • 一部の要求に対してプロキシをバイパス。

ステップ 4:

以下のクライアント タスクを実行します。

  • クライアントが Web プロキシに要求をリダイレクトする方法を決定。
  • クライアントとクライアント リソースの設定。

ステップ 5:

(任意)FTP プロキシを有効化して設定します。

Web 要求の代行受信のベスト プラクティス

  • 必要なプロキシ サービスのみをイネーブルにします。

  • Web セキュリティアプライアンス で定義されているすべての WCCP サービスに対して、同じ転送方式とリターン方式(L2 または GRE)を使用します。これによって、プロキシ バイパス リストが確実に機能します。

  • ユーザーが企業ネットワークの外部から PAC ファイルにアクセスできないことを確認します。これによって、モバイル ワーカーは、企業ネットワーク上にいるときは Web プロキシを使用し、それ以外の場合は Web サーバーに直接接続できます。

  • 信頼できるダウンストリーム プロキシまたはロード バランサからの X-Forwarded-For ヘッダーのみが Web プロキシで許可されるようにします。

  • 当初は明示的な転送だけを使用していた場合でも、Web プロキシをデフォルトの透過モードのままにしておきます。透過モードでは、明示的な転送要求も許可されます。

Web 要求を代行受信するための Web プロキシ オプション

単独では、Web プロキシは HTTP(FTP over HTTP を含む)および HTTPS を使用する Web 要求を代行受信できます。プロトコル管理を向上させるために、さらに次のプロキシ モジュールを利用できます。

  • FTP プロキシ。FTP プロキシを使用すると、(HTTP でエンコードされた FTP トラフィックだけでなく)ネイティブ FTP トラフィックを代行受信できます。
  • HTTPS プロキシ。HTTPS プロキシは HTTPS トラフィックの復号をサポートしているので、Web プロキシは、暗号化されていない HTTPS 要求をコンテンツ分析のためにポリシーに渡すことができます。

(注)  
透過モードでは、HTTPS プロキシがイネーブルでない場合、Web プロキシは透過的にリダイレクトされたすべての HTTPS 要求をドロップします。透過的にリダイレクトされた HTTPS 要求がドロップされた場合、その要求のログ エントリは作成されません。
  • SOCKS プロキシ。SOCKS プロキシを使用すると、SOCKS トラフィックを代行受信できます。

これらの追加のプロキシのそれぞれが機能するには、Web プロキシが必要です。Web プロキシをディセーブルにすると、これらをイネーブルにできません。


(注)  
Web プロキシはデフォルトでイネーブルになります。デフォルトでは、他のプロキシはすべてディセーブルになります。

関連項目

Web プロキシの設定

始める前に

Web プロキシをイネーブルにします。

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

必要に応じて基本的な Web プロキシ設定項目を設定します。

プロパティ

説明

プロキシを設定する HTTP ポート(HTTP Ports to Proxy)

Web プロキシが HTTP 接続をリッスンするポート

キャッシング(Caching)

Web プロキシによるキャッシングをイネーブルにするかディセーブルにするかを指定します。

Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。

プロキシ モード(Proxy Mode)

  • [透過(Transparent)](推奨):Web プロキシがインターネット ターゲットを指定できるようにします。このモードでは、Web プロキシは、透過的または明示的に転送された Web 要求を代行受信できます。

  • [転送(Forward)]:クライアント ブラウザがインターネット ターゲットを指定できるようにします。Web プロキシを使用するように各 Web ブラウザを個々に設定する必要があります。このモードでは、Web プロキシは明示的に転送された Web 要求のみを代行受信できます。

IP スプーフィング(IP Spoofing)

  • [IP スプーフィングの無効化(IP Spoofing disabled)]:Web プロキシは、セキュリティを向上させるために、Web プロキシのアドレスと一致するように要求の送信元 IP アドレスを変更します。

  • [IP スプーフィングの有効化(IP Spoofing enabled)]:Web プロキシは送信元アドレスを維持するため、Web セキュリティ アプライアンスではなく送信元クライアントから発信されたように見えます。

ステップ 4

必要に応じて Web プロキシの詳細設定を完了します。

プロパティ

説明

永続的接続のタイムアウト(Persistent Connection Timeout)

トランザクションが完了し、その他のアクティビティが検出されなかった後に、Web プロキシがクライアントまたはサーバーとの接続を開いたままにしておく最大時間(秒単位)。

  • [クライアント側(Client side)]。クライアントとの接続のタイムアウト値。

  • [サーバー側(Server side)]。サーバーとの接続のタイムアウト値。

これらの値を大きくすると、接続が開いたままになっている時間が延長され、接続の開閉に費やされるオーバーヘッドが低減します。ただし、永続的な同時接続の数が最大数に達した場合に Web Proxy が新しい接続を開く機能も低下します。

シスコは、デフォルト値を維持することを推奨します。

使用中接続タイムアウト(In-Use Connection Timeout)

現在のトランザクションが完了していないときに、Web プロキシがアイドル状態のクライアントまたはサーバーからのデータをさらに待機する最大時間(秒単位)。

  • [クライアント側(Client side)]。クライアントとの接続のタイムアウト値。

  • [サーバー側(Server side)]。サーバーとの接続のタイムアウト値。

同時永続的接続(サーバー最大数)(Simultaneous Persistent Connections (Server Maximum Number))

Web プロキシ サーバーがサーバーに対して開いたままにする接続(ソケット)の最大数。

ヘッダーの生成(Generate Headers)

要求に関する情報をエンコードするヘッダーを生成して追加します。

  • X-Forwarded-For ヘッダーは、HTTP 要求を発信したクライアントの IP アドレスをエンコードします。

    (注)  

     

    • ヘッダーの転送をオン/オフするには、advancedproxyconfig CLI コマンドの Miscellaneous オプション「HTTP X-Forwarded-Forヘッダーを通過させますか?(Do you want to pass HTTP X-Forwarded-For headers?)」を使用します。

    • 明示的な転送アップストリーム プロキシを使用して、プロキシ認証によりユーザー認証やアクセス制御を管理するには、これらのヘッダーを転送する必要があります。

    • 透過的 HTTPS 要求の場合、アプライアンスは XFF ヘッダーを復号できません。明示的要求の場合、アプライアンスは接続要求で受信される XFF ヘッダーを使用し、SSL トンネル内の XFF を復号しないため、X-Forwarded-For によるクライアント IP アドレスの識別が HTTPS 透過的要求に適用されることはありません。

  • Request Side VIA ヘッダーは、クライアントからサーバーへの要求が通過するプロキシをエンコードします。

  • Response Side VIA ヘッダーは、サーバーからクライアントへの要求が通過するプロキシをエンコードします。

Received ヘッダーの使用(Use Received Headers)

アップストリーム プロキシとして展開された Web プロキシが、ダウンストリームプロキシから送信された X-Forwarded-For ヘッダーを使用してクライアントを識別できるようにします。Web プロキシは、リストに含まれていない送信元からの X-Forwarded-For ヘッダーの IP アドレスを受け入れません。

これをイネーブルにする場合は、ダウンストリーム プロキシまたはロード バランサの IP アドレスが必要です(サブネットやホスト名は入力できません)。

範囲要求の転送(Range Request Forwarding)

範囲要求の転送をイネーブルまたはディセーブルにするには、[範囲要求の転送の有効化(Enable Range Request Forwarding)] チェックボックスを使用します。詳細については、Web アプリケーションへのアクセスの管理を参照してください。

ステップ 5

変更を送信し、保存します。

次のタスク

Web プロキシ キャッシュ

Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。AsyncOS には「セーフ」から「アグレッシブ」の範囲の定義済みキャッシュ モードがあり、またカスタマイズしたキャッシングも使用できます。キャッシュ対象から特定の URL を除外することもできます。これを行うには、その URL をキャッシュから削除するか、無視するようにキャッシュを設定します。

Web プロキシ キャッシュのクリア

手順

ステップ 1

[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。

ステップ 2

[キャッシュを消去(Clear Cache)] をクリックしてアクションを確定します。

Web プロキシ キャッシュからの URL の削除

手順

ステップ 1

CLI にアクセスします。

ステップ 2

webcache> evict コマンドを使用して、必要なキャッシング エリアにアクセスします。 


example.com> webcache
Choose the operation you want to perform:
- EVICT - Remove URL from the cache
- DESCRIBE - Describe URL cache status
- IGNORE - Configure domains and URLs never to be cached
[]> evict
Enter the URL to be removed from the cache.
[]>

ステップ 3

Enter the URL to be removed from the cache.

(注)  

 

URL にプロトコルが含まれていない場合は、URL に http:// が追加されます(たとえば、www.cisco.comhttp://www.cisco.com となります)。

Web プロキシによってキャッシュしないドメインまたは URL の指定

手順

ステップ 1

CLI にアクセスします。

ステップ 2

webcache -> ignore コマンドを使用して、必要なサブメニューにアクセスします。 


example.com> webcache
Choose the operation you want to perform:
- EVICT - Remove URL from the cache
- DESCRIBE - Describe URL cache status
- IGNORE - Configure domains and URLs never to be cached
[]> ignore
Choose the operation you want to perform:
- DOMAINS - Manage domains
- URLS - Manage urls
[]>

ステップ 3

管理するアドレス タイプを入力します(DOMAINS または URLS)。 


[]> urls
Manage url entries:
Choose the operation you want to perform:
- DELETE - Delete entries
- ADD - Add new entries
- LIST - List entries
[]>

ステップ 4

add と入力して新しいエントリを追加します。 


[]> add
Enter new url values; one on each line; an empty line to finish
[]>

ステップ 5

以下の例のように、1 行に 1 つずつ、ドメインまたは URL を入力します。 


Enter new url values; one on each line; an empty line to finish
[]> www.example1.com
Enter new url values; one on each line; an empty line to finish
[]>

ドメインまたは URL を指定する際に、特定の正規表現(regex)文字を含めることができます。DOMAINS オプションでは、前にピリオドを付けることで、キャッシュ対象からドメインとそのサブドメイン全体を除外できます。たとえば、google.com ではなく、.google.com と入力すると、www.google.com、docs.google.com などを除外することができます。

URLS オプションでは、正規表現文字の全一式を使用できます。正規表現の使用方法については、正規表現を参照してください。

ステップ 6

値の入力を終了するには、メイン コマンドライン インターフェイスに戻るまで Enter キーを押します。

ステップ 7

変更を保存します。

Web プロキシのキャッシュ モードの選択

手順

ステップ 1

CLI にアクセスします。

ステップ 2

advancedproxyconfig -> caching コマンドを使用して、必要なサブメニューにアクセスします。 


example.com> advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
[]> caching
Enter values for the caching options:
The following predefined choices exist for configuring advanced caching
options:
1. Safe Mode
2. Optimized Mode
3. Aggressive Mode
4. Customized Mode
Please select from one of the above choices:
[2]>

ステップ 3

必要な Web プロキシ キャッシュ設定に対応する番号を入力します。

入力

モード

説明

1

セーフ

他のモードと比較して、キャッシングが最も少なく、RFC #2616 には最大限準拠します。

2

最適化

キャッシングと RFC #2616 への準拠が適度です。セーフ モードと比較した場合、Last-Modified ヘッダーが存在するときにキャッシング時間が指定されていない場合に、最適化モードでは Web プロキシがオブジェクトをキャッシュします。Web プロキシは、ネガティブ応答をキャッシュします。

3

アグレッシブ

キャッシングが最も多く、RFC #2616 への準拠は最小限です。最適化モードと比較した場合、アグレッシブ モードでは、認証済みコンテンツ、ETag の不一致、および Last-Modified ヘッダーのないコンテンツがキャッシュされます。Web プロキシは非キャッシュ パラメータを無視します。

4

カスタマイズドモード

各パラメータを個々に設定します。

ステップ 4

オプション 4(カスタマイズ モード)を選択した場合は、各カスタム設定の値を入力します(または、デフォルト値のままにします)。

ステップ 5

メイン コマンド インターフェイスに戻るまで、Enter キーを押します。

ステップ 6

変更を保存します。

次のタスク

関連項目

Web プロキシの IP スプーフィング

デフォルトでは、Web プロキシは要求を転する際に、自身のアドレスに合わせて要求の送信元 IP アドレスを変更します。これによってセキュリティは向上しますが、この動作は IP スプーフィングを実装することによって変更できます。IP スプーフィングを使用すると、送信元アドレスが維持されるので、要求は、Web セキュリティアプライアンス ではなく、送信元クライアントから発信されたものとして示されます。

IP スプーフィングは、透過的または明示的に転送されたトラフィックに対して機能します。Web プロキシが透過モードで展開されている場合は、透過的にリダイレクトされた接続のみ、またはすべての接続(透過的にリダイレクトされた接続と明示的に転送された接続)に対して IP スプーフィングを有効にすることができます。明示的に転送された接続で IP スプーフィングを使用する場合は、リターンパケットを Web セキュリティアプライアンス にルーティングする適切なネットワークデバイスがあることを確認してください。

IP スプーフィングがイネーブルで、アプライアンスが WCCP ルータに接続されている場合は、2 つの WCCP サービス(送信元ポートに基づくサービスと宛先ポートに基づくサービス)を設定する必要があります。

IP スプーフィングプロファイルには、HTTPS トラフィックが透過的にリダイレクトされる場合の制限があります。URL カテゴリ基準を使用しているルーティング ポリシーによる HTTPS サイトへのアクセス を参照してください。

関連項目

Web プロキシのカスタム ヘッダー

特定の発信トランザクションにカスタム ヘッダーを追加することにより、宛先サーバーによる特別な処理を要求できます。たとえば、YouTube for Schools と関係がある場合、カスタム ヘッダーを使用して、YouTube.com へのトランザクション要求を自身のネットワークから発信された、特別な処理を必要とする要求として識別させることができます。

Web 要求へのカスタム ヘッダーの追加

手順

ステップ 1

CLI にアクセスします。

ステップ 2

advancedproxyconfig -> customheaders コマンドを使用して、必要なサブメニューにアクセスします。 


example.com> advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
[]> customheaders
Currently defined custom headers:
Choose the operation you want to perform:
- DELETE - Delete entries
- NEW - Add new entries
- EDIT - Edit entries
[]>

ステップ 3

次のように、必要なサブコマンドを入力します。

オプション

説明

[削除(Delete)]

指定するカスタム ヘッダーを削除します。コマンドで返されたリストのヘッダーに関連付けられている番号を使用して削除するヘッダーを指定します。

[新規(New)]

指定するドメインの使用に提供するヘッダーを作成します。

ヘッダーの例:

X-YouTube-Edu-Filter: ABCD1234567890abcdef

(この場合の値は、YouTube で提供される固有キーです)。

ドメインの例:

youtube.com

[編集(Edit)]

既存のヘッダーを指定したヘッダーと置き換えます。コマンドで返されたリストのヘッダーに関連付けられている番号を使用して削除するヘッダーを指定します。

ステップ 4

メイン コマンド インターフェイスに戻るまで、Enter キーを押します。

ステップ 5

変更を保存します。

Web プロキシのバイパス

Web プロキシのバイパス(Web 要求の場合)

特定のクライアントからの透過的要求や特定の宛先への透過的要求が Web プロキシをバイパスするように、Web セキュリティアプライアンス を設定できます。

Web プロキシをバイパスすることによって、以下のことが可能になります。

  • HTTP ポートを使用しているが、適切に機能しない HTTP 非対応の(または独自の)プロトコルが、プロキシ サーバーに接続するときに干渉されないようにします。

  • ネットワーク内の特定のマシンからのトラフィックが、マルウェアのテスト マシンなど、ネットワーク プロキシおよび組み込みのセキュリティ保護をすべてバイパスすることを確認します。

バイパスは、Web プロキシに透過的にリダイレクトされる要求に対してのみ機能します。Web プロキシは、トランスペアレント モードでも転送モードでも、クライアントから明示的に転送されたすべての要求を処理します。

Web プロキシのバイパス設定(Web 要求の場合)

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。

ステップ 2

[バイパス設定の編集(Edit Bypass Settings)] をクリックします。

ステップ 3

Web プロキシをバイパスするアドレスを入力します。

(注)  

 

/0 をバイパスリスト内の任意の IP のサブネットマスクとして設定すると、アプライアンスはすべての Web トラフィックをバイパスします。この場合、アプライアンスは設定を 0.0.0.0/0 として解釈します。

ステップ 4

プロキシバイパスリストに追加するカスタム URL カテゴリを選択します。

(注)  

 

[正規表現(Regular Expressions)] に Web プロキシバイパスを設定することはできません。

(注)  

 

カスタム URL カテゴリをプロキシバイパスリストに追加すると、カスタム URL カテゴリのすべての IP アドレスとドメイン名が、送信元と宛先の両方でバイパスされます。

ステップ 5

変更を送信し、保存します。

Web プロキシのバイパス設定(アプリケーションの場合)

手順

ステップ 1

[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。

ステップ 2

[アプリケーションのスキップ設定を編集(Edit Application Bypass Settings)] をクリックします。

ステップ 3

スキャンをバイパスするアプリケーションを選択します。

ステップ 4

変更を送信し、保存します。

(注)  

 
Webex バイパス設定は、HTTPS トラフィックにのみ適用されます。ただし、HTTP トラフィックの場合、アプリケーションはアクセスポリシーを介してブロックできます。

Web プロキシ使用規約

Web セキュリティアプライアンス を設定して、Web アクティビティのフィルタリングとモニタリングが行われていることをユーザに通知できます。アプライアンスは、ユーザーが初めてブラウザにアクセスしたときに、一定時間の経過後、エンド ユーザー確認ページを表示します。エンド ユーザー確認ページが表示されたら、ユーザーはリンクをクリックして、要求した元のサイトまたは他の Web サイトにアクセスする必要があります。

関連項目

ドメイン マップ

特定のクライアントからの透過的 HTTPS 要求や特定の宛先への透過的 HTTPS 要求が HTTPS プロキシをバイパスするように、Web セキュリティアプライアンス を設定できます。

トラフィックがアプライアンスを通過することを必要とするアプリケーションに関して、変更や宛先サーバーの証明書チェックを行わずに、パススルーを使用することができます。

特定アプリケーションのドメインマップ

始める前に

特定のサーバーへのパススルートラフィックを必要とするデバイスに関して定義された識別ポリシーがあることを確認してください。詳細については、ユーザーおよびクライアント ソフトウェアの分類を参照してください。具体的には、次のことを行う必要があります。

  • [認証/識別から除外(Exempt from authentication/identification)] をオンします。

  • この識別プロファイルを適用するアドレスを指定します。IP アドレス、CIDR ブロック、およびサブネットを入力できます。

手順

ステップ 1

HTTPS プロキシを有効にします。詳細については、HTTPS プロキシのイネーブル化を参照してください。

ステップ 2

[Webセキュリティマネージャ(Web Security Manager)] > [ドメインマップ(Domain Map)] を選択します。

  1. [ドメインの追加(Add Domain)] をクリックします。

  2. [ドメイン名(Domain Name)] に宛先サーバーのドメイン名を入力します。

  3. 既存のドメインが指定されている場合は、優先順位を選択します。

  4. IP アドレスを入力します。

  5. [送信(Submit)] をクリックします。

ステップ 3

[Webセキュリティマネージャ(Web Security Manager)] > [カスタムおよび外部URLカテゴリ(Custom and External URL Categories)] を選択します。

  1. [Add Category] をクリックします。

  2. 次の情報を入力します。

    設定

    説明

    カテゴリ名(Category Name)

    この URL カテゴリの識別子を入力します。この名前は、ポリシー グループに URL フィルタリングを設定するときに表示されます。

    リスト順(List Order)

    カスタム URL カテゴリのリストで、このカテゴリの順序を指定します。リスト内の最初の URL カテゴリに「1」を入力します。

    URL フィルタリング エンジンでは、指定した順序でカスタム URL カテゴリに対してクライアント要求が評価されます。

    カテゴリ タイプ(Category Type)

    [ローカルカスタムカテゴリ(Local Custom Category)] を選択します。

    詳細設定(Advanced)

    このセクションに、追加のアドレスセットを指定する正規表現を入力できます。

    正規表現を使用して、入力したパターンと一致する複数のアドレスを指定できます。

    正規表現の使用方法については、正規表現を参照してください。

  3. 変更を送信し、保存します。

ステップ 4

[Webセキュリティマネージャ(Web Security Manager)] > [復号ポリシー(Decryption Policies)] を選択します。

  1. 新しい復号ポリシーを作成します。

  2. 特定のアプリケーションの HTTPS トラフィックをバイパスするために作成した識別プロファイルを選択します。

  3. [詳細設定(Advanced)] パネルで、[URLカテゴリ(URL Categories)] のリンクをクリックします。

  4. [追加(Add)] カラムをクリックして、手順 3 で作成したカスタム URL カテゴリを追加します。

  5. [完了(Done)] をクリックします。

  6. [復号ポリシー(Decryption Policies)] ページで、[URLフィルタリング(URL Filtering)] のリンクをクリックします。

  7. [パススルー(Pass Through)] を選択します。

  8. 変更を送信し、保存します。

%( フォーマット指定子を使用してアクセスログ情報を表示することができます。詳細については、アクセス ログのカスタマイズを参照してください。

(注)  

 

  • ドメインマップ機能は HTTPS 透過モードで動作します。

  • この機能は、明示モードでは動作せず、HTTP トラフィックについても動作しません。

  • この機能を使用してトラフィックを許可するには、ローカルカスタムカテゴリを設定する必要があります。

  • この機能を有効にすると、SNI 情報が利用できる場合でも、ドメインマップで設定されたサーバー名に従ってサーバー名の変更または割り当てが行われます。

  • この機能は、ドメイン名に基づくトラフィックがドメインマップと一致し、対応するカスタムカテゴリ、復号ポリシー、パススルーアクションが設定されている場合、そのトラフィックをブロックしません。

  • 認証をこのパススルー機能と併用することはできません。認証には復号が必要ですが、この場合、トラフィックは復号されません。

  • UDP トラフィックはモニターされません。Web セキュリティアプライアンス に到達しないように UDP トラフィックを設定する必要があります。代わりに、WhatsApp、Telegram などのアプリケーションのためにファイアウォールを経由してインターネットに直接アクセスする必要があります。

  • WhatsApp、Telegram、および Skype は透過モードで動作します。ただし、WhatsApp などの一部のアプリケーションは、アプリケーションの制限のために、明示モードでは動作しません。

Web 要求をリダイレクトするためのクライアント オプション

クライアントから Web プロキシに明示的に要求を転送することを選択した場合は、それを実行するためのクライアントの設定方法も指定する必要があります。以下の方法から選択します。

  • 明示的な設定を使用してクライアントを設定する。Web プロキシのホスト名とポート番号を使ってクライアントを設定します。設定方法の詳細については、個々のクライアントのマニュアルを参照してください。

(注)  
デフォルトでは、Web プロキシ ポートはポート番号 80 と 3128 を使用します。クライアントはいずれかのポートを使用できます。
  • プロキシ自動設定(PAC)ファイルを使用してクライアントを設定する。PAC ファイルは、Web 要求の送信先をクライアントに指示します。このオプションを使用すると、プロキシの詳細に対する以降の変更を一元管理できます。

PAC ファイルを使用する場合は、PAC ファイルの保存場所とクライアントがそれらを検出する方法を選択する必要があります。

関連項目

クライアント アプリケーションによる PAC ファイルの使用

プロキシ自動設定(PAC)ファイルのパブリッシュ オプション

クライアントがアクセスできる場所に PAC ファイルをパブリッシュする必要があります。有効な場所は以下のとおりです。

  • Web サーバー

  • Web セキュリティアプライアンス 。クライアントに対しては Web ブラウザとして表示される Web セキュリティアプライアンス に PAC ファイルを配置できます。アプライアンスには、さまざまなホスト名、ポート、ファイル名を使用している要求に対応する機能など、PAC ファイルを管理するための追加オプションもあります。

  • ローカル マシン。クライアントのハード ディスクに PAC ファイルをローカルに配置できます。これを一般的な解決方法として使用することは推奨されません。自動 PAC ファイル検出には適していませんが、テストには役立つ可能性があります。

関連項目

プロキシ自動設定(PAC)ファイルを検索するクライアント オプション

クライアントに対して PAC ファイルを使用する場合は、クライアントが PAC ファイルを検索する方法を選択する必要があります。以下の 2 つの対処法があります。

  • PAC ファイルの場所をクライアントに設定する。この PAC ファイルを明確に差し指す URL をクライアントに設定します。
  • PAC ファイルの場所を自動的に検出するようにクライアントを設定する。DHCP または DNS とともに WPAD プロトコルを使用して PAC ファイルを自動的に検索するようにクライアントを設定します。

PAC ファイルの自動検出

WPAD は、DHCP および DNS ルックアップを使用してブラウザが PAC ファイルの場所を判別できるようにするプロトコルです。

  • DHCP と共に WPAD を使用するには、DHCP サーバーに PAC ファイルの場所の URL と共にオプション 252 を設定します。ただし、すべてのブラウザが DHCP をサポートしているわけではありません。
  • DNS と共に WPAD を使用するには、PAC ファイルのホスト サーバーを指し示すように DNS レコードを設定します。

いずれかまたは両方のオプションを設定できます。WPAD は最初に DHCP を使用して PAC ファイルの検出を試み、検出できなかった場合は DNS を使って試みます。

関連項目

Web セキュリティアプライアンス での PAC ファイルのホスト

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [PAC ファイル ホスティング(PAC File Hosting)] を選択します。

ステップ 2

[設定の有効化と編集(Enable and Edit Settings)] をクリックします。

ステップ 3

(任意)以下の基本設定項目を設定します。

オプション

説明

PAC サーバー ポート(PAC Server Ports)

Web セキュリティアプライアンス が PAC ファイル要求のリッスンに使用するポート。

PAC ファイルの有効期限(PAC File Expiration)

ブラウザ キャッシュで指定されている分数が経過した後に PAC ファイルを期限切れにできます。

ステップ 4

[PACファイル(PAC Files)] セクションで [参照(Browse)] をクリックし、Web セキュリティアプライアンス にアップロードする PAC ファイルをローカルマシンから選択します。

(注)  

 
選択したファイルの名前が default.pac である場合は、ブラウザで場所を設定するときにファイル名を指定する必要がありません。名前が指定されていない場合、Web セキュリティアプライアンス default.pac というファイルを検索します。

ステップ 5

[アップロード(Upload)] をクリックして、ステップ 4 で選択した PAC ファイルを Web セキュリティアプライアンス にアップロードします。

ステップ 6

(任意)[PAC ファイルサービスを直接提供するホスト名(Hostnames for Serving PAC Files Directly)] セクションで、ポート番号を含まない PAC ファイル要求のホスト名と関連ファイル名を設定します。

オプション

説明

ホスト名(Hostname)

Web セキュリティアプライアンス が要求を処理する場合に、PAC ファイル要求に含める必要があるホスト名。要求にはポート番号が含まれていないため、要求は Web プロキシの HTTP ポート(ポート80)を使用して処理され、ホスト名評価から PAC ファイル要求として識別できます。

プロキシ ポートを通じた「GET」要求に対するデフォルト PAC ファイル(Default PAC File for "Get/" Request through Proxy Port)

同じ行のホスト名に関連付けられる PAC ファイル名。ホスト名に対する要求は、ここで指定した PAC ファイルを返します。

アップロード済みの PAC ファイルのみを選択できます。

行を追加(Add Row)

別の行を追加して、追加のホスト名と PAC ファイル名を指定します。

ステップ 7

変更を送信し、保存します。

クライアント アプリケーションでの PAC ファイルの指定

クライアントでの PAC ファイルの場所の手動設定

手順

ステップ 1

PAC ファイルを作成してパブリッシュします。

ステップ 2

ブラウザの PAC ファイル設定領域に PAC ファイルの場所を示す URL を入力します。

Web セキュリティアプライアンス が PAC ファイルをホストしている場合、有効な URL 形式は以下のようになります。

http://server_address[.domain][:port][/filename] | http://WSAHostname[/filename]

WSAHostname は、Web セキュリティアプライアンス に PAC ファイルをホストするときに設定した [ホスト名(hostname)] の値です。ホストしていない場合、URL の形式は格納場所と(場合によっては)クライアントに応じて異なります。

次のタスク

クライアントでの PAC ファイルの自動検出

手順

ステップ 1

wpad.dat という名前の PAC ファイルを作成し、Web サーバーまたは Web セキュリティアプライアンス にパブリッシュします(DNS と共に WPAD を使用する場合は、Web サーバーのルートフォルダにファイルを配置する必要があります)。

ステップ 2

次の MIME タイプで .dat ファイルを設定するように Web サーバーを設定します。

application/x-ns-proxy-autoconfig

(注)  

 

Web セキュリティアプライアンス はこれを自動的に実行します。

ステップ 3

DNS ルックアップをサポートするには、「wpad」から始まる、内部的に解決可能な DNS 名を作成して(例:wpad.example.com)、wpad.dat ファイルをホストしているサーバーの IP アドレスに関連付けます。

ステップ 4

DHCP ルックアップをサポートするには、DHCP サーバーのオプション 252 に wpad.dat ファイルの場所の URL を設定します(例:「http://wpad.example.com/wpad.dat」)。URL には、IP アドレスなど、有効な任意のホスト アドレスを使用できます。特定の DNS エントリは必要ありません。

次のタスク

FTP プロキシ サービス

FTP プロキシ サービスの概要

Web プロキシは、以下の 2 種類の FTP 要求を代行受信できます。

  • ネイティブ FTP。ネイティブ FTP 要求は、専用 FTP クライアントによって生成されます(または、ブラウザで組み込みの FTP クライアントを使用して生成されます)。FTP プロキシが必要です。
  • FTP over HTTP。ブラウザは、ネイティブ FTP を使用する代わりに、HTTP 要求内に FTP 要求をエンコードすることがあります。FTP プロキシは必要ありません。
関連項目

FTP プロキシの有効化と設定


(注)  
FTP over HTTP 接続に適用されるプロキシ設定を設定するには、Web プロキシの設定を参照してください。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [FTP プロキシ(FTP Proxy)] を選択します。

ステップ 2

[設定の有効化と編集(Enable and Edit Settings)] をクリックします(表示されるオプションが [設定の編集(Edit Settings)] だけの場合、FTP プロキシは設定済みです。)

ステップ 3

(オプション)基本的な FTP プロキシ設定項目を設定します。

プロパティ

説明

プロキシ リスニング ポート(Proxy Listening Port)

FTP プロキシが FTP 制御接続をリッスンするポート。クライアントは、(FTP サーバーに接続するためのポート(通常はポート 21 を使用)としてではなく)FTP プロキシを設定するときにこのポートを使用する必要があります。

キャッシング(Caching)

匿名ユーザーからのデータ接続をキャッシュするかどうか。

(注)  

 
匿名ではないユーザーからのデータはキャッシュされません。

サーバー側の IP スプーフィング(Server Side IP Spoofing)

FTP プロキシが FTP サーバーの IP アドレスをシミュレートできるようにします。これによって、IP アドレスが制御接続とデータ接続で異なる場合に、トランザクションを許可しない FTP クライアントに対応できます。

認証形式(Authentication Format)

FTP クライアントと通信するときに FTP プロキシが使用する認証形式を選択できるようにします。

パッシブモードのデータポート範囲(Passive Mode Data Port Range)

パッシブ モード接続で FTP プロキシとのデータ接続を確立するために FTP クライアントが使用する TCP ポートの範囲。

アクティブモードのデータポート範囲(Active Mode Data Port Range)

アクティブ モード接続で FTP プロキシとのデータ接続を確立するために FTP サーバーが使用する TCP ポートの範囲。この設定は、ネイティブ FTP および FTP over HTTP 接続の両方に適用されます。

ポート範囲を大きくすると、同じ FTP サーバーからのさらに多くの要求に対応できます。TCP セッションの TIME-WAIT 遅延(通常数分)によって、ポートは使用された直後に、同じ FTP サーバーで再び使用できるようになりません。その結果、所定の FTP サーバーは短時間アクティブ モードで n 回以上 FTP プロキシに接続できません。ここでは n は、このフィールドに指定されたポート数です。

ウェルカム バナー(Welcome Banner)

接続時に FTP クライアントに表示されるウェルカム バナー。次から選択します。

  • [FTP サーバーメッセージを(FTP server message)]。メッセージは宛先 FTP サーバーによって表示されます。このオプションは、Web プロキシが透過モードに設定されている場合にのみ利用でき、透過接続にのみ適用されます。
  • [カスタム メッセージ(Custom message)]。このオプションをオンにすると、すべてのネイティブ FTP 接続に対してこのカスタム メッセージが表示されます。オフにした場合は、明示的な転送ネイティブ FTP 接続に使用されます。

ステップ 4

(オプション)FTP プロキシの詳細設定を設定します。

プロパティ

説明

制御接続のタイムアウト(Control Connection Timeouts)

現在のトランザクションが完了していない場合に、アイドル状態の FTP クライアントまたは FTP サーバーからの制御接続による通信を、FTP プロキシがさらに待機する最大時間(秒単位)。

  • [クライアント側(Client side)]。アイドル状態の FTP クライアントとの制御接続のタイムアウト値。
  • [サーバー側(Server side)]。アイドル状態の FTP サーバーとの制御接続のタイムアウト値。

データ接続のタイムアウト(Data Connection Timeouts)

現在のトランザクションが完了していない場合に、アイドル状態の FTP クライアントまたは FTP サーバーからのデータ接続による通信を、FTP プロキシがさらに待機する時間。

  • [クライアント側(Client side)]。アイドル状態の FTP クライアントとのデータ接続のタイムアウト値。
  • [サーバー側(Server side)]。アイドル状態の FTP サーバーとのデータ接続のタイムアウト値。

ステップ 5

変更を送信し、保存します。

次のタスク

SOCKS プロキシ サービス

SOCKS プロキシ サービスの概要

Web セキュリティアプライアンス には、SOCKS トラフィックを処理するための SOCKS プロキシが含まれます。SOCKS ポリシーは、SOCKS トラフィックを制御するアクセス ポリシーと同等です。アクセス ポリシーと同様に、識別プロファイルを使用して、各 SOCKS ポリシーによってどのトランザクションを管理するかを指定できます。SOCKS ポリシーをトランザクションに適用すると、ルーティング ポリシーによてトラフィックのルーティングを管理できます。

SOCKS プロキシでは、以下の点に注意してください。

  • SOCKS プロトコルは、直接転送接続のみをサポートしています。

  • SOCKS プロキシは、アップストリーム プロキシをサポートしていません(アップストリーム プロキシに転送されません)。

  • SOCKS プロキシは、Application Visibility and Control(AVC)、 Data Loss Prevention(DLP)、およびマルウェア検出に使用されるスキャニングサービスをサポートしていません。

  • SOCKS プロキシは、ポリシー追跡をサポートしていません。

  • SOCKS プロキシは、SSL トラフィックを復号できません。これは、クライアントからサーバーにトンネリングします。

SOCKS トラフィックの処理のイネーブル化

始める前に

Web プロキシをイネーブルにします。

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。

ステップ 4

変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。

SOCKS プロキシの設定

手順

ステップ 1

[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。

ステップ 4

基本および高度な SOCKS プロキシ設定を設定します。

SOCKS プロキシ(SOCKS Proxy)

イネーブル。

SOCKS コントロール ポート(SOCKS Control Ports)

SOCKS 要求を受け入れるポート。デフォルトは 1080 です。

UDP リクエスト ポート(UDP Request Ports)

SOCKS サーバーがリッスンする必要がある UDP ポート。デフォルトは 16000 ~ 16100 です。

プロキシ ネゴシエーション タイムアウト(Proxy Negotiation Timeout)

ネゴシエーション段階で SOCKS クライアントからデータを送受信するのを待機する時間(秒単位)。デフォルトは 60 です。

UDP トンネル タイムアウト(Tunnel Timeout)

UDP トンネルを閉じる前に UDP クライアントまたはサーバーからのデータを待機する時間(秒単位)。デフォルトは 60 です。

SOCKS ポリシーの作成

手順

ステップ 1

[Web セキュリティ マネージャ(Web Security Manager)] > [SOCKS ポリシー(SOCKS Policies)] を選択します。

ステップ 2

[ポリシーを追加(Add Policy)] をクリックします。

ステップ 3

[ポリシー名(Policy Name)] フィールドに名前を割り当てます。

(注)  

 
各ポリシー グループ名は、英数字またはスペース文字のみを含む、一意の名前とする必要があります。

ステップ 4

(オプション)説明を追加します。

ステップ 5

[上記ポリシーを挿入(Insert Above Policy)] フィールドで、この SOCKS ポリシーに挿入する SOCKS ポリシーの場所を選択します。

(注)  

 
複数の SOCKS ポリシーを設定する場合、各ポリシーの論理的な順序を決定します。照合が適切に行われるように、ポリシーの順序を指定してください。

ステップ 6

[アイデンティティとユーザー(Identities and Users)] セクションで、このグループ ポリシーに適用する 1 つ以上の ID を選択します。

ステップ 7

(オプション)[詳細(Advanced)] セクションを拡張して、追加のメンバーシップ要件を定義します。

プロキシ ポート(Proxy Ports)

ブラウザに設定されたポート。

(オプション)Web プロキシへのアクセスに使用するプロキシ ポートによってポリシー グループのメンバーシップを定義します。[プロキシ ポート(Proxy Ports)] フィールドに、1 つ以上のポート番号を入力します。複数のポートを指定する場合は、カンマで区切ります。

あるポート上に要求を明示的に転送するように設定されたクライアントのセットがあり、別のポート上に要求を明示的に転送するように設定された別のクライアントのセットがある場合、プロキシ ポート上でポリシー グループのメンバーシップを定義することがあります。

(注)  

 
このポリシー グループに関連付けられている ID が この詳細設定によって ID メンバーシップを定義している場合、SOCKS ポリシー グループ レベルではこの設定項目を設定できません。

サブネット(Subnets)

(オプション)サブネットまたは他のアドレスでポリシー グループのメンバーシップを定義します。

関連付けられた ID定義できるアドレスを使用するか、または特定のアドレスをここに入力できます。

(注)  

 
ポリシー グループに関連付けられている ID が、アドレスによってグループのメンバーシップを定義している場合は、このポリシー グループに、ID のアドレスのサブセットであるアドレスを入力する必要があります。ポリシー グループにアドレスを追加することにより、このグループ ポリシーに一致するトランザクションのリストを絞り込めます。

時間範囲(Time Range)

(オプション)時間範囲別にポリシー グループのメンバーシップを定義します。

  1. [時間範囲(Time Range)] から時間範囲を選択します。
  2. このポリシー グループが選択した時間範囲内または範囲外の時間に適用されるかどうかを指定します。

ステップ 8

変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。

次のタスク

  • (オプション)SOCKS ポリシーで使用するための ID を追加します。
  • SOCKS トラフィックを管理する 1 つ以上の SOCKS ポリシーを追加します。

要求の代替受信に関するトラブルシューティング