Web 要求の代行受信の概要
Web セキュリティアプライアンス は、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Web セキュリティアプライアンス などがあげられます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章で説明する内容は、次のとおりです。
Web セキュリティアプライアンス は、ネットワーク上のクライアントまたは他のデバイスから転送された要求を代行受信します。
アプライアンスは他のネットワーク デバイスと連携してトラフィックを代行受信します。そのようなデバイスとして、一般的なスイッチ、トランスペアレント リダイレクション デバイス、ネットワークタップ、およびその他のプロキシサーバーまたは Web セキュリティアプライアンス などがあげられます。
手順 |
タスク |
関連項目および手順へのリンク |
---|---|---|
ステップ 1 |
ベスト プラクティスを検討します。 |
|
ステップ 2 |
(任意)以下のネットワーク関連のフォローアップ タスクを実行します。
|
|
ステップ 3: |
(任意)次の Web プロキシのフォローアップ タスクを実行する。
|
|
ステップ 4: |
以下のクライアント タスクを実行します。
|
|
ステップ 5: |
(任意)FTP プロキシを有効化して設定します。 |
必要なプロキシ サービスのみをイネーブルにします。
Web セキュリティアプライアンス で定義されているすべての WCCP サービスに対して、同じ転送方式とリターン方式(L2 または GRE)を使用します。これによって、プロキシ バイパス リストが確実に機能します。
ユーザーが企業ネットワークの外部から PAC ファイルにアクセスできないことを確認します。これによって、モバイル ワーカーは、企業ネットワーク上にいるときは Web プロキシを使用し、それ以外の場合は Web サーバーに直接接続できます。
信頼できるダウンストリーム プロキシまたはロード バランサからの X-Forwarded-For ヘッダーのみが Web プロキシで許可されるようにします。
当初は明示的な転送だけを使用していた場合でも、Web プロキシをデフォルトの透過モードのままにしておきます。透過モードでは、明示的な転送要求も許可されます。
単独では、Web プロキシは HTTP(FTP over HTTP を含む)および HTTPS を使用する Web 要求を代行受信できます。プロトコル管理を向上させるために、さらに次のプロキシ モジュールを利用できます。
(注) |
透過モードでは、HTTPS プロキシがイネーブルでない場合、Web プロキシは透過的にリダイレクトされたすべての HTTPS 要求をドロップします。透過的にリダイレクトされた HTTPS 要求がドロップされた場合、その要求のログ エントリは作成されません。 |
これらの追加のプロキシのそれぞれが機能するには、Web プロキシが必要です。Web プロキシをディセーブルにすると、これらをイネーブルにできません。
(注) |
Web プロキシはデフォルトでイネーブルになります。デフォルトでは、他のプロキシはすべてディセーブルになります。 |
関連項目
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
||||||||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||||||||
ステップ 3 |
必要に応じて基本的な Web プロキシ設定項目を設定します。
|
||||||||||||||||
ステップ 4 |
必要に応じて Web プロキシの詳細設定を完了します。
|
||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Web プロキシは、パフォーマンスを向上させるためにデータをキャッシュします。AsyncOS には「セーフ」から「アグレッシブ」の範囲の定義済みキャッシュ モードがあり、またカスタマイズしたキャッシングも使用できます。キャッシュ対象から特定の URL を除外することもできます。これを行うには、その URL をキャッシュから削除するか、無視するようにキャッシュを設定します。
ステップ 1 |
[セキュリティサービス(Security Services)] > [Webプロキシ(Web Proxy)] を選択します。 |
ステップ 2 |
[キャッシュを消去(Clear Cache)] をクリックしてアクションを確定します。 |
ステップ 1 |
CLI にアクセスします。 |
||
ステップ 2 |
|
||
ステップ 3 |
Enter the URL to be removed from the cache.
|
ステップ 1 |
CLI にアクセスします。 |
ステップ 2 |
|
ステップ 3 |
管理するアドレス タイプを入力します(
|
ステップ 4 |
add と入力して新しいエントリを追加します。
|
ステップ 5 |
以下の例のように、1 行に 1 つずつ、ドメインまたは URL を入力します。
ドメインまたは URL を指定する際に、特定の正規表現(regex)文字を含めることができます。 |
ステップ 6 |
値の入力を終了するには、メイン コマンドライン インターフェイスに戻るまで Enter キーを押します。 |
ステップ 7 |
変更を保存します。 |
ステップ 1 |
CLI にアクセスします。 |
|||||||||||||||
ステップ 2 |
|
|||||||||||||||
ステップ 3 |
必要な Web プロキシ キャッシュ設定に対応する番号を入力します。
|
|||||||||||||||
ステップ 4 |
オプション 4(カスタマイズ モード)を選択した場合は、各カスタム設定の値を入力します(または、デフォルト値のままにします)。 |
|||||||||||||||
ステップ 5 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
|||||||||||||||
ステップ 6 |
変更を保存します。 |
関連項目
デフォルトでは、Web プロキシは要求を転する際に、自身のアドレスに合わせて要求の送信元 IP アドレスを変更します。これによってセキュリティは向上しますが、この動作は IP スプーフィングを実装することによって変更できます。IP スプーフィングを使用すると、送信元アドレスが維持されるので、要求は、Web セキュリティアプライアンス ではなく、送信元クライアントから発信されたものとして示されます。
IP スプーフィングは、透過的または明示的に転送されたトラフィックに対して機能します。Web プロキシが透過モードで展開されている場合は、透過的にリダイレクトされた接続のみ、またはすべての接続(透過的にリダイレクトされた接続と明示的に転送された接続)に対して IP スプーフィングを有効にすることができます。明示的に転送された接続で IP スプーフィングを使用する場合は、リターンパケットを Web セキュリティアプライアンス にルーティングする適切なネットワークデバイスがあることを確認してください。
IP スプーフィングがイネーブルで、アプライアンスが WCCP ルータに接続されている場合は、2 つの WCCP サービス(送信元ポートに基づくサービスと宛先ポートに基づくサービス)を設定する必要があります。
IP スプーフィングプロファイルには、HTTPS トラフィックが透過的にリダイレクトされる場合の制限があります。URL カテゴリ基準を使用しているルーティング ポリシーによる HTTPS サイトへのアクセス を参照してください。
特定の発信トランザクションにカスタム ヘッダーを追加することにより、宛先サーバーによる特別な処理を要求できます。たとえば、YouTube for Schools と関係がある場合、カスタム ヘッダーを使用して、YouTube.com へのトランザクション要求を自身のネットワークから発信された、特別な処理を必要とする要求として識別させることができます。
ステップ 1 |
CLI にアクセスします。 |
||||||||
ステップ 2 |
|
||||||||
ステップ 3 |
次のように、必要なサブコマンドを入力します。
|
||||||||
ステップ 4 |
メイン コマンド インターフェイスに戻るまで、Enter キーを押します。 |
||||||||
ステップ 5 |
変更を保存します。 |
特定のクライアントからの透過的要求や特定の宛先への透過的要求が Web プロキシをバイパスするように、Web セキュリティアプライアンス を設定できます。
Web プロキシをバイパスすることによって、以下のことが可能になります。
HTTP ポートを使用しているが、適切に機能しない HTTP 非対応の(または独自の)プロトコルが、プロキシ サーバーに接続するときに干渉されないようにします。
ネットワーク内の特定のマシンからのトラフィックが、マルウェアのテスト マシンなど、ネットワーク プロキシおよび組み込みのセキュリティ保護をすべてバイパスすることを確認します。
バイパスは、Web プロキシに透過的にリダイレクトされる要求に対してのみ機能します。Web プロキシは、トランスペアレント モードでも転送モードでも、クライアントから明示的に転送されたすべての要求を処理します。
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
||||
ステップ 2 |
[バイパス設定の編集(Edit Bypass Settings)] をクリックします。 |
||||
ステップ 3 |
Web プロキシをバイパスするアドレスを入力します。
|
||||
ステップ 4 |
プロキシバイパスリストに追加するカスタム URL カテゴリを選択します。
|
||||
ステップ 5 |
変更を送信し、保存します。 |
ステップ 1 |
[Webセキュリティマネージャ(Web Security Manager)] > [バイパス設定(Bypass Settings)] を選択します。 |
ステップ 2 |
[アプリケーションのスキップ設定を編集(Edit Application Bypass Settings)] をクリックします。 |
ステップ 3 |
スキャンをバイパスするアプリケーションを選択します。 |
ステップ 4 |
変更を送信し、保存します。 |
Web セキュリティアプライアンス を設定して、Web アクティビティのフィルタリングとモニタリングが行われていることをユーザに通知できます。アプライアンスは、ユーザーが初めてブラウザにアクセスしたときに、一定時間の経過後、エンド ユーザー確認ページを表示します。エンド ユーザー確認ページが表示されたら、ユーザーはリンクをクリックして、要求した元のサイトまたは他の Web サイトにアクセスする必要があります。
関連項目
特定のクライアントからの透過的 HTTPS 要求や特定の宛先への透過的 HTTPS 要求が HTTPS プロキシをバイパスするように、Web セキュリティアプライアンス を設定できます。
トラフィックがアプライアンスを通過することを必要とするアプリケーションに関して、変更や宛先サーバーの証明書チェックを行わずに、パススルーを使用することができます。
特定のサーバーへのパススルートラフィックを必要とするデバイスに関して定義された識別ポリシーがあることを確認してください。詳細については、ユーザーおよびクライアント ソフトウェアの分類を参照してください。具体的には、次のことを行う必要があります。
[認証/識別から除外(Exempt from authentication/identification)] をオンします。
この識別プロファイルを適用するアドレスを指定します。IP アドレス、CIDR ブロック、およびサブネットを入力できます。
ステップ 1 |
HTTPS プロキシを有効にします。詳細については、HTTPS プロキシのイネーブル化を参照してください。 |
||
ステップ 2 |
[Webセキュリティマネージャ(Web Security Manager)] > [ドメインマップ(Domain Map)] を選択します。
|
||
ステップ 3 |
[Webセキュリティマネージャ(Web Security Manager)] > [カスタムおよび外部URLカテゴリ(Custom and External URL Categories)] を選択します。 |
||
ステップ 4 |
[Webセキュリティマネージャ(Web Security Manager)] > [復号化ポリシー(Decryption Policies)] を選択します。
%( フォーマット指定子を使用してアクセスログ情報を表示することができます。詳細については、アクセス ログのカスタマイズを参照してください。
|
クライアントから Web プロキシに明示的に要求を転送することを選択した場合は、それを実行するためのクライアントの設定方法も指定する必要があります。以下の方法から選択します。
(注) |
デフォルトでは、Web プロキシ ポートはポート番号 80 と 3128 を使用します。クライアントはいずれかのポートを使用できます。 |
PAC ファイルを使用する場合は、PAC ファイルの保存場所とクライアントがそれらを検出する方法を選択する必要があります。
関連項目
クライアントがアクセスできる場所に PAC ファイルをパブリッシュする必要があります。有効な場所は以下のとおりです。
Web サーバー
Web セキュリティアプライアンス 。クライアントに対しては Web ブラウザとして表示される Web セキュリティアプライアンス に PAC ファイルを配置できます。アプライアンスには、さまざまなホスト名、ポート、ファイル名を使用している要求に対応する機能など、PAC ファイルを管理するための追加オプションもあります。
ローカル マシン。クライアントのハード ディスクに PAC ファイルをローカルに配置できます。これを一般的な解決方法として使用することは推奨されません。自動 PAC ファイル検出には適していませんが、テストには役立つ可能性があります。
関連項目
クライアントに対して PAC ファイルを使用する場合は、クライアントが PAC ファイルを検索する方法を選択する必要があります。以下の 2 つの対処法があります。
WPAD は、DHCP および DNS ルックアップを使用してブラウザが PAC ファイルの場所を判別できるようにするプロトコルです。
いずれかまたは両方のオプションを設定できます。WPAD は最初に DHCP を使用して PAC ファイルの検出を試み、検出できなかった場合は DNS を使って試みます。
関連項目
ステップ 1 |
[セキュリティ サービス(Security Services)] > [PAC ファイル ホスティング(PAC File Hosting)] を選択します。 |
||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします。 |
||||||||
ステップ 3 |
(任意)以下の基本設定項目を設定します。
|
||||||||
ステップ 4 |
[PACファイル(PAC Files)] セクションで [参照(Browse)] をクリックし、Web セキュリティアプライアンス にアップロードする PAC ファイルをローカルマシンから選択します。
|
||||||||
ステップ 5 |
[アップロード(Upload)] をクリックして、ステップ 4 で選択した PAC ファイルを Web セキュリティアプライアンス にアップロードします。 |
||||||||
ステップ 6 |
(任意)[PAC ファイルサービスを直接提供するホスト名(Hostnames for Serving PAC Files Directly)] セクションで、ポート番号を含まない PAC ファイル要求のホスト名と関連ファイル名を設定します。
|
||||||||
ステップ 7 |
変更を送信し、保存します。 |
ステップ 1 |
PAC ファイルを作成してパブリッシュします。 |
ステップ 2 |
ブラウザの PAC ファイル設定領域に PAC ファイルの場所を示す URL を入力します。 Web セキュリティアプライアンス が PAC ファイルをホストしている場合、有効な URL 形式は以下のようになります。 WSAHostname は、Web セキュリティアプライアンス に PAC ファイルをホストするときに設定した [ホスト名(hostname)] の値です。ホストしていない場合、URL の形式は格納場所と(場合によっては)クライアントに応じて異なります。 |
ステップ 1 |
wpad.dat という名前の PAC ファイルを作成し、Web サーバーまたは Web セキュリティアプライアンス にパブリッシュします(DNS と共に WPAD を使用する場合は、Web サーバーのルートフォルダにファイルを配置する必要があります)。 |
||
ステップ 2 |
次の MIME タイプで .dat ファイルを設定するように Web サーバーを設定します。
|
||
ステップ 3 |
DNS ルックアップをサポートするには、「 |
||
ステップ 4 |
DHCP ルックアップをサポートするには、DHCP サーバーのオプション 252 に wpad.dat ファイルの場所の URL を設定します(例:「 |
Web プロキシは、以下の 2 種類の FTP 要求を代行受信できます。
(注) |
FTP over HTTP 接続に適用されるプロキシ設定を設定するには、Web プロキシの設定を参照してください。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [FTP プロキシ(FTP Proxy)] を選択します。 |
||||||||||||||||||
ステップ 2 |
[設定の有効化と編集(Enable and Edit Settings)] をクリックします(表示されるオプションが [設定の編集(Edit Settings)] だけの場合、FTP プロキシは設定済みです。) |
||||||||||||||||||
ステップ 3 |
(任意)基本的な FTP プロキシ設定項目を設定します。
|
||||||||||||||||||
ステップ 4 |
(任意)FTP プロキシの詳細設定を設定します。
|
||||||||||||||||||
ステップ 5 |
変更を送信し、保存します。 |
Web セキュリティアプライアンス には、SOCKS トラフィックを処理するための SOCKS プロキシが含まれます。SOCKS ポリシーは、SOCKS トラフィックを制御するアクセス ポリシーと同等です。アクセス ポリシーと同様に、識別プロファイルを使用して、各 SOCKS ポリシーによってどのトランザクションを管理するかを指定できます。SOCKS ポリシーをトランザクションに適用すると、ルーティング ポリシーによてトラフィックのルーティングを管理できます。
SOCKS プロキシでは、以下の点に注意してください。
SOCKS プロトコルは、直接転送接続のみをサポートしています。
SOCKS プロキシは、アップストリーム プロキシをサポートしていません(アップストリーム プロキシに転送されません)。
SOCKS プロキシは、Application Visibility and Control(AVC)、Data Loss Prevention(DLP)、およびマルウェア検出に使用されるスキャニング サービスをサポートしていません。
SOCKS プロキシは、ポリシー追跡をサポートしていません。
SOCKS プロキシは、SSL トラフィックを復号化できません。これは、クライアントからサーバーにトンネリングします。
Web プロキシをイネーブルにします。
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
ステップ 4 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |
ステップ 1 |
[セキュリティ サービス(Security Services)] > [SOCKS プロキシ(SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 2 |
[設定の編集(Edit Settings)] をクリックします。 |
||||||||||
ステップ 3 |
[SOCKS プロキシを有効にする(Enable SOCKS Proxy)] を選択します。 |
||||||||||
ステップ 4 |
基本および高度な SOCKS プロキシ設定を設定します。
|
ステップ 1 |
[Web セキュリティ マネージャ(Web Security Manager)] > [SOCKS ポリシー(SOCKS Policies)] を選択します。 |
||||||||||
ステップ 2 |
[ポリシーを追加(Add Policy)] をクリックします。 |
||||||||||
ステップ 3 |
[ポリシー名(Policy Name)] フィールドに名前を割り当てます。
|
||||||||||
ステップ 4 |
(任意)説明を追加します。 |
||||||||||
ステップ 5 |
[上記ポリシーを挿入(Insert Above Policy)] フィールドで、この SOCKS ポリシーに挿入する SOCKS ポリシーの場所を選択します。
|
||||||||||
ステップ 6 |
[アイデンティティとユーザー(Identities and Users)] セクションで、このグループ ポリシーに適用する 1 つ以上の ID を選択します。 |
||||||||||
ステップ 7 |
(任意)[詳細(Advanced)] セクションを拡張して、追加のメンバーシップ要件を定義します。
|
||||||||||
ステップ 8 |
変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。 |