SSLインスペクション ポリシー

SSLインスペクション

[アクセス ポリシー]>[SSL検査ポリシー]ページでは、SSL検査を有効にし、設定します。この設定をオンにすると、SSLインスペクションをサポートする別のSoftware Bladeは、セキュア ソケット レイヤ(SSL)プロトコルによって暗号化されたトラフィックを検査できます。ゲートウェイがセキュア接続を検査できるようにするには、ゲートウェイの背後にあるすべてのホストがゲートウェイCA証明書をインストールする必要があります。

SSLトラフィック インスペクションをサポートするSoftware Blade

  • アプリケーション& URLフィルタリング

  • IPS

  • アンチウイルス

  • アンチボット

  • Threat Emulation

SSLインスペクションの導入 

SSLインスペクションを導入するには

  1. [SSLトラフィック インスペクション]を選択します。

  2. [CA証明書のダウンロード]をクリックして、ゲートウェイの内部CA証明書をダウンロードします。

    - 証明書はゲートウェイのすべてのユーザに対して使用できます。管理者認証情報は必要ありません。管理者認証情報がない場合、内部ネットワークまたはワイヤレス ネットワークからhttp://my.firewall/icaまたはhttps://<IP_Address_of_Appliance>/icaに接続します。

    この証明書をゲートウェイの背後にあるクライアントごとにインストールする必要があります。

証明書をインストールするには

  1. 証明書ファイルをお使いのPCに手動でコピーします。

  2. Windows PCでは、ファイルをクリックし、ウィザードの手順に従って、トラスト ルート認証局のリポジトリに証明書を追加します。

    - これは、証明書のインポート ウィザードのデフォルトのリポジトリではありません。

    証明書のインストールはOSによって異なります。お使いのコンピュータへの証明書のインストールの詳細については、お使いのOSベンダーの手順を参照してください。

SSL検査は、デフォルトでは既存の内部CAを使用します。独自の証明書を使用するには、内部CAを置き換える必要があります。

内部CAを置き換えるには

  1. [証明書]>[内部証明書]へ移動します。

  2. [内部CAの置き換え]をクリックします。

    [P12証明書のアップロード]ウィンドウが開きます。

  3. [参照]をクリックし、証明書ファイルを選択します。

  4. [証明書名]および[パスワード]を入力します。

  5. 通常、対象と思われるデバイスのホスト名(DDNSが設定されている場合)、または外部IPアドレスが提示されます。複数のインターネット接続が設定されている場合、負荷分散モードでは、アプライアンスのアクセス可能なIPアドレスを手動で入力できます。これは、リモート サイトから内部CAにアクセスして証明書の取り消しを確認する場合に使います。

  6. 適用をクリックします。

SSLインスペクション バイパス ポリシー

発信元と宛先に関係なく、可能なすべてのトラフィックに対してバイパスされるカテゴリを選択できます。より詳細な例外を設定するには、[SSL検査の例外]ページに移動します。

SSLインスペクション バイパス ポリシーを設定するには

  • バイパスするワイヤレス ネットワーク - バイパスするワイヤレス ネットワークをオンまたはオフにします。信頼できないネットワークは、デフォルトでオンになっています。

    - ワイヤレス ネットワークは、スイッチまたはブリッジとしてではなく、別のネットワークに割り当てる必要があります。

  • カテゴリ - 検査が除外されるプライバシー関連のカテゴリをオンまたはオフにします。メディア ストリームを除くすべてのカテゴリは、デフォルトでオンになります。

  • 追跡 - SSLインスペクション ポリシーの決定が検査された、またはバイパスされたことを示すログを有効にする場合に選択します。

    - Software Bladeによって生成されたログに加えて、これらのログが生成されます。

その他カテゴリを追加するには

- [バイパス]チェックボックスはデフォルトでオンになっています。

  1. [その他カテゴリとサイト]をクリックします。

    [SSLインスペクションのバイパス、その他]ウィンドウが開きます。

  2. 希望の項目を選択します。

  3. オプション - [新規]をクリックしてURLまたはカスタム アプリケーションを追加します。

  4. 適用をクリックします。

HTTPSカテゴリ

SSLインスペクションの代わりとして、HTTPSカテゴリを有効にできます。HTTPSカテゴリにより、SSLトラフィック インスペクションを有効にせずに指定されたHTTPS URLとアプリケーションをフィルタリングできます。

詳細については、「Small Business Security動画チャンネル」「HTTPSインスペクションの動画」を参照してください。

HTTPSカテゴリを有効にするには

  1. [HTTPSカテゴリ]を選択します。

    - HTTPSカテゴリを有効にすると、SSLオプションは利用できません。

  2. [設定]をクリックします。

    [アクセス ポリシー]>[ファイアウォール ブレード コントロール]ページが開きます。

  3. URLフィルタリングの設定を行います。

    - HTTPSカテゴリは、URLフィルタリング ブレードがオンになった場合にのみ適用されます。

SSLインスペクションとHTTPSカテゴリを無効にするには

[オフ]を選択します。

SSLバイパス メカニズムのアップグレードには、次のものがあります。

  • バイパスされたサイトへの最初の接続の検査を停止します。

  • 非ブラウザ アプリケーション接続のバイパスを許可します。

  • クライアント証明書を必要とするサーバへの接続のバイパスを許可します。

  • 新しいプロービング メカニズムにより、ポリシーで要求されない限り、IPアドレスへの最初の接続を検査する必要がなくなります。

IMAPS

インターネット メッセージ アクセス プロトコル (IMAP) は、TCP/IP接続を介してメール サーバからメール メッセージを取得するためにメール クライアントによって使用されるインターネット標準プロトコルです。IMAPSはSSLを介したIMAPを指します。

HTTP/IMAP暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。