SSLインスペクション ポリシー

SSLインスペクション

［アクセスポリシー］ビュー>［SSLインスペクション］セクション>［ポリシー］ページでは、SSLインスペクションを有効にして設定できます。この設定をオンにすると、SSLインスペクションをサポートする別のSoftware Bladeは、セキュア ソケット レイヤ（SSL）プロトコルによって暗号化されたトラフィックを検査できます。ゲートウェイがセキュア接続を検査できるようにするには、ゲートウェイの背後にあるすべてのホストがゲートウェイCA証明書をインストールする必要があります。

SSLトラフィック インスペクションをサポートするSoftware Blade

• アプリケーション& URLフィルタリング

• IPS

• アンチウイルス ThreatCloudによるリアルタイムのウイルスシグネチャとアノマリ型の保護を利用する、セキュリティゲートウェイに搭載されたCheck Point Software Blade。ユーザが影響を受ける前に、セキュリティゲートウェイでマルウェアを検知およびブロックします。頭字語:AV

• アンチボット ボットネットの挙動やコマンド&コントロール（C&C）センターへの通信を遮断する、セキュリティゲートウェイに搭載されたCheck Point Software Blade。頭字語:AB、ABOT

• Threat Emulation サンドボックス内のファイルの挙動を監視することでその悪質性を判断する、セキュリティゲートウェイに搭載されたCheck Point Software Blade。頭字語:TE

SSL検査の導入

SSLインスペクションを導入するには

1. ［SSLトラフィック インスペクション］を選択します。

2. ［CA証明書のダウンロード］をクリックして、ゲートウェイの内部CA証明書をダウンロードします。

   注 - 証明書はゲートウェイのすべてのユーザに対して使用できます。管理者の認証情報は必要ありません。管理者の認証情報がない場合、内部ネットワークまたはワイヤレスネットワークからhttp://my.firewall/icaまたはhttps://<IP_Address_of_Appliance>/icaに接続します。

   この証明書をゲートウェイの背後にあるクライアントごとにインストールする必要があります。

証明書をインストールするには

1. 証明書ファイルをお使いのPCに手動でコピーします。

2. Windows PCでは、ファイルをクリックし、ウィザードの手順に従って、トラスト ルート認証局のリポジトリに証明書を追加します。

   注 - これは、証明書のインポート ウィザードのデフォルトのリポジトリではありません。

   証明書のインストールはOSによって異なります。お使いのコンピュータへの証明書のインストールの詳細については、お使いのOSベンダーの手順を参照してください。

SSL検査は、デフォルトでは既存の内部CAを使用します。独自の証明書を使用するには、内部CAを置き換える必要があります。

内部CAを置き換えるには

1. ［証明書］>［内部証明書］へ移動します。

2. ［内部CAの置き換え］をクリックします。

   ［P12証明書のアップロード］ウィンドウが開きます。

3. ［参照］をクリックし、証明書ファイルを選択します。

4. ［証明書名］および［パスワード］を入力します。

5. 通常、対象と思われるデバイスのホスト名（DDNSが設定されている場合）、または外部IPアドレスが提示されます。複数のインターネット接続が設定されている場合、負荷分散モードでは、アプライアンスのアクセス可能なIPアドレスを手動で入力できます。これは、リモート サイトから内部CAにアクセスして証明書の取り消しを確認 トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。する場合に使います。

6. 適用をクリックします

SSLインスペクション バイパス ポリシー

発信元と宛先に関係なく、可能なすべてのトラフィックに対してバイパスされるカテゴリを選択できます。より詳細な例外を設定するには、［SSL検査の例外］ページに移動します。

SSLインスペクションバイパスポリシーを設定するには

• ［検査するプロトコル］セクションで、HTTPS、IMAPS、またはPOP3Sプロトコルの検査を選択します。

• ［検査するアセット］セクションで、以下のいずれかのデバイスを選択してタイプ別に検査します。デスクトップ、ノートPC、コンピュータ（R81.10.05以降）、その他のアセット、すべてのアセット。デバイスは、他の設定によってバイパスされていない場合にのみ検査されます。

• ［バイパスするワイヤレスネットワーク］セクションで、バイパスするワイヤレスネットワークをオンまたはオフにします。信頼できないネットワークは、デフォルトでオンになっています。

  注 - ワイヤレス ネットワークは、スイッチまたはブリッジとしてではなく、別のネットワークに割り当てる必要があります。

• ［次のカテゴリのSSLインスペクションをバイパスする］セクション>［カテゴリ］には、［健康］、［政府/軍事］、［金融サービス］、［主要なアップデートサービス］が含まれます。検査が除外されるプライバシー関連のカテゴリをオンまたはオフにします。メディア ストリームを除くすべてのカテゴリは、デフォルトでオンになります。

• ［次のカテゴリのSSLインスペクションをバイパスする］セクション>［バイパスするアセット］で、macOSデバイスをバイパスするために［MacOS］チェックボックスをオンにします。これにより、接続が加速されます。

  • ［MACによるバイパス］ - これをクリックすると、［アクティブなデバイス］テーブルからMACアドレスでデバイスを選択できます。

  • ［IPによるバイパス］ - これをクリックすると、［SSLインスペクションの例外］テーブルの特定のIPアドレスに対してSSLインスペクションポリシーをバイパスする例外を設定できます。

• ［追跡］セクションで、SSLインスペクションポリシーの決定（「検査」または「バイパス」）をログで確認できるよう選択します。

  注 - SSLインスペクションは、Software Bladeのログに加えて、これらのログを生成します。

その他カテゴリを追加するには

1. ［その他カテゴリとサイト］をクリックします。

   ［SSLインスペクションのバイパス、その他］ウィンドウが開きます。

2. 希望の項目を選択します。

3. オプション - ［新規］をクリックしてURLまたはカスタム アプリケーションを追加します。

4. 適用をクリックします

HTTPSカテゴリ

SSL検査の代わりとして、HTTPSカテゴリを有効にできます。

HTTPSカテゴリにより、SSLトラフィック インスペクションを有効にせずに指定されたHTTPS URLとアプリケーションをフィルタリングできます。

詳細については、「Small Business Security動画チャンネル」のHTTPSインスペクションの動画を参照してください。

HTTPSカテゴリを有効にするには

1. HTTPSカテゴリを選択します。

   注 - HTTPSカテゴリを有効にすると、SSLオプションは利用できません。

2. ［設定］をクリックします。

   ［アクセス ポリシー］>［ファイアウォール ブレード コントロール］ページが開きます。

3. URLフィルタリングの設定を行います。

   注 - HTTPSカテゴリは、URLフィルタリング ブレードがオンになった場合にのみ適用されます。

SSLインスペクションとHTTPSカテゴリを無効にするには

オフを選択します。

SSLバイパス メカニズムのアップグレードには、次のものがあります。

• バイパスされたサイトへの最初の接続の検査を停止します。

• 非ブラウザ アプリケーション接続のバイパスを許可します。

• クライアント証明書を必要とするサーバへの接続のバイパスを許可します。

• 新しいプロービング メカニズムにより、ポリシーで要求されない限り、IPアドレスへの最初の接続を検査する必要がなくなります。

IMAPS

インターネット メッセージ アクセス プロトコル (IMAP) は、TCP/IP接続を介してメール サーバからメール メッセージを取得するためにメール クライアントによって使用されるインターネット標準プロトコルです。IMAPSはSSLを介したIMAPを指します。

HTTP/IMAP暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。