関連トピック
HTTPS プロキシについて
HTTPS (Hypertext Transfer Protocol over Secure Socket Layer または HTTP over SSL) は、セキュリティで保護された通信およびトランザクションを実現するためにクライアントとサーバーの間で使用される要求/応答プロトコルです。HTTPS プロキシを使用して、Firebox によって保護されている Web サーバーまたは Firebox を保護することができます。また、ネットワーク上のクライアントによって要求される HTTPS トラフィックを検査することができます。既定では、HTTPS クライアントが要求を開始するとき、ポート 443 で TCP (Transmission Control Protocol) 接続が確立されます。ほとんどの HTTPS サーバーは、ポート 443 で要求を待機します。
HTTPS は、デジタル証明書を使用して、ユーザーのページ要求と Web サーバーから返されるページを暗号化および復号化するため、HTTP よりも高いセキュリティを提供します。HTTPS トラフィックは暗号化されているため、Firebox はこれを検査する前に復号化する必要があります。コンテンツを検査した後、Firebox は証明書でトラフィックを暗号化して、対象とする送信先へ送信します。
この機能で、Firebox によって作成された既定の証明書をエクスポートすることができます。または、デバイスが使用できるように、証明書をインポートすることができます。ネットワーク上のユーザーによって要求される Web トラフィックを検査するためにHTTPS プロキシを使用する場合、ユーザーが信頼されない証明書についてブラウザ警告を受けないように、既定の証明書をエクスポートして各ユーザーへ分配することをお勧めします。外部のネットワークから要求を受け取る Web サーバーを保護するために HTTPS プロキシを使用する場合は、現在の Web サーバー証明書をインポートすることをお勧めします。
組織で HTTPS クライアントまたはサーバーでポート 443 以外のポートを使用する場合、TCP/UDP プロキシを使用して、トラフィックを HTTPS プロキシに中継します。TCP/UDP プロキシの詳細については、次を参照してください:TCP/UDP プロキシについて。
Firebox 構成に HTTPS プロキシを追加する方法の詳細については、次を参照してください:構成にプロキシ ポリシーを追加する。
どのプロキシ アクションを使用するか
プロキシ ポリシーを構成する際、ポリシーに適したプロキシ アクションを選択する必要があります。内部クライアントからインターネットへの接続を許可するプロキシ ポリシーの場合、クライアント プロキシ アクションを使用します。内部サーバーからインターネットへの接続を許可するポリシーの場合、サーバー プロキシ アクションを使用します。
プロキシ アクション名に Standard という用語が付加されている事前定義済みプロキシ アクションには、最新のインターネット ネットワーク トラフィックの傾向を反映した推奨標準設定が含まれています。
Fireware v11.12 以上では、Web Setup Wizard と WSM Quick Setup Wizard が、Default-HTTPS-Client プロキシ アクションを使用する HTTPS プロキシ ポリシーを自動的に追加します。Default-HTTPS-Client プロキシ アクションは、HTTPS-Client.Standard プロキシ アクションに基づいており、セットアップ ウィザードを実行したときに機能キーでライセンス付与されたサブスクリプション サービスを有効化します。新しい HTTPS プロキシ ポリシーを追加する場合、Default-HTTPS-Client プロキシ アクションのほうが HTTPS-Client.Standard プロキシ アクションより優れた選択肢かもしれません。Default-HTTPS-Client プロキシ アクションの詳細については、以下を参照してください。Setup Wizard の既定のポリシーと設定。
HTTPS-プロキシを構成する
設定 タブ
設定 タブで、トラフィックを許可するか拒否するかどうか、ポリシーのアクセス ルールの作成、またはポリシーベースのルーティングの構成、帯域幅と時間クォータの有効化、静的 NAT の構成、サーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます。設定 タブには、ポリシーのプロトコルおよびポリシーのオプションの説明も表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。
- 接続 — 接続が 許可、拒否、または 拒否 (リセット送信) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。VPN ポリシーのアクセス ルールを設定する。
- ポリシーベースのルーティングの使用 — 次を参照してください:ポリシー ベースのルーティングを構成する
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。VPN 静的 NAT を構成する および サーバー負荷分散を構成する。
- ポリシーのログ記録設定を定義するには、ログ記録 セクションで構成します。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - 接続 ドロップダウン リストを 拒否 または 拒否 (リセット送信) に設定すると、HTTPS を使用しようとするサイトをブロックすることができます。
詳細については、次を参照してください:ポリシー設定で一時的にサイトをブロックする - Firebox または認証サーバーで設定されているアイドル タイムアウトを変更する方法については、次を参照してください:カスタムのアイドル タイムアウトを設定する。
- 帯域幅と時間クォータを有効化する方法については、次を参照してください:クォータについて。
Application Control タブ
Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。
- Application Control タブを選択します。
- Application Control Action ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
- (オプション) 選択したアクションの Application Control 設定を編集します。
- 保存 をクリックします。
詳細については、ポリシーで Application Control を有効にする を参照してください。
トラフィック管理 タブ
トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、以下を参照してください。v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する。
ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:
- トラフィック管理タブを選択します。
- トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。
または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します。v11.8.x 以降でトラフィック管理アクションを定義する。 - 保存 をクリックします。
プロキシ アクション タブ
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください:プロキシ アクションについて。
プロキシ アクションを構成するには、以下の手順を実行します:
- プロキシ アクション タブを選択します。
- プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。
プロキシ アクションの詳細については、次を参照してください:プロキシ アクションについて。 - 保存 をクリックします。
HTTPS プロキシには、 プロキシ アクションの設定のこれらのカテゴリを構成することができます:
スケジューリング タブ
スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。
- スケジューリング タブを選択します。
- アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する。 - 保存 をクリックします。
詳細 タブ
詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。
このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。
このタブのオプションの詳細については、次を参照してください:
ポリシー タブ
アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。
- HTTPS プロキシ接続 — 接続が 許可、拒否、または 拒否 (リセット送信) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。VPN ポリシーのアクセス ルールを設定する。
- ポリシーベースのルーティングの使用 — 次を参照してください:ポリシー ベースのルーティングを構成する
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。VPN 静的 NAT を構成する および サーバー負荷分散を構成する。
- プロキシ アクション— このポリシーに使用するプロキシ アクションを選択します。プロキシ アクションのルールセットも編集できます。
- 帯域幅と時間クォータを有効化する方法については、次を参照してください:クォータについて。
プロパティ タブ
プロパティ タブで、次のオプションを設定します。
- このポリシー構成のコメントを編集または追加するには、コメントをコメント テキスト ボックスに入力します。
- ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - HTTPS プロキシ接続 ドロップダウン リスト(ポリシー タブ)を 拒否 または 拒否 (リセット送信) に設定すると、HTTPS を使用しようとするサイトをブロックすることができます。
詳細については、次を参照してください:ポリシー設定で一時的にサイトをブロックする - Firebox または認証サーバーで設定されているアイドル タイムアウトを変更する方法については、次を参照してください:カスタムのアイドル タイムアウトを設定する。
詳細 タブ
プロキシ定義で、これらのオプションを使用できます。
- 運用スケジュールを設定する
- ポリシーにトラフィック管理アクションを追加する
- ICMP エラー処理の設定
- NAT ルールを適用する (既定では、すべてのポリシーで 1 - 1 NAT と動的 NAT の両方が有効化されています。)
- 接続速度の制限を設定する
- ポリシーで QoS マーキングと優先順位付けを有効にする
- ポリシーの固定接続期間を設定する
プロキシ アクションを構成する
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください:プロキシ アクションについて。
HTTPS プロキシには、 プロキシ アクションの設定のこれらのカテゴリを構成することができます:
HTTP プロキシ アクションで WebBlocker は有効化しているが、コンテンツ インスペクションを使用しない場合、コンテンツが WebBlocker によって拒否された場合にユーザーに拒否メッセージが表示されません。詳細については、次を参照してください:HTTPS プロキシ:WebBlocker。