明示的プロキシ: HTTP CONNECT トンネリング

Firebox の明示的プロキシは、HTTPS トラフィック向けの HTTP CONNECT トンネリングをサポートします。CONNECT トンネリングを使用すると、クライアントがポート 3128 上の明示的プロキシ経由で Firebox に要求を送信します。これらの HTTP 要求では CONNECT 方法を使って明示的プロキシ設定で構成されたポートに連絡します(既定では HTTPS ポート番号 443)。また、カスタマイズされた HTTPS web サーバーに対して他のポートも構成できます。明示的プロキシは次に、指定された宛先への TCP 接続を確立します。接続が確立されたら、明示的プロキシがクライアントへの HTTP 応答で元の HTTP 要求に応答し、その後クライアントが宛先にデータを送信できます。

明示的プロキシでは、指定されたポートに基づいて要求を許可、拒否、またはブロックするか、あるいは HTTP CONNECT トンネルトラフィックに対して HTTP プロキシアクションを構成することができます。

HTTP CONNECT トンネリングに対して明示的プロキシを構成する

  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
    ポリシーのページが表示されます。
  2. ポリシーを追加する をクリックします。
    ファイアウォール ポリシーの追加 ページが表示されます。
  3. プロキシ を選択します。
  4. プロキシ ドロップダウン リストから、明示的プロキシ を選択します。

Screen shot of the Add Policy Page for the Explicit-proxy

  1. ポリシーの追加 をクリックします。
  1. 編集 > ポリシーを追加する の順に選択します。
    ポリシーの追加 ダイアログ ボックスが開きます。
  2. プロキシ リストを展開します。
  3. 明示的プロキシ を選択します。

Screen shot of the Add Policies dialog box for the Explicit-proxy

  1. 追加 をクリックします。

明示的プロキシに対してプロキシ アクションを構成する

明示的プロキシ ポリシーを追加すると、事前定義したプロキシ アクションの Explicit-Web.Standard が自動選択されます。事前定義されたプロキシ アクションは編集できないため、プロキシ アクションをクローンしてから、そのクローンしたプロキシ アクションの設定を構成する必要があります。

  1. 明示的プロキシの ポリシーの追加 ページで、プロキシ アクション タブを選択します。
    すべてのカテゴリ設定タブが表示された状態でプロキシ アクション ページが表示されます。
    (事前定義) が プロキシ アクション ドロップダウン リストの横に表示された場合、プロキシ アクション設定を構成する前にプロキシ アクションをクローンする必要があります。
  2. プロキシ アクション ドロップダウン リストから、現在のプロキシ アクションをクローンする を選択します。
    ページが更新され、すべてのオプションが使用可能な状態で、クローンされたプロキシ アクションが表示されます。既定では、クローンされたプロキシ アクションの名前は「Explicit-Web.Standard.1」です。
  3. クローンされたプロキシ アクションの名前を変更するには、名前 テキスト ボックスに、プロキシ アクションの新しい記述的名称を入力します。
  4. 明示的 Web プロキシ ドロップダウン リストから、CONNECT トンネリング を選択します。
    ログ記録が有効化された状態でポート 443 の HTTPS トラフィックを許可する既定ルールにより、CONNECT トンネリング リストが表示されます。

Screen shot of the Proxy Action setting, Explicit Web Proxy tab > CONNECT Tunneling option
CONNECT トンネリング オプション

Screen shot of the CONNECT Tunneling list with the default HTTPS rule
既定 HTTPS トラフィックが表示された CONNECT トンネリング リスト

  1. 新しいルールを追加するには、追加 をクリックします。ヒント!
    ルールの追加 ダイアログ ボックスが表示されます。

Screen shot of the Add Rule dialog box

  1. ルール名 テキスト ボックスに、ルールの内容が理解できるような名前を入力します。
  2. 種類 ドロップダウン リストから、単一ポート または ポート範囲 を選択します。
  3. 単一ポート を選択した場合、ポート テキスト ボックスにポート番号を入力します
    ポート範囲 を選択した場合、開始ポート終了ポート テキスト ボックスに、ポート範囲の開始と終了ポート番号を入力してください。
  4. アクション ドロップダウン リストから、このルールのアクションを選択します。
    • 許可 — 接続を許可します。
    • 拒否 — 特定の要求を拒否しますが、可能な場合は接続を維持します。クライアントに応答を送信します。
    • ドロップ — 特定の要求を拒否し、接続を切断します。送信者に応答を送信しません。
    • ブロック — 要求を拒否し、接続を切断し、サイトをブロックします。このサイトの IP アドレスから来るすべてのトラフィックは、ブロックされたサイト構成で指定されている期間内は拒否されます。
      ブロックされたサイトの詳細については、次を参照してください: ブロックされたサイトについて
    • HTTPS プロキシ アクション — このオプションを選択すると、Firebox 構成で使用可能な HTTPS プロキシ アクションとともに、ドロップダウン リストが表示されます。このトラフィックに適用する HTTPS プロキシ アクションを選択します。
  5. OK をクリックして、ルールを保存します。
  6. 前記のルールが一致しなかった場合に実行するアクション ドロップダウン リストから、CONNECTION トンネリング リストのルールに一致しないトラフィックに対して取るアクションを選択します。
    • 許可 — 接続を許可します。
    • 拒否 — 特定の要求を拒否しますが、可能な場合は接続を維持します。クライアントに応答を送信します。
    • ドロップ — 特定の要求を拒否し、接続を切断します。送信者に応答を送信しません。
    • ブロック — 要求を拒否し、接続を切断し、サイトをブロックします。このサイトの IP アドレスから来るすべてのトラフィックは、ブロックされたサイト構成で指定されている期間内は拒否されます。
      ブロックされたサイトの詳細については、次を参照してください: ブロックされたサイトについて
    • HTTPS プロキシ アクション — このオプションを選択すると、Firebox 構成で使用可能な HTTPS プロキシ アクションとともに、ドロップダウン リストが表示されます。このトラフィックに適用する HTTPS プロキシ アクションを選択します。
  7. 保存 をクリックします。
  1. 設定 > アクション > プロキシ と選択し、Explicit-Web.Standard プロキシ アクションを選択し、クローン をクリックします。
    あるいは、明示的プロキシ ポリシーの 新しいポリシー プロパティ ダイアログ ボックスで、プロキシアクション ドロップダウン リストの横にある プロキシのクローン アイコン をクリックします。
    明示的 Web プロキシ アクションの構成をクローンする ダイアログ ボックスが表示されます。既定では、クローンされたプロキシ アクションの名前は「Explicit-Web.Standard.1」です。
  2. クローンされたプロキシ アクションの名前を変更するには、名前 テキスト ボックスに、プロキシ アクションの新しい記述的名称を入力します。
  3. カテゴリ ツリーから、明示的 Web プロキシ を展開して、CONNECT トンネリング を選択します。
    ログ記録が有効化された状態でポート 443 の HTTPS トラフィックを許可する既定ルールにより、CONNECT トンネリング リストが表示されます。

CONNECT トンネリング カテゴリの設定を含む明示的 Web プロキシ アクションの構成をクローンする ダイアログ ボックスのスクリーンショット

  1. 新しいルールを追加するには、追加 をクリックします。ヒント!
    CONNECT トンネリング ルール ダイアログ ボックスが表示されます。

新しい CONNECT トンネリング ルールのスクリーンショット

  1. ルール名 テキスト ボックスに、ルールの内容が理解できるような名前を入力します。
  2. 種類 ドロップダウン リストから、単一ポート または ポート範囲 を選択します。
  3. 単一ポート を選択した場合、ポート テキスト ボックスにポート番号を入力します
    ポート範囲 を選択した場合、開始ポート終了ポート テキスト ボックスに、ポート範囲の開始と終了ポート番号を入力してください。
  4. アクション ドロップダウン リストから、このルールのアクションを選択します。
    • 許可 — 接続を許可します。
    • 拒否 — 特定の要求を拒否しますが、可能な場合は接続を維持します。クライアントに応答を送信します。
    • ドロップ — 特定の要求を拒否し、接続を切断します。送信者に応答を送信しません。
    • ブロック — 要求を拒否し、接続を切断し、サイトをブロックします。このサイトの IP アドレスから来るすべてのトラフィックは、ブロックされたサイト構成で指定されている期間内は拒否されます。
      ブロックされたサイトの詳細については、次を参照してください: ブロックされたサイトについて
    • HTTPS プロキシ アクション — このオプションを選択すると、Firebox 構成で使用可能な HTTPS プロキシ アクションとともに、ドロップダウン リストが表示されます。このトラフィックに適用する HTTPS プロキシ アクションを選択します。
  5. OK をクリックして、ルールを保存します。
  6. 前記のルールが一致しなかった場合に実行するアクション ドロップダウン リストから、CONNECTION トンネリング リストのルールに一致しないトラフィックに対して取るアクションを選択します。
    • 許可 — 接続を許可します。
    • 拒否 — 特定の要求を拒否しますが、可能な場合は接続を維持します。クライアントに応答を送信します。
    • ドロップ — 特定の要求を拒否し、接続を切断します。送信者に応答を送信しません。
    • ブロック — 要求を拒否し、接続を切断し、サイトをブロックします。このサイトの IP アドレスから来るすべてのトラフィックは、ブロックされたサイト構成で指定されている期間内は拒否されます。
      ブロックされたサイトの詳細については、次を参照してください: ブロックされたサイトについて
    • HTTPS プロキシ アクション — このオプションを選択すると、Firebox 構成で使用可能な HTTPS プロキシ アクションとともに、ドロップダウン リストが表示されます。このトラフィックに適用する HTTPS プロキシ アクションを選択します。
  7. 構成を Firebox に保存します。

関連情報:

明示的プロキシについて

明示的プロキシ:HTTP Web プロキシ