Upload Login /
...

McAfee Web Gateway 7.6.2 Product Guide

by user

on
Category: Documents
>> Downloads: 15
109

views

Report

Comments

Description

Transcript

McAfee Web Gateway 7.6.2 Product Guide
Product Guide
改訂 A
McAfee Web Gateway 7.6.2
著作権
© 2016 Intel Corporation
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Web Gateway 7.6.2
Product Guide
目次
17
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1
19
はじめに
Web Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Web トラフィックのフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
アプライアンスの主要機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
アプライアンスの主要コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
アプライアンスの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
23
25
ユーザー インターフェース
ユーザー インターフェースの主要要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
設定機能のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
データをリロードして変更を破棄する . . . . . . . . . . . . . . . . . . . . . . . . 28
ユーザー インターフェース以外での Web Gateway の管理 . . . . . . . . . . . . . . . . . . . 28
3
29
システム構成
初期セットアップのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
初期セットアップ後のシステム構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
一般的な機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . .
30
ネットワーク システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
認証およびクォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . .
31
Web フィルタリング システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . 31
集中管理システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ログおよびトラブルシューティングに対するシステム設定 . . . . . . . . . . . . . . . .
31
31
システム設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
アプライアンス タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
一般的なアプライアンス機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . 33
ライセンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
利用統計の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
日付と時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
ファイル サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
ユーザー インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
38
ネットワーク機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 42
ネットワーク インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . 42
ネットワーク保護設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
ポート転送設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
静的ルーティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Web Gateway 7.6.2
48
Product Guide
3
目次
ネットワーク インターフェースのボンディング . . . . . . . . . . . . . . . . . . . . . . .
50
ネットワーク インターフェースのボンディングを設定する . . . . . . . . . . . . . . . .
51
ボンディング構成の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
ソースベースのルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
管理ネットワーク インターフェースにソースベースのルーティングを設定する . . . . . . . . .
54
システム ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
ファイル エディター タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
キャッシュ ボリュームのサイズ変更 . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
更新処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
データベース情報の手動更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
自動エンジン更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . .
4
59
閉鎖されたネットワークの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
閉鎖ネットワークのアプライアンスの更新 . . . . . . . . . . . . . . . . . . . . . .
60
63
プロキシ
プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
明示的プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
明示的プロキシ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
透過型プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
プロキシ HA 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
ベスト プラクティス - プロキシ HA モードの設定 . . . . . . . . . . . . . . . . . . . . . . 72
プロキシ HA モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . .
73
Proxy HA 構成の問題の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
ベスト プラクティス - 高可用性構成でのサイズ制限 . . . . . . . . . . . . . . . . . . . . .
75
ベスト プラクティス - WCCP での明示的プロキシ モードの設定 . . . . . . . . . . . . . . . . . 77
WCCP プロトコルの使用を設定する . . . . . . . . . . . . . . . . . . . . . . . .
78
WCCP サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
WCCP 関連のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . 81
透過型ルーター モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
透過型ルーター モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
82
透過型ルーター モードでノードを設定する . . . . . . . . . . . . . . . . . . . . . .
83
透過型ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
透過型ブリッジ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
透過型ブリッジ モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
88
透過型ブリッジ モードでノードを設定する . . . . . . . . . . . . . . . . . . . . . . 89
ベストプラクティス - 透過型ブリッジ構成の調整 . . . . . . . . . . . . . . . . . . .
92
透過型ブリッジの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
パケット サイズの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
セキュア ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
SOCKS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
96
SOCKS プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
SOCKS プロキシ ルールでのプロパティとイベントの使用 . . . . . . . . . . . . . . . .
97
SOCKS プロキシを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
SOCKS での UDP の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
SOCKS プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 99
インスタント メッセージング . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
100
XMPP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104
共通のプロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104
プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104
[ネットワークのセットアップ] . . . . . . . . . . . . . . . . . . . . . . . . . . 104
HTTP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
FTP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
ICAP サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
IFP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
McAfee Web Gateway 7.6.2
107
Product Guide
目次
SOCKS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . .
108
Web キャッシュ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト . . . . . . . . . . . . . . . . . 109
DNS 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Yahoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ICQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows Live Messenger . . . . . . . . . . . . . . . . . . . . . . . . . . .
XMPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
110
110
111
111
112
詳細設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
定期的なルール エンジン トリガー リスト . . . . . . . . . . . . . . . . . . . . . . 116
送信元 IP アドレスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
送信ソース IP アドレスの制御を設定する . . . . . . . . . . . . . . . . . . . . . .
118
ベストプラクティス - FTP over HTTP の設定 . . . . . . . . . . . . . . . . . . . . . . . 119
匿名ログオンに固有の FTP 認証情報を設定する . . . . . . . . . . . . . . . . . . . . 120
FTP over HTTP で発生したブラウザー問題のトラブルシューティング . . . . . . . . . . . . 120
WCCP による FTP トラフィックのリダイレクト . . . . . . . . . . . . . . . . . . . . . .
122
FTP トラフィックのリダイレクトに WCCP の使用を設定する . . . . . . . . . . . . . . . 123
FTP ログオンでの Raptor 構文の使用 . . . . . . . . . . . . . . . . . . . . . . . . . .
123
ノード通信プロトコル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
ドメインに応じた DNS サーバーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 125
ドメインに応じて DNS サーバーを設定する . . . . . . . . . . . . . . . . . . . . .
125
ドメイン名サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
DXL メッセージによる Web セキュリティ情報の交換 . . . . . . . . . . . . . . . . . . . . . 127
ベスト プラクティス - user-agent ヘッダーの使い方 . . . . . . . . . . . . . . . . . . . .
128
user-agent ヘッダーを操作するルールを作成する . . . . . . . . . . . . . . . . . . . 130
Office 365 と他の Microsoft サービスのバイパス . . . . . . . . . . . . . . . . . . . . . . 132
Microsoft サービスのバイパスに使用するキー要素 . . . . . . . . . . . . . . . . . . . 133
Microsoft (Office 365) サービスのバイパス ルール セット . . . . . . . . . . . . . . .
133
リバース HTTPS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
134
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト . . . . . . . .
135
アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる . . . . . . . .
136
リバース HTTPS プロキシ構成の SSL 証明書 . . . . . . . . . . . . . . . . . . . .
137
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ . . . . . . . . . .
140
プロキシ自動構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
.pac ファイルを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . .
147
wpad.dat ファイルをダウンロードするルールの作成 . . . . . . . . . . . . . . . . .
148
wpad ホストの自動検出の構成 . . . . . . . . . . . . . . . . . . . . . . . . .
148
Helix プロキシの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Helix プロキシの使用の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
5
149
151
一元管理
一元管理構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
152
一元管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
153
一元管理構成にアプライアンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
154
一元管理設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
ノード グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . 155
ランタイム グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . .
155
更新グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . 156
ネットワーク グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . .
156
Best practices - Configuring Central Management node groups . . . . . . . . . . . . . . . 157
ノードの同期を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
160
スケジュール設定されたジョブを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
160
一元管理構成でのアプライアンス ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . .
160
McAfee Web Gateway 7.6.2
Product Guide
5
目次
一元管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
Policy configuration
161
173
Configuring a web security policy . . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuring a rule element . . . . . . . . . . . . . . . . . . . . . . . . . .
Enabling a rule set for cloud use . . . . . . . . . . . . . . . . . . . . . . . .
Configuring fields of web security . . . . . . . . . . . . . . . . . . . . . . . .
Access a rule set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
173
174
175
176
177
[ルール セット] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rule set views . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
178
180
キー要素ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
180
キー要素を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
完全なルール ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
完全なルール ビューでルール要素を設定する . . . . . . . . . . . . . . . . . . . . . 183
ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
ルール セット システム . . . . . . . . . . . . . . . . . . . . . . . . . . . .
185
ルール セット ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . .
Filtering process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
186
187
フィルタリング サイクル . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
プロセス フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
7
Complete rules
191
ルール要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
ユーザー インターフェースでのルールの形式 . . . . . . . . . . . . . . . . . . . . . . .
192
テキスト内でのルールの表記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
ルールに名前を付けて有効にする . . . . . . . . . . . . . . . . . . . . . . . . . 196
ルール条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
196
ルール アクションを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
ルール イベントを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
ルール セットのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Restrict access to a rule set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
8
203
リスト
リスト タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
リスト タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
205
リストへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
リスト タブのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . 207
ルールのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . .
リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
207
207
新しいリストの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
リストのエントリーの入力 . . . . . . . . . . . . . . . . . . . . . . . . . . .
208
さまざまなタイプのリストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
ワイルドカード式を URL のグローバル ホワイトリストに追加 . . . . . . . . . . . . . .
209
URL カテゴリをブロック リストに追加する . . . . . . . . . . . . . . . . . . . . .
210
メディア タイプ フィルター リストにメディア タイプを追加する . . . . . . . . . . . . .
210
購読リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
購読リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
212
購読リスト コンテンツの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
213
購読リストの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
213
顧客保守リストのコンテンツ ファイルの作成 . . . . . . . . . . . . . . . . . . . . . 214
ベスト プラクティス - McAfee が維持する購読リストの使い方 . . . . . . . . . . . . . . 215
外部リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
6
McAfee Web Gateway 7.6.2
Product Guide
目次
ルールでの外部リスト データの使用 . . . . . . . . . . . . . . . . . . . . . . . . 218
置換とプレースホルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
外部リスト モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
220
外部リスト モジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
外部リストの全般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
226
外部リスト システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
マップ タイプ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
227
マップ タイプ リストを作成する . . . . . . . . . . . . . . . . . . . . . . . . .
227
プロパティによるマップ タイプ リストの操作 . . . . . . . . . . . . . . . . . . . .
228
外部リストと購読リストを使用したマップ データの取得 . . . . . . . . . . . . . . . . . 229
共通カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
共通カタログ リストの使用を準備する . . . . . . . . . . . . . . . . . . . . . . .
230
共通カタログ リストのユーザー アカウントのセットアップ . . . . . . . . . . . . . . .
231
共通カタログ リストに管理者アカウントをセットアップする . . . . . . . . . . . . . . .
231
共通カタログ リストでの REST インターフェースの使用を有効にする . . . . . . . . . . . . 232
McAfee ePO サーバーに Web Gateway を登録する場合の設定例 . . . . . . . . . . . . .
232
JavaScript Object Notation データ . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9
237
設定
設定のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
237
設定タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
240
設定タブのアクションおよびモジュール設定にアクセスする . . . . . . . . . . . . . . .
240
ルールのアクションおよびモジュール設定へのアクセス . . . . . . . . . . . . . . . . . 240
10
システム設定へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . .
241
アクションおよびモジュール設定の作成 . . . . . . . . . . . . . . . . . . . . . . . . .
241
243
認証
ユーザーの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
LDAP ダイジェスト認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
245
認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
認証モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
異なる認証方法の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
認証を構成するためのシステム設定の使用 . . . . . . . . . . . . . . . . . . . . . . . .
258
Kerberos 管理システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 258
アプライアンスを Windows ドメインに参加させる . . . . . . . . . . . . . . . . . .
259
Windows ドメイン メンバーシップの設定 . . . . . . . . . . . . . . . . . . . . .
260
ベスト プラクティス - 配備タイプに合わせた認証の設定 . . . . . . . . . . . . . . . . . . . . 261
明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . .
262
透過型モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
WCCP を使用した明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . 267
ベスト プラクティス - LDAP 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 268
ユーザー認証方法に LDAP を設定する . . . . . . . . . . . . . . . . . . . . . . .
269
LDAP 認証方法を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . .
270
ユーザー属性とグループ属性のクエリーを設定する . . . . . . . . . . . . . . . . . . . 271
別のプロパティへの属性の保存 . . . . . . . . . . . . . . . . . . . . . . . . . . 272
元のユーザー名の保存 (ロギング用) . . . . . . . . . . . . . . . . . . . . . . . .
272
LDAP 認証のテストとトラブルシューティング . . . . . . . . . . . . . . . . . . . .
274
インスタント メッセージング認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
276
インスタント メッセージ認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . 277
インスタント メッセージ認証の認証モジュールの構成 . . . . . . . . . . . . . . . . .
277
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 . . . . . . . .
278
IM 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
McAfee Web Gateway 7.6.2
Product Guide
7
目次
ワンタイム パスワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
ユーザー認証にワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . .
281
許可オーバーライドにワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . 282
ワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 282
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット . . . . . . . . . . .
283
「OTP を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . . . . . 285
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セット . . . . . 287
「OTP と Pledge を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . 289
クライアント証明書認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
291
クライアント証明書認証のための証明書の使用 . . . . . . . . . . . . . . . . . . . . 291
クライアント証明書認証のためのルール セット . . . . . . . . . . . . . . . . . . . . 292
認証サーバーへのリクエストのリダイレクト . . . . . . . . . . . . . . . . . . . . . 293
クライアント証明書の認証の実施 . . . . . . . . . . . . . . . . . . . . . . . . . 294
認証サーバー(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
294
サーバー証明書の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . 295
証明機関の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . . .
296
アプライアンスのリクエストを受信するリスナー ポートの構成 . . . . . . . . . . . . . .
296
Cookie 認証(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
297
受信要求のリスナー ポートを変更するためのルール セットの変更 . . . . . . . . . . . . . 298
クライアント証明書のブラウザーへのインポート . . . . . . . . . . . . . . . . . . .
管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者アカウントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
298
300
300
管理者アカウントの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
301
管理者アカウントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
301
管理者アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
301
管理者のロールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
管理者のロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
外部アカウントの管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
11
303
305
クォータの管理
Web ページ上でクォータおよびその他の制限を課す . . . . . . . . . . . . . . . . . . . . . 305
時間のクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
308
時間のクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
時間のクォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
時間のクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 309
ボリュームのクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
ボリュームのクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
312
ボリューム クォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
ボリュームのクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . .
313
警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
316
警告の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
警告設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
警告ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
317
許可オーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
許可オーバーライドの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
319
許可オーバーライド設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
319
許可オーバーライド ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
320
セッションのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
ブロック セクションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
ブロック セッションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
セッションのブロック ルール セット . . . . . . . . . . . . . . . . . . . . . . .
クォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
McAfee Web Gateway 7.6.2
322
323
Product Guide
目次
12
Web フィルタリング
325
Anti-malware filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anti-malware filtering process . . . . . . . . . . . . . . . . . . . . . . . . .
Key elements for anti-malware filtering . . . . . . . . . . . . . . . . . . . . .
326
326
327
マルウェア対策の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Gateway Anti-Malware rule set . . . . . . . . . . . . . . . . . . . . . . . . . 330
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 . . . . . . . . . . .
332
マルウェア対策フィルタリングで使用される URL 情報 . . . . . . . . . . . . . . . . .
Integrating TIE server information with anti-malware filtering . . . . . . . . . . . .
333
334
ホスト ヘッダーがない場合の処理 . . . . . . . . . . . . . . . . . . . . . . . . . 340
メディア ストリームのスキャン . . . . . . . . . . . . . . . . . . . . . . . . .
343
マルウェア対策キュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
URL フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . . . . . .
347
URL フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . . . . . . . 347
完全なルール ビューで URL フィルタリングを設定する . . . . . . . . . . . . . . . . . 348
URL フィルター モジュールを詳細する . . . . . . . . . . . . . . . . . . . . . . . 349
URL フィルターー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
349
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワイトリストに追加する
352
URL フィルタリング ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
358
Dynamic Content Classifier を使用する URL フィルタリング . . . . . . . . . . . . . . 360
固有の URL フィルター データベースの使用 . . . . . . . . . . . . . . . . . . . . .
IFP プロキシを使用した URL フィルタリング . . . . . . . . . . . . . . . . . . . .
361
362
メディア タイプ フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . .
367
メディア タイプ フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . .
368
メディア タイプ フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . .
368
完全なルール ビューでメディア タイプ フィルタリングを設定する . . . . . . . . . . . . . 369
メディア タイプ フィルタリングのプロパティ . . . . . . . . . . . . . . . . . . . .
369
メディア タイプ フィルタリング ルールの変更 . . . . . . . . . . . . . . . . . . . . 370
メディア タイプ フィルタリングのルール セット . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . .
371
372
374
アプリケーション フィルタリングのリストを作成する . . . . . . . . . . . . . . . . .
375
アプリケーション フィルタリング ルールのリスク レベルを修正する . . . . . . . . . . . .
376
アプリケーション コントロール ルール セット . . . . . . . . . . . . . . . . . . . . 377
ストリーミング メディア フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . 378
ストリーミング メディア フィルタリングの構成 . . . . . . . . . . . . . . . . . . .
380
ストリーミング メディア検出モジュールを設定する . . . . . . . . . . . . . . . . . .
380
ベスト プラクティス - ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . 381
ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
382
グローバル ホワイトリスト登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
383
グローバル ホワイトリストの構成 . . . . . . . . . . . . . . . . . . . . . . . .
383
グローバル ホワイトリストのルール セット . . . . . . . . . . . . . . . . . . . . .
384
SSL スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
SSL スキャンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
386
SSL スキャン モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
387
デフォルトのルート証明書権限の置換 . . . . . . . . . . . . . . . . . . . . . . .
388
クライアント証明書リスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
389
SSL スキャナー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
392
CA の SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . .
393
CA 以外の SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . 396
証明書チェーン設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
SSL スキャナー ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 398
ハードウェア セキュリティ モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . 403
McAfee Web Gateway 7.6.2
Product Guide
9
目次
キー処理にハードウェア セキュリティ モジュールを使用する . . . . . . . . . . . . . . . 405
ハードウェア セキュリティ モジュールのローカル使用を設定する . . . . . . . . . . . . .
406
ハードウェア セキュリティ モジュールのリモート使用を設定する . . . . . . . . . . . . .
407
ハードウェア セキュリティ モジュールの秘密鍵を選択する . . . . . . . . . . . . . . . . 407
セキュリティ インフラの使用 . . . . . . . . . . . . . . . . . . . . . . . . . .
408
ハードウェア セキュリティ モジュールの設定 . . . . . . . . . . . . . . . . . . . .
409
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411
Advanced Threat Defense を使用する場合のワークフロー . . . . . . . . . . . . . . .
413
Advanced Threat Defense 追加スキャンの条件 . . . . . . . . . . . . . . . . . . .
414
Advanced Threat Defense を使用する場合の設定要素 . . . . . . . . . . . . . . . . . 414
既存の Advanced Threat Defense スキャン レポートの使用 . . . . . . . . . . . . . . . 416
実行中の Advanced Threat Defense スキャン結果の使用 . . . . . . . . . . . . . . . . 417
Advanced Threat Defense でスキャンするオブジェクト サイズの制限 . . . . . . . . . . . 418
Advanced Threat Defense の使用を設定する . . . . . . . . . . . . . . . . . . . .
419
Advanced Threat Defense のキー要素を設定する . . . . . . . . . . . . . . . . . .
421
Advanced Threat Defense を使用する場合のキー要素 . . . . . . . . . . . . . . . . . 421
Advanced Threat Defense の使用に必要な設定を行う . . . . . . . . . . . . . . . . . 422
Advanced Threat Defense の使用状況のモニタリング . . . . . . . . . . . . . . . . . 423
Gateway ATD settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
McAfee Advanced Threat Defense ルール セット . . . . . . . . . . . . . . . . . .
426
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セット . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
427
429
Data Loss Prevention の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 433
デフォルトの分類を使用して Data Loss Prevention を構成する . . . . . . . . . . . . .
434
ディクショナリ エントリを使用して data loss prevention を構成する . . . . . . . . . . . 434
Data Loss Prevention(分類)の設定 . . . . . . . . . . . . . . . . . . . . . . . 436
Data Loss Prevention(ディクショナリ)の設定 . . . . . . . . . . . . . . . . . . . 436
Data Loss Prevention ルール セット . . . . . . . . . . . . . . . . . . . . . . . 437
ICAP サーバーを使用した Data Loss Prevention . . . . . . . . . . . . . . . . . .
13
439
443
サポート機能
Default and library functions supporting web filtering . . . . . . . . . . . . . . . . . . . 443
Web キャッシング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
443
Web キャッシュの有効化の検証 . . . . . . . . . . . . . . . . . . . . . . . . .
444
Web キャッシュ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
444
進行状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
446
進行状況の表示の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
進行状況の表示モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 447
進行状況ページ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
データ トリックル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Best practice: Working with progress indication methods . . . . . . . . . . . . . .
449
449
進行状況の表示(ルール セット) . . . . . . . . . . . . . . . . . . . . . . . .
453
帯域幅スロットル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Basic bandwidth throttling . . . . . . . . . . . . . . . . . . . . . . . . . .
Bandwidth throttling using classes . . . . . . . . . . . . . . . . . . . . . . .
454
455
457
ネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
460
ネクスト ホップ プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . 461
ネクスト ホップ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
463
ネクスト ホップ プロキシをリストに追加する . . . . . . . . . . . . . . . . . . . .
463
ネクスト ホップ プロキシ モジュールの構成 . . . . . . . . . . . . . . . . . . . . . 464
ネクスト ホップ プロキシの持続性を設定する . . . . . . . . . . . . . . . . . . . .
464
SOCKS トラフィックのネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . 465
ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング . . . . . . . . 469
ネクスト ホップ プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
10
McAfee Web Gateway 7.6.2
471
Product Guide
目次
ネクスト ホップ プロキシ設定を追加する . . . . . . . . . . . . . . . . . . . . . . 472
Protocol Detector settings . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
ネクスト ホップ プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . .
14
473
475
ユーザー メッセージ
ユーザーへのメッセージの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
ユーザー メッセージのテキストを編集する . . . . . . . . . . . . . . . . . . . . . . . .
477
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
15
ブロック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
479
リダイレクト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
480
テンプレート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
481
テンプレート エディター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
481
487
クラウド シングル サインオン
クラウド シングル サインオンの設置方法 . . . . . . . . . . . . . . . . . . . . . . . . . 488
Considerations when exporting and importing the SSO rule set . . . . . . . . . . . . . . . 489
プロキシ モードと非プロキシ モードでの SSO プロセス . . . . . . . . . . . . . . . . . . .
490
対応する認証方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
サポートされるクラウド サービスの SSO カタログ . . . . . . . . . . . . . . . . . . . . .
492
SSO カタログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
492
ユーザー インターフェースの SSO カタログ . . . . . . . . . . . . . . . . . . . . . 493
サービスとしての SSO カタログ . . . . . . . . . . . . . . . . . . . . . . . . .
494
コネクター テンプレート (汎用と個別) . . . . . . . . . . . . . . . . . . . . . . . 494
テンプレートを使用してカスタム クラウド コネクターを設定する . . . . . . . . . . . . .
495
カスタム クラウド コネクターを削除する . . . . . . . . . . . . . . . . . . . . . .
496
最新の SSO 更新に関する情報を検索する . . . . . . . . . . . . . . . . . . . . . . 496
SSO コネクター リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
497
SSO コネクター リストを使用したクラウド アクセスの設定 . . . . . . . . . . . . . . .
497
クラウド コネクターを SSO コネクター リストに追加する . . . . . . . . . . . . . . . . 497
HTTP クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . .
498
HTTP クラウド アプリケーションの SSO 認証情報モデル . . . . . . . . . . . . . . . .
498
HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . . .
499
汎用 HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . .
499
汎用 HTTP コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
500
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . .
503
SAML シングル サインオンの開始方法 . . . . . . . . . . . . . . . . . . . . . . .
503
SAML シングル サインオンの集中管理 . . . . . . . . . . . . . . . . . . . . . . .
505
SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . .
506
SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
汎用 SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . 507
汎用 SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 508
SAML シングル サインオンで使用する外部データソースの設定 . . . . . . . . . . . . . .
511
外部 ID プロバイダーを使用する SAML 認証 . . . . . . . . . . . . . . . . . . . . . . . . 514
外部 ID プロバイダーを使用する SAML 認証プロセス . . . . . . . . . . . . . . . . .
515
Web Gateway が静的 ACS URL を使用する方法 . . . . . . . . . . . . . . . . . . .
516
設定タスクの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
SAML 認証応答の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
520
SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 - ルール セット . . . . . . .
521
.NET と Java Web アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . 527
汎用 IceToken クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . 527
汎用 IceToken コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 528
エンドユーザーによるアプリケーション Launchpad の使用 . . . . . . . . . . . . . . . . . .
529
アプリケーション Launchpad のカスタマイズ . . . . . . . . . . . . . . . . . . . . . . .
531
Launchpad.html ファイルを編集する . . . . . . . . . . . . . . . . . . . . . . .
531
McAfee Web Gateway 7.6.2
Product Guide
11
目次
Launchpad のスタイル シートを編集する . . . . . . . . . . . . . . . . . . . . . . 532
カスタム Launchpad のスタイル シートをインポートする . . . . . . . . . . . . . . . . 533
Launchpad でカスタム ロゴを表示する . . . . . . . . . . . . . . . . . . . . . .
534
クラウド サービスのブックマークの作成 . . . . . . . . . . . . . . . . . . . . . . . . .
534
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング . . . . . . . . . . . .
535
シングル サインオン ルール セットのサマリー . . . . . . . . . . . . . . . . . . . . . . .
535
クラウド シングル サインオン設定のキー要素 . . . . . . . . . . . . . . . . . . . . . . .
536
シングル サインオン ルール セットのリファレンス . . . . . . . . . . . . . . . . . . . . . . 538
サービス選択ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
539
HTTPS 処理ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
541
Launchpad ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
542
OTP 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . .
544
ログイン アクション取得ルール セット . . . . . . . . . . . . . . . . . . . . . . . 545
共通タスク処理ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO 実行ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . .
シングル サインオンのリストと設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
549
550
551
シングル サインオン リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
シングル サインオンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO 証明書と秘密鍵の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
SSO ロギングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
554
555
SSO ロギングを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . .
556
SSO ログ ルール セットのリファレンス . . . . . . . . . . . . . . . . . . . . . .
557
SSO 問題の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
552
561
563
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号 . . . . . . . . . . . . . . . . . . . . . . . .
563
クラウド ストレージ データの暗号化と復号を設定する . . . . . . . . . . . . . . . . . . . .
566
データの暗号化と暗号化解除を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 566
クラウド ストレージ暗号化の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
17
クラウド ストレージ暗号化サポートの設定 . . . . . . . . . . . . . . . . . . . . . . . .
567
クラウド ストレージ データを手動で復号する . . . . . . . . . . . . . . . . . . . . . . .
568
クラウド ストレージ暗号化ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
568
571
ハイブリッド ソリューション
ハイブリッド ソリューションの使い方 . . . . . . . . . . . . . . . . . . . . . . . . . .
571
ハイブリッド ソリューションの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . .
572
ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
574
ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
574
ハイブリッド ソリューションのルール セットを選択する . . . . . . . . . . . . . . . . . . .
575
同期を手動で実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
576
Web Hybrid の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
576
レガシー ハイブリッド ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . 577
レガシー ハイブリッド ソリューションの設定の同期 . . . . . . . . . . . . . . . . . .
578
同期のための Web フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . 578
18
同期設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
579
Web Hybrid レガシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
579
581
モニタリング
ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
581
ダッシュボードへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . .
582
アラート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
グラフおよび表のタブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
12
ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
591
ロギングの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
593
McAfee Web Gateway 7.6.2
Product Guide
目次
ログ ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
593
ログ ファイル タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
593
ログ ファイル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Log File Manager settings . . . . . . . . . . . . . . . . . . . . . . . . . .
596
ファイル システム ログ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
ログ ハンドラーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
600
ログ ルールの要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
600
ベストプラクティス - ログ ファイル フィールドの追加 . . . . . . . . . . . . . . . . . 601
ベスト プラクティス - ログの作成 . . . . . . . . . . . . . . . . . . . . . . . .
603
ログ ルール セットへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . .
608
ウイルス検出ログ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
609
エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
エラー ID を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . 610
インシデント情報を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . .
610
エラー処理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
611
エラー処理ルール セットの表示 . . . . . . . . . . . . . . . . . . . . . . . . .
612
ベスト プラクティス - エラー ハンドラーの使い方 . . . . . . . . . . . . . . . . . .
612
デフォルト エラー ハンドラー ルール セット . . . . . . . . . . . . . . . . . . . .
615
パフォーマンス測定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
パフォーマンス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
623
パフォーマンス測定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
623
パフォーマンス情報をログするためのプロパティのルール内での使用 . . . . . . . . . . . . 624
ルール セット処理時間を測定するためのイベントのルール内での使用 . . . . . . . . . . . . 625
SNMP でのイベント モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
626
SNMP 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
627
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
McAfee ePO を監視するためのデータの転送 . . . . . . . . . . . . . . . . . . . . . . .
629
ePolicy Orchestrator 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . .
630
ePolicy Orchestrator の設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
630
ePO リクエストのバイパス ルール セット . . . . . . . . . . . . . . . . . . . . .
631
Best practice: Monitoring file system usage . . . . . . . . . . . . . . . . . . . . . . . 632
Troubleshooting issues with file system usage . . . . . . . . . . . . . . . . . . . 634
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 . . . . . . . . . . . . .
635
アクセス ログ データの送信ルールを追加する . . . . . . . . . . . . . . . . . . . .
636
rsyslog.conf システム ファイルを使用してアクセス ログ データを送信する . . . . . . . . .
637
アクセス ログ データ送信時の問題の解決 . . . . . . . . . . . . . . . . . . . . . .
638
McAfee Enterprise Security Manager への syslog データの送信 . . . . . . . . . . . . . . . . 639
syslog データの送信を設定する . . . . . . . . . . . . . . . . . . . . . . . . .
639
データ転送で rsyslog システム ファイルを使用する . . . . . . . . . . . . . . . . . .
639
Syslog データの取集/評価の調整 . . . . . . . . . . . . . . . . . . . . . . . . . 640
syslog データ転送で発生する問題の解決方法 . . . . . . . . . . . . . . . . . . . . . 642
19
645
トラブルシューティング
トラブルシューティング方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
645
ルール追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
646
ルール追跡を使用してルール処理の問題をデバッグする . . . . . . . . . . . . . . . . .
648
ルール追跡ペイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
ルール追跡を使用して要求のブロック理由を確認する . . . . . . . . . . . . . . . . . . 655
ベスト プラクティス - Web ページに画像が表示されない理由の特定 . . . . . . . . . . . .
656
削除したルール追跡をルール追跡ペインに復元する . . . . . . . . . . . . . . . . . . . 657
ルール追跡を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
658
フィードバック ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
659
コア ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
659
McAfee Web Gateway 7.6.2
Product Guide
13
目次
接続追跡ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
パケット追跡ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
660
システム ツールとネットワーク ツールを使用する . . . . . . . . . . . . . . . . . . . . . . 661
オペレーティング システムのサービスを再起動する . . . . . . . . . . . . . . . . . . . . .
661
実行中の AV スレッドを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . .
662
アプライアンスの構成をバックアップまたは復元する . . . . . . . . . . . . . . . . . . . . . 662
トラブルシューティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
A
665
構成リスト
アクションのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
ブロック理由 ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 666
エラー ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667
イベントのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
673
インシデント ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
684
プロパティのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
プロパティ - A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
694
プロパティ - B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
699
プロパティ - C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
703
プロパティ - D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
707
プロパティ - E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
711
プロパティ - F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
713
プロパティ - G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
714
プロパティ - H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
714
プロパティ - I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
716
プロパティ - J . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
722
プロパティ - L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
725
プロパティ - M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
740
プロパティ - N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
743
プロパティ - P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
743
プロパティ - Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
751
プロパティ - R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
758
プロパティ - S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
758
プロパティ - T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
771
プロパティ - U . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
772
プロパティ - W . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
統計カウンターのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ワイルドカード式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ワイルドカード式のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
778
782
782
重要な特殊 glob 文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 783
重要な特殊正規表現文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . 784
B
REST インターフェース
789
REST インターフェースの使用の準備 . . . . . . . . . . . . . . . . . . . . . . . . . .
789
インターフェースの使用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 790
インターフェースにアクセスする権限を与える . . . . . . . . . . . . . . . . . . . . 790
REST インターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
データ転送ツールとしての curl の使用 . . . . . . . . . . . . . . . . . . . . . . . 791
インターフェースへの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
793
リソースの要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
794
基本アクティビティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . .
795
個々のアプライアンスでの作業 . . . . . . . . . . . . . . . . . . . . . . . . .
797
システム ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
14
ログ ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
799
トラブルシューティング用にアップロードされたファイルの操作 . . . . . . . . . . . . .
800
McAfee Web Gateway 7.6.2
Product Guide
目次
C
リストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
801
REST インターフェースを操作するためのサンプル スクリプト . . . . . . . . . . . . . . . . .
805
サードパーティ ソフトウェア
809
サードパーティ ソフトウェアのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 809
索引
McAfee Web Gateway 7.6.2
817
Product Guide
15
目次
16
McAfee Web Gateway 7.6.2
Product Guide
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Web Gateway 7.6.2
Product Guide
17
まえがき
このガイドについて
このガイドの内容
このガイドでは、Web Gateway の管理に必要な情報を提供します。
主な機能、配備オプション、システム アーキテクチャの概要を説明した後、次の手順について解説します。
•
Web Gateway アプライアンス システムをネットワークに統合する方法
•
Web Gateway ルールを実装して、ネットワークに Web セキュリティ ポリシーを施行する方法
•
モニタリングとトラブルシューティング
付録では、アクション、イベント、プロパティなどの重要な設定要素について説明します。
製品マニュアルの検索
[ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。
タスク
18
1
[ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。
2
[Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。
3
製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。
McAfee Web Gateway 7.6.2
Product Guide
1
はじめに
®
McAfee Web Gateway (Web Gateway) は、ユーザーが組織のネットワークから Web にアクセスしたときに発
生する脅威を阻止し、ローカル ネットワークを保護します。 また、法規制を遵守し、生産性の高い作業環境を維持
します。
目次
Web Protection
Web トラフィックのフィルター
アプライアンスの主要機能
アプライアンスの主要コンポーネント
アプライアンスの配備
Web Protection
®
Web Gateway は、McAfee Web Protection (Web Protection) という統合ソリューションの構成要素です。 こ
のソリューションは、組織のユーザーがローカル ネットワークの内外から Web にアクセスしたときに発生する脅威
を阻止します。
ローカル ネットワークから Web にアクセスするユーザーは、オンプレミス ユーザーとなります。 組織のユーザー
がローカル ネットワークに接続していないシステム (自宅や移動中など) で作業を行うと、外部アクセスが発生しま
す。 これらのユーザーはクラウド ユーザーとなります。
®
McAfee SaaS Web Protection は、クラウド ユーザーの Web 利用を保護するソリューションです。
統合ソリューションとして Web Protection を使用すると、オンプレミス ユーザーとクラウド ユーザーの両方に同
じセキュリティ ポリシーを施行して Web アクセスを保護できます。
Web トラフィックのフィルター
Web Gateway アプライアンスは、ネットワークと Web を接続するゲートウェイとして配備され、送受信されるト
ラフィックをフィルタリングします。
実装された Web セキュリティ ルールに従って、ネットワーク内から Web にユーザーが送信する要求と、Web か
ら返される応答をフィルタリングします。要求または応答とともに送信される埋め込みオブジェクトもフィルタリン
グされます。
McAfee Web Gateway 7.6.2
Product Guide
19
1
はじめに
アプライアンスの主要機能
不正なコンテンツや不適切なコンテンツはブロックされ、有効なコンテンツは通過が許可されます。
図 1-1 Web トラフィックのフィルター
1 - ユーザーのネットワーク
2 - Web Gateway
3 - Web
Web に要求を送信します。
要求と応答をフィルタリングします。
ネットワークに応答を送信します。
アプライアンスの主要機能
Web トラフィックのフィルターは複雑なプロセスです。アプライアンスの主要機能は、以下のようないくつかの方
法で利用されます。
Web オブジェクトのフィルタリング
アプライアンスの特殊なウイルス対策機能とマルウェア対策機能によって Web トラフィックがスキャンおよびフィ
ルターされ、オブジェクトが感染していた場合、その Web オブジェクトはブロックされます。
™
その他の機能は、Global Threat Intelligence システムからの情報を使用するか、メディア タイプおよび HTML フ
ィルタリングを行って要求された URL をフィルタリングします。
それらはそれら自体をフィルタリングしない機能によりサポートされますが、ユーザーの要求を数えたり、Web オ
ブジェクトのダウンロードの進行状況を示すなどのジョブを行います。
ユーザーのフィルタリング
内部および外部データベースと NTLM、LDAP、RADIUS、Kerboros、その他などの方法から情報を使用して、アプ
ライアンスの認証機能によりユーザーをフィルタリングします。
通常のユーザーをフィルタリングするのに加えて、このアプライアンスは管理権限と責任をコントロールできるよう
にします。
Web トラフィックのインターセプト
これは、Web オブジェクトまたはユーザーのフィルタリングを行うための前提条件です。HTTP、HTTPS、FTP、
Yahoo、ICQ、Windows Live Messenger などのさまざまなネットワーク プロトコルを使用して、アプライアンス
のプロキシ機能により実行されます。
アプライアンスは明示的プロキシ モード、あるいは透過的なブリッジまたはルーター モードで実行できます。
20
McAfee Web Gateway 7.6.2
Product Guide
1
はじめに
アプライアンスの主要機能
フィルター処理のモニタリング
アプライアンスのモニタリング機能は、フィルタリング プロセスの継続的な概要を示します。
ダッシュボードンは、アラート、Web の使用状況、フィルタリング アクティビティ、システムの動作に関する情報
が表示されます。ロギングと追跡機能も使用できます。また、データを McAfee ePolicy Orchestrator (McAfee
ePO) サーバーに転送したり、SNMP エージェントでイベントを監視することもできます。
®
™
McAfee Web Gateway 7.6.2
Product Guide
21
1
はじめに
アプライアンスの主要コンポーネント
アプライアンスの主要コンポーネント
McAfee Web Gateway アプライアンスではいくつかのサブシステムを使用して、そのオペレーティング システム
に基づいてフィルターおよびその他の機能を実行します。
アプライアンス サブシステム
アプライアンスおよびそのモジュールのサブシステムは次を実行します。
•
Core サブシステム — Web トラフィックを傍受するためのプロキシ モジュールと、Web セキュリティ ポリシ
ーを構成しているフィルタリング ルールを処理するためのルール モジュールを提供します。
このサブシステムはさらに、フィルタリング ルールのための特別なジョブを完了するモジュール(エンジンとも
呼ばれる)を備えており、たとえば、マルウエア対策エンジン、URL フィルター エンジン、または認証エンジン
など、自分で構成することができます。
フロー マネージャー モジュールは、モジュール間の効率的な協力関係を保証します。
•
コーディネーター サブシステム — アプライアンスで処理されるすべての構成データを保管します
このシステムはまた、更新と集中管理機能も備えています。
•
コンフィギュレーター サブシステム — ユーザー インターフェースを提供します(内部サブシステムは
Konfigurator です)。
図 1-2 アプライアンス サブシステムおよびモジュール
オペレーティング システム
アプライアンスのサブシステムは、そのオペレーティング システムである MLOS2(McAfee Linux Operating
System バージョン 2)に依存します。
このバージョンは、ユーザーがこれらの製品の 2 つ以上に責任を持つ管理者である場合、学習努力を軽減する
McAfee Email Gateway など、他の Linux ベースの McAfee セキュリティ製品でも使用されます。
22
McAfee Web Gateway 7.6.2
Product Guide
はじめに
アプライアンスの配備
1
オペレーティング システムは、フィルタリング ルールがトリガーするアクション、ファイルとネットワークの読み
取り、書き込み、およびアクセス制御を実行する機能を備えています。
構成デーモン(sysconfd daemon)は、オペレーティング システムで変更された構成設定を実装します。
アプライアンスの配備
McAfee Web Gateway アプライアンスを設定する前に、その使用方法を検討します。異なるプラットフォームで実
行し、ネットワーク統合の異なるモードを構成できます。一元管理構成のノードとして、複数のアプライアンスをセ
ットアップおよび管理もできます。
プラットフォーム
アプライアンスを異なるプラットフォームで実行できます。
•
ハードウェアベースのアプライアンス— 物理ハードウェア プラットフォーム上
•
仮想アプライアンス — 仮想マシン上
ネットワーク統合
ネットワークで、アプライアンスは異なるモードで Web トラフィックをインターセプト、フィルタリング、および
送信できます。
•
明示的プロキシ モード — アプライアンスが通信するクライアントがそれを認識しています。
「明示的に」それら
を構成して、トラフィックをアプライアンスに仕向けます。
•
透過的モード — クライアントはアプライアンスを認識していません。
•
透過型ブリッジ — アプライアンスは、クライアントと Web の間で「見えない」ブリッジとして動作します。
これに対してクライアントを構成する必要があります。
•
透過的ルーター — アプライアンスは、ユーザーが記入する必要があるルーティング テーブルに従ってトラフ
ィックを仕向けます。
管理と更新
アプライアンスを管理し、種々の方法で更新を配布することができます。
•
スタンドアロン — アプライアンスを個別に、アプライアンスが他のアプライアンスから更新を受信しないように
管理します。
•
一元管理 — アプライアンスを複雑な構成のノードとしてセットアップし、そのユーザー インターフェースでほ
かのノードを、更新の配布を含めて管理します。
また、他のノードでアプライアンスを管理し、アプライアンスが他のノードから更新を受信するように設定する
ことができます。
McAfee Web Gateway 7.6.2
Product Guide
23
1
はじめに
アプライアンスの配備
24
McAfee Web Gateway 7.6.2
Product Guide
2
ユーザー インターフェース
ユーザー インターフェースでは、ルール、リスト、設定、アカウント、Web Gateway の他の管理機能を操作でき
ます。重要なフィルタリング パラメーターやシステム パラメーターに関する情報を表示し、トラブルシューティン
グを行うこともできます。
目次
ユーザー インターフェースの主要要素
設定機能のサポート
ユーザー インターフェース以外での Web Gateway の管理
ユーザー インターフェースの主要要素
以下のスクリーン ショットには、ユーザー インターフェースの主要要素が表示されています。
図 2-1 ユーザー インターフェース
以下の表では、ユーザー インターフェースの主要要素について説明します。
McAfee Web Gateway 7.6.2
Product Guide
25
2
ユーザー インターフェース
ユーザー インターフェースの主要要素
表 2-1 ユーザー インターフェースの主要要素
オプション
定義
システム情報
行
システムとユーザーの情報が表示されます。
[ユーザー設
定]
ウィンドウが開き、ユーザー インターフェースを設定したり、パスワードの変更を行うことがで
きます。
[ログアウト]
ユーザー インターフェースからログオフします。
ヘルプ アイコ
ン
オンライン ヘルプが表示されます。
最上位メニュ
ー バー
以下のメニューから 1 つを選択することができます。
ページ内の情報を参照したり、ツリー構造に従ってページを移動することができます。また、全文
検索を実行したり、インデックス項目で検索できます。
• [ダッシュボード] - イベント、Web の使用、フィルタリング、システムの動作に関する情報が
表示されます。
• [ポリシー] - Web セキュリティ ポリシーを設定します。
• [設定] - アプライアンスのシステム設定を行います。
• [アカウント] - 管理者アカウントを管理します。
• [トラブルシューティング] - アプライアンスで発生した問題を解決します。
[検索]
ウィンドウが開き、次の検索オプションを選択できます。
• [オブジェクトの検索] - ルール セット、ルール、リスト、設定を検索します。
入力フィールドに検索語句を入力すると、指定した語句に一致する名前のオブジェクトがすべて
表示されます。
• [参照するオブジェクトの検索] - リスト、プロパティ、設定を選択して検索すると、選択項目
が使用されているルールがすべて表示されます。
[変更を保存]
変更を保存します。
タブ バー
現在選択されている最上位メニューのタブが表示されます。
最上位メニューには次のタブがあります。
• [ダッシュボード]
• アラート
• グラフと表
• [ポリシー]
• ルール セット
• リスト
• 設定
• テンプレート
• [設定]
• アプライアンス
• ファイル エディター
• [アカウント]
• 管理者アカウント
[トラブルシューティング] にはタブがありません。
26
McAfee Web Gateway 7.6.2
Product Guide
ユーザー インターフェース
設定機能のサポート
2
表 2-1 ユーザー インターフェースの主要要素 (続き)
オプション
定義
ツールバー (タ 様々なツールを使用できます。表示されるツールは、選択したタブによって異なります。
ブ上)
ナビゲーショ
ン ペイン
ルール、リスト、設定などの項目がツリー構造で表示されます。
設定ペイン
ナビゲーション ペインで選択されている項目の設定オプションを使用できます。
設定機能のサポート
ユーザー インターフェースには、設定を行うための様々な機能が用意されています。
表 2-2 管理機能のサポート
オプション
定義
黄色い三角形
空のリストか、入力が必要なリスト名と一緒に表示されます。
フィルター リストが作成されても、細かい情報が必要な場合、ポリシー設定ウィザードで入
力されない場合があります。
黄色の挿入テキスト ユーザー インターフェースの項目の上にマウス ポインターを置くと、その項目の意味と使用
方法が表示されます。
OK アイコン
入力項目が有効な場合に、ウィンドウに表示されます
エラー アイコン
入力項目が無効な場合に、ウィンドウに表示されます
メッセージ テキス
ト
エラー アイコンと一緒に表示され、無効な入力項目の情報が表示されます。
薄赤色の入力フィー 無効な入力があることを示します。
ルド
[変更を保存]
項目を変更すると、ボタンが赤になります。
変更を保存すると再び灰色になります。
赤い三角形
変更された項目が保存されていない場合に、タブ、アイコン、リスト項目と一緒に表示されま
す。
たとえば、ルールを変更した場合、以下の場所に赤い三角形が表示されます。
• 設定ペインのルール エントリの行
• ルール セットのアイコン
• [ルール セット] タブで突き出ている部分
• 最上位メニュー バーの [ポリシー] アイコンの上
変更の破棄
ユーザー インターフェースで管理者アクティビティを実行している場合、それらを保存する代わりに作成した変更を
破棄できます。
変更を破棄するための 1 つのオプションは、保存していない変更で本当に行うかどうかに関わらず、ログオフを実行
する場合の正しい答えです。
もう 1 つのオプションは、変更を破棄し、構成データをリロードするためのものです。
構成データのリロードは、最後に保存した後、既存の構成を復元します。これは、他の管理者によって完了できます。
アプライアンスの初期セットアップの後にまだ変更が保存されていない場合、初期セットアップ構成が復元されます。
McAfee Web Gateway 7.6.2
Product Guide
27
2
ユーザー インターフェース
ユーザー インターフェース以外での Web Gateway の管理
データをリロードして変更を破棄する
既存の構成データをリロードして、ユーザー インターフェースで構成された変更を破棄できます。
タスク
1
[変更を保存する]ボタンの隣にある小さく黒い三角形をクリックします。
[バックエンドからデータをリロードする]を読み込む挿入が表示されます。
2
挿入をクリックします。
保留の変更が破棄され、構成データがリロードされます。
ユーザー インターフェース以外での Web Gateway の管理
標準のユーザー インターフェースにログオンしなくても、別のインターフェースを使用して Web Gateway を管理
することができます。このインターフェースは REST (Representational State Transfer) インターフェースとい
います。
REST インターフェースを使用すると、特定の Web Gateway アプライアンスとこのアプライアンスに接続するア
プライアンスの操作を管理することができます。たとえば、アプライアンスの電源を切ったり、再起動することがで
きます。また、リストや設定の操作や更新も実行できます。
REST インターフェースの基本的な使用方法については、このガイドの付録にある「REST インターフェース」を参
照してください。インターフェースと通信を行うためのサンプル スクリプトも掲載されています。
28
McAfee Web Gateway 7.6.2
Product Guide
3
システム構成
アプライアンス システムは、Web フィルタリング、認証、クォータ管理などの他の機能によって使用される基本機
能を提供します。ネットワークの要件に対応するように、このシステムを構成することが可能です。
アプライアンス システムを構成するときは、主に以下の項目で作業を行います。
•
システム設定 — ネットワーク インターフェース、DNS サーバー、プロキシ、集中管理、およびアプライアンス
システムに関連する他のコンポーネントと方法のために構成されます
•
システム ファイル — ファイル エディターを使用して変更できるアプライアンス システムの機能の設定を含み
ます
•
データベース更新 — アプライアンスのフィルタリング機能が関連情報を利用できるようにします
システム構成の一部分は、アプライアンスの初期設定中に実行されます。このセットアップ後、アプライアンス シス
テムのさらなる構成アクティビティを完了させることができます。
目次
初期セットアップのシステム設定
初期セットアップ後のシステム構成
システム設定の構成
アプライアンス タブ
一般的なアプライアンス機能に対するシステム設定
ネットワーク機能に対するシステム設定
ネットワーク インターフェースのボンディング
ソースベースのルーティング
システム ファイル
ファイル エディター タブ
キャッシュ ボリュームのサイズ変更
更新処理
閉鎖されたネットワークの更新
初期セットアップのシステム設定
アプライアンスの初期セットアップの実行には、システム設定の一部の構成が含まれます。
初期設定は、デフォルト値のままに残すか、または自分の設定を実装することができます。後でも、これらの設定は
変更できます。
次の表は、初期セットアップで構成される設定、およびそれらのデフォルト値を示しています。
McAfee Web Gateway 7.6.2
Product Guide
29
3
システム構成
初期セットアップ後のシステム構成
表 3-1 初期セットアップのシステム設定
パラメーター
デフォルト値
プライマリ ネットワーク インターフェース
eth0
DHCP での自動構成
はい
ホスト名
mwgappl
ルート パスワード
<なし>
SSH でのリモート ルート ログオン
時間
デフォルト ゲートウェイ
<DHCP で構成>
DNS サーバー
<DHCP で構成>
初期セットアップ後のシステム構成
アプライアンス システムに対するすべての設定は、初期セットアップ後に構成することができます。これには、初期
セットアップ中に構成された設定の変更も含まれます。
アプライアンス システムに対する設定は、さまざまなフィールドで構成できます。
一般的な機能に対するシステム設定
一部のシステム設定は、アプライアンスのライセンスや日付と時刻など、一般的なサービスを提供するアプライアン
ス システムの機能に対して構成されます。
関連トピック:
34 ページの「ライセンスの設定」
35 ページの「利用統計の設定」
36 ページの「日付と時刻の設定」
37 ページの「ファイル サーバーの設定」
38 ページの「ユーザー インターフェースの設定」
ネットワーク システム設定
ネットワーク システム設定は、アプライアンス システムをネットワークに統合するために構成します。」
アプライアンスのプライマリ ネットワーク インターフェース、およびアプライアンスによって使用される DNS サ
ーバーの設定を含む、一部のネットワーク システム設定は初期セットアップですでに構成されています。
後で、プロキシ機能、ポート転送、静的ルーティング、および他のネットワーク関連の機能の構成もできます。
関連トピック:
42 ページの「ネットワーク インターフェースの設定」
125 ページの「ドメイン名サービスの設定」
46 ページの「ネットワーク保護設定」
47 ページの「ポート転送設定」
48 ページの「静的ルーティングの設定」
104 ページの「プロキシ設定」
30
McAfee Web Gateway 7.6.2
Product Guide
システム構成
初期セットアップ後のシステム構成
3
認証およびクォータのシステム設定
認証およびクォータのシステム設定は、アプライアンスでユーザーを認証し、それらのユーザーの Web 使用を制限
するための方法を実装するために構成します。
認証とクォータの構成は、主にアプライアンスで、認証およびクォータのルール セットで作業することにより、実行
されます。
しかし、Kerberos 認証方法および Windows ドメイン メンバーシップの設定を含む、いくつかの認証機能はアプラ
イアンス システムの設定として構成されます。
一部のクォータ パラメーターは、システム設定としても構成されます。
関連トピック:
258 ページの「Kerberos 管理システムの設定」
260 ページの「Windows ドメイン メンバーシップの設定」
323 ページの「クォータのシステム設定」
Web フィルタリング システム設定
Web フィルタリング システム設定は、Web オブジェクトをフィルタリングするための機能をアプライアンスで実装
するために構成されます。
Web フィルタリングの構成は、Gateway マルウェア対策ルール セットや URL フィルタリング ルール セットなど
の Web フィルタリング ルール セットのルールを操作することによってアプライアンスで主に実行されます。
ただし、アプライアンスのスキャン モジュールに対する作業負荷を制限するためにキュー内で Web オブジェクトを
収集するマルチウェア対策キューなど、Web フィルタリング機能のいくつかは、アプライアンス システムの設定と
して構成されます。
関連トピック:
344 ページの「マルウェア対策のシステム設定」
集中管理システム設定
集中管理システム設定は、共通の構成で複数のアプライアンスをノードとして実行している場合に構成します。
集中管理構成では、ログオンしているノードから、他のノードのシステム設定を構成することもできます。
関連トピック:
161 ページの「一元管理設定」
ログおよびトラブルシューティングに対するシステム設定
ログおよびトラブルシューティングに対するシステム設定は、アプライアンスでログ ファイル マネージャーを制御
するためと、外部コンポーネントを使用してログ データを記録するために構成されます。
外部コンポーネントの使用には、McAfee ePO サーバーへのデータの転送、および SNMP エージェントを使用した
イベントの監視が含まれます。
関連トピック:
596 ページの「Log File Manager settings」
630 ページの「ePolicy Orchestrator の設定」
627 ページの「SNMP 設定」
McAfee Web Gateway 7.6.2
Product Guide
31
3
システム構成
システム設定の構成
システム設定の構成
ネットワークの要件に対応させるために、アプライアンス システムの設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、アプライアンスを選択して、構成するシステム設定をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
30 ページの「初期セットアップ後のシステム構成」
アプライアンス タブ
[アプライアンス] タブでは、アプライアンスのシステム設定を行うことができます。
図 3-1 [アプライアンス] タブ
アプライアンス タブの主要要素
以下の表で、[アプライアンス]タブの主要な要素について説明します。
表 3-2 アプライアンス タブの主要要素
32
要素
説明
アプライアンス ツールバー
集中管理構成にアプライアンスを追加、削除、および一度に更新す
るための項目を含むツールバー。
アプライアンス ツリー
各アプライアンスのシステム設定を含むアプライアンスのツリー
構造
McAfee Web Gateway 7.6.2
Product Guide
システム構成
一般的なアプライアンス機能に対するシステム設定
3
表 3-2 アプライアンス タブの主要要素 (続き)
要素
説明
アプライアンス ツールバー
選択したアプライアンスで使用可能な項目が表示されるツールバ
ー
(アプライアンス ツリーでアプライアンスが選
択されたときに表示される)
アプライアンス設定
選択されたアプライアンスのシステム設定
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 3-3 アプライアンス ツールバー
オプション
定義
[追加 ]
アプライアンスを追加するための[アプライアンスの追加]ウィンドウを開きます。
[削除]
選択されたアプライアンスを削除します。
削除を確認するためのウィンドウが開きます。
[手動エンジン更新] 集中管理構成にあるすべてのアプライアンスのウイルス シグネチャおよびその他のフィルタ
リング情報が含まれている DAT ファイルを更新します。
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 3-4 アプライアンス ツールバー
オプション
定義
[再起動]
アプライアンスを再起動します。
[キャッシュを消去]
アプライアンスの Web キャッシュを消去します。
[アプライアンス ソフトウェアの更
新]
アプライアンス ソフトウェアの更新バージョンをインストールします。
[シャットダウン]
アプライアンスを非アクティブにします。
[ログをローテート]
アプライアンスのログ ファイルをローテートします。
[ログをローテートおよびプッシュ]
アプライアンスのログ ファイルをローテートし、[ログ ファイル マネージャ
ー]の設定で指定されている送信先にプッシュします。
一般的なアプライアンス機能に対するシステム設定
一部のシステム設定は、アプライアンス システムの一般的なサービスを提供する機能に対して構成されます。
一般的なアプライアンス機能に対する設定には、以下が含まれます。
•
ライセンス設定
•
日時設定
•
ファイル サーバー設定
•
ユーザー インターフェース設定
McAfee Web Gateway 7.6.2
Product Guide
33
3
システム構成
一般的なアプライアンス機能に対するシステム設定
ライセンスの設定
[ライセンス] の設定は、アプライアンスのライセンスをインポートするときに使用されます。 これらの設定と一緒
に、ライセンスの情報、ライセンス契約とデータ利用方針の確認オプションが表示されます。
ライセンス管理
ライセンスのインポート設定
表 3-5 ライセンス管理
オプション
定義
[ライセンスのイン
ポート]
ライセンスのインポートに必要なオプションが表示されます。
[使用許諾条件を確
認して同意します]
使用許諾条件のリンクと文書の確認後に選択するチェックボックスが表示されます。
[ライセンス ファイ
ル]
ローカル ファイル システムから選択されたライセンスファイルの名前とパスが表示されま
す。
ライセンスをインポートするには、チェックボックスの選択が必要です。選択しないと、残
りのインポート オプションがグレー表示されます。
このフィールドに名前とパスが表示されている場合、ライセンスの詳細情報が [ライセンス情
報] に表示されます。
[変更の保存] をクリックすると、ライセンスが有効になります。
[参照]
ローカル ファイル システムが開き、ライセンス ファイルを選択できます。
ライセンス情報
インポートされたライセンスの情報とデータ利用方針の確認オプションが表示されます。
表 3-6 ライセンス情報
オプション
定義
[ステータス]
ライセンス ファイルの名前が表示されます。
[作成]
ライセンス ファイルの作成日が表示されます。
[有効期限]
ライセンス ファイルの有効期限が表示されます。
[ライセンス ID]
ライセンス ID が表示されます。
[顧客]
ライセンス所有者の名前が表示されます。
[顧客 ID]
ライセンス所有者の ID が表示されます。
[シート]
ライセンス所有者の組織でライセンスが適用されるワークプレースの数が表示されま
す。
[評価版]
ライセンスが評価版かどうかが表示されます。
[機能]
ライセンスで使用できる Web Gateway の機能が表示されます。
[データ利用方針を確認し、 データ利用方針のリンクが表示されます。
理解しました]
34
McAfee Web Gateway 7.6.2
Product Guide
システム構成
一般的なアプライアンス機能に対するシステム設定
3
利用統計の設定
利用統計の設定は、不正な可能性のある Web オブジェクトのフィードバック データの収集方法を設定する場合に使
用します。また、ポリシー設定に関するデータの収集にも使用します。
フィードバックの設定
フィードバック データの収集のための設定
以下のオプションを個別に有効にしたり、無効にすることができます。
表 3-7 フィードバックの設定
オプション
定義
[システム情報と不審な URL に関するフ 選択すると、フィードバック データが収集され、特別な McAfee フィー
ィードバックを McAfee に送信して、脅 ドバック サーバーに送信されます。
威の予測や保護サービスを改善する]
McAfee はこのデータを収集してそれを分析し、Web Gateway の脅威
の予測と保護機能を改善します。
詳細については、
『データ使用状況のステートメント』を参照してくださ
い。
[不正 Web サイトに関するフィードバッ 選択すると、ウイルスとマルウェアのフィルタリングに関連するデータ
クを McAfee に送信する]
が収集され、特別な McAfee フィードバック サーバーに送信されます。
[動的に分類された Web サイトに関する 選択すると、Web サイトを分類するために関連するデータが収集され、
フィードバックを McAfee に送信する] 特別な McAfee フィードバック サーバーに送信されます。
[製品向上のため、ポリシー設定に関する 選択すると、ポリシー設定に関連するデータが収集され、特別な McAfee
フィードバックを McAfee に送信する] フィードバック サーバーに送信されます。
詳細情報
データ使用状況のステートメントへのリンク
表 3-8 詳細情報
オプション
定義
[データ使用状況
のステートメン
ト]
以下を説明するデータ使用状況のステートメントへのリンクを提供します。
• McAfee が収集されたフィードバック データを収集する目的
• 収集されたデータの種類
• データの種類によってデータの収集をオフにする方法
データの使用状況のステートメントは、アプライアンスの最初のセットアップ時にも示されま
す。
詳細設定
フィードバック データの収集のための詳細設定
表 3-9 詳細設定
オプション
定義
[アップストリーム プ 選択すると、McAfee にフィードバック データを送信するためにプロキシ サーバーが使用
ロキシを使用]
されます。
[プロキシの IP また
は名前]
McAfee Web Gateway 7.6.2
プロキシ サーバーの IP アドレスまたはホスト名を指定します。
Product Guide
35
3
システム構成
一般的なアプライアンス機能に対するシステム設定
表 3-9 詳細設定 (続き)
オプション
定義
[プロキシのポート]
フィードバック データを送信するためのリクエストを待機するプロキシ サーバーのポー
トのポート番号を指定します。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 9090 です。
[ユーザー名]
プロキシ サーバーにログインするために必要なユーザー名を指定します。
[パスワード]
プロキシ サーバーにログインするために必要なパスワードを指定します。
[設定] をクリックすると、パスワードを設定するウィンドウが開きます。
[フィードバック サー 選択すると、IP アドレスとポート番号をフィードバック データが送信されるサーバーに対
バーを選択する]
して構成できます。
[サーバーの IP]
フィードバック サーバーの IP アドレスを指定します。
[サーバーのポート]
データの送信要求を待機するフィードバック サーバーのポートのポート番号を指定しま
す。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 443 です。
[サーバーのポート]
選択すると、フィードバック送信アクティビティがログされます。
日付と時刻の設定
[日付と時刻] では、アプライアンス システムの日付と時刻の同期を行うタイム サーバーを設定します。 システム時
間を手動で設定することもできます。
日付と時刻
アプライアンス システムの日時の設定
表 3-10 日付と時刻
オプション
定義
[NTP サーバーと 選択された場合、アプライアンスは時間の同期のために NTP(Network Time Protocol)の時
の時刻同期を有
刻サーバーを使用します。
効にする]
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間差
が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動することを
推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定され
ます。
[NTP サーバー
リスト]
NTP プロトコルで時間の同期に使用するサーバーを入力するためのリストを提供します。
リスト要素は以下のとおりです。
• [文字列] — NTP サーバーの名前を指定します。
• [コメント] — NTP サーバーの平文コメントを提供します。
[タイムゾーンを
選択する]
36
タイム ゾーンを選択するリストを提供します。
NTP サーバーによって実行された時刻の同期、または手動で設定された時刻は、ここで選択す
るタイム ゾーンを参照します。
McAfee Web Gateway 7.6.2
Product Guide
システム構成
一般的なアプライアンス機能に対するシステム設定
3
手動によるシステム時刻の設定
アプライアンス システムの時刻および日付を構成するための設定
表 3-11 手動でのシステム時刻の設定
オプション
定義
[現在の日付と時刻] アプライアンス システムの日付および時刻の設定の要素を提供します。
• [日付] — フィールドに入力またはカレンダーを使用して日付を入力できます。
• カレンダー アイコン - カレンダーを開いて日付を選択します
カレンダーで日付を選択した後、[OK]をクリックすると日付フィールドに日付が表示され
ます。
• [時間] — 時間を入力して指定できます。
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間
差が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動すること
を推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定
されます。
[今すぐ設定]
入力した日付と時刻を対応するフィールドに設定します。
ファイル サーバーの設定
[ファイル サーバー] では、アプライアンス専用のファイル サーバー ポート (クライアントによるファイルのダウン
ロードで使用するポートなど) を有効にします。
HTTP コネクタ ポート
アプライアンスの専用ファイル サーバー ポートの設定
McAfee Web Gateway 7.6.2
Product Guide
37
3
システム構成
一般的なアプライアンス機能に対するシステム設定
表 3-12 HTTP コネクタ ポート
オプション
定義
[HTTP 経由の専用ファ
イル サーバー ポートを
有効にする]
選択されていると、下に構成されている専用 HTTP ファイル サーバー ポートが有効にな
ります。
[HTTP コネクター]
専用 HTTP ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は
1024 ~ 65335 までです。
ポート 1 から 1023 に要求を転送する場合は、ポート転送ルールをセットアップできま
す。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力すること
ができます。これは、このポート経由のアプライアンスへの接続は、指定アドレスを使用
した場合にのみ有効という意味です。
例:
アプライアンスには以下のとおり、IP アドレスを持つ 2 つのインターフェースがありま
す。
eth0: 192.168.0.10, eth1: 10.149.110.10
次の数字を HTTP コネクタに入力します。
4711, 192.168.0.10:4722
ポート 4771 経由のアプライアンスへの接続では両方の IP アドレスを使用することが
許可される一方で、ポート 4772 経由で接続する場合は、IP アドレス 192.168.0.10
が使用されます。
後者の方法による接続の制約は、イントラネットのセット アップに使用することができ
ます。
[HTTPS 経由の専用ファ 選択されていると、専用 HTTPS ファイル サーバー ポートが有効になります。
イル サーバー ポートを
有効にする]
[HTTPS コネクター]
専用 HTTPS ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は
1024 ~ 65335 までです。
ポート番号とともに IP アドレスを入力することは、HTTP コネクタと同様に行うことが
可能で、同じ意味を持ちます。
ポート 1 から 1023 に要求を転送する場合は、ポート転送ルールをセットアップできま
す。
ユーザー インターフェースの設定
[ユーザー インターフェース] の設定は、アプライアンスのローカル ユーザー インターフェースの要素を設定する場
合に使用します。 これらの要素の中には、ポート、ログオン ページ、SSL セキュア通信の証明書などがあります。
UI アクセス
アプライアンスのユーザー インターフェースのアクセス方法の設定
38
McAfee Web Gateway 7.6.2
Product Guide
3
システム構成
一般的なアプライアンス機能に対するシステム設定
表 3-13 UI アクセス
オプション
定義
[HTTP コネク
ター]
HTTP プロトコルでユーザー インターフェースにアクセスするためのオプションが表示されます。
• [HTTP でローカル ユーザー インターフェースを有効にする] - 選択すると、HTTP プロトコル
でユーザー インターフェースに接続できます。
• [HTTP コネクター] - HTTP でユーザー インターフェースに接続するときに使用するポートを
指定します。
• [HTTP で REST インターフェースを有効にする] - 選択すると、HTTP プロトコルで REST イ
ンターフェースに接続できます。
[HTTPS コネ
クター]
HTTPS プロトコルでユーザー インターフェースにアクセスするためのオプションが表示されま
す。
• [HTTPS でローカル ユーザー インターフェースを有効にする] - 選択すると、HTTPS プロト
コルでユーザー インターフェースに接続できます。
• [HTTPS コネクター] - HTTPS でユーザー インターフェースに接続するときに使用するポー
トを指定します。
• [HTTPS で REST インターフェースを有効にする] - 選択すると、HTTPS プロトコルで REST
インターフェースに接続できます。
[HTTPS クラ クライアント証明書コネクターの設定オプションが表示されます。
イアント証明
書コネクター] • [クライアント証明書による認証を有効にする] - 選択すると、クライアント証明書で認証が行
われます。
• [クライアント証明書による認証に使用する HTTPS コネクター] - クライアント証明書による
認証でユーザー インターフェースとの接続に使用するポートを指定します。
• [認証後に対象をリダイレクトする] - 選択すると、クライアント証明書による認証が正常に実
行されると、要求がリダイレクトされます。
• [リダイレクト先のホストとポート] - 要求のリダイレクト先になっているホスト システムと
ポート番号を指定してください。
[その他]
ユーザー インターフェースへのアクセスの設定に必要な他のオプションが表示されます。
• [セッション タイムアウト] - ユーザー インターフェースのセッションを閉じるまでの時間
(分) を指定します。指定した時間が経過してもアクティビティが発生しない場合、セッションを
終了します。
セッション タイムアウトに設定可能な値は、1 分から 99,999 分までです。
デフォルトのタイムアウトは 30 分です。
ログイン ページのオプション
アプライアンスのユーザー インターフェースにログオンするために使用されるページに対する設定
表 3-14 ログイン ページ オプション
オプション
定義
[ログイン認証情報の保存をブラウ
ザーに許可する]
選択すると、アプライアンスへログオンするためにユーザーが入力した認証情
報がブラウザーで保存されます。
[ユーザーの IP アドレスにブラウ
ザー セッションを制限する]
選択すると、ユーザー インターフェースを操作するためのセッションは、ユ
ーザーによってこのセッションが開始されたクライアントの IP アドレスが変
更されない限り有効となります。
[IP アドレスに対してセッション
を制限するかどうかをユーザーに
決定させる]
選択すると、ユーザー インターフェースを操作するためのセッションをこの
セッションが開始されたクライアントの IP アドレスに対してのみ有効にする
かどうかについては、このセッションを開始したユーザー次第になります。
McAfee Web Gateway 7.6.2
Product Guide
39
3
システム構成
一般的なアプライアンス機能に対するシステム設定
表 3-14 ログイン ページ オプション (続き)
オプション
定義
[ログイン名ごとに複数のログイン
を許可する]
選択すると、同じユーザー名とパスワードを使用して複数のユーザーがユーザ
ー インターフェースにログオンできます。
[HTTPOnly セッション cookie を 選択すると、ユーザー インタフェースに関するセッションに対して
使用する (アプレットの読み込みに HTTPOnly cookie が使用されます。
は時間がかかることがある)]
[アクティブなアプレット ユーザー アプライアンスのユーザー インターフェースに同時にログオン可能なユーザ
の最大数]
ー数を制限します。
デフォルトの最大数は 20 です。
[ログイン メッセージ]
ユーザー インターフェースのログオンに使用するページに追加メッセージを
表示する場合、次のオプションを使用できます。
たとえば、内部のポリシーや外部の規制に対する遵守を表すメッセージを表
示するには、これらのオプションを使用します。
• [ログイン ページに表示する] - 選択すると、[HTML メッセージ] フィー
ルドに入力したテキストがログオン ページに表示されます。
• [HTML メッセージ] - このフィールドに入力したテキストがログオン ペ
ージに表示されます。
ユーザー インターフェース証明書
ユーザー インターフェース用の HTTPS ポートを経由した SSL セキュア通信で使用される証明書に対する設定
表 3-15 ユーザー インターフェース証明書
オプション
定義
[サブジェクト、発行者、有効性、延
長]
現在使用中の証明書に関する情報が表示されます。
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウ
を開きます。
[証明書チェーン]
証明書とともにインポートされる証明書チェーンを表示します。
[証明機関のインポート] ウィンドウ
SSL セキュア通信で使用される証明書をインポートするための設定
表 3-16 [証明機関のインポート] ウィンドウ
オプション
定義
[証明書]
証明書ファイルの名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
[参照]
証明書ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[秘密鍵]
秘密鍵の名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
ここでは、AES 128 ビットの暗号化鍵または非暗号化鍵である鍵のみを使用できます。
40
McAfee Web Gateway 7.6.2
Product Guide
3
システム構成
一般的なアプライアンス機能に対するシステム設定
表 3-16 [証明機関のインポート] ウィンドウ (続き)
オプション
定義
[参照]
秘密鍵ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[パスワード]
秘密鍵を使用できるパスワードを設定します。
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開きます。
[OK]
指定した証明書に対するインポート プロセスを開始します。
[証明書チェー
ン]
証明書チェーン ファイルの名前を指定します。
[参照]
証明書チェーン ファイルを参照して選択できるようにするために、ローカル ファイル マネージ
ャーを開きます。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
証明書を証明書チェーンとともにインポートすると、ユーザー インターフェース証明書設定の[証
明書チェーン]フィールドに証明書チェーンが表示されます。
メモリー設定
アプライアンスのユーザー インターフェースで使用可能なメモリー設定
表 3-17 メモリー設定
オプション
定義
[GUI アプレットで使用可能な ユーザー インターフェースのアプレットで使用可能なメモリーの量 (MiB) を指
メモリーの最大量]
定します。
使用可能な最大数の範囲は、100 から 999 MiB です。
デフォルトでは、最大 512 MB が使用可能です。
[MWG UI バックエンドで使用 ユーザー インターフェースのバックエンドで使用可能なメモリーの量 (MiB) を
可能なメモリーの最大量]
指定します。
使用可能な最大数の範囲は、100 から 9999 MiB です。
ここで値を使用しないと、デフォルトの最大数である 512 MiB が使用されます。
REST の設定
アプライアンスで REST インターフェースを設定する場合の設定
McAfee Web Gateway 7.6.2
Product Guide
41
3
システム構成
ネットワーク機能に対するシステム設定
表 3-18 REST の設定
オプション
定義
[REST 要求の最大サイズ]
REST インターフェースに送信する要求のサイズ (MiB) を制限します。
REST インターフェースの実行時に使用可能な最大メモリー量は 200 MiB です。
デフォルトの最大サイズは 2 MiB です。
[REST セッションごとの最大 REST インターフェースの実行時に使用可能なメモリーの量 (MiB) を指定します。
メモリ]
REST インターフェースの実行時に使用可能な最大メモリー量は 200 MiB です。
デフォルトの最大サイズは、セッションあたり 10 MiB です。
[アクティブな REST ユーザ
ーの最大数]
REST インターフェースを同時に使用できるユーザー数を指定します。
デフォルトの最大数は 20 です。
ネットワーク機能に対するシステム設定
一部のシステム設定は、アプライアンス システムをネットワークに統合する機能に対して構成されます。
ネットワーク機能に対するシステム設定には、プロキシ設定と以下の設定が含まれます。
•
ネットワーク インターフェースの設定
•
静的ルート設定
•
ドメイン名サービスの設定
•
ポート転送設定
•
ネットワーク保護の設定
関連トピック:
104 ページの「プロキシ設定」
ネットワーク インターフェースの設定
[ネットワーク インターフェース] の設定では、アプライアンスのネットワーク インターフェースを設定します。
ネットワーク インターフェース設定
ネットワーク インターフェースの
表 3-19 ネットワーク インターフェース設定
42
オプション
定義
[ホスト名/完全修飾
ドメイン名]
アプライアンスのホスト名を指定します。
[デフォルト ゲート
ウェイ (IPv4)]
IPv4 の Web トラフィックに使用するデフォルトのゲートウェイを指定します。
[デフォルト ゲート
ウェイ (IPv6)]
IPv6 の Web トラフィックに使用するデフォルトのゲートウェイを指定します。
[次のネットワーク
インターフェースを
有効にする]
有効または無効にするネットワーク インターフェースのリストが表示されます。
名前は、完全修飾ドメイン名で指定する必要があります。
デフォルトでは、eth0 ネットワーク インターフェースにリストに表示され、有効になって
います。
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ネットワーク機能に対するシステム設定
3
表 3-19 ネットワーク インターフェース設定 (続き)
オプション
定義
[IPv4]
ネットワーク インターフェースの IPv4 設定オプションが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[IPv6]
ネットワーク インターフェースの IPv6 設定オプションが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[詳細]
ネットワーク インターフェースの追加メディアまたはブリッジを設定する場合のオプショ
ンが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[VLAN の追加]
VLAN トラフィックを処理するネットワーク インターフェースを追加します。
このオプションを使用すると、IPv4 または IPv6 で VLAN を実行できます。
ネットワーク インターフェースを追加するには、ID として番号を追加し、[OK] をクリッ
クします。
インターフェース名は、ドットで区切られた 2 つの部分から構成されます。
最初の部分は、使用可能なネットワーク インターフェースで有効になっているインターフェ
ースの名前と番号を表します。 2 つ目の部分はユーザー指定の番号です。
たとえば、eth0 インターフェースが有効で 1 を指定すると、VLAN トラフィックのネット
ワーク インターフェースが eth0.1 として追加されます。 初期設定では有効になってい
ません。
VLAN ネットワーク インターフェースの番号範囲は 1 ~ 4094 です。
VLAN トラフィックに 1 つ以上のネットワーク インターフェースを追加したら、
この ID を使用中のネットワーク モード (たとえば、透過型ブリッジ モード) の
ポート リダイレクト パラメーターに追加する必要があります。
ポート リダイレクトの追加または編集に使用するウィンドウで、[オプションの
802.1Q VLAN] フィールドに VLAN ID を入力します。 複数エントリはカンマ
で区切ります。
[削除]
VLAN トラフィックに選択したネットワーク インターフェースが削除されます。
以下の表では、[IPv4]、[IPv6]、[詳細] タブのオプションについて説明します。
IPv4
ネットワーク インターフェースの IPv4 を設定するタブ
表 3-20 IPv4
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスを設定する方法を選択します。
• [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ
スが自動的に取得されます。
• [手動設定] — IP アドレスを手動で設定します。
• [IPv4 を無効にする] - このインターフェースでは IPv4 を使用しません。
[IP アドレス]
McAfee Web Gateway 7.6.2
ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。
Product Guide
43
3
システム構成
ネットワーク機能に対するシステム設定
表 3-20 IPv4 (続き)
オプション
定義
[サブネット マ
スク]
ネットワーク インターフェースのサブネット マスクが表示されます (手動設定)。
[デフォルト ル
ート]
ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され
ます (手動設定)。
[MTU]
1 回の転送単位で送信するバイト数を指定された値に制限します。
[IP エイリアス]
IP アドレスのエイリアス リストが表示されます。
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウを開きます。
• [削除] - 選択したエイリアスを削除します。
IPv6
ネットワーク インターフェースの IPv6 を設定するタブ
表 3-21 IPv6
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスを設定する方法を選択します。
• [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ
スが自動的に取得されます。
• [ルーターから収集する] - IP アドレスをルーターから取得します。
• [手動設定] — IP アドレスを手動で設定します。
• [IPv6 を無効にする] - このインターフェースでは IPv6 を使用しません。
[IP アドレス]
ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。
[デフォルト ル
ート]
ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され
ます (手動設定)。
[MTU]
1 回の転送単位で送信するバイト数を指定された値に制限します。
[IP エイリア
ス]
IP アドレスのエイリアス リストが表示されます。
• [エイリアスの追加] - エイリアスを追加するウィンドウを開きます。
• [削除] - 選択したエイリアスを削除します。
詳細
ネットワーク インターフェースの詳細機能を設定するタブ。
現在選択されているネットワーク インターフェースがボンディング インターフェースの場合、異なるオプションが表
示されます。 これらのオプションについては、2 つ目の表で説明します。
44
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ネットワーク機能に対するシステム設定
3
表 3-22 詳細
オプショ
ン
定義
[メディ
ア]
ネットワーク インターフェースと一緒に使用する追加メディアを選択できます。
• [自動的に検出する] - アプライアンスのネットワーク環境で使用可能な場合、ネットワーク インタ
ーフェースとともに使用するメディアが自動的に検出されます。
• [1000BaseT-FD、1000Base-HD、...]- 選択したメディア項目がネットワーク インターフェース
とともに使用されます。
[ブリッジ
有効]
選択すると、Web トラフィックが透過型ブリッジ モードのネットワーク インターフェースからルーテ
ィングされます。
• [名前] - 透過型ブリッジの名前が表示されます。
[ボンディ
ング有効]
現在選択されているネットワーク インターフェース (たとえば、[eth2]) がボンディングされたインタ
ーフェースとして設定され、ボンディング インターフェースに従属します。
• [名前] - ボンディング インターフェースの名前を指定します。
以下の表では、ボンディング インターフェースの選択時に [詳細] タブに表示されるオプションについて説明します。
McAfee Web Gateway 7.6.2
Product Guide
45
3
システム構成
ネットワーク機能に対するシステム設定
表 3-23 詳細
オプション
定義
[ボンディング ボンディング オプションのオプションが表示されます。
オプション]
• [モード] - ボンディング構成のインターフェースでアクティブにするモードを指定します。
• [アクティブ/パッシブ] - ボンディングされた 1 つのインターフェースが常にアクティブに
なります。
アクティブなインターフェースで障害が発生した場合にのみ、ボンディングされた別のインタ
ーフェースがアクティブになります。
ネットワーク スイッチでの混乱を防ぐため、外部からはボンディング インターフェースの
MAC アドレスしか見えません。
一部のシステム メッセージでは、このモードがモード 1 として表示されます。
デフォルトでは、このモードが選択されていません。
• [802.3ad/LACP] - ボンディング構成のすべてのインターフェースがアクティブになりま
す。
送信トラフィックのインターフェースは、設定済みのハッシュ ポリシーに従って選択されま
す。
一部のシステム メッセージでは、このモードがモード 4 として表示されます。
このモードを選択すると、[LACP レート] オプションと [ハッシュ ポリシー] オプションが使
用可能になります。
• [Miimon] - MII 監視プログラムのポーリング メッセージを送信する間隔 (ミリ秒) を設定し
ます。
デフォルトの間隔は 100 ミリ秒です。
• [LACP レート] - 802.3ad モードで LACP-DU データ パケットを送信する場合の転送率を設
定します。
• [低速] - 30 秒間隔でデータ パケットを送信します。
デフォルトでは、この転送率が選択されています。
• [高速] - 1 秒ごとにデータ パケットを送信します。
• [ハッシュ ポリシー] - ボンディング構成のハッシュ値を計算する方法を設定します。
• [レイヤー 2] - ハッシュ値の計算にレイヤー 2 値の組み合わせが使用されます。 この組み
合わせでは、ハードウェアの MAC アドレスとパケット タイプの ID アドレスが使用されま
す。
デフォルトでは、このハッシュ ポリシーが選択されています。
• [レイヤー 2 +3] - ハッシュ値の計算にレイヤー 2 とレイヤー 3 のプロトコル情報が使用
されます。
ネットワーク保護設定
ネットワーク保護システム設定は、ネットワークからアプライアンスへのトラフィックの保護ルールを構成するため
に使用されます。
ネットワーク保護ルール
ネットワーク保護ルールを構成するための設定
46
McAfee Web Gateway 7.6.2
Product Guide
3
システム構成
ネットワーク機能に対するシステム設定
表 3-24 ネットワーク保護ルール
オプション
定義
[ネットワーク保護の
有効化]
これが選択されている場合、以下のネットワーク保護で構成されている設定が有効になり
ます。
[ポリシーの入力]
受信トラフィックに対して実行されるアクションを選択できます。
受信トラフィックはドロップするか、受け入れることができます。
[Ping リクエストの許
可]
これが選択されている場合、アプライアンスは Ping リクエストを受け入れて応答します。
[デフォルト ポリシー
からの例外]
アプライアンス システムにトラフィックを送信するネットワーク デバイスを入力するた
めのリストを提供します。
これらのデバイスからのトラフィックは、現在実装されているルールに従って処理されて
いません。これらのルールが受信トラフィックをドロップした場合、ここにリストされて
いるデバイスから送信されるトラフィックは受け入れられ、逆の場合も同様になります。
次の表は、デフォルト ポリシーからの例外のリストにあるエントリを示します。
表 3-25 デフォルト ポリシーからの例外 - リスト エントリ
オプション
定義
[デバイス]
アプライアンスにトラフィックを送信するネットワーク デバイスの名前を指定します。
* の入力、または入力ないことは、すべてのデバイスが対象であることを意味します。
[プロトコル] トラフィックの送信に使用されるプロトコルを指定します。
[ソース]
ネットワーク デバイスまたはアプライアンスにトラフィックを送信するデバイスの IP アドレスま
たはアドレス範囲を指定します。
[宛先ポート] ネットワーク トラフィックの宛先であるアプライアンスのポートを指定します。
[コメント]
例外に平文テキストのコメントを提供します。
ポート転送設定
[ポート転送] 設定は、アプライアンスが特定のホストの特定のポートから別のポートに送信される Web トラフィッ
クを転送できるようにルールを設定するために使用します。
ポート転送
ポート転送ルールを構成するための設定
表 3-26 ポート転送
オプション
定義
[ポート転送ルール]
ポート転送ルールのリストを提供します。
次の表では、ポート転送ルールのリストのエントリを説明しています。
表 3-27
ポート転送ルール - リスト エントリ
オプション
定義
[送信元ホスト]
ポート転送ルール内で Web トラフィックの送信元であるホストの IP アドレスを指定しま
す。
[バインド IP]
バインド IP アドレスを指定します。
[ターゲット ポート] 送信元ホストからの Web トラフィックが転送される先のポートを指定します。
McAfee Web Gateway 7.6.2
Product Guide
47
3
システム構成
ネットワーク機能に対するシステム設定
表 3-27
ポート転送ルール - リスト エントリ (続き)
オプション
定義
[宛先ホスト]
送信元ホストから送信される Web トラフィックの宛先であるホストの IP アドレスを指定
します。
[宛先ポート]
送信元ホストから受信する Web トラフィックを待機するために使用される宛先ホストのポ
ートを指定します。
[コメント]
ポート転送ルールに関するテキスト形式のコメントを提供します。
[ポート転送] の設定を続行します。
表 3-28 ポート転送 (続き)
オプション
定義
[拡張接続ロギ ポート転送のすべてのログがアプライアンス システムの /var/log/mwg_fwd.log に保存さ
ングを有効にす れます。
る]
ここで選択したロギング オプションは、設定済みのポート転送ルールで実行されるすべてのポー
ト転送に適用されます。
保存されたログ ファイルは、ユーザー インターフェースの [トラブルシューティング] トップレ
ベル メニューでも確認できます。
ログ ファイルを表示するアプライアンスを選択して [ログ ファイル] を選択し、[システム] フォ
ルダーを開きます。
[拡張ロギング 選択すると、ログに記録するデータ タイプを設定する入力フィールドが使用可能になります。
フィールドをカ
スタマイズす
る]
[成功時に記録] Web トラフィックが正常に転送されたときに記録するデータ タイプを入力します。
1 つ以上のデータ タイプ (PID、HOST、USERID、EXIT、DURATION、TRAFFIC など) を入力
できます。タイプは大文字で入力します。複数のタイプを入力する場合には、カンマで区切りま
す。
[失敗時に記録] Web トラフィックの転送に失敗したときに記録するデータ タイプを入力します。
1 つ以上のデータ タイプ (HOST、USERID、ATTEMPT) を入力できます。タイプは大文字で入
力します。複数のタイプを入力する場合には、カンマで区切ります。
HOST データはデフォルトでログに記録されます。
静的ルーティングの設定
[静的ルーティング] の設定は、Web トラフィックがアプライアンスから特定のホストにルーティングされるときに、
同じゲートウェイとこのゲートウェイのインターフェースを常に使用するルートを設定する場合に使用します。
静的ルーティング
IPv4 または IPv6 の静的ルーティングの設定
表 3-29 静的ルーティング
オプション
定義
[静的ルーティング リスト] IPv4 または IPv6 で Web トラフィックを転送する静的ルーティングのリストが表
示されます。
次の表では、静的ルートのリストのエントリを説明しています。
48
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ネットワーク機能に対するシステム設定
3
表 3-30 静的ルーティング リスト - リスト項目
オプション
定義
[宛先]
静的ルーティングの送信先となるホストの IP アドレスを指定します。ホストのネットマスクを指
定することもできます。
[ゲートウェイ] アプライアンスからホストへ Web トラフィックをルーティングするためのゲートウェイの IP ア
ドレスを指定します。
[デバイス]
静的ルートに対してゲートウェイで使用されるインターフェースを指定します。
[説明]
静的ルートのテキスト形式の説明を提供します。
[コメント]
静的ルートのテキスト形式のコメントを提供します。
ソースベースのルーティング
IPv4 または IPv6 のソースベースのルーティングの設定
表 3-31 ソースベースのルーティング
オプション
定義
[IPv4 でのソースベースのルーティ
ング]
選択すると、IPv4 でソースベースのルーティングが実行されます。
[IPv6 でのソースベースのルーティ
ング]
選択すると、IPv6 でソースベースのルーティングが実行されます。
[静的ソース ルーティング テーブル
番号]
管理ユーザー インターフェースで送受信されるトラフィックのルーティン
グに使用するソース ルーティング テーブルの項目リストが表示されます。
[IPv4 でのソースベースのルーティ
ング リスト]
管理ユーザー インターフェースで送受信されるトラフィックのルーティン
グに使用するルーティング項目のリストが表示されます。
このルーティング項目は、IPv4 を使用するネットワーク用です。
[IPv6 でのソースベースのルーティ
ング リスト]
このルーティング項目は、IPv6 を使用するネットワーク用です。
以下の表では、静的ソース ルーティング テーブルのリスト項目について説明します。
表 3-32 静的ソース ルーティング テーブル番号 - リスト項目
オプション
定義
[ルーティング テーブルの検索に
使用するソース情報]
設定済みの静的ソース ルーティング テーブルに従って転送されるトラフィッ
クの送信元 IP アドレスが表示されます。
[ルーティング テーブル番号]
管理ユーザー インターフェースで送受信されるトラフィックのルーティング
に使用するルーティング テーブルの番号が表示されます。
[コメント]
静的ソース ルーティング テーブルのコメントがテキスト形式で表示されま
す。
以下の表では、IPv4 でのソースベースのルーティングのリスト項目について説明します。
表 3-33 IPv4 でのソースベースのルーティング リスト - リスト項目
オプション
定義
[宛先]
管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP アドレス範
囲 (CIDR 形式) が表示されます。
[ルーティング テー 管理ユーザー インターフェースで送受信されるトラフィックのルーティングに使用するルー
ブル番号]
ティング テーブルの番号が表示されます。
[ゲートウェイ]
McAfee Web Gateway 7.6.2
管理ユーザー インターフェースで送受信されるトラフィックが通過するゲートウェイの IP
アドレスが表示されます。
Product Guide
49
3
システム構成
ネットワーク インターフェースのボンディング
表 3-33 IPv4 でのソースベースのルーティング リスト - リスト項目 (続き)
オプション
定義
[デバイス]
管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの
名前が表示されます。
[ソース IP]
管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの
IP アドレスが表示されます。
このアドレスが、ルーティング テーブルに従って転送されるトラフィックの送信元 IP アドレ
スになります。
[コメント]
ソースベースのルーティングに関するコメントがテキスト形式で表示されます。
以下の表では、IPv6 でのソースベースのルーティングのリスト項目について説明します。
表 3-34 IPv6 でのソースベースのルーティング リスト - リスト項目
オプション
定義
[宛先]
管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP アドレス範
囲 (CIDR 形式) が表示されます。
[ルーティング テー 管理ユーザー インターフェースで送受信されるトラフィックのルーティングに使用するルー
ブル番号]
ティング テーブルの番号が表示されます。
[ゲートウェイ]
管理ユーザー インターフェースで送受信されるトラフィックが通過するゲートウェイの IP
アドレスが表示されます。
[デバイス]
管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの
名前が表示されます。
[ソース IP]
管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの
IP アドレスが表示されます。
このアドレスが、ルーティング テーブルに従って転送されるトラフィックの送信元 IP アドレ
スになります。
[コメント]
ソースベースのルーティングに関するコメントがテキスト形式で表示されます。
ネットワーク インターフェースのボンディング
2 つ以上のネットワーク インターフェースをボンディングすると、これらの 1 つのインターフェースとして扱うと、
帯域幅を向上し、高可用性を実現できます。
Web Gateway のネットワーク インターフェース (たとえば、[eth2] と [eth3]) をボンディングして、1 つのチャ
ネルとして使用できます。 ボンディング カーネル モジュールをこのように作成し、共通のネットワーク インターフ
ェースからアクセスできるようにします。このインターフェースをボンディング インターフェースといいます。
ボンディング インターフェースでバインドされたネットワーク インターフェースは、ボンディングされたネットワ
ークといいます。 これらのインターフェースは、別々の NIC で提供できます。
ボンディング インターフェースをマスター インターフェース、ボンディングされたインターフェースを下位インタ
ーフェースという場合もあります。 一部のシステム メッセージでは、ボンディングされたインターフェースがスレ
ーブと表示されることがあります。
関連するコンポーネントとプロセスから見て、ネットワーク インターフェースのボンディングを NIC のボンディン
グ、Ethernet ボンディング、チャネル ボンディングという場合もあります。
ネットワーク インターフェースのボンディングは、Web Gateway のユーザー インターフェースで設定できます。
ボンディング インターフェースが正常に設定されているかどうか確認するには、システム コンソールからコマンド
を実行します。
50
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ネットワーク インターフェースのボンディング
3
通常のネットワーク インターフェースと同様に、ボンディング インターフェースでも VLAN を設定できます。この
設定を行うには、ユーザー インターフェースの設定オプションを使用します。
ネットワークに透過型ブリッジ モードまたは透過型ルーター モードが設定されている場合、ネットワーク インターフ
ェースはボンディングできません。
ネットワーク インターフェースのボンディングを設定する
ネットワーク インターフェースのボンディングを設定するには、ボンディング インターフェースを作成して、この
インターフェースとボンディング構成のパラメーターを選択します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ネットワーク インターフェースのボンディングを設定するアプライアンスを選択し、
[ネットワーク インターフェース] をクリックします。
設定ペインに [ネットワーク インターフェース] の設定が表示されます。
3
ボンディング インターフェースを作成します。
a
[次のネットワーク インターフェースを有効にする] で、ボンディングされたインターフェースとして実行す
るネットワーク インターフェースを選択します (例: [eth2])。
b
[詳細設定] タブで [ボンディング有効] を選択し、作成するボンディング インターフェースの名前を [名前]
フィールドに入力します (例: bond1)。
このボンディング構成で実行する別のネットワーク インターフェースに手順 a と b を繰り返します。
ボンディングされたインターフェースとして別のネットワーク インターフェースを追加し、3 つ以上のインタ
ーフェースからボンディングを構成することもできます。
c
[変更の保存] をクリックします。
d
ログアウトして再度ログオンします。
ログオン後、新しいボンディング インターフェースが [次のネットワーク インターフェースを有効にする]
のリストに表示されます。
4
ボンディング インターフェースのパラメーターを設定します。
a
ボンディング インターフェースを選択し、ネットワークで使用するプロトコル バージョンに合わせて [IPv4]
または [IPv6] タブをクリックします。
b
[手動設定] を選択します。[IP アドレス] に IP アドレスを入力し、[サブネット マスク] にサブネット マス
クの値を入力します。
1 つの転送単位での最大バイト数を指定する [MTU] はデフォルト値のまま使用できます。
McAfee Web Gateway 7.6.2
Product Guide
51
3
システム構成
ネットワーク インターフェースのボンディング
5
ボンディング構成のパラメーターを設定します。
a
ボンディング インターフェースを選択して、[詳細設定] タブをクリックします。
b
[モード] で、次のいずれかのボンディング モードを選択します。
•
[アクティブ/パッシブ] - このモードでは、ボンディング構成で 1 つのインターフェースが常にアクティ
ブになります。 アクティブなインターフェースで障害が発生した場合にのみ、ボンディングされた別のイ
ンターフェースがアクティブになります。
ネットワーク スイッチでの混乱を防ぐため、外部からはボンディング インターフェースの MAC アドレス
しか見えません。
一部のシステム メッセージでは、このモードがモード 1 として表示されます。
デフォルトでは、このモードが選択されていません。
•
[802.3ad/LACP] - このモードでは、ボンディング構成のすべてのインターフェースがアクティブにな
ります。
送信トラフィックのインターフェースは、設定済みのハッシュ ポリシーに従って選択されます。
一部のシステム メッセージでは、このモードがモード 4 として表示されます。
このモードを選択すると、[LACP レート] オプションと [ハッシュ ポリシー] オプションが使用可能にな
ります。
c
[Miimon] で、ボンディング インターフェースの監視を設定します。
ここで設定した値により、MII 監視プログラムのポーリング メッセージを送信する間隔 (ミリ秒) が設定され
ます。
デフォルトの間隔は 100 ミリ秒です。
d
ボンディング モードで [802.3ad/LACP] を選択した場合には、このモード固有のオプションを選択します。
[LACP レート] で、ボンディング構成内での LACP-DU データ パケットの転送率を選択します。
•
[低速] - この転送率を選択すると、30 秒間隔でデータ パケットが送信されます。
デフォルトでは、この転送率が選択されています。
•
[高速] - この転送率を選択すると、1 秒ごとにデータ パケットが送信されます。
[ハッシュ ポリシー] で、次のいずれかのオプションを選択します。
•
[レイヤー 2] - このポリシーでは、ハッシュ値の計算にレイヤー 2 値の組み合わせが使用されます。 こ
の組み合わせでは、ハードウェアの MAC アドレスとパケット タイプの ID アドレスが使用されます。
デフォルトでは、このハッシュ ポリシーが選択されています。
•
6
[レイヤー 2 +3] - このポリシーでは、ハッシュ値の計算にレイヤー 2 とレイヤー 3 のプロトコル情報
が使用されます。
[変更の保存] をクリックします。
関連トピック:
42 ページの「ネットワーク インターフェースの設定」
52
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ネットワーク インターフェースのボンディング
3
ボンディング構成の確認
ボンディング ネットワーク インターフェースが正しく設定されているかどうかをシステム コンソールから確認す
ることができます。
設定したパラメーターでボンディング構成が稼動しているかどうか確認するには、適切なネットワーク スクリプトを
使用します。 ボンディング インターフェースとボンディングされたネットワーク インターフェースの状態は、コマ
ンドでも確認できます。
構成パラメーターの確認
ifcfg ネットワーク スクリプトを使用すると、設定したパラメーター (ボンディング モード、ボンディング インタ
ーフェースの IP アドレスなど) でボンディング構成のネットワーク インターフェースが動作しているかどうか確認
できます。
ボンディング インターフェース (例: bond 1) のパラメーターを表示するには、次のコマンドを使用してネットワ
ーク スクリプトを実行します。
cat /etc/sysconfig/network-scripts/ifcfg-bond1
次のような行が戻されます。
### BEGIN AUTOGENERATED CONFIG
BONDING_OPTS:='mode=1 miimon=600'
BOOTPROTO='none'
DEVICE='bond1'
IPADDR='10.11.12.12'
...
ボンディングされたインターフェース (例: eth2 1) のパラメーターを表示するには、次のコマンドを実行します。
cat /etc/sysconfig/network-scripts/ifcfg-bond1
次のような行が戻されます。
### BEGIN AUTOGENERATED CONFIG BOOTPROTO='none' MASTER='bond1'
SLAVE:'yes'
DEVICE='eth2'
...
ネットワーク インターフェースの状態確認
ボンディングされたネットワークがボンディング ネットワークで正しく動作しているかどうか確認できます。また、
ボンディングされたインターフェースの中で現在アクティブ (スレーブ) なインターフェースの状態も確認できま
す。
次のコマンドを実行してください (ボンディング インターフェースを bond1 とします):
cat /proc/net/bonding/bond1
次のような行が戻されます。
### Ethernet Channel Bonding Driver: v. 3.7.1 (April 27, 2015) Bonding Mode: fault-tolerance
(active-backup)
Primary Slave: None
MII Status: up
MII Polling Interval (ms): 600 Up Delay (ms): 0 Down Delay (ms): 0 Slave Interface: eth2
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW Addr: 00:0c:29:e0:a7:37
Slave Queue ID: 0 Slave Interface: eth3
MII Status: up
...
McAfee Web Gateway 7.6.2
Product Guide
53
3
システム構成
ソースベースのルーティング
ソースベースのルーティング
ネットワークのトラフィック ルーティングを設定するときに、送信元の IP アドレスに基づいてルーティングを行う
ように設定できます。 このルーティング方法をソースベースのルーティングといいます。
この方法を使用すると、管理者が Web Gateway アプライアンスのユーザー インターフェースにアクセスするとき
に発生した管理トラフィックと、管理者またはエンドユーザーが Web にアクセスするときに発生したトラフィック
を分離できます。 この 2 種類のトラフィックは、それぞれ別のファイアウォールで保護できます。
この方法を実装するには、アプライアンスの特定のネットワーク インターフェースを経由した場合のみ、管理者にユ
ーザー インターフェースに対するアクセスを許可する必要があります。 このネットワーク インターフェースが管
理ネットワーク インターフェースとなり、他のネットワーク インターフェースは Web へのアクセス用に設定され
ます。
また、監視情報 (SNMP メッセージなど) が管理ネットワーク インターフェース経由でアプライアンスに送信される
ように設定することもできます。
管理インターフェースを通過したトラフィックを送信元の IP アドレスに従ってさらにルーティングすることができ
ます。このアドレスが管理インターフェースのアドレスになります。
このトラフィック ルーティングを設定するには、次の 2 つの手順を行う必要があります。
•
ルーティング テーブルの設定
•
このテーブル内でのルートの設定
送信元の IP アドレスは両方の手順で指定します。これにより、このアドレスから送信されたトラフィックが特定の
テーブルとルートに従ってルーティングされます。
別のルーティング テーブルを設定して、Web Gateway のリストに入力し、各テーブルに別のルートを設定するこ
ともできます。
ネットワークで使用されているプロトコルのバージョンに応じて、IPv4 または IPv6 で使用するルートを設定でき
ます。
管理ネットワーク インターフェースにソースベースのルーティングを設定する
管理ネットワーク インターフェースからのトラフィックを他のトラフィックと分離するには、ソースベースのルーテ
ィングを設定します。
タスク
54
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ソースベースのルーティングを設定するアプライアンスを選択します。
3
管理ネットワーク インターフェースの使用方法を設定し、ユーザー インターフェースに対する管理者アクセスを
定義します。
a
[ユーザー インターフェース] をクリックします。
b
[HTTP コネクター] で次の操作を行います。
•
[HTTP でローカル ユーザー インターフェースを有効にする] が選択されていることを確認します。
•
[HTTP コネクター] フィールドに、管理ネットワーク インターフェースの IP アドレスとリスナー ポート
を入力します。
McAfee Web Gateway 7.6.2
Product Guide
3
システム構成
ソースベースのルーティング
4
SNMP メッセージ用に管理ネットワーク インターフェースを設定します。
a
[SNMP] をクリックします。
b
[SNMP ポート設定] で、[リスナー アドレス リスト]のツールバーにある [追加] アイコンをクリックします。
[SNMP リスナーの追加] ウィンドウが開きます。
c
[リスナー アドレス] フィールドに、管理ネットワーク インターフェースの IP アドレスとリスナー ポートを
入力します。
d
[OK] をクリックします。
ウィンドウが閉じて、リストにリスナー アドレスが表示されます。
5
管理ユーザー インターフェースで送受信されるトラフィックにソースベースのルーティングを設定します。
a
[静的ルーティング] をクリックします。
b
[ソースベースのルーティング] で、ネットワークで使用されている IP バージョンに応じて [IPv4 でのソー
スベースのルーティング] または [IPv6 でのソースベースのルーティング] を選択します。
ソースベースのルーティングを設定する 2 つのリストが表示されます。
c
[静的ソース ルーティング テーブル番号] リストのツールバーで [追加] アイコンをクリックします。
[ApplianceSourceBasedRoutingTable の追加] ウィンドウが開きます。
d
e
次のようにルーティング テーブルの項目を設定します。
•
[ルーティング テーブルの検索に使用するソース情報] フィールドに、管理ネットワーク インターフェー
スの IP アドレスを入力します。
•
[ルーティング テーブル番号] フィールドに、管理ネットワーク インターフェースで送受信されるトラフ
ィックに使用するルーティング テーブルの番号を入力します。
[OK] をクリックします。
ウィンドウが閉じて、リストにルーティング テーブルの項目が表示されます。
f
[IPv4 でのソースベースのルーティング リスト] (または IPv6 用のリスト) のツールバーで [追加] アイコ
ンをクリックします。
[ApplianceSourceBasedRoutingIPv4 の追加] ウィンドウ (または IPv6 用のウィンドウ) が開きます。
g
次のようにルーティング項目を設定します。
•
[宛先] フィールドに、管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP ア
ドレス範囲を CIDR 形式で入力します。
•
[ルーティング テーブル番号] フィールドに、管理ネットワーク インターフェースで送受信されるトラフ
ィックに使用するルーティング テーブルの番号を入力します。
•
[ゲートウェイ] フィールドに、管理ユーザー インターフェースで送受信されるトラフィックが通過するゲ
ートウェイの IP アドレスを入力します。
McAfee Web Gateway 7.6.2
Product Guide
55
3
システム構成
システム ファイル
h
•
[デバイス] フィールドに、管理ネットワーク インターフェースとして設定するネットワーク インターフ
ェースの名前を入力します。
•
[送信元 IP] フィールドに、管理ネットワーク インターフェースとして設定するネットワーク インターフ
ェースの IP アドレスを入力します。
[OK] をクリックします。
ウィンドウが閉じて、リストにルーティング項目が表示されます。
6
[変更の保存] をクリックします。
関連トピック:
48 ページの「静的ルーティングの設定」
システム ファイル
システム ファイルには、アプライアンス システムの機能に対する設定が含まれます。これらの設定は、ファイル エ
ディターを使用して編集できます。
システム ファイルに保存される設定には、IP アドレス、最大メッセージ サイズ、キューに入れることのできる最大
メッセージ数など、ネットワーク通信用にアプライアンス システムが使用するパラメーターの設定が含まれます。
ログやアクセス制限など、アプライアンス システムの機能を構成するには、他の設定が使用されます。
システム ファイルの例は /etc/hosts ファイルで、IP アドレスとホスト名のエントリ(アプライアンス自体のロ
ーカル IP アドレスとホスト名を含む)が含まれます。
ユーザー インターフェースのタブからアクセスできるファイル エディターでは、これらのファイル内の設定を編集
できます。
システム ファイルを編集するために、ファイル エディターのみを使用します。ファイル エディターの外部でこれらの
ファイルを開いて手動で編集する場合、変更したものは Web Gateway の新しいバージョンへのアップグレードが行
われるときに上書きされます。
関連トピック:
57 ページの「ファイル エディター タブ」
56
McAfee Web Gateway 7.6.2
Product Guide
システム構成
ファイル エディター タブ
3
ファイル エディター タブ
[ファイルエディター]タブは、アプライアンスのシステム ファイルの編集を可能にします。
ファイル エディター タブの主要要素
以下の表で、[ファイル エディター]タブの主要要素について説明します。
表 3-35 ファイル エディター タブの主要要素
要素
説明
[ファイル]
各アプライアンスのシステム設定を含むアプライアンスのツリー構造
[エディター ]
システム ファイルを編集するための項目、およびファイル エントリ
を表示するためのコンテンツ ペインがあるツールバー
([ファイル]でシステム ファイルが選択さ
れているときに表示される)
エディター ツールバー
エディター ツールバーには、次のオプションがあります。
McAfee Web Gateway 7.6.2
Product Guide
57
3
システム構成
キャッシュ ボリュームのサイズ変更
表 3-36 ファイル エディター ツールバー
オプション
定義
[編集]
システム ファイル エントリのテキストを編集するためのオプションがあるメニュ-を開きます。
• [切り取り] — 選択されたテキストを切り
取ります
• [削除] — 選択されているテキストを削除
します
• [コピー] — 選択されているテキストをコ
ピーします
• [すべて選択] — テキスト全体を選択しま
す
• [貼り付け] — コピーまたは切り取られた
テキストを貼り付けます。
[変更を破棄] テキストの変更を破棄します。
ウィンドウが開き、破棄の確認が行われます。
キャッシュ ボリュームのサイズ変更
ウィザードを使用すると、アプライアンスで Web キャッシュに使用する論理ボリュームと、一時ファイルとログ フ
ァイルを保存する論理ボリュームのサイズを変更できます。
アプライアンスに Web Gateway をインストールすると、一時ファイルやログ ファイルを保存する論理ボリューム
よりも、Web キャッシュ用の論理ボリュームのほうが大きくなります。アプライアンスのボリューム ウィザードを
使用すると、このサイズを変更し、一時ファイルとログ ファイルを保存するディスク容量を増やすことができます。
ウィザードのページで、ボリューム サイズは GiB で表示されます。たとえば、サイズ変更前のサイズは次のように
なります。
•
Web キャッシュ ボリューム:197 GiB
•
一時ファイルとログ ファイルのボリューム:40 GiB
サイズ変更後は、次のようにサイズが逆になります。
•
Web キャッシュ ボリューム:40 GiB
•
一時ファイルとログ ファイルのボリューム:197 GiB
初めて Web Gateway アプライアンスをセットアップするときに、ウィザードに従ってサイズを変更することがで
きます。設定ウィザードでシステムの初期設定を行った後でアプライアンスを再起動すると、ウィザードが表示され
ます。
ウィザードのプロセスを中断した場合、システム コンソールのコマンドラインから次のコマンドを実行すると、プロ
セスを再開することができます。
mwg-cache-wizard
yum upgrade コマンドでアプライアンスがセットアップされている場合には、ウィザードを手動で開始する必要が
あります。
ウィザードの処理はメインのログに記録されます。このログのパスとファイル名は /var/log/
resize-cache.log です。
アプライアンスでサイズの変更をすでに実行している場合には、対応するメッセージがウィザードに表示されます。
アプライアンスのボリューム サイズをさらに変更する必要がある場合には、McAfee サポートに連絡してください。
58
McAfee Web Gateway 7.6.2
Product Guide
システム構成
更新処理
3
更新処理
フィルタリング プロセスで使用するためにデータベースやリストから取得した情報は常に更新する必要があります。
アプライアンスでは、ルール ベースのプロセスで Web オブジェクトがフィルタリングされます。 フィルタリング
ルールは、これらのオブジェクトの情報を使用して、アクション (オブジェクトに対するアクセスのブロック、許可
など) を開始するかどうか決めます。 この情報は、特別なモジュール (エンジンともいう) から提供されます。
たとえば、ウイルスとマルウェアのフィルタリング ルールは、オブジェクトが感染しているかどうか判断するため
に、マルウェア対策モジュール (エンジン) から情報を取得します。また、URL フィルタリング ルールは、URL フ
ィルター モジュール (エンジン) から URL のカテゴリ情報を取得します。
これらのモジュールは、データベースやリストなど、特定のソースから情報を取得します。 たとえば、マルウェア対
策フィルタリングが使用するウイルス シグネチャは、DAT ファイルと外部データベースに保存されています。
また、URL に含まれるホスト名からドメインの接尾辞を確認する場合には、パブリック ドメイン名の接尾辞リスト
が使用されます。
このような情報を更新するには、いくつかの方法があります。
•
エンジンの手動更新 - 現在ログオンしているアプライアンスのモジュールの情報を手動で更新します。
•
エンジンの自動更新 - 現在ログオンしているアプライアンスのモジュールの情報を一定の間隔で自動的に更新
するように設定します。
この更新で次のように情報が取得されます。
•
インターネットから - 外部のデータベースから情報がダウンロードされます。
アプライアンスの初期セットアップが完了するとすぐに、この方法で情報が更新されます。
•
集中管理構成の他のノードから - これらのノードから情報がダウンロードされます。 他のノードからの情
報更新を許可するかどうか、ノードごとに設定できます。
これらの更新は、集中管理構成をセットアップするときに設定できます。また、各ノードに自動更新時の動作
を指定できます。
データベース情報の手動更新
アプライアンスのモジュールに対して、データベース情報を手動で更新することができます。
更新は、ログオンしたアプライアンスのモジュールと、集中管理構成でノードとして含めた他のアプライアンスのモ
ジュールに適用されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーで、[手動エンジン更新]をクリックします。
更新が実行されます。
自動エンジン更新のスケジュール
アプライアンスのモジュールに対して、データベース情報の自動更新をスケジュールすることができます。
集中管理構成でノードとして複数のアプライアンスを実行している場合、この構成に対する設定を構成する一環とし
て、これらのノードのモジュール(エンジンとも呼ばれる)に対して更新をスケジュールできます。
McAfee Web Gateway 7.6.2
Product Guide
59
3
システム構成
閉鎖されたネットワークの更新
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、自動更新をスケジュールするアプライアンスを選択し、[集中管理]をクリックします。
3
[自動エンジン更新]まで下にスクロールし、必要に応じて更新設定を構成します。
4
[変更の保存]をクリックします。
閉鎖されたネットワークの更新
Web Gateway アプライアンスは、セキュリティまたはその他の理由でインターネット接続がないネットワークで操
作でき、更新できます。これらのネットワークは「閉鎖された」または「隔絶された」ネットワークとも呼ばれます。
これらのネットワークで実行されるアプライアンスで更新が必要な場合には、通常の McAfee のアップデート サー
バーに接続できません。代わりにオフラインの更新手順を実行する必要があります。
McAfee ポータルからこの目的の更新パッケージを選択し、ダウンロードして、それをポータブル メディアに保管
し、メディアを使用して閉鎖されたネットワークの 1 個以上のアプライアンスに更新パッケージを適用することがで
きます。
更新パッケージにはモジュール(エンジン)の更新情報とアプライアンスのフィルタリングに使用されるマルウェア
のパターンが含まれます。ポータルには完全な更新(差分更新ではなく)のみを行うことができます。
ポータルに入った後で、更新するアプライアンスの Web Gateway のバージョン ナンバーを送信する必要がありま
す。その後更新情報が現在利用できる機能のリストが示されます。
選択に従って、更新に必要なすべてのファイルを含む更新パッケージの zip 形式が作成され、ダウンロードできま
す。
閉鎖ネットワークのアプライアンスの更新
インターネット接続なしでネットワークのアプライアンスを更新するために、更新パッケージをダウンロードし、ポ
ータブル メディアに保管して、メディアを使用して更新を実行します。
タスク
1
更新パッケージをダウンロードします。
a
ブラウザーを使用して、Content & Cloud Security の更新ページに進みます。
https://contentsecurity.mcafee.com/update
b
更新ページで、更新するアプライアンスのバージョン ナンバーを入力します。
更新された情報を表示できる機能のリスト。
c
更新する機能を選択します。
選択内容に従って、更新パッケージが作成されます。
d
2
60
更新パッケージをシステムにダウンロードします。
USB ドライブなどのポータブル メディアを使用して、ダウンロードしたシステムから閉鎖ネットワークの管理シ
ステムに更新パッケージを転送します。
McAfee Web Gateway 7.6.2
Product Guide
システム構成
閉鎖されたネットワークの更新
3
3
閉鎖ネットワークで更新する各アプライアンスで次の操作を実行します。
a
[構成] 、 [アプライアンス] の順に選択します。
b
[エンジンの更新] をクリックして、[更新ファイルのアップロード] を選択します。
[ファイルのアップロードによるエンジンの更新] ウィンドウが開きます。
c
[参照] をクリックして、管理システムで更新パッケージを保存した場所に移動し、更新パッケージ ファイル
を選択します。
d
[更新] をクリックします。
アプライアンスは、更新パッケージから情報を使用して更新されます。
e
[閉じる] をクリックして、ウィンドウを閉じます。
McAfee Web Gateway 7.6.2
Product Guide
61
3
システム構成
閉鎖されたネットワークの更新
62
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
アプライアンスは Web トラフィックをインターセプトし、フィルタリング ルールが拒否する場合にそれを転送する
ためにそのプロキシ機能を使用します。ネットワークの要件に対応するように、これらの機能を構成することが可能
です。
プロキシのキー設定は次の通りです。
•
ネットワーク モード — 明示的プロキシ モードまたは透過的モード
特定の設定は、これらの各モードに対して構成できます。
•
ネットワーク プロトコル — HTTP、HTTPS、FTP、ICAP、およびインスタント メッセージング プロトコル
プロトコル設定は、各ネットワーク モードに対して設定できる共通のプロキシ設定です。
その他の共通プロキシ設定を構成し、リバース HTTPS プロキシまたはプロキシ自動構成など、特別なプロキシ ソリ
ューションも実装します。
目次
プロキシの構成
明示的プロキシ モード
ベスト プラクティス - プロキシ HA モードの設定
ベスト プラクティス - 高可用性構成でのサイズ制限
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
透過型ルーター モード
透過型ブリッジ モード
パケット サイズの処理
セキュア ICAP
SOCKS プロキシ
インスタント メッセージング
XMPP プロキシ
共通のプロキシ設定の構成
プロキシ設定
送信元 IP アドレスの制御
ベストプラクティス - FTP over HTTP の設定
WCCP による FTP トラフィックのリダイレクト
FTP ログオンでの Raptor 構文の使用
ノード通信プロトコル
ドメインに応じた DNS サーバーの使用
DXL メッセージによる Web セキュリティ情報の交換
ベスト プラクティス - user-agent ヘッダーの使い方
Office 365 と他の Microsoft サービスのバイパス
リバース HTTPS プロキシ
プロキシ自動構成
McAfee Web Gateway 7.6.2
Product Guide
63
4
プロキシ
プロキシの構成
Helix プロキシの使用
プロキシの構成
アプライアンスのプロキシ機能を、ネットワークに適切なように構成できます。
以下の高レベル手順を完了します。
タスク
1
プロキシ設定を確認します。
以下のキー設定は、デフォルトで構成されます。
2
•
ネットワーク モード:明示的プロキシ
•
ネットワーク プロトコル:HTTP
必要に応じて、これらの設定を変更します。
たとえば、以下の操作を実行できます。
•
異なるネットワーク モードを構成します。
以下のいずれかを選択します。
•
•
高可用性機能の明示的プロキシ モード
•
透過型ルーター モード
•
透過型ブリッジ モード
異なるネットワーク プロトコルを構成します。
以下のうち 1 つ以上を HTTP(またはそれらを追加するか HTTP を無効にする)に追加できます。
•
64
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
インスタント メッセージ プロトコル:Yahoo、ICQ、Windows Live Messenger、XMPP(Jabber およ
びその他サービス用)
タイムアウトまたはクライアント接続の最大数など、他のプロキシ設定を変更します。
3
リバース HTTPS プロキシまたはプロキシ自動構成など、必要な場合特別なプロキシ ソリューションを構成しま
す。
4
変更を保存します。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
明示的プロキシ モード
4
明示的プロキシ モード
明示的なプロキシ モードで、アプライアンスによりフィルタリングされる Web トラフィックをもつクライアント
は、それらが接続されていることを「知っています」。明示的にそれらを構成して、Web トラフィックをアプライア
ンスに仕向けるようにする必要があります。
これが保証される場合、アプライアンスがネットワーク内で配備される場所はあまり重要ではありません。一般的に、
これはファイアウォールの背後に置かれ、ルーター経由でクライアントとファイアウォールに接続されます。
以下のダイアグラムは、明示的プロキシ モードでの構成を表示します。
図 4-1 明示的プロキシ モード
明示的プロキシ モードの構成
明示的プロキシ モードでアプライアンスのプロキシ機能を構成でき、これはこれらの機能のデフォルト モードです。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、明示的プロキシ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワークのセットアップ]の下で、明示的プロキシ モードのオプション 2 つのうち 1 つを選択します。
•
[プロキシ] — これは、明示的プロキシ モードです。
これはデフォルトのプロキシ モードです。
これが選択されると、明示的プロキシ モードの透過機能を構成する特定の設定は、[ネットワーク セットアッ
プ]設定の下に表示されます。
•
[プロキシ HA] — 高可用性機能の明示的プロキシ モード用
このオプションを選択した後で、特定の[プロキシ HA] 設定が[ネットワーク設定]の設定の下に表示されま
す。
4
必要に応じて、選択されたオプションに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
65
4
プロキシ
明示的プロキシ モード
関連トピック:
95 ページの「パケット サイズの処理」
72 ページの「ベスト プラクティス - プロキシ HA モードの設定」
66 ページの「透過型プロキシの設定」
71 ページの「プロキシ HA 設定」
104 ページの「プロキシ設定」
透過型プロキシの設定
透過型プロキシの設定は、明示的プロキシ モードの透過機能を設定する場合に使用します。
透過型プロキシ
透過型機能をもつ明示的なプロキシ モードの設定
表 4-1 透過型プロキシ
オプション
定義
[サポートされるク
ライアント リダイ
レクト方法]
Web トラフィックを傍受してアプライアンスにリダイレクトする方法を設定します。
• [WCCP] - 選択すると、IPv4 または IPv6 で Web サーバーに送信された HTTP クライ
アント要求が追加のネットワーク デバイスで傍受され、Web Cache Communication
Protocol (WCCP) を使用してアプライアンスにリダイレクトされます。
クライアントはリダイレクションを認識せずに、引き続き透過的になります。
クライアント要求に対して同様の方法で、Web サーバーからの応答はアプライアンスに戻
されます。
WCCP リダイレクションの方法を使用する場合は、リダイレクションが実行できるように、
1 つまたは複数の WCCP サービスをアプライアンス上で構成する必要があります。
クライアント要求とサーバー応答をインターセプトするネットワーク デバイスを構成する
必要もあります。このデバイスは、ルーティング機能によりルーターまたはスイッチとして
構成できます。
このオプションを選択した後で、[WCCP サービス] インライン リストが WCCP サービス
を設定し、追加するために表示されます。
• [L2 透過] - 選択すると、IPv4 または IPv6 で Web サーバーに送信されたクライアント
要求が追加のネットワーク デバイスで傍受され、レイヤー 2 リダイレクトでアプライアン
スにリダイレクトされます。
この方法の下で、宛先アドレスがアプライアンスのアドレスでない場合でも、クライアント
要求はアプライアンスで受け付けられます。リダイレクションはクライアントに対して「透
過型」となります。
インターセプトされ、アプライアンスのリストにリダイレクトされるクライアント要求の元
のポートを、これらの要求がリダイレクトされるポートと共に入力する必要があります。
追加のネットワーク デバイスを適宜、構成する必要があります。
このオプションが選択されると、要求はアクティブな FTP モードの接続を使用して層御進
できません。パッシブ FTP モードのみが利用できます。
このオプションを選択した後で、[ポート転送] インライン リストがポート入力のために表
示されます。
次の 2 つの表では、WCCP サービスとポート転送のリストのエントリーを説明しています。
66
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
明示的プロキシ モード
4
表 4-2 WCCP サービス ― リスト エントリー
オプション
定義
[サービス ID]
WCCP で Web トラフィックをアプライアンスにリダイレクトするサービスの ID。
[WCCP ルーター
定義]
Web トラフィックを WCCP サービスを使用してアプライアンスにリダイレクトするマルチキ
ャスト IP アドレスと DNS 名(またはルーティング機能を備えたスイッチ)を指定します。
ここで複数のルーターを、それぞれのエントリーをカンマで区切って構成することができます。
[名前解決で優先
する IP プロトコ
ル バージョン]
ホスト名を IP アドレスに変換するときに優先される IP バージョンを選択します。
ホスト名は、データ パケットを含む要求の送信元となっているホスト システムの名前です。
データ パケットは、Web Gateway で登録されている WCCP ルーター経由でリダイレクトさ
れ、ホスト名が IP アドレスに変換されます。
• [IPv4] - 選択すると、IPv4 が優先プロトコルとなります。
• [IPv6] - 選択すると、IPv6 が優先プロトコルとなります。
• [他のプロトコル バージョンをフォールバックとして使用する] - 選択すると、優先バージ
ョンが使用不能な場合、他のプロトコル バージョンでホスト名が解決されます。
たとえば、ルーターが IPv4 アドレスのみをサポートしている場合、IPv6 を優先バージョン
に選択していても、ホスト名が IPv4 アドレスに変換されます。
[リダイレクト先
のポート]
データ パケットがリダイレクトする宛先アドレスにもっていなければならない Web サーバー
のポートのリストを示します。
ここで最大 8 個のポートを、カンマで区切って、指定できます。
[リダイレクト先
のポートが送信元
ポートの場合]
リダイレクトするポートが元のポートであるかどうかを指定します。
[プロキシ リスナ
ー IP アドレス]
クライアント要求に応じる場合にアプライアンスの IP アドレスを指定します。
[プロキシ リスナ
ー ポート]
クライアント要求をリスンするためのポートを指定します。
[MD5 認証キー]
制御データ パケットを署名し、検証するための MD5 アルゴリズム下で使用されるパスワード
を設定します。
WCCP サービスを構成する場合、Web サーバーからアプライアンスへの応答をリダイレクト
するためにサービスが使用されるときには、このオプションを選択する必要があります。
デフォルトのポート番号は 9090 です。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
パスワードは最大 8 文字です。
割り当て方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、割り当て方法を指定します。
• [マスクで割り当て] ― 選択すると、送信元または宛先の IP アドレスのマスキングは負荷分
散に使用されます。
• [ハッシュで割り当て] — 選択すると、上記で指定されたハッシュ アルゴリズムが負荷分散
に使用されます。
McAfee Web Gateway 7.6.2
Product Guide
67
4
プロキシ
明示的プロキシ モード
表 4-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
負荷分散のための
入力
主要アイテムはこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示
されます。以下の要素がそれに関係しており、負荷分散の基準としてデータ パケットで使用さ
れているものを指定します。
マスクまたはハッシュのいずれによる割り当てを選択したかに応じて、異なる要素が提供され
ます。
複数のアプライアンスを実行するときに、負荷分散はそれらのプロキシに対して構成すること
ができます。データ パケットは、送信元または宛先 IP アドレスおよびポート番号に基づいて
これらのプロキシに分散できます。
送信元または宛先 IP アドレスを負荷分散に使用する場合は、マスクしたり、ハッシュ アルゴ
リズムを適用したりすることができます。割り当て方法のオプションを参照してください。
送信元または宛先ポートを使用する場合は、ハッシュ アルゴリズム法のみを選択できます。
マスクによる割り当ての負荷分散オプション:
• [ソース IP マスク] — ソース IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
• [宛先 IP マスク] — 宛先 IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
マスクの最大長は 4 桁です。例: 0xa000。
両方のマスクではともに、6 ビットを最大値として設定できます。
マスクを 0x0 に設定すると、負荷分散に対する影響はなくなります。
たとえば、負荷分散に発信元 IP アドレスのみを使用する場合、この値を宛先 IP アドレスのマ
スクに設定する必要があります。
ハッシュによる割り当ての負荷分散オプション:
• [送信元 IP] — 選択すると、負荷分散は送信元 IP アドレスに基づきます。
• [宛先 IP] — 選択すると、負荷分散は宛先 IP アドレスに基づきます。
• [送信元ポート] — 選択すると、負荷分散は送信元のポート番号に基づきます。
• [ 宛先ポート] — 選択すると、負荷分散は 宛先のポート番号に基づきます。
クライアント要求を処理するために 1 つの WCCP サービスを構成し、さらに Web サーバー
応答を処理するために別のサービスを構成する場合は、"crosswise" の対応する方法で[送信元
IP]および[宛先 IP]を選択する必要があります。
クライアント要求サービスに [送信元 IP ] を選択した場合、Web サーバーの応答サービスに
[宛先 IP] を選択する必要があります。 Web サーバーの応答サービスに [送信元 IP] を選択
した場合には、クライアント要求サービスに [宛先 IP] を選択する必要があります。
[発信元ポート]および[宛先ポート]を選択すると、同じものが適用されます。
[割り当ての加重]
プロキシに割り当てられる負荷の大きさを判別する値を設定します。
この値を使用して、他のものよりも大きな CPU 容量をもつアプライアンスのプロキシにより大
きな負荷を割り当てることができます。0 はプロキシに負荷を分散しないことを意味します。
68
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
明示的プロキシ モード
4
表 4-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
転送方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、転送方式を指定します。
• [GRE-カプセル化] — これを選択すると、データ パケットは、リダイレクトされる前に、ル
ーターによりカプセル化されます
• [L2-ローカル NIC の書き換え] — これを選択すると、データ パケットは(Web サーバーへ
のルート上で)次のデバイスの MAC アドレスをアプライアンスの MAC アドレスで置換す
ることによりアプライアンスにリダイレクトされます
[L2-リダイレクト データ パケットがリダイレクトするアプライアンスのネットワーク インターフェースを指定
ターゲット]
します。
[マジック (マスク アプライアンスがルーターに送信するマスクの未知のフィールドを設定できます。
割り当て)]
この設定は、ルーターに使用される、さまざまなバージョンのベンダーのオペレーティング シ
ステムとの互換性を確保する必要があります。
[コメント]
WCCP サービスの平文テキストのコメントを提供します。
表 4-3 ポート転送 - リスト エントリー
オプション
定義
[元の宛先ポート]
クライアント要求に属するデータ パケットが最初に送信されるポートを指定します。
[宛先プロキシ ポート]
データ パケットがリダイレクトされるポートを指定します。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
高度な送信接続設定
アプライアンスのネットワーク環境の要件である Web サーバーに送信されるクライアント要求に含まれる情報の処
理方法を指定する設定
McAfee Web Gateway 7.6.2
Product Guide
69
4
プロキシ
明示的プロキシ モード
表 4-4 高度な送信接続設定
オプション
定義
[IP スプーフィング
これを選択すると、アプライアンスはクライアント要求にソース アドレスとして含まれて
(HTTP、HTTPS、FTP)] いるクライアント IP アドレスを維持し、それを種々のプロトコルの下で要求された Web
サーバーとの通信に使用できます。
WCCP サーバーが Web トラフィックをインターセプトし、それをアプライアンスに仕向
けるために使用されるとき、クライアント要求をリスンするアプライアンスの各ポートに
対して 2 つのサービスを構成する必要があります。クライアントからくる要求に対して 1
つ、Web サーバーにより送信される要求に対して 1 つです。
このオプションが選択されていないとき、アプライアンスは送信元ポートを選択し、この
通信でそれを使用します。
• [明示的なプロキシ接続のための IP スプーフィング] — これが選択されると、クライア
ント アドレスは明示的なプロキシ モードに維持され、Web トラフィックは追加デバイ
スによりインターセプトされません。
• [IP スプーフィングのクライアントと同じ送信元ポートを使用する] — これが選択され
ると、クライアントの Web サーバーとの通信のための送信元アドレスに加えて、クライ
アントの送信元ポートが使用されます。
このオプションが選択されていないとき、アプライアンスはランダムな送信元ポートを
選択し、この通信でそれを使用します。
[HTTP: ホスト ヘッダ 選択すると、HTTP のクライアント要求の HOST ヘッダー部分に含まれる宛先アドレス
ーの優先度を元の宛先 が、要求された Web サーバーとの通信に使用されます。
アドレスよりも高くす
る (透過型プロキシ)] 透過型プロキシ構成では、Web サーバーとの通信で TCP で指定された宛先アドレスが使
用される場合もあります。 このアドレスは元の宛先アドレスともいいます。
クライアント要求をインターセプトするアプライアンスの透過型プロキシ、または要求を
インターセプトしてアプライアンスにリダイレクトする WCCP サービスに対して、両方の
通信方法を使用できます。
HOST ヘッダーの宛先アドレスを使用するのはよい方法ですが、一部の構成では、Web サ
ーバーとの通信のため、このオプションの選択を解除して、元の宛先アドレスを使用する
ことが必要である可能性があります。
• Web トラフィックは実行中の透過型プロキシの複数のアプライアンスで処理されてお
り、宛先のアドレスに従ってクライアント要求がルーティングされる場合、Web サーバ
ーに接続すると、プロキシで元の宛先 ID アドレスを使用できる必要があります。
• これは、WCCP サービスがクライアント要求をインターセプトし、負荷分散のために宛
先アドレスを使用して複数のアプリケーションにそれらをリダイレクトする場合にも適
用されます。
IP スプーフィングのサンプル WCCP サービス設定
IP スプーフィングをもつ WCCP サービスを構成するためのサンプル設定
この設定は、IP スプーフィングを行う場合にのみ行います。 WCCP で Web トラフィックをアプライアンスにリダイ
レクトするサービスを 2 つ設定している場合には、この設定は不要です。
Web トラフィックをインターセプトし、それをアプライアンスに仕向ける WCCP サービスをもつ構成で IP スプー
フィングを使用できます。この場合、リスンするアプライアンスのすべてのポートに対して 2 つのサービスを構成す
る必要があります。
クライアントからの要求に対して 1 つのサービス、Web サーバーにより送信される要求の応答に対してもう 1 つの
サービスです。
以下の表は、これらのサービスのサンプル パラメーター値を示しています。
70
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
明示的プロキシ モード
4
表 4-5 IP スプーフィングで構成された 2 つの WCCP サービスのサンプル パラメーター値
オプション
クライアント要求のサービス
Web サーバー応答のサービス
[サービス ID]
51
52
[WCCP ルーター定義]
10.150.107.254
10.150.107.254
[リダイレクトするポート]
80, 443
80, 443
[リダイレクトするポート
は、元のポートです]
false
true
[プロキシ リスナー IP ア
ドレス]
10.150.107.251
10.150.107.251
[プロキシ リスナー ポー
ト]
9090
9090
[MD5 認証キー]
*****
*****
負荷分散のためのインプッ
ト
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[送信元 IP]
true
false
[宛先 IP]
false
true
[送信元ポート]
true
false
[宛先ポート]
false
true
割り当て方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[マスク割り当て]
true
true
[ハッシュによる割り当て]
false
false
[割り当ての重みづけ]
100
100
転送方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。ローカルの NIC 要素に対する GRE カプセル化と L2 書き
換えがそれに関係しています。
[GRE カプセル化]
false
false
[ローカル NIC への L2 書
き換え]
true
true
[L2-リダイレクト ターゲ
ット]
eth1
eth1
[マジック(マスク割り当
て)]
-1
-1
[コメント]
プロキシ HA 設定
プロキシ HA 設定は、高可用性機能を備えた明示的なプロキシ モードでアプライアンスのプロキシ機能を構成するた
めに使用されます。
プロキシ HA
高可用性機能を備えた明示的プロキシ モードの設定
McAfee Web Gateway 7.6.2
Product Guide
71
4
プロキシ
ベスト プラクティス - プロキシ HA モードの設定
表 4-6 プロキシ HA
オプション
定義
[ポート転送]
ユーザーが送信した要求が転送されるポートを入力するためのリストを提供します。
[ディレクター データ パケットを仕向けるアプライアンスの優先順位 (0 ~ 99 の範囲) を設定します。
の優先順位 ]
最高値が表示されます。0 はアプライアンスがデータ パケットをフィルターするだけで、仕向ける
ことはないことを意味します。
高可用性の構成で、2 つのアプライアンスは、互いにフェールオーバー機能を備えながら、データ
パケットを仕向けるために一般的にゼロよりも高い優先順位をもつディレクター ノードとして設
定されます。
残りのノードは、ゼロ優先順位で構成されます(「スキャンイング ノード」と呼ばれます )。
この優先順位の値は、スライダーのスケールで設定されています。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプライ
アンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスのリストが表示されます。
Web Gateway で高可用性機能 (プロキシ HA) 機能を有効にし、明示的プロキシ モードを設定して
いる場合には、仮想 IP を使用してユーザー インターフェースにログインしないでください。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 4-7
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーが要求を送信した時に受信するデータ パケットに使用されるプロトコル
名を指定します。
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポートを指定します。
[宛先プロキシ ポート]
上記ポートに送信されたデータ パケットが最初に転送されたポートを指定しま
す。
[オプションの 802.1Q VLAN] 設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表
示されます。
[コメント]
表 4-8
ポート転送に関するテキスト形式のコメントを提供します。
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インターフェー
ス]
VRRP(仮想ルーター冗長性プロトコル)の下のハートビートに使用されるアプ
ライアンスのネットワーク インターフェースを指定します。
[コメント]
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
ベスト プラクティス - プロキシ HA モードの設定
Web Gateway で設定可能なプロキシ HA ネットワーク モードは、高可用性機能を使用した明示的なプロキシ モー
ドです。 これにより、外部の負荷分散装置を使用せずにフェールオーバーと負荷分散を実行できます。
ディレクター ノードとスキャン ノード
プロキシ HA 構成のアプライアンスの 1 つをディレクター ノードとして設定します。 残りのアプライアンスは、ス
キャン ノードとして設定します。 優先度を設定することで、各アプライアンスに役割が割り当てられます。
72
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - プロキシ HA モードの設定
4
ディレクター ノードは、スキャン ノードに負荷を分散させ、高可用性クラスター内の負荷分散を実行します。 通
常、ディレクター ノードもスキャン ノードとして機能します。 スキャン ノードは、バックアップ ノードとしても
機能し、ディレクトリ ノードに障害が発生した場合に切り替わります。 バックアップ機能を実行しない単純なスキ
ャン ノードを設定することもできます。
特定の時間内にディレクター役割を持っているノードをアクティブ ディレクターといいます。 アクティブ ディレ
クターは、インターフェースの別名 IP アドレスとして仮想 IP アドレス (VIP) を使用し、クライアントとの通信を
行います。
プロキシ HA 構成に追加するアプライアンスは、集中管理構成のメンバーにすることをお勧めします。
この構成は、他のアプライアンスの実行状況に左右されません。 ただし、アプライアンスが集中管理機能で管理さ
れ、同期されていない場合、アプライアンスごとに異なる Web セキュリティ ルールが実行される可能性がありま
す。
負荷分散
プロキシ HA 構成で負荷分散を行う場合には、リソースの使用状況とアクティブな接続数を考慮する必要がありま
す。 1 つのスキャン ノードの負荷が過剰になった場合、他のノードが処理するトラフィックも増加します。
負荷分散を実行すると、同じクライアントからの要求は同じスキャン ノードに送信されます。
フェールオーバー
ディレクター ノードで障害が発生した場合、優先度の最も高いバックアップ ノードにディレクター役割が引き継が
れます。 元のディレクター ノードが復旧すると、ディレクター役割を再び引き継ぎます。
使用可能なノードを確認するため、正常性検査で VRRP (Virtual Router Redundancy Protocol) が使用されます。
正常性検査を有効にするには、高可用性クラスターのすべてのメンバーが同じ VRRP インターフェースと仮想ルータ
ー ID を使用するように、各アプライアンスで VRRP を設定します。
各ノードは 1 秒ごとにマルチキャスト パケットを IP アドレス 224.0.0.18 に送信します。 3–4 秒間、アクティブ
ディレクターからマルチキャスト パケットを受信しないと、フェールオーバーが実行されます。 フェールオーバー
により、優先度が最も高いバックアップ ノードがディレクター ノードになります。 このノードは、高可用性クラス
ターの仮想 IP アドレスの所有権を取得し、新しいディレクター役割に関する情報を他のノードに通知します。
参加しているクライアントとルーターの ARP テーブルを更新する場合、Gratuitous ARP (Address Resolution
Protocol) メッセージが使用されます。 共通の仮想 IP アドレスの所有権が変更されると (フェールオーバーが発生
すると)、新しいディレクター ノードが Gratuitous ARP メッセージを送信します。 後続の TCP/IP パケットはこ
のノードに転送されます。
関連トピック:
75 ページの「ベスト プラクティス - 高可用性構成でのサイズ制限」
プロキシ HA モードを設定する
外部の負荷分散装置を使用せずに負荷分散とフェールオーバーを実行するには、プロキシ HA モードを設定します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、プロキシ HA 構成に追加するアプライアンスを選択して、[プロキシ (HTTP、
HTTP(S)、FTP、SOCKS、ICAP...)] を選択します。
3
[ネットワークのセットアップ] で [プロキシ HA] を選択します。
[プロキシ HA] の設定が [ネットワークのセットアップ] のすぐ下に表示されます。
McAfee Web Gateway 7.6.2
Product Guide
73
4
プロキシ
ベスト プラクティス - プロキシ HA モードの設定
4
プロキシ HA 構成の各アプライアンスで Web Gateway の設定を行います。
a
[ポート リダイレクト] - ポート リダイレクトのリストに、以下のパラメーターを指定して項目を追加しま
す。
•
[プロトコル名] - HTTP
•
[元の宛先ポート] - ネットワークのユーザーがブラウザーで選択するプロキシ ポート
•
[宛先のプロキシ ポート] - Web Gateway が使用するプロキシ ポート
ユーザーがブラウザーで選択するプロキシ ポートと Web Gateway が使用するプロキシ ポートには同
一の値 (9090 など) を設定できます。
この場合、リストにポート リダイレクトを入力します (例:ポート 9090 からポート 9090)。
b
[ディレクターの優先順位] - ディレクター役割を引き継ぐ優先度を数値で設定します。
•
最も高い優先度 (例: 99) - ディレクター ノード
•
これより低い優先度 (0 より大きい値。例: 89) - バックアップ ノード
ディレクター ノードに障害が発生し、優先度の高いノードが他にない場合、バックアップ ノードがフェ
ールオーバーを実行してディレクター役割を引き継ぎます。 それ以外の場合、バックアップ ノードはス
キャン ノードとして機能します。
•
c
0 - スキャン ノードとしてのみ機能するノード
[管理 IP] - アプライアンスのローカル IP アドレスを指定します。
この IP アドレスは、スキャン ノードの自動検出に使用されます。 自動検出を使用するには、すべてのノー
ドが同じサブネット上に存在する必要があります。
d
[仮想 IP] - 高可用性クラスターの共有 IP アドレスを指定します。
このアドレスはアクティブ ディレクターが所有し、すべてのノードで一致していなければなりません。 ユー
ザーは、このアドレスをブラウザーで選択する必要があります。
e
VRRP 正常性検査を設定します。
•
[仮想ルーター ID] - VRRP 正常性検査で使用する ID
この ID は、すべてのノードで一致している必要があります。 デフォルトは 51 です。
ID が 51 のネットワークで VRRP を使用していない限り、デフォルトの ID を使用できます。 プロキシ
HA 構成で一意になるように、ここで値を変更します。
•
[VRRP インターフェース] - 正常性検査の VRRP で使用されるインターフェース
デフォルトのインターフェースは eth0 です。
アプライアンスで eth0 インターフェースを使用していない限り、デフォルトのインターフェースを使用
できます。複数のインターフェースを使用する場合にもデフォルトを使用できます。
5
[変更の保存] をクリックします。
パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟
に処理される場合、プロキシ HA モードで追加の設定が必要になります。
関連トピック:
95 ページの「パケット サイズの処理」
71 ページの「プロキシ HA 設定」
74
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - 高可用性構成でのサイズ制限
4
Proxy HA 構成の問題の解決
Proxy HA 構成で問題が発生した場合、いくつかの方法で解決することができます。
VRRP 正常性検査メッセージの確認
VRRP 正常性検査のメッセージがアプライアンス システムの次の場所に記録されています。
/var/log/messages
このメッセージにより、アプライアンスのステータスがディレクター ノードかバックアップ ノードかを確認できま
す。
要求をブロックしたノードの検索
高可用性クラスターで要求をブロックしたノードを確認するには、ブロック アクションのユーザー メッセージ テン
プレートを編集します。 System.HostName プロパティを挿入します。
特定のノードのテスト
特定のノードの動作をテストするには、そのノードのポート リダイレクトリストにだけ新しいプロキシ ポート (例:
9091) を入力します。
ノードをテストするクライアント システムのブラウザーで <Web Gateway の IP アドレス>:9091 を参照し
ます。
アクティブ ディレクターの識別
高可用性クラスターの仮想 IP アドレスを所有するアクティブ ディレクトリ ノードを識別するには、各ノードで
SSH セッションをセットアップします。 次に、各ノードで ip addr show コマンドを実行します。
Web トラフィックの分散エラーの確認
他のノードに分散せず、ディレクター ノードまたは 1 つのノードですべての Web トラフィックが処理されている
場合、次の原因が考えられます。
•
ディレクター ノードでポート リダイレクトが設定されていません。 ポート リダイレクトが存在しない場合、デ
ィレクター ノードはトラフィックを他のノードにリダイレクトせず、ローカルで処理します。
•
同じサブネットでない IP アドレスが設定されているため、ディレクター ノードが他のノードの存在を確認でき
ません。
•
ダウンストリーム プロキシまたは NAT でアイスが配置されているため、すべてのトラフィックが同じ送信元 IP
アドレスから転送されています。 負荷分散の通常の動作では、同じノードにトラフィックを繰り返し転送します。
ベスト プラクティス - 高可用性構成でのサイズ制限
プロキシ HA (高可用性) ネットワーク モードを設定する場合、構成に追加する Web Gateway アプライアンスの数
を検討する必要があります。
多くの場合、1 つのネットワークで複数のアプライアンスが実行されています。これらのアプライアンスはノードと
して構成され、集中管理機能で管理されています。
通常、ノードの 1 つがディレクター ノードになり、受信トラフィックを他のノードに送信します。トラフィックを
受信したノードではスキャンを実行するため、これらのノードをスキャン ノードといいます。
McAfee Web Gateway 7.6.2
Product Guide
75
4
プロキシ
ベスト プラクティス - 高可用性構成でのサイズ制限
特定のアプライアンスでは、ネットワーク インターフェースが二重に構成され、受信トラフィックと送信トラフィッ
クに別々のインターフェースが使用されます。三重構成では、この他に集中管理通信用のインターフェースが用意さ
れています。
このようにネットワークを構成する場合には、次の点を考慮する必要があります。
•
全体のスループットの合計がディレクター ノードの最大スループットを超えないようにスキャニング ノードの
数を選択する必要があります。ディレクター ノードの最大スループットは、デフォルトで 1 1 GBit/s です。
これにより、次のような内部制限が発生します。ディレクター ノードがデフォルトで使用するネットワーク イン
ターフェースは、1 GBit/s のデータ処理に制限されます。
Web Gateway アプライアンスで実行される MLOS オペレーティング システムのカーネル モード ドライバー
で処理可能なデータ量は最大で 1 GBit/s までとなります。
•
この条件で理論的な可能な数のスキャニング ノードを構成する場合には、安全のため余裕のある構成にすること
をお勧めします。
•
たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、理論上では 10 ノードが可能
ですが、5 ノードにすることをお勧めします。
•
300 MBit/s の場合、理論上 3 ノードが可能ですが、2 ノードにしてください。
1 つのスキャニング ノードの最大スループットは、ノードに使用するアプライアンスのモデルとノードの構成方法に
よって異なります。たとえば、マルウェア対策フィルタリングや Web キャッシュを有効にするかどうかによって異
なります。サイズ計算ツールを使用すると、ノードに適切な値を見つけることができます。
ディレクター ノードで、デフォルトの 1G ではなく 10G ネットワーク インターフェースが使用されている場合や、
構成で IP スプーフィングが有効になっている場合には計算が異なるかもしれません。その理由は次のとおりです。
10G ネットワーク インターフェース
ディレクター ノードのアプライアンスに 10G ネットワーク インターフェースが装着されている場合、このノードの
最大スループットが大きくなります。ただし、MLOS カーネル モード ドライバーの制限に変わりはありません。
•
たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、5 つ以上のノードが可能ですが、
10 ノードは超えないようにしてください。
•
スループットが 300 MBit/s の場合、3 ノードが可能ですが、それ以上は使用しないことをお勧めします。
IP スプーフィング
IP スプーフィングを設定すると、データ パケットはディレクター ノードを 2 回通過します。ディレクター ノード
からスキャニング ノードに転送されるときと、スキャニング ノードからディレクター ノードに戻されるときの 2 回
です。
1G ネットワーク インターフェースを使用している場合、ディレクター ノードの最大スループットは 500 MBit/s
になります。また、MLOS カーネル モード ドライバーの制約は変わりません。
76
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
4
この条件に合わせてスキャニング ノードの数を設定する必要があります。
•
たとえば、スキャニング ノードのスループットが 100 MBit/s で、ディレクター ノードで 1G ネットワーク イ
ンターフェースを使用している場合、スキャニング ノードの数は 5 つより少なくするする必要があります。
10G ネットワーク インターフェースを使用している場合、スキャニング ノードの数を増やすことができますが、
5 つにすることをお勧めします。
•
スキャニング ノードのスループットが 300 MBit/s で、ディレクター ノードで 1G ネットワーク インターフェ
ースを使用している場合、スキャニング ノードは 1 つになります。
10G ネットワーク インターフェースを使用している場合には、4 つ以上のスキャニング ノードを設定しないで
ください。
関連トピック:
72 ページの「ベスト プラクティス - プロキシ HA モードの設定」
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
Web Gateway アプライアンスで明示的プロキシ モードを実装するときに、WCCP (Web Cache Communication
Protocol) で Web トラフィックを Web Gateway にリダイレクトするように設定できます。 このプロトコルを使
用すると、負荷分散とフェールオーバーの機能が大幅に強化されます。
WCCP でのリダイレクトを有効にするには、ネットワーク内のユーザーのクライアント システムと Web の間に適
切なルーターを配置する必要があります。 ルーターは、クライアントからの Web アクセス要求を Web Gateway
アプライアンスの特定のポートにリダイレクトします。
このルーターは WCCP デバイスともいいます。 ルーターの代わりにスイッチを WCCP デバイスとして使用するこ
ともできます。
アプライアンスで WCCP サービスを設定する必要があります。 このサービスを設定するときに、サービス ID、ル
ーターの IP アドレス、リダイレクト前のポートなどの情報を指定します。
複数のアプライアンスを同じルーターに接続して、WCCP で負荷分散とフェールオーバーを行うこともできます。
これらのアプライアンスを集中管理構成でノードとして設定し、それぞれに WCCP サービスを設定する必要があり
ます。
リダイレクトは透過的に実行されます。ユーザーが要求のリダイレクトに気づくことはありません。 Web サーバー
から要求に対する応答を受信すると、Web Gateway が Web サーバーの IP アドレスを使用してクライアントに転
送します。
ルーターを使用するには、Web Gateway にルーターを登録する必要があります。 登録を行わないと、ルーターが
Web Gateway に認識されません。 ルーター側で Web Gateway に関する情報を設定する必要はありません。
Web Gateway とルーター間の通信
WCCP では、登録のためにデータ パケットが交換され、設定のネゴシエーションが実行され、正常性が検査されま
す。 Web Gateway が "Here I Am" パケットをルーターに送信し、設定を転送します。 この設定には、リダイレ
クトのポート、WCCP サービスの ID、リダイレクトする IP アドレスなどの情報が含まれます。
ルーターが "I See You" パケットで応答すると登録が完了し、ルーター ID (ルーターで最も高位のインターフェー
ス IP アドレス) を送信します。
ルーターが 25 秒以内に "Here I Am" パケットを受信しないと、削除クエリーを送信し、迅速な応答を Web
Gateway に要求します。 5 秒以内に応答がないと、Web Gateway がオフラインであると判断し、WCCP パート
ナー プールから削除します。
McAfee Web Gateway 7.6.2
Product Guide
77
4
プロキシ
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
負荷分散とフェールオーバー
複数の Web Gateway アプライアンスが存在する WCCP 構成の場合、ルーターに最初に接続したアプライアンスが
他のアプライアンスに負荷を分散します。 WCCP では、分散される負荷の部分をバケットといいます。
アプライアンスがオフラインになるか、オンラインに戻ると、バケットの再割り当てがすぐに実行されます。 現在バ
ケットを割り当てているアプライアンスがオフラインになると、他のアプライアンスが役割を引き継ぎます。
ルーター、クライアント システムまたは Web Gateway アプライアンスが、ソース NAT でクライアント トラフィ
ックを処理するデバイスで分離されている場合には、WCCP の使用をお勧めしません。 これは、WCCP での負荷分
散のパフォーマンスに影響を及ぼします。 また、時間またはクライアント IP アドレスに基づくユーザー認証ルール
を作成できなくなります。
フェールオープンとフェールクローズ
ルーターで WCCP プロトコルの使用が設定されていても、使用可能な Web Gateway アプライアンスがない場合、
ルーターはリダイレクトせずに Web アクセス要求を通過させます。 この処理をフェールオープンといいます。
ネットワーク内にファイアウォールが存在している場合には、送信元 IP アドレスのある Web アクセス要求にこの
方法が実行されるようにファイアウォールを設定する必要があります。 これにより、要求が直接 Web に送信されま
す。
フェールクローズでは、リダイレクト先の Web Gateway アプライアンスが使用できない場合、要求がブロックさ
れます。この方法を実行するには、Web Gateway に所属する送信元 IP アドレスを含む要求のみを許可するように、
ファイアウォールを設定する必要があります。
単独またはフォールバックとしての WCCP の使用
他のネットワーク モードが使用できない場合、WCCP で明示的プロキシ モードを使用できます。この場合、すべて
の Web トラフィックがこのモードで処理されます。 また、明示的プロキシ構成で特別な要件がある場合 (プロキシ
設定を認識しないアプリケーションを扱う場合など) にはフォールバックとして使用することもできます。 また、ユ
ーザーが個人所有のデバイスを持ち込む Wi-Fi ネットワーク セグメントの Web トラフィックを処理する場合もこ
れに該当します。
ベスト プラクティスとして、2 つの異なるプロキシ ポートの使用をお勧めします。 明示的プロキシ モードの Web
トラフィックを WCCP で処理するポートと、WCCP を使用せずに処理するポートを設定します。 これにより、Web
セキュリティ ルールの条件でプロキシ ポートのプロパティを使用できます。
WCCP プロトコルの使用を設定する
WCCP プロトコルの使用を設定するには、この製品に従って Web トラフィックを処理するように、ルーターと 1
つ以上の Web Gateway アプライアンスを設定します。
タスク
1
WCCP プロトコルに応じて Web トラフィックを処理するルーターを設定します。
ルーターの設定では、WCCP サービスの ID を指定します。 詳細については、ルーターのマニュアルを参照して
ください。
2
WCCP プロトコルに応じて Web トラフィックを処理する Web Gateway アプライアンスを設定します。
アプライアンスの設定では、WCCP サービスの設定を行います。
78
a
[設定] 、 [アプライアンス] の順に選択します。
b
アプライアンス ツリーで、WCCP の使用を選択するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
SOCKS、ICAP ...)] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
c
4
Und[ネットワーク設定] で、[プロキシ (オプションの WCCP 付き)] が選択されます。 [透過型プロキシ] で
[WCCP] を選択します。
[WCCP サービス] リストが表示されます。
d
リストのツールバーで [追加] アイコンをクリックします。
[WCCP サービスの追加] ウィンドウが開きます。
e
サービスを追加するには、サービスのパラメーターに値を入力します。 完了したら [OK] をクリックします。
新しいサービスが [WCCP サービス] リストに表示されます。
f
[変更の保存] をクリックします。
WCCP 構成には複数のアプライアンスを追加できます。 追加するアプライアンスごとに WCCP サービスを設定
してください。
別のネットワーク モード (プロキシ HA モード、透過型ルーター、ブリッジ モードなど) を使用して
いる場合、WCCP で明示的プロキシ モードを設定すると、アプライアンスの再起動が必要になりま
す。
再起動すると、Web トラフィックを透過的にインターセプトしてリダイレクトするためのネットワー
ク ドライバーがアップロードされます。 再起動が必要になるのは 1 回だけです。 以降は、再起動な
しで WCCP プロトコルの使用を有効または無効にできます。
関連トピック:
79 ページの「WCCP サービスの設定」
WCCP サービスの設定
WCCP サービスを設定するときに、いくつかのサービス パラメーターの値を指定します。
これらのパラメーターについては、以下のベスト プラクティス情報を検討してください。
サービス ID
サービス ID で WCCP サービスが識別されます。 このサービスはルーターの設定でも指定します。このサービスの
ID は同一でなければなりません。
0 から 50 までのサービス ID は WCCP 用で固定され、標準設定では既知のサービス用に予約されています。 51
から 255 までのサービス ID は可変で、WCCP 構成のパートナー間でのネゴシエーションにも使用します。 WCCP
サービスを使用する場合には、51 から 98 の値をお勧めします。
WCCP ルーター定義
WCCP 構成で使用するルーターの IP アドレスは、ルーター定義に指定されています。 あるいは、ドメイン名サーバ
ーで解決される名前を指定することもできます。
複数のルーターを設定する場合には、各ルーターの IP アドレスまたは DNS 名を指定するか、マルチキャスト IP ア
ドレスを使用します。 複数のルーターで IP アドレスをマルチキャスト IP アドレスとして使用する場合には、それ
ぞれのルーターの設定で group-address と group-listen というキーワードを指定します。
リダイレクト先のポート
Web Gateway プロキシ ポートから Web トラフィックをリダイレクトするポートが表示されます。
McAfee Web Gateway 7.6.2
Product Guide
79
4
プロキシ
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
HTTP プロトコルと HTTPS ではトラフィックのリダイレクトが機能します。 FTP または他のプロトコルのリダイ
レクトは実行できません。 ここに表示されるポートはすべて、HTTP または HTTPS トラフィック用のポートになり
ます。 このリストでは、HTTP トラフィックにポート 80 が、HTTPS トラフィックにはポート 443 がデフォルトで
定義されています。
また、HTTPS トラフィックに別のポートを追加するには、HTTP プロキシ構成で SSL として処理されるポートとし
て追加する必要があります。
WCCP のバージョン 1 を使用している場合、ポート 80 のトラフィックだけがリダイレクトされます。 他のポートを
リダイレクト用に追加することはできません。
プロキシ リスナー アドレス
プロキシ リスナーのアドレスは、Web トラフィックをリダイレクトする Web Gateway アプライアンスのネットワ
ーク インターフェース カードの物理 IP アドレスになります。
プロキシ リスナー ポート
プロキシ リスナー ポートは、リダイレクトされた要求を待機する Web Gateway 上のポートです。
リダイレクトを実行するには、プロキシ リスナー ポートを IP アドレス 0.0.0.0 にバインドする必要があります。
たとえば、デフォルト ポート 9090 を使用している場合には、0.0.0.0:9090 を指定してバインドします。
ポート (localhost で指定) と実行中のアプライアンスの IP アドレス、他の IP アドレスをバインドする必要があり
ます。 この操作を行わないと、リダイレクトは機能せず、トラフィックが処理されません。
割り当て方法
割り当て方法とは、複数のアプライアンスから構成されている環境で WCCP を使用してバケット (処理中のジョブ)
を別の Web Gateway アプライアンスに割り当てる方法です。 割り当ては、マスクまたはハッシュによって行いま
す。 ルーターによっては、マスクによる割り当てしか使用できない場合があります。 詳細については、ルーターの
マニュアルを参照してください。
負荷分散のための入力
負荷分散は、要求の送信元または宛先の IP アドレス、あるいは送信元または宛先ポートに基づいて行うことができ
ます。 送信元の IP アドレスに基づいて負荷分散を行うことをお勧めします。 これにより、ユーザーが特定のクライ
アント システムから送信した要求に対して常に同じアプリケーションを使用することができます。 また、セッショ
ンの切断を回避することもできます。
割り当ての加重
割り当ての加重は、WCCP 構成でトラフィックの負荷を異なる Web Gateway アプライアンスに割り当てる場合に
使用します。 すべてのアプライアンスにデフォルト値の 1000 を設定すると、負荷は均等に分散されます。
構成内の 1 つのアプライアンスのパフォーマンスを上げるばあには、このアプライアンスの値を高くし、他のアプラ
イアンスの値を低くします。 すべてのアプライアンスの負荷を均等にするには、それぞれのアプライアンスでデフォ
ルト値を使用してください。
GRE カプセル化
データ パケットの送信に GRE (Generic Routing Encapsulation) を使用すると、元のデータ パケットが新しいパ
ケットの中にカプセル化され、新しいヘッダーが追加されます。 この新しいパケットが GRE トンネルという接続を
介してルーターから Web Gateway に送信されます。 この方法ではオーバーヘッドが増えますが、サブネットでは
有効です。
80
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - WCCP での明示的プロキシ モードの設定
4
ローカル NIC に対する L2 再書き込み
データ パケットの送信に L2 再書き込み (レイヤー 2 再書き込み) を使用すると、宛先の MAC アドレスがプロキシ
の MAC アドレスに書き換えられます。 パケットは、アプライアンスのネットワーク インターフェースにリダイレ
クトされます。 この方法は、ルーターとアプライアンスが同じサブネット上にある場合にのみ使用できます。
L2 リダイレクト ターゲット
L2 再書き込みでデータ パケットをリダイレクトする宛先は、実行中のアプライアンスに装着されている NIC のネッ
トワーク インターフェースになります。 このインターフェースを選択するには、インターフェース名 (例: etho)
を選択します。
WCCP 関連のトラブルシューティング
アプライアンスのダッシュボードで WCCP 関連の情報を確認できます。この情報は、アプライアンスに接続してい
るシステム コンソールのコマンドラインでコマンドを実行して取得することもできます。
ダッシュボードで WCCP 関連情報を確認する
ダッシュボードに表示された WCCP 関連情報を使用すると、トラブルシューティングが必要かどうか確認できます。
タスク
1
[ダッシュボード] 、 [グラフおよび表] の順に選択します。
2
ナビゲーション ペインで [システム サマリー] をクリックし、下にスクロールして [WCCP サービスの現状レポ
ート] テーブルを表示します。
この表には WCCP パラメーターの値が表示されます。たとえば、アプライアンスが利用している WCCP サービスの
ID、ルーターの IP アドレス、転送方法とリターン方法、割り当て済みのバケットなどの値が表示されます。
また、最後の "Here I Am" データ パケットと "I See You" データ パケットのタイムスタンプも表示されます。こ
れにより、正常性検査が機能しているかどうか確認できます。
コマンドラインでの WCCP 関連情報の取得
コマンドラインで WCCP 関連情報を取得するために、いくつかのコマンドが用意されています。
設定した Web Gateway アプライアンス ポートに Web トラフィックがリダイレクトされているかどうか確認する
には、次のコマンドを入力します。
iptables -t mangle -L
たとえば、redirect 10.10.73.72:9090 を含む行に chain WCCP0 という項目が表示されたとします。
10.10.73.72 は、トラフィックのリダイレクト先に指定した Web Gateway アプライアンスの NIC に割り振られ
た IP アドレスです。 9090 は、設定したポート番号です。
アプライアンスが "Here I Am" と "I See You" データ パケットを送信しているかどうか確認できます。 次のコマ
ンドを入力します。
tcpdump -npi eth0 port 2048
表示されたデータ パケットで次のことを確認します。
•
Web キャッシュに表示された IP アドレスが Web Gateway アプライアンスの IP アドレスかどどうか。
•
バケットの割り当て方法が Web Gateway に設定済みの方法かどうか。
•
リダイレクト方法が Web Gateway に設定済みの方法かどうか。
McAfee Web Gateway 7.6.2
Product Guide
81
4
プロキシ
透過型ルーター モード
GRE でカプセル化されたデータ パケットまたは L2 で書き換えられたデータ パケットが Web Gateway アプライ
アンスで受信されているかどうか確認できます。
•
GRE のカプセル化を確認するには、次のコマンドを入力します。
tcpdump -npi eth0 ip proto 47
データ パケットの送信元 IP アドレスが、Web Gateway のルーターに設定済みの IP アドレスかどうか確認し
ます。
•
L2 の書き換えを確認するには、次のコマンドを入力します。
tcpdump -npi eth0 not host <アプライアンスの IP アドレス>
データ パケットの送信元 IP アドレスが、要求を送信したクライアントの IP アドレスかどうか確認します。
ifconfig コマンドでも、リダイレクトされたデータ パケットが Web Gateway で受信されているかどうか確認でき
ます。
透過型ルーター モード
透過型ルーター モードは、明示的モードを使用しない場合に Web Gateway アプライアンスのプロキシ機能で設定
可能な 2 つの透過型モードの 1 つです。
透過型ルーター モードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンス
にリダイレクトするように設定する必要はありません。
アプライアンスは、ファイアウォールのすぐ背後にルーターとして配置されます。アプライアンスとクライアントの
接続にスイッチを使用できます。トラフィックの転送にはルーティング テーブルが使用されます。
ディレクター ノードとスキャン ノード
複雑な構成のノードとして複数のアプライアンスを実行している場合 (集中管理クラスターなど)、通常、1 つのノー
ドがディレクターとして設定され、残りのノードがスキャン ノードとして設定されます。
ディレクター ノードは、クライアントから Web トラフィックを受信し、スキャン ノードに配信します。スキャン
ノードは、実装されたルールに従ってトラフィックをフィルタリングします。 ディレクトター ノードとスキャン ノ
ードでトラフィックを処理する方法は、設定によって異なります。
ディレクトター ノードでもフィルタリングを行うことができます。 ノードがオフラインになったときの問題を回避
するため、ディレクター ノードを 2 つ以上設定することをお勧めします。
ネットワーク上で実行されている Web Gateway アプライアンスが 1 台だけで、このアプライアンスを透過型ルータ
ー モードに設定する場合には、Web トラフィックの受信、フィルタリング、転送ができるように、アプライアンスに
ディレクター役割を設定する必要があります。
透過型ルーター モードを設定する
アプライアンスのプロキシ機能を透過型ルーター モードに設定するには、次の操作を行う必要があります。
タスク
82
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、透過型ルーター モードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、IM)] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ルーター モード
3
4
[ネットワークのセットアップ] で [透過型ルーター] を選択します。
このモードを選択した後で、特定の [透過型ルーター] の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
[変更の保存] をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ル
ーター モードを設定できます。
パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟
に処理される場合、透過型ルーター モードで追加の設定が必要になります。
関連トピック:
95 ページの「パケット サイズの処理」
86 ページの「透過型ルーターの設定」
透過型ルーター モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ルーター モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワークとプロキシを設定します。
タスク
•
83 ページの「透過型ルーター モードで実行するディレクター ノードのネットワークを設定する」
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネッ
トワーク インターフェースを設定します。
•
84 ページの「ディレクター ノードのプロキシを透過型ルーター モードに設定する」
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
85 ページの「スキャン ノードを透過型ルーター モードに設定する」
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネ
ットワーク インターフェースを設定する必要があります。プロキシの設定方法はディレクター ノード
に設定する場合と同じですが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ルーター モードで実行するディレクター ノードのネットワークを設定する
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネットワーク イ
ンターフェースを設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
83
4
プロキシ
透過型ルーター モード
3
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web トラフィックの受信用に 1 つ以上のインターフェースが必要です。また、送信用にも 1 つ以上のインター
フェースを設定する必要があります。
4
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
ディレクター ノードのプロキシを透過型ルーター モードに設定する
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
[ポート リダイレクトの追加] ウィンドウが開きます。
b
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、
「SSL スキャナー」ルール セットを有効にします。
このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効になっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
84
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
6
[管理 IP] フィールドに、ディレクターが接続するスキャン ノードの IP アドレスを入力します。
7
[仮想 IP] で、空いている仮想 IP アドレスを受信と送信用のネットワーク インターフェースに入力します。
8
[仮想ルーター ID] に表示されている番号をそのまま使用します。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ルーター モード
9
4
[VRRP インターフェース] リストで、このプロトコルで行うハートビートのインターフェースを選択します。
10 必要に応じて、IP スプーフィングを設定します。
11 [HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
12 [変更を保存] をクリックします。
スキャン ノードを透過型ルーター モードに設定する
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネットワーク イ
ンターフェースを設定する必要があります。プロキシの設定方法はディレクター ノードに設定する場合と同じです
が、ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードとして設定するアプライアンスを選択し、[ネットワーク インターフ
ェース] をクリックします。
3
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web 送信トラフィックを処理するインターフェースが 1 つ以上必要です。
4
[変更を保存] をクリックします。
5
ログオフして、アプライアンスに再度ログインします。
6
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
SOCKS、ICAP ...)] を選択します。
7
[ネットワーク設定] で [透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
8
ディレクター ノードと同じポート リダイレクトを設定します。
9
[ディレクトリの優先順位] に 0 を設定します。
10 ディレクター ノードと同じ方法で IP スプーフィングを設定します。
11 ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
12 [変更を保存] をクリックします。
透過型ルーター モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
McAfee Web Gateway 7.6.2
Product Guide
85
4
プロキシ
透過型ルーター モード
透過型ルーターの設定
透過型ルーターの設定では、アプライアンスのプロキシ機能を透過型ルーター モードに設定します。
透過型ルーター
透過型ルーター モードの構成の設定
表 4-9 透過型ルーター
オプション
定義
[ポート リダイレク
ト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリスト
から選択します。
[ディレクターの優先 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
順位]
から 99) を設定します。
複雑な構成のノードとして複数のアプライアンスを実行している場合 (集中管理クラスター
など)、優先順位が最も高いノードはディレクター ノードです。残りのノードはスキャン ノ
ードとなり、フィルタリングだけを行います。
ディレクター ノードはデータ パケットを受信して他のノードに配信し、フィルタリングを
行います。また、フィルタリングを通過したデータ パケットを Web に転送します。
複雑な構成の場合、ディレクター役割に 0 より大きい値を設定し、スキャン ノードに 0 を
設定します。
ネットワーク上で実行されている Web Gateway アプライアンスが 1 台だけで、このアプ
ライアンスを透過型ルーター モードに設定する場合には、データ パケットの受信、フィルタ
リング、転送ができるように、アプライアンスの優先順位に 0 より大きい値を設定する必要
があります。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるア
プライアンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスを入力するためのリストを提供します。
[仮想ルーター ID]
仮想ルーターを識別します。
[VRRP インターフェ ハートビート メッセージの送受信のためのアプライアンスのネットワーク インターフェー
ース]
スを指定します。
[IP スプーフィング
(HTTP、HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アド
レスとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用
します。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィング
(FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ
ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 4-10
86
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート]
要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポー
ト]
リダイレクト先のポートが表示されます。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ブリッジ モード
表 4-10
4
ポート転送 - リスト エントリー (続き)
オプション
定義
[発信元 IP による除
外]
指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処
理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと
ができます。
[宛先 IP による除外]
指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できる宛先に送信する要求の処理を
Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことがで
きます。
[オプションの
802.1Q VLAN]
設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま
す。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
表 4-11
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インター ここで構成されている仮想 IP アドレスが割り当てられているアプライアンスのネットワ
フェース]
ーク インターフェースを指定します。
この仮想 IP アドレスがインターフェースに割り当てられるのは、現在のノードにアクテ
ィブ ディレクターの役割がない場合だけです。
[コメント]
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
透過型ブリッジ モード
透過型ブリッジ モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
このモードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンスにリダイレ
クトするように設定する必要はありません。通常、アプライアンスはファイアウォールとルーターの間に配置され、
ブリッジとして機能します。
McAfee Web Gateway 7.6.2
Product Guide
87
4
プロキシ
透過型ブリッジ モード
以下のダイアグラムは、透過型ブリッジ モードでの構成を表示します。
図 4-2 透過型ブリッジ モード
透過型ブリッジ モードを設定する
アプライアンスのプロキシ機能を透過型ブリッジ モードに設定するには、次の操作を行う必要があります。
タスク
1
[構成] 、 [アプライアンス]の順に選択します。
2
アプライアンス ツリーで、透過型ブリッジ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワークのセットアップ] で [透過型ブリッジ] を選択します。
このモードを選択した後で、[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
アプライアンスを再起動します。
再起動すると、ネットワーク ドライバーが再度読み込まれ、このネットワーク モードに必要なドライバーが適用
されます。
透過型ブリッジ モードから別のネットワーク モードに切り替えた場合にもアプライアンスを再起動することをお
勧めします。
6
[変更の保存]をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ブ
リッジ モードを設定できます。
パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟
に処理される場合、透過型ブリッジ モードで追加の設定が必要になります。
関連トピック:
95 ページの「パケット サイズの処理」
93 ページの「透過型ブリッジの設定」
88
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ブリッジ モード
4
透過型ブリッジ モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ブリッジ モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワーク、集中管理、プロキシを設定します。
タスク
•
89 ページの「透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設
定する」
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク イ
ンターフェースを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
•
90 ページの「ディレクター ノードのプロキシを透過型ブリッジ モードに設定する」
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
91 ページの「スキャン ノードを透過型ブリッジ モードに設定する」
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設
定しますが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設定する
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク インターフェー
スを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
3
透過型ブリッジ機能に使用するネットワーク インターフェースを準備します。
a
アプライアンスで未使用のネットワーク インターフェースを選択します。ここではまだ有効にしないでくだ
さい。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
e
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
4
透過型ブリッジ機能に使用するネットワーク インターフェースを設定します。
a
[設定] 、 [アプライアンス] の順に選択します。 アプライアンスを再度選択し、[ネットワーク インターフェ
ース] をクリックします。
[ibr0] という追加のネットワーク インターフェースが使用可能になります。
b
[ibr0] インターフェースを選択します。
c
[IPv4] タブで、このインターフェースの IP アドレス、サブネット マスク、デフォルト ルートを設定しま
す。
d
有効にするインターフェースの横にあるチェックボックスを選択します。
McAfee Web Gateway 7.6.2
Product Guide
89
4
プロキシ
透過型ブリッジ モード
5
現在アプライアンスとの接続に使用しているネットワーク インターフェースを透過型ブリッジ機能のネットワー
ク インターフェースとして設定します。
a
現在アプライアンスとの接続に使用しているネットワーク インターフェースを選択します。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
6
手順 3 で未使用のネットワーク インターフェースから選択した [ibr0] を有効にします。
7
集中管理を設定します。
8
a
[集中管理] を選択します。
b
[集中管理設定] で、[ibr0] ネットワーク インターフェースに設定した IP アドレスをリストに追加します。
[変更を保存] をクリックします。
透過型ブリッジ機能に複数のネットワーク インターフェースを使用する場合には、同様の方法でアプライアンスの未
使用ネットワーク インターフェースを設定します。
ディレクター ノードのプロキシを透過型ブリッジ モードに設定する
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
90
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ブリッジ モード
4
4
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
b
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、「SSL スキャナー」ルール セットを有効にする必
要があります。このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効に
なっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
6
[管理 IP] フィールドで、ネットワークの設定時に [ibr0] に指定した IP アドレスを入力します。
7
必要に応じて、IP スプーフィングを設定します。
8
[HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
9
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
[変更を保存] をクリックします。
スキャン ノードを透過型ブリッジ モードに設定する
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設定しますが、
ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
SOCKS、ICAP ...)] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
91
4
プロキシ
透過型ブリッジ モード
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
ディレクター ノードと同じポート リダイレクトを設定します。
5
[ディレクトリの優先順位] に 0 を設定します。
6
ディレクター ノードと同じ方法で IP スプーフィングを設定します。
7
ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
8
[変更を保存] をクリックします。
透過型ブリッジ モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
ベストプラクティス - 透過型ブリッジ構成の調整
Web Gateway を透過型ブリッジ モードで構成した場合、基本的な手順以外の操作を行うと、構成を強化すること
ができます。
次の操作を行います。
•
ポート リダイレクトの設定
•
複数のアプライアンスのセットアップ
•
STP プロトコルの適切な処理
ポート リダイレクトの設定
デフォルトの構成では、Web Gateway は、ポート 80 と 443 で受信した Web アクセス要求をスキャンし、フィ
ルタリングします。 追加のポートを指定しない限り、これ以外のポートで受信した要求はすべてフィルタリングされ
ずに Web に転送されます。
特定のクライアント IP アドレスから受信した要求または特定の宛先 IP アドレスに送信する要求をポート リダイレ
クトの除外対象として設定できます。 これらの除外対象は、フィルタリングされずに Web に転送されます。
複数のアプライアンスのセットアップ
Web Gateway を透過型ブリッジ モードで構成する場合には、複数のアプライアンスをセットアップするようにし
てください。
このモードで構成した Web Gateway アプライアンスが 1 台の場合、このアプライアンスはネットワーク内でイン
ラインに配置されます。 この場合、トラフィックを受信し、フィルタリングを有効にするポートを設定していない場
合でも、すべてのトラフィックがこのアプライアンスを通過することになります。 1 台のアプライアンスしかセット
アップしていない場合、このアプライアンスに障害が発生すると、すべてが停止します。
2 台以上のアプライアンスをセットアップすると、1 台のアプライアンスをフェールオーバー デバイスとして使用で
きます。 また、フェールオーバー機能だけでなく、負荷分散を行い、送受信する Web トラフィックを制御できま
す。
STP でのポート シャットダウンの回避
スパニング ツリー プロトコル (STP) を使用するスイッチにネットワーク内の Web Gateway アプライアンスが直
接接続している場合、このプロトコルで負荷分散通信に必要なポートがシャットダウンする場合があります。
大半のネットワーク スイッチの場合、STP はループを回避し、単一通信パスを確保するために使用されています。
このようなループは、冗長ポートがシャットダウンすると発生します。
92
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
透過型ブリッジ モード
4
このプロトコルは、2 台以上の Web Gateway アプライアンスが透過型ブリッジ モードで構成されている場合にも
使用されます。 アプライアンスの 1 つがディレクター役割を引き継ぐと、発生した Web トラフィックが他のアプ
ライアンスに送信され、処理されます。
STP は、この役割のアプライアンスと通信し、アプライアンス間の負荷分散を行うために使用されます。
STP を使用するネットワーク スイッチが Web Gateway アプライアンスと直接接続していると、この負荷分散通信
に必要なポートがシャットダウンする可能性が非常に高くなります。
このシャットダウンは、以下のいずれかの方法で回避できます。
•
Web Gateway アプライアンスに直接接続している各スイッチで STP を無効にする。
ネットワークの他のコンポーネントがこのようなスイッチと STP に依存している場合には、この方法を使用しな
いでください。
•
各 Web Gateway アプライアンスと、STP を使用してアプライアンスに接続しているスイッチの間に、STP を
使用しない別のスイッチを設置する。
この方法でネットワークをセットアップすると、Web Gateway アプライアンスと、STP を使用するスイッチに
依存する他のネットワーク コンポーネントの負荷分散に影響を及ぼすことはありません。
関連トピック:
88 ページの「透過型ブリッジ モードを設定する」
透過型ブリッジにポート リダイレクトを設定する
透過型ブリッジにポート リダイレクトを設定すると、特定の要求をフィルタリングせずに Web に転送できます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ポート リダイレクトを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、SOCKS、ICAP ...)] をクリックします。
3
[ネットワークのセットアップ] で [透過型ブリッジ] を選択します。
[ネットワークのセットアップ] の下に [透過型ブリッジ] の設定が表示されます。
4
[ポート リダイレクト] のリストで、設定するポート リダイレクトの IP アドレスとサブネット マスクを指定し
ます。
5
[変更の保存] をクリックします。
透過型ブリッジの設定
透過型ブリッジの設定では、アプライアンスのプロキシ機能を透過型ブリッジ モードに設定します。
透過型ブリッジ
透過型ブリッジ モードの構成の設定
McAfee Web Gateway 7.6.2
Product Guide
93
4
プロキシ
透過型ブリッジ モード
表 4-12 透過型ブリッジ
オプション
定義
[ポート リダイレ
クト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリストか
ら選択します。
[ディレクターの優 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
先順位]
から 99) を設定します。
最高値が表示されます。0 はアプライアンスがスキャニング ノードと呼ばれるものであるこ
とを意味し、データ パケットをフィルターするだけで、仕向けることはないことを意味しま
す。
このオプションは、スキャニング ノード(優先順位 = 0)またはディレクター ノー
ド(優先順位 > 0)としてノードを構成するためにのみ使用できます。
0 より大きいノードの優先順位の違いは評価されません。
透過型ブリッジ モードで複数のアプライアンスについて 0 より大きいノード優先
順位を構成した後で、その動作を観察して、データ パケットを仕向けるディレクタ
ー ノードになるものが実際にどれであるかを調べる必要があります。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプ
ライアンスのソース IP アドレスを指定します。
[IP スプーフィン
グ (HTTP、
HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アドレ
スとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用しま
す。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィン
グ (FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイル
サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
次の表では、ポート転送のリストのエントリーを説明しています。
表 4-13
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート]
要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポー
ト]
リダイレクト先のポートが表示されます。
[発信元 IP による除
外]
指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処
理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと
ができます。
94
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
パケット サイズの処理
表 4-13
4
ポート転送 - リスト エントリー (続き)
オプション
定義
[宛先 IP による除外] 指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼された宛先に送信される要求を処理
の対象外にすることができます。
[オプションの
802.1Q VLAN]
設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま
す。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
パケット サイズの処理
アプライアンスの Web Gateway とクライアントの通信でデータ パケットのサイズを柔軟に処理する必要がある場
合、明示的プロキシ モードは通常どおり設定できます。
以下のモードの場合、追加の設定が必要になります。
•
プロキシ HA (高可用性) モード
•
透過型ルーター モード
•
透過型ブリッジ モード
データ パケットのサイズは MTU (最大転送単位) パラメーターで測定されます。これにより、1 つのパケットで送信
可能なバイト数が制限されます。
このパラメーターの値を通信パートナー間で交換する方法をパス MTU 検出といいます。 これは、前述の 3 つのモ
ードでは使用できません。
たとえば、Web Gateway が VPN (仮想プライベート ネットワーク) トンネル経由で接続しているクライアントに
データ パケットを送信するときに、VPN トンネルが処理可能な MTU が 1412 で、データ パケットの MTU が
1500 とします。
この場合、VPN ゲートウェイは ICMP プロトコルでメッセージを送信し、通信パートナーに必要なサイズを通知し
ます。ただし、ネットワーク モードが明示的プロキシ モードに設定されるまで、このメッセージは処理されません。
他のモードでこの問題を解決するには、通信 (この場合、VPN トンネルの内側にあるクライアントの通信) に使用す
る Web Gateway のネットワーク インターフェースの MTU パラメーター値を小さくする必要があります。 この
パラメーターに必要な値 (たとえば、1412) を設定します。
MTU パラメーターは、IPv4 または IP6 プロトコルの [ネットワーク インターフェース] の設定と一緒にユーザー
インターフェースで設定します。インターフェースにアクセスするには、[設定] 、 [アプライアンス] の順に移動し
ます。
McAfee Web Gateway 7.6.2
Product Guide
95
4
プロキシ
セキュア ICAP
セキュア ICAP
アプライアンスが ICAP プロトコルの下でサーバーとクライアントのロールをとるとき、コミュニケーションを SSL
セキュア モードで実行できます。
このモードを使用するには、アプライアンスでクライアントから SSL 保護要求を受信する ICAP ポートのサーバー
証明書をインポートする必要があります。クライアントが証明書を送信する必要はありません。
ICAP クライアントして機能しているアプライアンスから ICAP サーバーに送信された要求の場合、サーバーとの
SSL セキュア通信を有効にするため、サーバー アドレスに ICAPS が含まれている必要があります。
アプライアンスはクライアント証明書を ICAP サーバーに送信しません。
SOCKS プロキシ
SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、Web Gateway をプロキシとして実行でき
ます。
Web トラフィックを SOCKS プロトコルを送信すると、HTTP または HTTPS などの埋め込みプロトコルも使用さ
れます。
Web Gateway では埋め込みプロトコルも検出できます。このプロトコルで送信される Web トラフィックがフィ
ルタリングされる場合、このトラフィックで設定済みのフィルタリング ルールが処理されます。フィルタリングがサ
ポートされていない場合、トラフィックは適切なルールによってブロックされます。
Web Gateway のプロキシ機能に SOCKS プロトコルを使用する場合には、次のような制限があります。
•
SOCKS プロトコルのバージョンが 5、4 または 4a でなければなりません。
•
SOCKS プロトコルで接続をセットアップする場合、BIND を使用できません。
SOCKS プロトコルでネクスト ホップ プロキシが転送する Web トラフィックは、レベル 1 または 2 の Kerberos
認証方法で保護できます。
この場合、このトラフィックを SSL で保護する暗号化は適用されません。このため、SSL スキャンは不要です。デ
フォルトの SSL スキャナー ルール セットには、このトラフィックが SSL スキャンをスキップするための条件が含
まれています。
SOCKS プロキシの設定
Web Gateway を SOCKS プロキシとして設定するには、いくつかの作業を行う必要があります。
•
SOCKS プロキシを有効にします。
•
Web Gateway に要求を送信するときに SOCKS プロキシ クライアントが待機するプロキシ ポートを 1 つ以
上指定します。
これらのポートは、Web Gateway の共通プロキシ設定で指定します。
•
SOCKS プロキシの動作を制御するルールを作成します。
これらの設定は、Web Gateway の共通プロキシ設定で行います。
96
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
SOCKS プロキシ
4
SOCKS プロキシ ルールでのプロパティとイベントの使用
SOCKS プロキシとしての Web Gateway の動作を制御するルールを作成する場合、2 つのプロパティとイベントが
使用できます。
デフォルトのルール セットまたはルール セット ライブラリに、事前設定の SOCKS プロキシ ルール セット セット
はありません。このようなルールを使用する場合には、ルールを作成して既存のルール セットに挿入するか、新しい
ルール セットを作成する必要があります。
•
ProtocolDetector.DetectedProtocol - このプロパティは、Web トラフィックが SOCKS プロトコルで
転送される場合に埋め込みプロトコル (HTTP、HTTPS など) の検出に使用できます。
この値は、プロトコル名を文字列形式で表したものです。埋め込みプロトコルを検出できない場合、文字列は空
になります。
•
ProtocolDetector.ProtocolFilterable - このプロパティは、検出された埋め込みプロトコルで Web トラ
フィックにフィルタリングがサポートされているかどうかを確認できます。
フィルタリングが可能であれば、値は true になります。それ以外の場合には、false になります。
ルールでこのプロパティが処理されると、ProtocolDetector.DetectedProtocol プロパティにも値が設定
されます。後者のプロパティでこの値に空の文字列が設定されている場合、埋め込みプロトコルが検出できない
ことを意味します。この場合、ProtocolDetector.ProtocolFilterable プロパティの値が false に設定され
ます。
•
ProtocolDetector.ApplyFiltering - このイベントは、検出されたプロトコルで Web フィルタリングを行
う Web Gateway で、設定済みの他のルールを有効にする場合に使用できます。
以下のルールを使用すると、埋め込みプロトコルが検出され、フィルタリング可能な場合に、SOCKS プロトコルで
Web トラフィックをフィルタリングする他のルール処理が有効になります。
名前
フィルタリング可能な埋め込みプロトコルの後で SOCKS トラフィックのフィルタリングを有効にする
条件
ProtocolDetector.ProtocolFilterable is true
アクション
–> StopCycle
イベント
ProtocolDetector.ApplyFiltering
埋め込みプロトコルが検出されない場合、次のルールが SOCKS トラフィックをブロックします。
名前
埋め込みプロトコルが検出できない場合に、SOCKS トラフィックをブロックする
条件
ProtocolDetector.DetectedProtocol equals " "
アクション
–>
Block
SOCKS トラフィックを有効にするルールが設定されていない場合や、埋め込みプトロコルを検出されずにブロック
された場合、このトラフィックは許可されます。
Web アクセス要求を Web Gateway の SOCKS クライアントから受信すると、何も処理は実行されず、要求された
Web サーバーに転送されます。
McAfee Web Gateway 7.6.2
Product Guide
97
4
プロキシ
SOCKS プロキシ
SOCKS プロキシを設定する
Web Gateway の共通プロキシの一部で、SOCKS プロキシを設定できます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、SOCKS プロキシを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)] を選択します。
設定ペインにプロキシ機能の設定が表示されます。
3
下にスクロールして [SOCKS プロキシ] を選択します。
4
必要に応じて、これらの項目を設定します。
5
[変更の保存] をクリックします。
関連トピック:
104 ページの「プロキシ設定」
SOCKS での UDP の使用
SOCKS プロトコルで Web Gateway がプロキシとして実行されている場合、UDP (User Datagram Protocol) を
設定できます。
SOCKS プロトコルで送信されたトラフィックが Web Gateway のプロキシ機能で処理されるときに、UDP のトラ
フィックも検出し、転送することができます。 このトラフィックはフィルタリングされず、そのまま転送されます。
UDP トラフィックをこのように処理するには、以下の設定を行う必要があります。
•
UDP トラフィックを待機するポートの範囲を設定します。
•
UDP トラフィックの接続タイムアウトを設定します。
これらの設定を行うだけで、UDP トラフィックの処理を明示的に有効にする必要はありません。この機能はデフォル
トで有効になっています。
Web Gateway のクライアントが SOCKS で UDP 接続の確立要求を送信すると、要求で送信されたコマンド名がプ
ロパティの値として保存されます。
プロパティの名前は [Command.Name] で、値は SOCKSUDPASSOCIATE です。 このプロパティは、モニタ
リングまたは他の目的のルールで使用できます。
また、Web Gateway で UDP トラフィックの処理を無効にするルールでも使用できます。
UDP の使用もモニタリングされ、ダッシュボードの [SOCKS トラフィック サマリー] に表示されます。
SOCKS の UDP を設定する
Web Gateway が SOCKS プロトコルでプロキシとして実行されている場合、UDP を設定すると、このプロトコル
で送信されたトラフィックのフィルタリングを有効にできます。
タスク
98
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、UDP を設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、SOCKS、
ICAP ...)] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
SOCKS プロキシ
4
3
設定ペインで下にスクロールし、[SOCKS プロキシ] を表示します。 [UDP のポート範囲] で、UDP トラフィッ
クを待機するポート範囲を設定します。
4
[HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト] が表示されるまで下にスクロールします。 [UDP タイ
ムアウト] で、UDP に接続タイムアウトを設定します。
5
[変更の保存] をクリックします。
関連トピック:
108 ページの「SOCKS プロキシ」
109 ページの「HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト」
SOCKS プロキシ ルール セット
SOCKS プロキシ ルール セットは、SOCKS プロトコルで転送されるトラフィックをフィルタリングするライブラリ
ルール セットです。
ライブラリ ルール セット - SOCKS プロキシ
条件 - Always
サイクル — 要求 (IM)、応答
このルール セットには、以下のルールが含まれます。
フィルタリング可能なプロトコルが埋め込まれている SOCKS プロトコルのトラフィックのフィルタリング
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle
— ProtocolDetector.ApplyFiltering
このルールは、ProtocolDetector.ProtocolFilterable プロパティを使用して、SOCKS トラフィックに埋め
込まれているプロトコルが Web Gateway でフィルタリング可能かどうか検査します。フィルタリング可能なプ
ロトコルは HTTP と HTTPS です。
いずれかのプロトコルが検出されると、ルール イベントがフィルタリングを有効にします。埋め込みプロトコルが
検出されないと、このルールは適用されず、次のルールが処理されます。
埋め込みプロトコルが検出されない場合、SOCKS トラフィックをブロック
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block
<Default>
埋め込みプロトコルが検出されない場合、このルールが要求をブロックします。
検出したプロトコルがホワイトリストにない場合に SOCKS トラフィックをブロック
ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol
Whitelist –> Block <Default>
埋め込みプロトコルが検出されても特定のホワイトリストに存在しない場合、このルールが要求をブロックします。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.6.2
Product Guide
99
4
プロキシ
インスタント メッセージング
インスタント メッセージング
インスタント メッセージ ング プロキシは、インスタント メッセージング (IM) チャットとファイル転送をフィルタリン
グするために、アプライアンスにセットアップできます。
ネットワークのユーザーがインスタント メッセージング通信に参加するとき、たとえば、インスタント メッセージ
ング サーバーにチャット メッセージを送ったり、そのメッセージに対する返信を受け取ったり、ファイルを送受信
したりします。アプライアンスのインスタント メッセージング プロキシは、実装したフィルタリング ルールに従っ
てこのフィルタリングをインターセプトしたり、フィルタリングできます。このために、インスタント メッセージン
グ トラフィックは、アプライアンスにリダイレクトされます。
以下のネットワーク コンポーネントがフィルタリング プロセスに含まれています。
•
インスタント メッセージングのプロキシ — プロキシは Yahoo プロキシ、Windows Live Messenger プロキシ
やその他などさまざまなプロトコルの元でインスタント メッセージングをフィルタリングするために、アプライ
アンスをセットアップできます。
•
インスタント メッセージングのクライアント — これらのクライアントはネットワーク内のユーザーのシステム
上で実行され、インスタント メッセージング サーバーとの通信を可能にします。
•
インスタント メッセージングのサーバー — これらは、ネットワーク内からクライアントによりアドレス指定さ
れる宛先です。
•
ネットワークのその他のコンポーネント — インスタント メッセージング フィルターーに含まれる他のコンポ
ーネントには、たとえば、インスタント メッセージング トラフィックをアプライアンスにリダイレクトするファ
イアウォールやローカル DNS サーバーなどがあります。
インスタント メッセージング フィルタリングを設定するときには、インスタント メッセージング プロキシやインス
タント メッセージング トラフィックをインターセプトとフィルタリングできるようにするプロキシへの設定操作を
完了する必要があります。
また、インスタント メッセージング トラフィックがインスタント メッセージング プロキシに確実にリダイレクトさ
れるようにする必要もあります。しかし、この設定操作はクライアント上で行うものではなく、ネットワークの他の
コンポーネント上で行われます。たとえば、DNS のリダイレクトやファイアウォール ルールは適切な方法で設定さ
れます。
アプライアンスのインスタント メッセージング プロキシは、Yahoo、Microsoft、ICQ、Google により提供された
ベンダー IM クライアント ソフトウェアと共に主に使用されることを意図しています。しかし、クライアント ソフ
トウェアは、隠れた更新が行われた後で事前の警告なしに、新しいログオン サーバーを使用するなど、操作を変更す
る可能性があります。
サードパーティのクライアント ソフトウェアを使用するときは、一般的にログオン サーバー、プロトコル バージョ
ン、または認証方式が元のクライアント ソフトウェアのものに比べて変更されている可能性があることを理解してお
く必要があり、このことによりアプライアンスのインスタント メッセージング プロキシがインスタント メッセージ
ング トラフィックをインターセプトしたり、フィルタリングできなくなる可能性があります。
インスタント メッセージング プロキシの設定
アプライアンスでインスタント メッセージング プロキシを設定する場合、[構成]トップレベル メニューの[プロキ
シ]設定の関連する部分を構成する必要があります。
主に以下の設定があります。
100
•
インスタント メッセージング プロキシの有効化
•
インスタント メッセージング クライアントにより送信される要求を待機する IP アドレスとポート
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
インスタント メッセージング
•
インスタント メッセージング サーバーの設定
•
インスタント メッセージング通信のタイムアウト
4
デフォルト値は、アプライアンスの初期セットアップ後にこれらのすべての設定に対して事前設定されます。
以下のプロトコルの下のインスタント メッセージングを以下のとおり、フィルタリングすることができます。
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP。Google Talk、Facebook チャット、Jabber、その他のインスタント メッセージング サービスに使用さ
れるプロトコル
インスタント メッセージング トラフィックのフィルタリングのために、アプライアンスで処理されるルールは、こ
れらのルール セットの設定で処理サイクルとして設定される要求 (および IM) をもつものです。
しかし、応答サイクルは Yahoo プロトコルの下でインスタント メッセージングがフィルタリングされるときにも関
係します。このプロトコルの下では、要求されたファイルが通常の Web トラフィックでファイルを転送するために
使用される応答と同じ種類の応答で、クライアントに転送されます。ファイルはサーバーに保管され、HTTP のもと
で、クライアントにより取得されます。たとえば、適切な URL を使用するなどです。
インスタント メッセージング クライアントと特定のプロトコルの下のプロキシとの間の通信に問題が発生した場
合、クライアントは別のプロトコルを使用して切り替え、このようにプロキシをバイパスすることもできます。クラ
イアントは通常の Web トラフィックに対するプロトコルを使用することさえできます。アプライアンスのダッシュ
ボード上で、これは表示される IM トラフィックの減少と Web トラフィックの増大が導かれます。
セッションの開始
クライアントとサーバー間のインスタント メッセージング セッションの初期化中に、クライアントの要求はアプラ
イアンスでのみ受信できますが、応答を返信することはできません。この状態が続く限り、
IM.Message.CanSendBack プロパティはルールで使用されるときの値として false をもつことになります。
インスタント メッセージング トラフィックを完全にブロックしない限り、セッション初期化に関するブロッキング
ルールを施行しないことをお勧めします。必要なヘルパー接続を許可することも必要です。通常は、DNS 要求や
HTTP 転送が該当します。
認証されたユーザーのみを許可するなど、施行する制限はチャット メッセージやファイル転送など、セッション自体
が進行中の間のトラフィックに適用されます。
インスタント メッセージング フィルタリングのためのその他のネットワーク コンポーネントの構成
インスタント メッセージング フィルタリングのその他のネットワーク コンポーネントの構成の目的は、クライアン
トとサーバーの間で進行中のインスタント メッセージング トラフィックを、1 つ以上のインスタント メッセージン
グ プロキシを実行中のアプライアンスにリダイレクトすることです。
たとえば、ICQ プロトコルの下で、クライアントはホスト名 api.icq.net をもつサーバーに要求を送信します。イ
ンスタント メッセージング フィルタリングの場合は、ホスト名をアプライアンスの IP アドレスではなく、ICQ サ
ーバーの IP アドレスに解決しない DNS リダイレクト ルールを作成する必要があります。
同様に、ファイアウォール ルールを作成して、インスタント メッセージング トラフィックをインスタント メッセー
ジング サーバーではなく、アプライアンスにダイレクトすることができます。
Windows Live Messenger の下でのインスタント メッセージング トラフィックのフィルタリング
Windows Live Messenger プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリン
グを設定するとき、以下の知識が役立ちます。
McAfee Web Gateway 7.6.2
Product Guide
101
4
プロキシ
インスタント メッセージング
インスタント メッセージング サーバーのホスト名は messenger.hotmail.com です。これは、インスタント メ
ッセージング プロキシをもつアプライアンスの IP アドレスによるリダイレクト ルールにより解決される必要があ
るホスト名です。
時々、クライアントは DNS ルックアップで解決されるホスト名を要求せずに、サーバーに接続します。この場合、
クライアント設定内の以下のレジストリ エントリーを検索し、削除することを助けます。
geohostingserver_messenger.hotmail.com:1863, REG_SZ
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
http://login.live.com
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
ICQ の下でのインスタント メッセージング トラフィックのフィルタリング
ICQ プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以下
の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は次のようになります。
•
api.icq.net (サービス要求サーバー: AOL から
独立以来新規)
•
ars.oscar.aol.com (古いファイル転送プロキ
シ)
•
ars.icq.com (ファイル転送プロキシ: AOL か
ら独立以来新規)
•
login.icq.com (新しいログオン手順の場合)
•
api.oscar.aol.com (古いサービス要求サーバ
ー)
•
login.oscar.aol.com (古いログオン手順の場
合)
ICQ クライアントは、アプライアンスのインスタント メッセージング プロキシによりインターセプトできない暗号
化プロセスのサーバーにログオンします。
しかし、これ以降、ICQ クライアントはログオン後に受け取るマジック トークンを使用して、セッション サーバー
に関する情報をサービス要求サーバーに求めます。ここで、インスタント メッセージング プロキシがインターセプ
トします。フィルタリング プロセスはその後、セッション サーバーとの通信でクライアント名が発表された後で、
別のログオン手順を使用します。
ベンダー Yahoo クライアントとは対照的に、ベンダー ICQ クライアントは Internet Explorer 接続設定を無視し
ます。
Yahoo の下でのインスタント メッセージング トラフィックのフィルタリング
Yahoo プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以
下の知識が役立ちます。
要求が送信されるインスタント メッセージング サーバーのリストが非常に長くなることがあります。以下は使用さ
れている、または使用されたことがあるサーバーのホスト名のリストです。これまでに現れた新しいサーバーはリス
トに追加することが必要な場合があります。
102
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
インスタント メッセージング
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
relay2.msg.dcn.yahoo.com
•
scsd.msg.yahoo.com
•
relay3.msg.dcn.yahoo.com
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
4
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
[インターネットに直接接続]オプションが Yahoo クライアントの設定の中で有効になっている場合でも、Internet
Explorer の接続設定を引き続き使用している場合があります。これが原因となり、プロセスの後の段階でログオン
が失敗することがあります。したがって、ホワイトリストに URL *login.yahoo.com* も挿入することをお勧め
します。
インスタント メッセージング フィルタリングの問題
インスタント メッセージング フィルタリングの問題には、たとえば、クライアントとサーバー間の接続や施行され
たフィルタリング ルールの適用などが含まれる場合があります。
キープアライブ データ パケットはインスタント メッセージ トラフィックの一部として定期的な間隔で送信され、通
信パートナーが引き続き接続され、応答可能であることを示します。IM プロトコルとクライアント ソフトウェアに
応じて、間隔は 20 ~ 80 秒間の間で変動します。これらのデータ パケットは、アプライアンスで施行されるフィル
タリング ルールにより処理されません。
トラブルシューティングの状況でそのようなデータ パケットを検出した場合、どのルールが引き続き実行されている
のかを確認するために、ルール エンジン トレーシング機能を使用することができます。
クライアントがサーバーにログインのために要求を送信するとき、適切な設定が行われている場合は、アプライアン
スにリダイレクトされます。しかし、クライアントは同時に、SSL セキュア認証を必要とする別のサーバーにログイ
ンを試みることもできます。これが失敗した場合、クライアントはアプライアンスへの接続を停止することもできま
す。
一部のクライアントはまた、サーバーへのログオンの失敗後に基本的なトラブルシューティング テストを実行するた
めのオプションも提供しています。
McAfee Web Gateway 7.6.2
Product Guide
103
4
プロキシ
XMPP プロキシ
XMPP プロキシ
アプライアンスのインスタント メッセージ通信をフィルタリングするとき、使用できるメソッドの 1 つは、XMPP
(拡張されたメッセージングおよび存在の有無に関するプロトコル) の下でプロキシをセットアップすることです。
このプロトコルは、Jabber の名前でも知られます。たとえば、Facebook チャットや Google トークに参加する際
に XMPP クライアントとサーバーの間で行き来するために使用されます。
[構成] 、 [プロキシ] の下でユーザー インターフェースの XMPP プロキシの設定を構成できます。
SSL スキャナー ルール セットがアプライアンスで有効に設定されていない場合、XMPP クライアントとこのアプラ
イアンスの間で行き来するトラフィックは暗号化されませんが、アプライアンスで有効なすべてのルールによりフィ
ルタリングされます。クライアントが暗号化されていなトラフィックを受け付けない場合、接続は閉じます。
SSL スキャナー ルールが有効に設定されているとき、アプライアンスの他のルールによりフィルタリングするため
に使用できるように、SSL スキャニングを使用してトラフィックは暗号化され、検査されます。
共通のプロキシ設定の構成
ネットワーク モードに固有の設定だけでなく、共通のプロキシを設定できます。たとえば、Web Gateway で設定
可能なプロキシの設定を行うことができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、共通のプロキシ設定を構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
プロキシ設定
[プロキシ] の設定は、Web Gateway に実装可能なネットワーク モードのパラメーターを設定する場合に使用され
ます。また、これらのモードに適用される共通のパラメーターを設定する場合にも使用されます。ルール エンジンの
定期的な実行も設定できます。
[ネットワークのセットアップ]
ネットワーク モードの実装設定
ネットワーク モードを選択すると、この設定の下にモード固有の設定が表示されます。
表 4-14 [ネットワークのセットアップ]
104
オプション
定義
[プロキシ モード (オプションの
WCCP 付き)]
明示的プロキシ モードが使用されます。WCCP サービスが Web トラフ
ィックをアプライアンスにリダイレクトできます。
[プロキシ HA]
明示的プロキシ モードで高可用性機能が使用されます。
[透過型ルーター]
透過型ルーター モードが使用されます。
[透過型ブリッジ]
透過型ブリッジ モードが使用されます。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
プロキシ設定
4
HTTP プロキシ
アプライアンスのプロキシを HTTP プロトコルで実行する場合の設定
このプロトコルは、Web ページとその他のデータ転送に使用されます (セキュリティを強化する SSL 暗号化でも使
用されます)。
表 4-15 HTTP プロキシ
オプション
定義
[HTTP プロキシを有効にする]
選択すると、アプライアンスのプロキシが HTTP プロトコルで実行されます。
[HTTP ポート定義リスト]
クライアント要求を待機するアプライアンスのポートを入力するためのリスト
を提供します。
[FTP over HTTP の匿名ログイン] アプライアンスの HTTP プロキシが FTP サーバーに要求を送信するときに、
匿名ログオンで使用されるユーザー名を指定します。
[FTP over HTTP の匿名ログイン
のパスワード]
ユーザー名のパスワードを設定します。
[Via HTTP ヘッダーを追加する]
選択すると、アプライアンスで処理される要求に Via HTTP ヘッダーが追加さ
れます。
このオプションはデフォルトで選択されています。
[コンテンツ エンコーディングに
応じて、アーカイブ要求の
content-type ヘッダーを調整す
る]
選択すると、このヘッダーがアーカイブのコンテンツ エンコーディングと一致
しない場合に、アーカイブ ファイルに対するアクセス要求の content-type ヘ
ッダーが調整されます。
[ホスト ヘッダーの優先度を元の
宛先アドレスよりも高くする (透
過型プロキシ)]
選択すると、透過型プロキシ モードで動作しているアプライアンスのプロキシ
に送信された要求が明示的プロキシのトラフィックとして認識され、処理され
ます。
たとえば、負荷分散装置が転送した要求を透過型モードのアプライアンスで受
信できます。 プロキシで要求を明示的プロキシ モードのトラフィックとして
認識されないと、この要求はフィルタリングされずに Web に転送されます。
このオプションは、アプライアンスで明示的プロキシ モードが設定されていな
い場合にのみ使用できます。
このオプションが使用可能な場合、デフォルトで選択されています。
FTP プロキシ
アプライアンスのプロキシを FTP プロトコルで実行する場合の設定
このプロトコルは、制御機能とデータ転送用の個別の接続を使用してファイルを転送する場合に使用されます。
該当するルールに [FTP アップロード進捗状況表示]イベントを挿入すると、FTP クライアントから Web
にファイルがアップロードされ、Web Gateway で処理されたときに、進行状況インジケーターがクライ
アントに送信されます。
ウイルスやマルウェアのスキャンで処理に時間がかかる場合があります。この設定を行うと、このような
場合でもクライアントでのタイムアウトを防ぐことができます。
McAfee Web Gateway 7.6.2
Product Guide
105
4
プロキシ
プロキシ設定
表 4-16 FTP プロキシ
オプション
定義
[FTP プロキシを有効にする]
選択すると、アプライアンスのプロキシが FTP プロトコル
で実行されます。
[FTP ポート定義リスト]
クライアント要求を待機するアプライアンスのポートを入
力するためのリストを提供します。
[FTP サーバー名に @ 文字の使用を許可 (USER
ftpserveruser@ftpserver を使用する認証)]
選択すると、この文字をユーザー名で使用できます。
[USER proxyuser@ftpserveruser@ftpserver を使
用した認証を有効にする]
選択すると、この構文をユーザー名で使用できます。
[USER ftpserveruser@proxyuser@ftpserver を使
用した認証を有効にする]
選択すると、この構文をユーザー名で使用できます。
[ウェルカム メッセージのカスタマイズを有効にする] 選択すると、FTP プロトコル経由で Web アクセス要求を
送信したユーザーに表示するウェルカム メッセージを編
集できます。
[カスタマイズされたウェルカム メッセージ] テキスト フ
ィールドにウェルカム メッセージを入力し、メッセージ内
で使用される変数に適切な値を設定します。
§MWG-ProductName$ $MWG-Version$ - ビルド
$MWG.BuildNumber$ へようこそ
$System.HostName$ - $System.UUID$
$Proxy.IP$:$Proxy.Port$ で実行中
[ネクスト ホップ プロキシ ログインで使用するコマン FTP プロトコルでネクスト ホップ プロキシに接続したと
ドを選択する]
きに Web Gateway がログインで送信するコマンドを選
択できます。
次のコマンドを選択できます。
• SITE
• OPEN
• USER@Host
以下の表では、[FTP ポート定義リスト]の項目について説明します。
表 4-17 FTP ポート定義リスト - リスト項目
オプション
定義
[リスナー アドレス]
FTP 要求を待機するポートの IP アドレスとポート番号を指定します。
[データ ポート]
FTP プロトコルでのデータ転送に使用するポートの番号を指定します。
[クライアント リスナーのポート範
囲]
クライアントから受信する FTP 要求を待機するポート番号の範囲を設定し
ます。
この範囲は、開始ポートと終了ポートの番号を指定して設定します。
[サーバー リスナーのポート範囲]
要求の転送先となる Web サーバーから受信する FTP 応答を待機するポー
ト番号の範囲を設定します。
[クライアントにパッシブ FTP 接続の 選択すると、FTP プロトコルのパッシブ接続でクライアントからの要求を
使用を許可する]
送信できます。
[McAfee Web Gateway がクライア
ントと同じ接続 (アクティブ/パッシ
ブ) を使用する]
106
McAfee Web Gateway 7.6.2
選択すると、Web Gateway に要求を送信したクライアントと同じ種類の
接続で Web Gateway が Web トラフィックを送信します。
Product Guide
4
プロキシ
プロキシ設定
表 4-17 FTP ポート定義リスト - リスト項目 (続き)
オプション
定義
[McAfee Web Gateway でパッシブ
FTP 接続を使用する]
選択すると、FTP プロトコルのパッシブ接続で Web Gateway が Web ト
ラフィックを送信します。
[コメント]
FTP 要求を待機するポートの説明をテキスト形式で入力します。
ICAP サーバー
アプライアンスで ICAP サーバーを実行し、ICAP クライアントとの通信で要求と応答を変更する場合の設定
表 4-18 ICAP サーバー
オプション
定義
[ICAP サーバーを有効に 選択すると、アプライアンスで ICAP サーバーが実行されます。
する]
[ICAP ポート定義リス
ト]
ICAP クライアントからの要求を待機するアプライアンスのポートを入力するためのリ
ストを提供します。
ネットワーク内の複数のアプライアンスで異なる ICAP サーバーを設定している場合、
ラウンドロビン方式で ICAP クライアントからの要求がサーバーに配信されます。
IFP プロキシ
アプライアンスのプロキシを IFP プロトコルで実行する場合の設定
このプロトコルは、Web ページの転送に使用されます。
表 4-19 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロトコルでアプライアンス上でプロキシが実行されます。
[IFP ポート定義リスト]
IFP プロキシのクライアント要求を待機するアプライアンスのポートを入力する
ためのリストを提供します。
[同時に許可される IFP 要求の
最大数]
同時に処理される IFP 要求の最大数を指定します。
この設定を使用すると、IFP プロキシの過負荷を防ぐことができます。
以下の表では、[IFP ポート定義リスト] の項目について説明します。
表 4-20 IFP ポート定義リスト - リスト項目
オプション
定義
[リスナー アドレス]
IFP 要求を待機するポートの IP アドレスとポート番号を指定します。
[リダイレクトでエラー メッ true に設定すると、要求をエラー メッセージ ページにリダイレクトして、要求を送
セージを送信する]
信したユーザーに通知します (たとえば、要求がブロックされた理由など)。
それ以外の場合には、関連情報が通常のメッセージとして IFP プロトコルで送信さ
れます。
[コメント]
McAfee Web Gateway 7.6.2
IFP 要求を待機するポートの説明をテキスト形式で入力します。
Product Guide
107
4
プロキシ
プロキシ設定
SOCKS プロキシ
アプライアンスのプロキシを SOCKS (ソケット) プロトコルで実行するための設定
表 4-21 SOCKS プロキシ
オプション
定義
[SOCKS プロキシを有効にする] 選択すると、アプライアンスのプロキシが SOCKS プロトコルで実行されます。
[SOCKS ポート定義リスト]
SOCKS プロキシのクライアント要求を待機するアプライアンスのポートを入
力するためのリストを提供します。
以下の表では、[SOCKS ポート定義リスト] の項目について説明します。
表 4-22 SOCKS ポート定義リスト - リスト項目
オプション
定義
[リスナー アドレス] SOCKS 要求を待機するポートの IP アドレスとポート番号を指定します。
[UDP のポート範囲] SOCKS プロキシを設定している場合に、UDP プロトコルで送信された要求を待機するポー
トの範囲を設定します。
[コメント]
SOCKS 要求を待機するポートの説明をテキスト形式で入力します。
Data Exchange Layer
Settings for using the DXL (Data Exchange Layer) technology to exchange information between
different web security products
You can implement a library rule set that uses DXL messages to exchange file reputation
information between Web Gateway and a TIE server.
Implementing this rule set is currently the only way to use DXL messages on Web Gateway.
The rule set works without any additional configuration of the Data Exchange Layer settings.
表 4-23 Data Exchange Layer
オプション
定義
[Time to wait for replies to
DXL service requests]
Sets the time (in seconds) that Web Gateway waits for a response
after sending a request to DXL service.
The default waiting time is 60 seconds.
[Subscription Topics]
Provides a list of topics that a security product can subscribe to for
receiving messages about these topics.
[サービス]
トピック関連のメッセージをセキュリティ製品に送信するサービスのリストが
表示されます。
以下の表では、[購読トピック] リストと [サービス] リストの項目について説明します。
表 4-24 購読トピック - リスト項目
108
オプション
定義
[文字列]
トピックの名前が表示されます。
[コメント]
トピックに対するコメントがテキスト形式で表示されます。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
プロキシ設定
4
表 4-25 サービス - リスト項目
オプション
定義
[サービス]
トピック関連のメッセージを送信するサービスの名前が表示されます。
[コメント]
サービスに対するコメントがテキスト形式で表示されます。
Web キャッシュ
アプライアンスで Web キャッシュを有効にする場合の設定
Web キャッシュを有効にするだけでなく、キャッシュの読み書きを制御するルール セットを実装する必要がありま
す。
表 4-26 Web キャッシュ
オプション
定義
[キャッシュを有効にする]
選択すると、アプライアンスで Web キャッシュが有効になります。
HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト
HTTP、HTTPS、FTP、ICAP、SOCKS、UDP プロトコルでの通信の接続タイムアウトの設定
表 4-27 HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト
オプション
定義
[初期接続のタイムアウト]
接続を閉じるまでの時間 (秒) を指定します。この時間が経過しても、新規に開いた
接続が要求を受信しない場合、接続を終了します。
[接続タイムアウト]
未完了要求の通信中に接続を閉じるまでの時間 (秒) を指定します。指定した時間
が経過しても、クライアントまたは Web サーバーが非アクティブな状態を継続し
ている場合、接続を終了します。
[クライアント接続のタイムア 要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな
ウト]
い場合、アプライアンスからクライアントへの接続を終了します。
[HTTP サーバーの未使用接続 要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな
の最大アイドル時間]
い場合、アプライアンスからサーバーの HTTP 接続を終了します。
[UDP タイムアウト (非アク
ティブ タイムアウト)]
McAfee Web Gateway 7.6.2
要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな
い場合、アプライアンスからクライアントの UDP 接続を終了します。
Product Guide
109
4
プロキシ
プロキシ設定
DNS 設定
ドメイン名システムのサーバーと通信を行う場合の設定
表 4-28 DNS 設定
オプション
定義
[IP プロトコル バー
ジョンの基本設定]
通信に使用する IP プロトコルのバージョンを選択できます。
• (バージョン オプション)
• [受信接続と同じ] - 選択すると、受信接続ですでに使用しているプロトコル バージョ
ンが使用されます
• [IP4] - 選択すると、IP プロトコルのバージョン 4 が使用されます。
• [IP6] - 選択すると、IP プロトコルのバージョン 6 が使用されます。
• [他のプロトコル バージョンをフォールバックとして使用する] - 選択すると、2 つのバ
ージョンのいずれかが使用不能な場合、他のプロトコル バージョンが使用されます。
[DNS キャッシュの
最小 TTL]
キャッシュ内のデータを削除するまでの最小期間 (秒単位) で設定します。
[DNS キャッシュの
最大 TTL]
キャッシュ内のデータを削除するまでの時間 (秒単位) を指定します。指定した時間が経過
すると、キャッシュ内のデータが削除されます。
Yahoo
アプライアンスのインスタント メッセージング プロキシで Yahoo プロトコルを使用する場合の設定
表 4-29 Yahoo
オプション
定義
[Yahoo プロキシを有効にする] 選択すると、アプライアンスでインスタント メッセージングのプロキシが Yahoo
プロトコルを使用します。
[リスナー アドレス]
プロキシの IP アドレスとクライアント要求の待機ポートを指定します。
[0.0.0.0:80 経由のファイル転 選択すると、ファイル転送要求でこの IP アドレスとポートを使用できます。
送をサポート]
110
[ログイン サーバー]
要求の送信前にユーザーがログオンするサーバーのホスト名とポート番号を指定
します。
[リレー サーバー (日本)]
ファイル転送時に中継局として使用されるサーバーのホスト名とポート番号を指
定します。
[Yahoo クライアント接続タイ
ムアウト]
インスタント メッセージング プロキシからクライアントへの接続を閉じるまで
の時間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブ
にならない場合、接続を終了します。
[Yahoo サーバー接続タイムア
ウト]
インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時
間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにな
らない場合、接続を終了します。
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
プロキシ設定
ICQ
アプライアンスの OSCAR (Open System for Communication in Real Time) プロトコルでインスタント メッ
センジャー プロキシーを実行する場合の設定
表 4-30 ICQ
オプション
定義
[ICQ プロキシを有効 選択すると、アプライアンスでインスタント メッセージングのプロキシが OSCAR を使用
にする]
します。
[ログインとファイル
転送プロキシのポー
ト]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレスを
指定します。また、ログオンとファイル転送を処理するポート番号も指定します。
• [追加のファイル転送プロキシ ポートを有効にする] - これを選択すると、ファイル転送
の処理に追加ポートを使用できます
• [追加のファイル転送プロキシ ポート] - ファイル転送を処理する追加の IP アドレス
とポート番号を指定します。
[BOS リスナー ポー
ト]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレスを
指定します。また、BOS (Basic OSCAR Service) 要求を待機するポート番号も指定しま
す。
これらの要求は、ファイル転送などではなく、チャット メッセージの送信要求です。
[ICQ ログイン サー
バー]
要求の送信前にユーザーがログオンするサーバーのホスト名とポート番号を指定します。
[ICQ サービス要求サ 要求を処理するサーバーのホスト名とポート番号を指定します。
ーバー]
[ICQ ファイル転送プ ファイル転送を処理するサーバーのホスト名とポート番号を指定します。
ロキシ]
[ICQ クライアント接 インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時間
続タイムアウト]
(秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、
接続を終了します。
[ICQ サーバー接続タ インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間 (秒) を
イムアウト]
設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、接続を終
了します。
Windows Live Messenger
アプライアンスのインスタント メッセージング プロキシで Windows Live Messenger プロトコルを使用する場合
の設定
表 4-31 Windows Live Messenger
オプション
定義
[Windows Live
Messenger プロキシを有
効にする]
選択すると、アプライアンスでインスタント メッセージングのプロキシが Windows
Live Messenger プロトコルを使用します。
[Windows Live
Messenger NS プロキシ
リスナー 1]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ
スを指定します。また、NS (通知サーバー) モードでクライアント要求を待機する最
初のポート番号も指定します。
[Windows Live
Messenger NS プロキシ
リスナー 2]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ
スを指定します。また、NS (通知サーバー) モードでクライアント要求を待機する 2
番目のポート番号も指定します。
[Windows Live
Messenger SB プロキシ
ポート]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ
スを指定します。また、SB (スイッチボード) モードでクライアント要求を待機するポ
ート番号も指定します。
McAfee Web Gateway 7.6.2
Product Guide
111
4
プロキシ
プロキシ設定
表 4-31 Windows Live Messenger (続き)
オプション
定義
[Windows Live
Messenger クライアント
接続タイムアウト]
インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時
間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならな
い場合、接続を終了します。
[Windows Live
Messenger サーバー接続
タイムアウト]
インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間
(秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場
合、接続を終了します。
XMPP
アプライアンスのインスタント メッセージング プロキシで XMPP プロトコルを使用する場合の設定
これは、Jabber、Google Talk、Facebook Chat などのインスタント メッセージング サービスで使用されている
プロトコルです。
表 4-32 XMPP
オプション
定義
[XMPP プロキシを有効 選択すると、アプライアンスでインスタント メッセージングのプロキシが XMPP プロト
にする]
コルを使用します。
[プロキシ ポート]
インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレス
を指定します。また、XMPP プロトコルで要求を待機するポート番号も指定します。
[クライアント接続のタ インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時間
イムアウト]
(秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、
接続を終了します。
[サーバー接続のタイム インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間 (秒)
アウト]
を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、接続
を終了します。
詳細設定
プロキシ機能の詳細設定
表 4-33 詳細設定
オプション
定義
[クライアント接続の最大
数]
アプライアンスのプロキシとクライアント間の接続数を制限します。
[コンテンツを圧縮してクラ
イアントに送信する]
Web サーバーからの応答を Web Gateway 経由でクライアントに転送するときの
コンテンツの圧縮オプションが表示されます。
0 を指定すると、制限が設定されません。
• [実行しない] - サーバーの応答をクライアントに転送するときに、コンテンツは
圧縮されません。
• [サーバーの応答が圧縮されている場合] - サーバーからの応答でコンテンツがす
でに圧縮されている場合にコンテンツを圧縮します。
• [クライアントが圧縮に対応している場合] - 転送先のクライアントが圧縮に対応
している場合にのみ、コンテンツを圧縮します。
112
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
プロキシ設定
表 4-33 詳細設定 (続き)
オプション
定義
[クライアントから圧縮形式
で受信した要求を処理する]
Web Gateway クライアントから圧縮形式で要求を受信した場合の処理オプション
が表示されます。
• [抽出] - 圧縮されたコンテンツを展開またはフィルタリングせずに、Web サーバ
ーに要求をそのまま送信します。
• [抽出] - 圧縮されたコンテンツを抽出して、フィルタリングできるようにします。
Web サーバーに転送する前に再度圧縮することはありません。
• [抽出して再度圧縮] - 圧縮されたコンテンツを抽出して、フィルタリングできる
ようにします。Web サーバーに転送する前に再度圧縮します。
[作業用スレッドの数]
アプライアンスでプロキシが実行されているときに Web オブジェクトのフィルタ
リングと転送に使用するスレッド数を指定します。
[ウイルス スキャンのスレッ アプライアンスでプロキシが実行されているときに Web オブジェクトのマルウェ
ド数]
ア スキャンに使用するスレッド数を指定します。
[TCP 遅延なしを使用]
選択すると、データ パケットの構築に Nagle アルゴリズムが使用されないため、プ
ロキシ接続の遅延を回避できます。
このアルゴリズムは、指定された量のデータが収集されるまで、パケットが送信され
ないようにします。
[DNS キャッシュの最大
TTL (秒)]
ホスト名情報を DNS キャッシュに保存する時間 (秒) を制限します。
[長時間接続によるタイムア
ウト エラー]
別のネットワーク コンポーネントとの長時間接続を許可する時間 (時間) を設定し
ます。この期間を経過してもアクティブ状態に戻らない場合、Web Gateway が接続
を終了します。
デフォルトは 24 時間です。
この設定を行うと、極端に長く継続している接続による Web Gateway アプライア
ンスのパフォーマンス低下を防ぐことができます。
タイムアウトを判定するための時間は接続プロトコルによって測定方法が異なりま
す。
• HTTP、HTTPS (コンテンツ検査あり)、ICAP、類似プロトコル: 接続で送信され
た要求ごとに時間が測定されます。
• SOCKS (埋め込みプロトコルがない場合)、トンネル化された HTTP、HTTPS (コ
ンテンツ検査なし)、類似プロトコル: 接続全体で時間が測定されます。
• FTP: 制御接続の時間が測定されます。
接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ルー
ル セットのルールで処理できます。
[長時間接続の実行間隔を確
認]
McAfee Web Gateway 7.6.2
長時間接続で確認メッセージが送信される間隔 (分) を設定します。
Product Guide
113
4
プロキシ
プロキシ設定
表 4-33 詳細設定 (続き)
オプション
定義
[接続または要求あたりの最
大データ量]
Web Gateway が接続を終了する前に、長時間接続で他のネットワーク コンポーネ
ントに送信可能なデータ量 (MB) を設定します。
デフォルトの量は 10,240 MB です。
この設定を行うと、極端に長く継続し、大量のデータを送信している接続で Web
Gateway アプライアンスのパフォーマンスが低下しないように防ぐことができま
す。
最大容量を判定するためのデータ量は接続プロトコルによって測定方法が異なりま
す。
• HTTP、HTTPS (コンテンツ検査あり)、ICAP、類似プロトコル: 接続で送信され
た要求ごとにデータの負荷が測定されます。
• SOCKS (埋め込みプロトコルがない場合)、トンネル化された HTTP、HTTPS (コ
ンテンツ検査なし)、類似プロトコル: 接続全体でデータの負荷が測定されます。
• FTP: データ接続の負荷が測定されます。
接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ルー
ル セットのルールで処理できます。
Bytes.ToClient、Bytes.ToServer、Bytes.FromClient、
Bytes.FromServer プロパティに、エラー処理ルールで使用可能な測定データの
値が設定されます。
[接続のボリューム間隔]
長期間接続のボリューム間隔を設定します。
[内部パス ID]
エラー メッセージを表示するスタイル シートの要求など、内部要求 (クライアント
から受信する要求でない) の転送にアプライアンスが使用するパスの ID が表示され
ます。
[本文を含めることができな
い応答で RESPmod をバイ
パスする]
選択すると、ICAP プロトコルで送信される応答に本文が存在しない場合、
RESPMOD モードに従って応答が変更されません。
[進行状況ページの更新とエ
ラー テンプレートに埋め込
まれたオブジェクトのログ
ハンドラーを呼び出す]
選択すると、アプライアンスに実装されているログ ハンドラー ルール セットのルー
ルが実行され、指定した更新またはオブジェクトが処理されます。
[プロキシ経由でのローカル
ポートの使用を接続に許可
する]
選択すると、プロキシが実行されているアプライアンスのローカル ポートが要求の
処理に使用されます。
[Proxy.IP プロパティ値と
して仮想 IP を使用する]
選択すると、高可用性モードの Proxy.IP プロパティの値が構成内のすべてのノード
の仮想 IP アドレスとなります。
プロキシに接続するためにクライアントが使用する仮想 IP アドレスです。
ダイレクター ノードがクライアントからスキャン ノードに送信された要求をリダイ
レクトするとき、このアドレスもスキャン ノードにある [Proxy.IP] プロパティの値
になります (スキャニング ノードの物理的アドレスではありません)。
114
[HTTP(S): ホップごとのヘ
ッダーをすべて削除する]
選択すると、HTTP または HTTPs プロキシが実行されているアプライアンスで受信
した要求からホップごとのヘッダーがすべて削除されます。
[HTTP(S): via ヘッダーを
検査してプロキシ ループを
検出する]
選択すると、HTTP または HTTPS プロキシが実行されているアプライアンスで via
ヘッダーを含む要求を受信した場合、このヘッダーを検査してループを検出します。
[HTTP(S): 絶対 URL のホ
ストにホスト ヘッダーより
も高い優先度を設定する]
選択すると、HTTP または HTTPS プロキシが実行されているアプライアンスで絶対
URL を含む要求を受信した場合、この URL に対応するホスト名の優先度が要求ヘッ
ダーのホスト名よりも高くなります。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
プロキシ設定
4
表 4-33 詳細設定 (続き)
オプション
定義
[進行状況ページの ID で組 選択すると、進行状況ページ ID で組織の IP アドレスがエンコーディングされます。
織の IP アドレスをエンコー
ディングして負荷分散を有
効にする]
[HTTP(S): ヘッダーの最大
サイズ]
HTTP(S) トラフィックで送信される要求または応答のヘッダーにサイズ制限 (MB)
を設定します。
デフォルトのサイズは 10 MB です。
[リスン バックログ]
リスン バックログの値を指定します。
デフォルト値は 128 です。
[Web キャッシュの IO を実 Web キャッシュの作業用スレッド数に制限を設定します。
行する作業用スレッドの制
デフォルトの数は 25 です。
限]
[進行状況ページの制限]
進行状況ページのサイズに制限 (KB) を設定します。
デフォルトのサイズは 40,000 KB です。
[TCP ウィンドウ スケーリ
ングを有効にする]
選択すると、TCP 通信レベルでデータ パッケージを受信するウィンドウが [TCP ウ
ィンド スケール] に指定されたスケール ファクターで拡大されます。
このオプションはデフォルトで有効になっています。
このオプションを無効にすると、ウィンドウ スケーリングは実行されませ
ん。 この方法で受信ウィンドウを設定する場合にのみ、このオプションを
無効にしてください。
[TCP ウィンドウ スケール
(形式: 0-14) ]
TCP 通信レベルでデータ パッケージを受信するウィンドウのサイズを設定します。
受信ウィンドウの初期サイズは、スケール ファクターで拡大されます。このファク
ターは 2 の乗数で、ここで指定した値が乗数となります。
たとえば、1 を指定すると、ファクターは 2^1 = 2 となり、ウィンドウ サイズは
倍になります。
指定可能な値の範囲は 0 から 14 までです。
0 を指定すると、スケーリング ファクターは 1 になります。 この場合、受信ウィン
ドウは初期サイズのままになります。
通信相手の受信ウィンドウにもウィンドウ スケーリングを使用できます。
デフォルト値は 2 です。
McAfee Web Gateway 7.6.2
Product Guide
115
4
プロキシ
送信元 IP アドレスの制御
定期的なルール エンジン トリガー リスト
ルール エンジンをコールし、データをダウンロードする Web サーバーへの接続の設定
表 4-34 定期的なルール エンジン トリガー リスト
オプション
定義
[定期的なルール エンジン 選択すると、[URL 定義リスト] に指定されている Web サーバーとの接続が定期的に
トリガー リストを有効にす セットアップされます。
る]
各 Web サーバーの接続の間隔も、リストで指定されます。
間隔が経過すると、アプライアンスのルール処理モジュール (ルール エンジン) が呼
び出され、Web サーバーとの接続がセットアップされます。さらに、Web サーバー
からデータがダウンロードされ、処理を行うルール エンジンに渡されます。
データは HTTP と HTTPS プロトコルでのみダウンロードされます。
接続がこのようにセットアップされる Web サーバーは、次のネクストホップ プロキ
シ サーバーと Web で特定のサービスを提供するために使用されるその他のサーバ
ーが含まれます。
[URL 定義リスト]
接続がセットアップできる Web サーバーのリストを提供します。
次の表では、[URL 定義リスト] の項目について説明します。
表 4-35 URL 定義リスト - リスト項目
オプション
定義
[ホスト]
接続をセットアップする Web サーバーの IP アドレスとポート番号または URL を指定します。
[トリガー間隔] 次回、Web サーバーへの接続のセットアップを試みるまでの間隔 (秒数) を指定します。
[コメント]
Web サーバー接続のコメントをテキスト形式で入力します。
送信元 IP アドレスの制御
Web Gateway から Web サーバーまたはネクスト ホップ プロキシへの送信接続で異なる送信元 IP アドレスを使
用すると、接続問題が発生する可能性があります。 これらのアドレスを 1 つのアドレスで置き換えると、このよう
な問題を回避できます。
たとえば、複数の Web Gateway アプライアンスで負荷分散を設定していると、異なる送信元 IP アドレスが使用さ
れる可能性があります。 負荷分散では、関係する Web サーバーまたはネクスト ホップ プロキシ側で接続問題が発
生する場合があります。 たとえば、セッション中に送信元 IP アドレスが変更されると、問題が発生します。
変化する送信元 IP アドレスを 1 つのアドレスに置換するルールを設定すると、このような問題を回避できます。
この単一アドレスは固定する必要はありません。 IP アドレスのリストを設定して、リスト内の特定のアドレスをル
ールで選択できるようにします。 置換後のアドレスはリスト内の位置に応じて変わります。
116
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
送信元 IP アドレスの制御
送信元 IP アドレスを制御できるネットワーク
送信元 IP アドレスを制御できるのは、次の構成のネットワークです。
•
IPv4 または IPv6
•
HTTP、HTTPS、FTP または SOCKS プロキシ
インスタント メッセージングはサポートされていません。
•
プロキシ モード (オプションの WCCP 付き)
他のアドレスの置換に使用する送信元 IP アドレスが別名として設置されている場合には、透過型ルーター モー
ドがサポートされます。
プロキシ HA モードと透過型ブリッジ モードはサポートされていません。
送信元 IP アドレスの制御を実装する場合でも、定期的にルール エンジンをトリガーすることは可能です。
送信元 IP アドレス制御のサンプル ルール
たとえば、ネクスト ホップ プロキシとの接続をセットアップする場合、送信元 IP アドレスを 1 つのアドレスに置
き換えるルールは次のようになります。
名前
宛先に応じてプロキシを使用する
条件
アクション イベント
URL.Destination.IP がネクスト ホップ プロキ –> 続行
シの IP 範囲リストにある場合
ネクスト ホップ プロキシ <内部プロキシ>
を有効にする
または
送信元 IP のオーバーライドを有効にする
(Proxy.OutboundIP(2))
URL.Destination.IP がネクスト ホップ プロキ
シの IP リストにある場合
ルールの条件に、ネクスト ホッププロキシを使用するタイミングを指定します。 最初のイベントでネクスト ホップ
プロキシとの接続をセットアップします。
2 番目のイベント (送信元 IP のオーバーライドを有効にする) で、送信元 IP アドレスの制御を行います。 これに
より、要求内で送信された送信元 IP アドレスをリストから取得した IP アドレスで置換 (上書き) します。
イベント パラメーター (プロパティ) で IP アドレスを指定します。 プロパティの名前は Proxy.OutboundIP
です。 この値は、リスト内でプロパティのパラメーターによって識別された位置にある IP アドレスです。
送信元 IP アドレス制御に使用する IP アドレスのリスト
送信元 IP アドレスの置換に使用する IP アドレスのリストは、プロキシの設定に含まれます。 これは、送信接続の
詳細設定で設定します。 名前は 送信元 IP リスト です。
リスト内の IP アドレスの位置について、次のルールが適用されます。
•
リスト インデックスは 0 から始まります。 たとえば、Proxy.OutboundIP プロパティのパラメーターに 2
を指定すると、リストの 3 番目の IP アドレスが選択されます。
•
リストの項目数より多い値をパラメータに指定すると、<パラメーター値> から <リストの項目数> を引いた値
で位置が決まります。
たとえば、リストの項目数が 3 のときに 5 を指定すると、計算式の結果は 2 になります。 したがって、リスト
の 3 番目の IP アドレスが選択されます。
McAfee Web Gateway 7.6.2
Product Guide
117
4
プロキシ
送信元 IP アドレスの制御
ネットワーク ルーティングと IP アドレス スプーフィング
送信元 IP オーバーライドを有効にする イベントでデータ パケットに挿入された IP アドレスは、ローカル以外の送
信元 IP アドレスです。 したがって、ネットワーク ルーティングを適切な方法で設定する必要があります。
Web サーバーからクライアントに戻されるデータ パケットは、Web Gateway プロキシにルーティングする必要が
あります。 たとえば、静的ルーティングでデータ パケットをルーティングできます。
送信元 IP のオーバーライドを有効にする イベントの開始時に IP アドレス スプーフィングが有効になっていると、
この設定も上書きされます。
使用された送信元 IP アドレスのロギング
送信接続 (Web Gateway が Web サーバーまたはネクスト ホップ プロキシーに接続するときに使用した送信元 IP
アドレスとポートなど) に関するデータを記録する場合、複数のプロパティを使用できます。
単一の送信元 IP アドレスが設定されているかどうかに関わらず、これらのプロパティは 送信元 IP のオーバーライ
ドを有効にする イベントによって特定の値が設定されます。 この場合、次のプロパティも使用できます。
•
Proxy.Outbound.IP - Web Gateway が Web サーバーとネクスト ホップ プロキシに接続するときに使用
する送信元 IP アドレスを保存します。
このプロパティと Proxy.OutboundIP を混同しないでください。後者は IP の前にドットがなく、送信元 IP
のオーバーライドを有効にする イベントと一緒に使用してリストから単一の送信元 IP アドレスを選択します。
•
Proxy.Outbound.Port - Web Gateway が Web サーバーまたはネクスト ホップ プロキシに接続するとき
に使用する送信元ポートを保存します。
•
Proxy.Outbound.IPList - Web サーバーまたはネクスト ホップ プロキシとの接続時に Web Gateway が
選択できる送信元 IP アドレスのリストを保存します。
このリストは、送信接続の詳細設定 の プロキシ で設定します。 名前は 送信元 IP リスト です。 送信接続に設
定した単一の送信元 IP アドレスは、このリストから取得されます。
送信ソース IP アドレスの制御を設定する
接続の問題を回避するため、異なる送信ソース IP アドレスを 1 つのアドレスで置換します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
IP アドレスの置換を設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、SOCKS、ICAP...)] を選
択し、[送信接続の詳細設定] までスクロールします。
3
[送信ソース IP リスト] で、送信要求のソース IP アドレスのリストに 1 つ以上の IP アドレスを追加します。
4
Web サーバーまたはネクスト ホップ プロキシとの接続ルールに次のイベントを追加します。「送信ソース IP
のオーバーライドを有効にする」にパラメーターとして Proxy.OutboundIP プロパティを指定します。
このルールは、設定したリストを使用して、異なる送信ソース IP アドレスの置換に使用する IP アドレスを選択しま
す。
118
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベストプラクティス - FTP over HTTP の設定
4
ベストプラクティス - FTP over HTTP の設定
FTP over HTTP を使用すると、FTP クライアントを設定しなくても FTP サーバーからファイルを取得できます。
FTP over HTTP は、Web ブラウザーとプロキシ (Web Gateway が提供するプロキシなど) 間で送受信される
HTTP トラフィックです。 FTP-over-HTTP 要求は、他の HTTP 要求と同じように送信されます。 要求されたリソ
ースが HTTP サーバーではなく、FTP サーバー上に存在する点が異なります。 FTP over HTTP トラフィックは明示
的プロキシ モードで設定されます。
FTP-over-HTTP 要求の場合、URL に ftp:// という接頭辞が付いています。 http:// ではありません。 ポート番
号を省略するとポート 80 が想定されますが、HTTP ホスト ヘッダー値にはポート 21 が設定されます。
以下の例は、通信の開始時にクライアントから Web Gateway に送信される FTP-over-HTTP 要求です。
GET ftp://10.10.80.200/ HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0)
Host: 10.10.80.200:21
Proxy-Connection: Keep-Alive
この要求を受信すると、Web Gateway は要求されたリソースが FTP サーバー上に存在することを認識します (要
求に ftp:// が存在し、 ポート 21 が設定されているため)。
次に、Web Gateway はネイティブの FTP を使用して、FTP サーバーからリソースを取得します。 FTP 応答トラフ
ィックは Web Gateway で HTTP に変換されてからクライアントに戻されます。 クライアントに結果を表示する
ために、Web Gateway で HTML ページの作成が必要になる場合があります (たとえば、Web ブラウザーに FTP
ディレクトリの一覧を表示する場合など)。
HTTP プロキシ ポートの使用
Web Gateway では、クライアントとの他の HTTP 通信と同様に FTP over HTTP が処理されます。 要求はクライ
アントから Web Gateway の HTTP プロキシ ポート (デフォルトは 9090) に送信されます。
FTP プロキシ ポートを設定する必要はありません (デフォルトは 2121)。このポートは、クライアントがネイティ
ブ FTP プロトコルで要求を送信した場合にのみ使用されます。
利点と欠点
FTP over HTTP には利点もありますが、欠点もあります。 この方法を使用すると、ユーザーは Web ブラウザーを
使用して FTP サーバーからファイルを取得できます。オープンソースの Filezilla など、FTP クライアントを設定す
る必要はありません。
FTP over HTTP の主な欠点は、ファイルのアップロードができない点です。 ファイルのアップロードを行うには、
ネイティブの FTP を使用する必要があります。この方法でトラフィックを送信するには、クライアント システムに
FTP クライアントをインストールし、Web Gateway の FTP プロキシ ポートを使用する必要があります。
また、大半の Web ブラウザーは FTP over HTTP に対応していません。
関連トピック:
120 ページの「FTP over HTTP で発生したブラウザー問題のトラブルシューティング」
120 ページの「匿名ログオンに固有の FTP 認証情報を設定する」
McAfee Web Gateway 7.6.2
Product Guide
119
4
プロキシ
ベストプラクティス - FTP over HTTP の設定
匿名ログオンに固有の FTP 認証情報を設定する
クライアントが Web Gateway に送信した FTP-over-HTTP 要求にユーザーの認証情報が含まれていないと、事前
に設定されたデフォルトの認証情報が使用され、FTP サーバーに匿名ログオンが実行されます。 デフォルトの認証
情報ではなく、固有の FTP 認証情報を設定することもできます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、FTP 証明書を設定するアプライアンスを選択し、[プロキシ] をクリックします。
3
[HTTP プロキシ] まで下にスクロールし、次の操作を行います。
4
a
[FTP over HTTP の匿名ログオン] で、ユーザー名を入力します。
b
[FTP over HTTP の匿名ログインのパスワード] で、パスワードを入力します。
[変更の保存] をクリックします。
FTP over HTTP で発生したブラウザー問題のトラブルシューティング
テストの結果、FTP over HTTP で特別な注意が不要なブラウザーは Mozilla Firefox だけであることが判明していま
す。
大半のブラウザーは、FTP over HTTP で要求を送信すると問題が発生します。 問題の一部は回避することができま
す。
匿名ログオンと非匿名ログオン
FTP サーバーで匿名ログオンが許可されている場合、要求の URL 部分として認証情報を送信できないブラウザーを
使用すると FTP over HTTP を処理できます。
他のブラウザーの場合、FTP サーバーで匿名ログオンが許可されていないと、認証情報を要求するプロンプトが表示
されます。
非匿名ログオンに対応しているブラウザーでプロンプトが表示されない場合、以下のいずれかの方法で認証情報を送
信できます。
•
Web Gateway がブラウザーに送信する認証ページに認証情報を入力する。
•
ブラウザーから FTP サーバーに送信される URL に認証情報を挿入する。 URL の形式は次のようになります。
ftp://<ユーザー名>:<パスワード>@<FTP サーバーの名前>
特殊文字を含む認証情報
ブラウザーによっては、FTP のユーザー名とパスワードに特殊文字が含まれていると、これらの認証情報が正しく処
理されず、ログオンに失敗する場合があります。
この問題を回避するには、特殊文字のない認証情報を使用する必要があります。 FTP over HTTP では、非匿名ログ
インで認証情報が必要になるため、このようなブラウザーの使用はお勧めしません。
プロキシ認証
プロキシ (Web Gateway が提供するプロキシなど) を使用して FTP over HTTP を行う場合、FTP サーバーでプロ
キシの認証が必要になります。
一部のブラウザーは、このような認証プロセスに対応していません。 プロキシ認証が必要なメッセージが Web
Gateway から送信されても、これらのブラウザーはユーザーの認証情報を戻しません。
120
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
ベストプラクティス - FTP over HTTP の設定
回避策として、これらのブラウザーをプロキシ認証から除外できます。 除外するには、認証を制御するルール セッ
トにルールを挿入する必要があります。 このルールは、送信された要求ヘッダーのユーザー エージェント情報を使
用してブラウザーを識別します。
たとえば、ブラウザーが Google Chrome の場合、このルールは次のようになります。
[名前]
[Exempt FTP over HTTP with Chrome from proxy authentication]
[条件]
[アクション]
[Header.Get("User-Agent" matches "Chrome" ] [AND URL.Protocol
equals "ftp" ]
[イベント]
–> [Stop Rule Set]
プロキシ設定
ブラウザーによっては、URL のプロトコル情報が ftp:// になっていると、プロキシ設定が無視される場合がありま
す。 この場合、FTP over HTTP 要求をプロキシに送信する代わりに、ネイティブの FTP 要求を直接 FTP サーバー
に送信します。
この問題に対する回避策はありません。 このブラウザーでは、FTP over HTTP トラフィックを処理できません。
よく利用されている Web ブラウザーの問題
以下の表では、よく利用されている Web ブラウザーで FTP over HTTP を行う場合に発生する問題を示します。
表 4-36 FTP over HTTP を実行時に Web ブラウザーで発生する問題
Web ブラウザ
ー
問題
解決方法
Mozilla
Firefox
既知の問題はありません。
特別な対策を行う必要はありません。FTP over
HTTP を使用できます。
Microsoft
Internet
Explorer
FTP サーバーで FTP over HTTP の匿名ロ FTP サーバーで匿名ログオンが許可されている場
グオンが許可されていない場合、認証情報 合に、FTP over HTTP を実行できます。
を要求するプロンプトが表示されません。
非匿名ログオンの場合、証明書を次のいずれかの方
認証情報に含まれる特殊文字が正しくエン 法で送信する必要があります。
コーディングされません。
• Web Gateway によって表示された認証ページ
に認証情報を入力する。
• FTP サーバーに送信される URL に認証情報を挿
入する
特殊文字を含む認証情報は使用できません。
Google
Chrome
FTP サーバーで匿名ログオンが許可されて FTP サーバーで匿名ログオンが許可されている場
いる場合にのみ、FTP over HTTP を処理で 合に使用できますが、プロキシに認証をスキップす
るルールを作成する必要があります。
きます。
プロキシ認証は処理できません。
McAfee Web Gateway 7.6.2
Product Guide
121
4
プロキシ
WCCP による FTP トラフィックのリダイレクト
表 4-36 FTP over HTTP を実行時に Web ブラウザーで発生する問題 (続き)
Web ブラウザ
ー
問題
解決方法
Opera
プロキシ認証は処理できません。
FTP over HTTP に使用できますが、プロキシに認
証をスキップするルールを作成する必要がありま
す。
Safari
URL のプロトコル情報が ftp:// の場合、 回避策はありません。FTP over HTTP には使用で
きません。
プロキシ設定が無視されます。
設定されたプロキシ (Web Gateway が提
供するプロキシなど) をバイパスし、クライ
アントから FTP サーバーにネイティブの
FTP 要求を直接送信します。
WCCP による FTP トラフィックのリダイレクト
Web Gateway のクライアントが FTP プロトコルでサーバーに送信した要求は、WCCP (Web Cache Control
Protocol) リダイレクトで Web Gateway にリダイレクトできます。
FTP プロトコルでサーバーに要求を送信する場合、Web Gateway のクライアントは最初の FTP 接続をオープンし
ます。 クライアントは、この接続にサーバーの IP アドレスを使用します。 Web Gateway をプロキシとして機能
させるため、Web Gateway が実行されているアプライアンスの IP アドレスに要求がリダイレクトされます。
デフォルトの設定では、クライアントはこのリダイレクトをセキュリティ リスクを見なします。このため、FTP デ
ータ接続を継続することはできません。 WCCP プロトコルでリダイレクトを行う場合、次のように設定を変更する
とこの問題を解決できます。
•
クライアントからプロキシへの接続でアクティブ FTP モードを使用する
デフォルトでは、クライアントはパッシブ FTP モードを使用できます。 Web Gateway のユーザー インターフ
ェースでプロキシ設定のオプションを無効にすると、アクティブ FTP モードを施行できます。
•
プロキシへのリダイレクトで使用するポートを設定する
WCCP でリダイレクトするポートのリストに、このポートを入力する必要があります。
•
プロキシが自身の IP アドレスではなく、FTP サーバーの IP アドレスを使用するように設定する
特定のパラメーターを設定すると、プロキシがこのアドレスを使用します。
このような設定を変更すると、クライアントがアクティブ FTP モードを使用します。 プロキシに接続先の IP アド
レスとポート番号を送信します。プロキシが同期メッセージを戻します。 このメッセージで、FTP サーバーの IP ア
ドレスがプロキシの送信元 IP アドレスとして使用されています。 ポート番号は 21 または 2020 です。
クライアントが宛先 IP アドレスとして FTP サーバーの IP アドレスを使用して応答します。ポート番号は同じ番号
を使用します。 WCCP プロトコルにより、クライアントから FTP サーバーへの要求がプロキシにリダイレクトされ
ます。
WCCP リダイレクトは、透過型ブリッジまたはルーター モードの FTP トラフィックに使用できません。
122
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
FTP ログオンでの Raptor 構文の使用
4
FTP トラフィックのリダイレクトに WCCP の使用を設定する
FTP プロトコルでクライアントがサーバーに送信する要求で WCCP リダイレクトを有効にするには、次のようにプ
ロキシを設定します。
タスク
1
クライアントによるアクティブ FTP モードの使用を施行します。
a
[設定] 、 [アプライアンス] の順に選択します。
b
アプライアンス ツリーで、WCCP の使用を有効にするアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、SOCKS、ICAP ...)] を選択します。
c
[FTP プロキシ] までスクロールし、[FTP プロキシを有効にする] が選択されていることを確認します。
d
[FTP ポート定義リスト] で項目を選択して [編集] をクリックします。[FTP プロキシ ポート] で [クライア
ントにパッシブ接続の使用を許可する] の選択を解除します。
この手順をリスト内のすべての項目に行います。
2
WCCP リダイレクトに使用するポートにポート 21 と 2020 を追加します。
a
[プロキシ] 設定で [透過型プロキシ] にスクロールし、[サポートされるリダイレクト方法] で [WCCP] が選
択されていることを確認します。
b
[WCCP サービス] リストの項目を選択して [編集] をクリックし、[リダイレクトするポート] で 21,2020
と入力します。
この手順をリスト内のすべての項目に行います。
3
[変更の保存] をクリックします。
4
関連する設定で ftp.match.client.data パラメーターに yes を設定します。
これにより、Web Gateway がクライアントに応答するときに、クライアントから受信した IP アドレスを送信
元の IP アドレスとして使用します。
このアドレスは、関連する FTP サーバーの IP アドレスです。Web Gateway アプライアンスの IP アドレスで
はありません。 クライアントはセキュリティ リスクを心配する必要はありません。
FTP プロトコルでクライアントからサーバーに送信された要求は、WCCP リダイレクトによって Web Gateway に
リダイレクトされ、問題なく処理されます。
FTP ログオンでの Raptor 構文の使用
FTP プロキシとして実行されるように Web Gateway を設定すると、プロキシとして Web Gateway の FTP サー
バーにログオンするときに Raptor 構文を使用できます。
このログオンを実行する場合、FTP サーバーにアクセスするユーザーは、適切な FTP クライアントから USER、
PASS、ACCEPT コマンドを実行できます。これらのコマンドでは、FTP サーバーと一緒に、FTP サーバーと Web
Gateway プロキシの両方のユーザー名とパスワードを指定します。
コマンドの構文は次のとおりです。
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
McAfee Web Gateway 7.6.2
Product Guide
123
4
プロキシ
ノード通信プロトコル
以下の表では、コマンド パラメーターの意味について説明します。
表 4-37 FTP ログオンのコマンド パラメーター
オプション
定義
ftpserver
アクセスを要求する FTP サーバー
ftpuser
FTP サーバーのユーザー名
ftpuserpass
FTP サーバーのパスワード
proxyuser
Web Gateway プロキシのユーザー名
proxyuserpass
Web Gateway プロキシのパスワード
ノード通信プロトコル
Web Gateway アプライアンスが集中管理構成のディレクターまたはスキャン ノードとして実行されるとき、ノー
ド間の通信には VRRP(Virtual Router Redundancy Protocol)と MWG Management Protocol を使用します。
プロトコルの使用は、ノードとして実行するアプライアンスで構成したプロキシ設定によって異なります。プロトコ
ルは、対象とするアクティビティがディレクター ノードであるか、スキャン ノードであるかにおいて異なります。
Virtual Router Redundancy Protocol
Virtual Router Redundancy Protocol は、Web Gateway を透過型ルーター モードまたは高可用性プロキシ モー
ドとして構成したときに使用されます。
このプロトコルの下で、仮想 IP アドレスはアクティブなディレクター ノードおよびバックアップ ディレクター ノ
ードに割り当てられます。プロトコルはまた、ディレクター ノードがアクティブなディレクター ノードの役割をも
つかどうかも判別します。
MWG Management Protocol
MWG Management Protocol は透過型ルーター、透過型ブリッジ、高可用性プロキシ モードで使用されます。こ
のプロトコルの下で、スキャン ノードが Web トラフィックの処理に使用できることを識別します。
アクティブなディレクターの役割をもつノードはスキャン ノードにブロードキャスト メッセージを送信します。そ
の際にそれぞれのプロキシ設定の Management IP オプションの下でソース IP アドレスとして構成された IP
を使用します。
このプロトコルは同じネットワーク セグメント内で使用可能なスキャン モードに、ディレクター ノードの検出メッ
セージに定期的な間隔で応答させます。
セキュリティの考察事項
Virtual Router Redundancy Protocol および MWG Management Protocol のセキュリティ機能は、Address
Resolution Protocol(ARP)のセキュリティ機能と同様です。
Virtual Router Redundancy Protocol は、ローカル ブロードキャスト ドメインを超えてルーティングされない IP
アドレスをもつマルチキャストを使用します。MWG Management Protocol はブロードキャスト メッセージを使
用します。
同じネットワーク セグメントの不正ノードは VRRP メッセージを送信し、結果としてそれぞれの仮想 IP アドレスを
保持するアクティブなディレクター ノードになりすます可能性があります。そのノードは仮想 IP アドレスに対し
て受け取るすべてのデータ パケットをドロップした場合、ネットワーク接続が Web Gateway プロキシに接続され
ているクライアントで停止します。
124
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ドメインに応じた DNS サーバーの使用
4
Web Gateway プロキシの操作を疎外しないように、 Virtual Router Redundancy Protocol および MWG
Management Protocol に従ってプロキシ設定を構成するとき、保護されたネットワーク セグメントの IP アドレス
を使用するようにお勧めします。
ドメインに応じた DNS サーバーの使用
Web Gateway で Web アクセス要求を処理するときに URL の情報を IP アドレスに変換する DNS (ドメイン名シ
ステム) サーバーは、要求された宛先のドメインに応じて設定することができます。
このような DNS サーバーの使い方を条件付きの DNS 前方参照といいます。
ドメイン (たとえば、testnet.webwasher.com) は、URL 情報の解決に使用する DNS サーバーの IP アドレスと一
緒にリストに入力されます。この方法では、1 つのドメインに複数の DNS サーバーを指定できます。
Web 上の特定の宛先に対する要求が Web Gateway に送信されると、このリストに従って DNS サーバーに要求が
転送されます。
DHCP (動的ホスト構成プロトコル) を使用すると、使用する DNS サーバーを動的に設定できます。Web Gateway
アプライアンスの初期セットアップ後には、デフォルトの値が設定されています。
DHCP と条件付きの DNS 前方参照の両方を設定すると、DHCP が優先され、条件付きの DNS 前方参照は回避され
ます。
DNS サーバーとして BIND サーバーを設定すると、Web Gateway の設定ファイルに保存されている DNS サーバー
の設定が上書きされます。これらの値をドメイン名の解決で引き続き使用するには、手動で値を再度入力する必要があ
ります。
ドメインに応じて DNS サーバーを設定する
Web の宛先のドメインに応じて DNS サーバーを有効にするには、ドメイン名サービスを設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、DNS サーバーを設定するアプライアンスを選択して [ドメイン名サービス] をクリッ
クします。
3
[条件付き DNS 前方参照の設定] セクションで、必要に応じて設定を行います。
4
[変更を保存] をクリックします。
ドメイン名サービスの設定
ドメイン名サービスの設定では、DNS サーバーを構成します。条件付きの DNS 前方参照を設定して、特定のドメイ
ンに従って DNS サーバーを使用することもできます。
ドメイン名サービスの設定
DNS サーバーの設定
McAfee Web Gateway 7.6.2
Product Guide
125
4
プロキシ
ドメインに応じた DNS サーバーの使用
表 4-38 ドメイン名サービスの設定
オプション
定義
[プライマリ ドメイン名サーバー]
最初のサーバーの IP アドレスを指定します。
[セカンダリ ドメイン名サーバー]
2 番目のサーバーの IP アドレスを指定します。
[テリタリ ドメイン名サーバー]
3 番目のサーバーの IP アドレスを指定します。
条件付き DNS 前方参照の設定
ドメインに応じた DNS サーバーの使用を設定します。
表 4-39 条件付き DNS 前方参照の設定
オプション
定義
[条件付きの前方参
照を有効にする]
選択すると、[条件付き前方参照リスト] の DNS サーバーが、Web Gateway に対する要求
で送信されたドメイン情報を IP アドレスに変換します。
• 要求された宛先のドメインに従って、リストから DNS サーバーが選択されます。
• リスト内で、DNS サーバーは IP アドレスで表示されます。
• 1 つのドメインに対して最大 5 つまでの DNS サーバーを指定できます。
このオプションを有効にすると、次の 5 つのオプションが使用可能になります。
[デフォルト リゾル ドメイン情報の解決でデフォルトで使用される DNS サーバーの IP アドレスを指定します。
バー]
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[肯定応答の TTL]
特定の値に対する条件付き DNS 前方参照で肯定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 604800 秒です。
[否定応答の TTL]
特定の値に対する条件付き DNS 前方参照で否定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 10800 秒です。
[条件付き前方参照
リスト]
条件付き前方参照の対象となる DNS サーバーのドメインと IP アドレスが表示されます。
[条件付き前方逆引
き参照リスト]
条件付き前方参照で逆引き参照が実行されたときの対象となる DNS サーバーのドメインと
IP アドレスが表示されます。
以下の表では、条件付き前方参照リストの項目について説明します。
表 4-40 条件付き前方参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメイン名が表示されます。
特定のドメイン宛ての要求が Web Gateway に送信されると、このドメインに指定された DNS
サーバーが参照に使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
126
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
DXL メッセージによる Web セキュリティ情報の交換
以下の表では、条件付き前方逆引き参照リストの項目について説明します。
表 4-41 条件付き前方逆引き参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメインの IP アドレスが表示されます。
• IP アドレスは CIDR 表記で指定されます。
• IP アドレスに逆引き参照が実行されると、このアドレスの DNS サーバーが使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
DXL メッセージによる Web セキュリティ情報の交換
DXL 技術を使用すると、共通セキュリティ アーキテクチャの Web Gateway に接続している Web セキュリティ製
品間で情報を交換することができます。
®
McAfee Data Exchange Layer (DXL) は、情報をリアルタイムで交換するメッセージング技術です。 この技術は、
相互に接続された Web Gateway と他の Web セキュリティ製品の間でセキュリティ関連の情報 (ファイル レピュ
テーション スコアなど) を交換する場合に使用されます。
McAfee では、このような情報交換を Security Connected という Web セキュリティ アーキテクチャの一部と
して行っています。
Scenarios for exchanging web security information
DXL では 2 つの方法で情報を交換します。1 つは、セキュリティ トピックに関するメッセージを公開し、このトピ
ックの購読している製品にメッセージを配信する方法です。 もう 1 つは、セキュリティ トピックの情報を検索する
クエリーをサービスに送信し、このサービスから応答を受信する方法です。
Web Gateway など、相互に接続された Web セキュリティ製品は、これらのシナリオで様々な役割を果たしていま
す。 各製品は情報の公開者であり、購読者にもなります。また、クエリーの送信元にも、クエリーに応答するサービ
スにもなります。
情報の発信者から購読者に DXL メッセージを送信した場合、応答は戻しません。 DXL メッセージがセキュリティ関
連の情報を取得するクエリーとしてサービスに送信された場合、サービスは応答を戻し、クエリーで指定されたトピ
ックの情報を提供します。
Web Gateway supports the sending of DXL messages in events and as queries to a service. It can also
receive DXL messages and act as a service that provides information about a web security topic
You can implement the [Gateway Anti-Malware with TIE] library rule set that uses DXL
messages to exchange file reputation information between Web Gateway and a TIE server.
This is the only way to use DXL messages on Web Gateway.
Web セキュリティ情報を交換するための設定
When information about web security topics is exchanged on Web Gateway, several settings are
involved. These settings include credentials for a McAfee ePO server, as parts of the DXL architecture
are managed by this administration product.
McAfee Web Gateway 7.6.2
Product Guide
127
4
プロキシ
ベスト プラクティス - user-agent ヘッダーの使い方
Topics and services for information exchange are part of the settings for the proxy functions of Web
Gateway.
トラブルシューティングのために DXL メッセージの追跡を行うには、[トラブルシューティング] の設定で関連する
オプションを有効にする必要があります。
ベスト プラクティス - user-agent ヘッダーの使い方
user-agent は、HTTP プロトコルで送信される Web アクセス要求に含まれるヘッダーです。 このヘッダーにより、
要求の送信に使用されたソフトウェア プログラムを識別できます。 このヘッダーを使用すると、このヘッダーを含
む要求に特定のアクションを実行するルールを作成できます。
要求の送信には、ブラウザー、メディア プレイヤーあるいは類似のプログラムを使用できます。 たとえば、特定の
ブラウザーから送信された要求が原因で Web Gateway のユーザー認証で問題が発生した場合、これらの要求で認
証をスキップするルールや要求をブロックするルールを作成します。
このルールの条件には user-agent ヘッダーの値や、実行されるアクションを指定します。 Web Gateway で要求
が処理されると、この値が要求から取得され、問題の原因となっているソフトウェア プログラムかどうか確認されま
す。
問題の原因となっているプログラムが他にもある場合や、複数のプログラムが関係している可能性がある場合には、
user-agent のリストを使用できます。 この場合、要求の user-agent ヘッダー値がリストの項目と比較され、該当
する項目があるかどうか確認されます。
user-agent の検索
ルールを作成して user-agent が原因で問題が発生する要求のアクションを指定するには、該当する user-agent を
知っていなければなりません。 検索の方法はいくつかあります。
•
アクセス ログ - Web Gateway が管理するアクセス ログを調べます。 このログには、デフォルトで要求の
user-agent ヘッダーが記録されます。
•
オンライン リソース - クライアント システムで user-agent として実行されるブラウザー、メディア プレイヤ
ーあるいは類似のプログラムの情報をオンライン リソース (オンライン検索など) から取得します。
よく利用されている user-agent やクライアントで現在使用されているブラウザーを指定して情報を検索できる
Web サイトがあります。
•
TCP ダンプ - ユーザー インターフェースでトラブルシューティング機能を使用して、Web Gateway が実行す
る要求処理の TCP ダンプを作成します。 これらの機能の詳細については、
『トラブルシューティング』を参照し
てください。
TCP ダンプを作成すると、Wireshark などのパケット追跡ツールを使用して TCP ストリームを調査できます。
Web アクセスで送信された GET 要求を選択して、この要求のデータ パケットとヘッダーを検査します。
問題の原因となる user-agent に関する情報をすでに取得している場合には、Wireshark で出力をフィルタリン
グできます。 たとえば、次の行を入力すると、"Mozilla" というテキスト文字列を含むすべてのデータ パケット
が戻されます。
http.user_agent matches "Mozilla"
ブラウザーの user-agent ヘッダーの大半は "Mozilla" というテキスト文字列で始まっています。 これは、
user-agent が Mozilla Firefox であることを表しているとは限りません。 Firefox や別のブラウザーの場合もあ
ります。
128
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - user-agent ヘッダーの使い方
4
一般的な user-agent ヘッダー
Web Gateway で作成された TCP ダンプでよく見つかるソフトウェア プログラムの user-agent ヘッダーは次の
とおりです。
user-agent ヘッダーの説明の他に、関連情報として Wireshark パケット追跡ツールのコード行も示します。
•
Firefox - Mozilla Firefox の user-agent ヘッダーです。"Firefox/" というテキスト文字列の後にバージョ
ン番号が続きます。
Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1
•
Internet Explorer - Microsoft Internet Explorer の user-agent ヘッダーです。"MSIE" というテキスト
文字列の後にバージョン番号が続きます。
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)
•
Chrome - Google Chrome の user-agent ヘッダーです。"AppleWebKit" というテキスト文字列が含まれ
ます。
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/
25.0.1364.172 Safari/537.22
このヘッダーは、Apple iPhone の user-agent ヘッダーと間違えやすいので注意してください。
•
Windows Media Player - Windows Media Player の user-agent ヘッダーです。このサンプル コード
では 2 つのテキスト文字列が存在します。
Windows-Media-Player/10.0.0.xxxx NSPlayer/10.0.0.xxxx WMFSDK/10.0
•
iTunes - Apple iTunes の user-agent ヘッダーです。"iTunes/" というテキスト文字列の後にバージョン番
号が続きます。
Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1
•
Safari on iPhone - iPhone で動作するアプリ (Apple Safari など) の user-agent ヘッダーです。
"iPhone" というテキスト文字列が含まれます。
Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1
user-agent ヘッダーを操作するサンプル ルール
特定のソフトウェア プログラムの user-agent ヘッダーを含む要求にアクションを実行するルールで、user-agent
はルール条件に記述されています。 ルールが複数の user-agent に適用される場合、user-agent のリストを使用で
きます。
現時点で関係する user-agent が 1 つだけであってもリストの使用をお勧めします。 リストを使用すると、解決する
user-agent が増えたときに、値の変更が簡単になります。
ルールが処理されると、ルール条件のプロパティに user-agent ヘッダーの user-agent 値が設定されます。 この
値が user-agent リストのいずれかの項目に一致すると、ルールが適用されます。また、単独で指定している場合に
は、その user-agent に一致した場合に適用されます。
Microsoft Internet Explorer のバージョン 10 としてリストに "MSIE 10" という項目を追加したとします。 こ
のブラウザーの user-agent ヘッダーが要求に含まれている場合、リストに入力した文字列が user-agent ヘッダー
にも含まれているため、ルール条件に一致します。
McAfee Web Gateway 7.6.2
Product Guide
129
4
プロキシ
ベスト プラクティス - user-agent ヘッダーの使い方
要求の user-agent ヘッダーから e user-agent の値を取得するプロパティは [Header.Request.Get] です。 こ
の値を取得するプロパティを使用するには、プロパティのパラメーターとして "User-Agent" という文字列を設定し
ます。
ここでは、要求で SSL スキャンをスキップすることを目的としているので、サンプル ルールは次のようになります。
[名前]
[リストにある user-agent で SSL スキャナーをスキップする]
[条件]
[アクション]
[Header.Request.Get("User-Agent") matches in list User Agent Whitelist ]
–> [Stop Rule Set ]
このように、ルールに他の条件部分も残しておくことをお勧めします。 user-agent の情報を提供するクライアントや
マルウェアが信頼された user-agent を装い、フィルタリングを回避しようとする場合もあります。
次のように、user-agent の偽装から保護する条件も追加してください。
[名前]
[リストにある user-agent で SSL スキャナーをスキップする]
[条件]
[Header.Request.Get("User-Agent") matches in list User Agent Whitelist AND
URL.Host matches *samplesite.com ]
[アクション]
–> [Stop Rule Set ]
サンプル ルールでは、アクションとして [Stop Rule Set] が設定されています。 user-agent が原因で Web
Gateway の機能に発生する問題を解決するため、この機能のルール セットにルールを挿入します。
たとえば、user-agent で SSL スキャンの問題が発生する場合には、[SSL Scanner] ルール セットの先頭に挿入し
ます。 ルールが適用されると、このルール セットの処理が停止し、関連する要求で SSL スキャンがスキップされま
す。 ユーザー認証をスキップする場合も同様の方法でルールを使用できます。
user-agent が原因で問題が発生してもルールをスキップしない場合には、アクションを [Stop Rule Set] ではなく
[Block] に設定します。 これにより、ルール セット システムに存在しない場合に、要求を全体でブロックするルー
ル セットを作成し、ルールを挿入することができます。
user-agent ヘッダーを操作するルールを作成する
要求の user-agent ヘッダーに応じて user-agent の問題を解決するようにアクションを実行するルールを作成し
ます。
以下の手順では、特定の user-agent が原因で SSL スキャンの問題が発生していることを前提としています。 作成
するルールでは、この user-agent が要求の user-agent ヘッダーに含まれている場合に SSL スキャンをスキップ
し、問題を回避します。
タスク
1
問題の原因となっている user-agent を含む要求でスキップする機能のルール セットを選択します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
ルール セット ツリーで、[SSL スキャナー] ルール セットを選択します。
c
設定ペインで [ビューのロック解除] をクリックし、[はい] を選択して確認します。
ネストしている [SSL スキャナー] ルール セットが編集可能になり、ルールを挿入できるようになります。
130
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
ベスト プラクティス - user-agent ヘッダーの使い方
2
4
ルール セットの中でスキップするルールの名前を設定します。
a
[ルールの追加] をクリックします。
[ルールの追加] ウィンドウが開き、[名前] が選択されます。
b
3
[名前] フィールドにルールの名前 (例: リストの user-agent で SSL スキャナーをスキップする) を入
力します。
user-agent の取得に使用するプロパティを設定します。
a
[ルールの条件]、[追加] の順にクリックします。
b
ドロップダウン メニューから [詳細条件] を選択します。
[条件の追加] ウィンドウが開きます。
4
c
[フィルター] をクリックし、[エンジン] 、 [ヘッダー] の順にクリックし、フィルタリングされたプロパティ
リストから [Header.Request.Get] を選択します。
d
プロパティの [パラメーター] をクリックします。
e
表示されたウィンドウで、[パラメーター値] が選択され、タイプが [User-Agent] になっていることを確認
し、[OK] をクリックしてウィンドウを閉じます。
プロパティと値の比較に使用する演算子とリストを設定します。
a
推奨の [リストの比較] 演算子を使用します。
b
[比較] のリストから [ユーザー エージェントのホワイトリスト] を選択します。
初期状態では、このリストは空になっています。問題の原因となっている user-agent の項目を挿入する必要
があります。
c
[OK] をクリックします。
[条件の追加] ウィンドウが閉じて、完成した条件が [ルールの追加] ウィンドウに表示されます。
5
6
ルール アクションを設定します。
a
[アクション] をクリックします。
b
[アクション] リストから [ルール セットの停止] を選択します。
設定を完了します。
a
[完了] をクリックします。
[ルールの追加] ウィンドウが閉じて、ルールが [SSL スキャナー] ルール セットに表示されます。
デフォルトでは、[SSL スキャナー] ルール セットは空の状態になります。スキャン機能のルールは、ネスト
するルール セットに含まれます。 ネストするルール セットに初期セットアップ後に挿入されたルールが含ま
れている場合には、新しいルールを先頭に移動してください。
b
[変更の保存] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
131
4
プロキシ
Office 365 と他の Microsoft サービスのバイパス
Office 365 と他の Microsoft サービスのバイパス
Web Gateway での負荷の増加を回避するため、Office 365 と他の Microsoft サービスに送信される要求あるいは
これらのサービスから受信した応答のフィルタリングをバイパスするように設定できます。
これらの要求と応答のバイパスは、ルールで処理されます。 デフォルトのルール セット システムとルール セット
ライブラリに、適切なルールを含むルール セットが用意されています。
Office 365 と他の Microsoft サービスの要求と応答をバイパスするように設定するには、次のものを使
用します。
•
ルールのキー要素 - バイパス ルールを含むルール セットを開くと、これらのルールのキー要素を表
示し、設定できます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、バイパス ルールをすべ
て表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルールの削除を行う
ことができます。
変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
Office 365 と他の Microsoft サービス
Microsoft は、Office 365 アプリケーション スイートでクラウド ベースのアプリケーションをいくつか提供してい
ます。 これらのアプリケーションは、ユーザー エクスペリエンスを向上させるため、HTML5 の機能を使用していま
す。
このため、一部のアプリケーションでは接続数が多くなり、接続状態が常時維持され、Web Gateway アプライアン
スに過剰な負荷がかかる場合があります。 負荷が過剰になると、Web Gateway のプロキシ機能に影響が及び、Web
アクセスの遅延やタイムアウトなどの問題が発生します。
Office 365 と他の Microsoft サービスの要求と応答が Web Gateway でフィルタリングされないように設定する
と、このような問題を回避できます。 これらの要求と応答の多くは、Microsoft 専用で未公開のフォーマットやプロ
トコルを使用しているため、Web Gateway でスキャンし、フィルタリングすることはできません。
Microsoft サービスをバイパスするルール セット
[Microsoft (Office 365) サービスのバイパス] ルール セットには、Office 365 と他の Microsoft サービスの要求
と応答をバイパスするルールが含まれています。
Microsoft が公開している IP アドレスと URL のリストにより、これらのサービスに対するアクセスで送信される要
求が認識されます。
このルール セットは、デフォルトのルール セット システムの先頭にあります。
ドメイン名システムの使用
バイパス ルール セットを使用するには、Web Gateway がドメイン名システム (DNS) にアクセスする必要があり
ます。 たとえば、ネクスト ホップ プロキシを使用している場合には、Web Gateway は DNS へのアクセスを必要
としないため、このようなアクセスがルールでブロックされる可能性があります。
ルール セットの大半のルールは、[URL.Destination.IP] プロパティを評価し、関連する要求を認識します。 DNS
は、処理中の要求の宛先 IP アドレスの解決に使用されます。
DNS が設定されていないか、設定に誤りがあると、ルール セットの使用中にタイムアウトが発生したり、パフォー
マンスが低下する可能性があります。
132
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
Office 365 と他の Microsoft サービスのバイパス
Microsoft サービスのバイパスに使用するキー要素
Office 365 と他の Microsoft サービスのバイパスを処理するルールのキー要素は、要求と応答を送受信するサービ
スに関連しています。
Microsoft サービスのバイパス
Microsoft サービスのバイパスを処理するオプション
表 4-42 Microsoft サービスのバイパス
オプション
定義
[Exchange Online のバイパス]、
選択すると、Exchange Online または他の Microsoft サービスに対する
[Microsoft Federation Gateway の Web Gateway クライアントからのアクセス要求は、フィルタリングされず
バイパス]、Microsoft サービスのバ にサービスに転送されます。
イパスを処理する他のオプション
サービスから受信した応答もフィルタリングされずにクライアントに転送
されます。
これらのオプションは、デフォルトで有効になっていません。
Microsoft (Office 365) サービスのバイパス ルール セット
[Microsoft (Office 365) サービスのバイパス] ルール セットはデフォルトのルール セットです。Web Gateway
でのフィルタリングで、Office 365 と他の Microsoft サービス間で発生するトラフィックの要求と応答がバイパス
されます。
デフォルト ルール セット -Microsoft (Office 365) サービスのバイパス
[条件] - [Always]
[サイクル] - [要求 (IM)]、[応答]
このルール セットには、以下のルールが含まれます。
[応答での Microsoft サービスのショートカット]
[Cycle.Name equals "Response" AND User-Defined.Shortcut_Microsoft_Service equals true] – [Stop
Cycle]
このルールは、[Cycle.Name] プロパティを使用して、Web Gateway の処理が応答サイクルかどうかを確認しま
す。
また、ユーザー定義のプロパティを使用して、このサイクルで処理する応答が、Office 365 または他の Microsoft
サービスに対するクライアントのアクセス要求によってトリガーされたかどうかを確認します。
このような要求を Web Gateway で受信すると、要求サイクルで処理される特定のルールがユーザー定義のプロパ
ティを true に設定します。 現在のルールが、条件の 2 番目の部分を使用して、応答サイクルでのプロパティの設
定状況を確認します。
両方の条件を満たすと、ルールが適用され、応答サイクルが停止します。 この応答は、フィルタリングされずに要
求側のクライアントに転送されます。
このルールはデフォルトで有効になっています。
このルール セットの最初のルールに続くすべてのルールが同様に機能します。 これにより、Web
Gateway クライアントが特定の Microsoft サービスに送信した要求がフィルタリングされずに転送さ
れます。
このような要求を受信すると、最初のルールが評価したプロパティに true を設定します。
ここでは、後続のルールの最初の部分を詳しく説明します。 残りのルールは概要のみを示します。
McAfee Web Gateway 7.6.2
Product Guide
133
4
プロキシ
リバース HTTPS プロキシ
[Exchange Online のバイパス]
[URL.Destination.IP is in range list Exchange Online IP Addresses OR URL.Destination.IP is in range
list Exchange Online Protection P Addresses OR URL.Host matches in list Exchange Online URLs] –
[Stop Cycle] – [Set User-Defined.Shortcut_Microsoft_Service = true]
このルールは、[URL.Destination.IP] プロパティと [URL.Host] プロパティを使用して、要求と一緒に送信され
た IP アドレスと URL が特定のリストに含まれているかどうかを確認します。
含まれている場合、要求サイクルが停止し、要求は指定された宛先である Microsoft Exchange Online サービス
に転送されます。
イベントによって [User-Defined.Shortcut_Microsoft_Service] プロパティに true が設定されます。 このプ
ロパティは、応答サイクルでルール セットの最初のルールによって評価されます。
このルールは、デフォルトでは有効になっていません。
[Microsoft Federation Gateway のバイパス]、[Microsoft Lync/Skype for Business Online のバイパス]、
Microsoft サービスをバイパスする他のルール
[Exchange Online のバイパス] ルールと同様に、これらのルールは [URL.Destination.IP] プロパティまたは
[URL.Host] プロパティ、あるいはその両方 ([URL] プロパティの場合もあり) を使用して、要求と一緒に送信され
た IP アドレスまたは URL が特定のリストに含まれているかどうかを確認します。 関連するサービスによってリ
ストが異なります。
IP アドレスまたは URL がリストにある場合、要求サイクルが停止し、要求は指定された宛先である Microsoft サ
ービスに転送されます。
イベントによって [User-Defined.Shortcut_Microsoft_Service] プロパティに true が設定されます。 このプ
ロパティは、応答サイクルでルール セットの最初のルールによって評価されます。
これらのルールは、デフォルトで有効になっていません。
リバース HTTPS プロキシ
リバース HTTPS プロキシ構成を使用して、クライアントが、マルウェアや特定のメディア タイプなどの不必要なデ
ータを HTTPS プロトコルの下で、Web サーバーにアップロードできないようにすることができます
この構成で、HTTPS トラフィックはプロキシが実行されているアプライアンスにリダイレクトされます。それは検
査され、最終的にアプライアンスで施行されたルールに従って、転送またはブロックされます。
以下のようにこれを構成することができます。
•
透過型ブリッジまたはルーターをセットアップします。
•
特定の Web サーバーへのアクセスが要求されたときにアプライアンスを直接参照するように、DNS 構成をセッ
トアップします。
アプライアンスへのリダイレクションはまた、CONNECT ヘッダーの使用に依存するプロキシ認識接続を構成するこ
とによっても達成できます。
しかし、この方法では受信リクエストのヘッダーを整理するために追加ネットワーク デバイスが必要となります。し
たがって、お勧めしません。
ネットワークを構成するのに加え、SSL 証明書の処理を構成する必要があります。
任意に、リバース HTTPS プロキシのスムーズな操作を確保するために、SSL 関連でない追加の設定を構成できま
す。
134
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
リバース HTTPS プロキシ
4
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト
透過型ブリッジまたはルーター モードでは、ポート リダイレクト ルール(ポート転送ルールとも呼ばれる)を使用
して HTTPS トラフィックをアプライアンスのプロキシ ポートに仕向けることができます。
リダイレクトされたリクエストは SSL セキュア通信として取り扱われるように保証する必要もあります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、トラフィックをリダイレクトするアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[ネットワーク設定]セクションで、[透過型ブリッジ](または[透過型ルーター])を選択してください。
特定の透過型ブリッジ(またはルーター)設定のセクションが表示されます。
4
[ポート転送]の[追加]をクリックします。
[ポート転送の追加]ウィンドウが開きます。
5
新しいポート転送ルールに対して、以下のとおり構成します。
•
[プロトコル名] — HTTP
この設定により、HTTP および HTTPS プロトコルの両方の接続が対象になります。
•
[元の宛先ポート] — 443
リクエストの宛先となる Web サーバーが HTTP プロトコルでも同様に到達できる場合、ここにポート 80 を
追加できます(カンマで区切る)。このタイプのトラフィックはまた、アプライアンスにも仕向けられます。
•
[宛先のプロキシ ポート] — 9090
これは、アプライアンスのデフォルト プロキシ ポートです。
6
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいルールが表示されます。
7
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
8
9
以下の項目が構成されていることを確認してください。
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — 443
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しい HTTP プロキシ ポートが表示されます。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
135
4
プロキシ
リバース HTTPS プロキシ
アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる
HTTPS プロトコル下の要求が DNS エントリに従ってアプライアンスにリダイレクトされる場合、アプライアンスの
プロキシを適切なポートで直接待機するように設定できます。また、SSL セキュア接続のみが有効になるようにする
必要もあります。
開始する前に
このような方法でプロキシを構成する前に、以下の点を確認してください。
•
アプライアンスが DNS ルックアップを行うとき、要求された Web サーバーのホスト名がアプライ
アンスに解決されません。
アプライアンスの /etc/hosts ファイルに Web サーバーの IP アドレスを直接入力するか、適切に
構成された内部 DNS サーバーを使用してください。
•
コンテンツの検査を処理するルール セットがアプライアンスに施行され、有効に設定あsれます。
SSL スキャナー ルール セットのネストされたルール セットとして、デフォルトのルール セットで
適切なルール セットが指定されます。
DNS エントリを使用するとき、ポート転送ルールの目的はほかの宛先の要求をアプライアンスに転送することなの
で、ポート転送ルールは適用できません。しかし、DNS エントリのため、アプライアンスはすでに宛先となります。
また、SSL セキュア接続のみが有効になるようにする必要もあります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、要求を待機するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、ICAP、お
よび IM)] をクリックします。
3
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
4
新しい HTTP プロキシ ポートに以下の設定を行います。
•
[リスナー アドレス ]— 0.0.0.0:443
この設定により、アプライアンスは IP アドレスにかかわらず、任意の Web サーバーの要求を待機するよう
になります。ここに特定の IP アドレスを指定して、該当するサーバーの要求を待機するアプライアンスに限
定することもできます。
複数のネットワーク インターフェース カードをアプライアンス上で実行している場合、ネットワーク インタ
ーフェース カードと同じ数だけの Web サーバーを、IP アドレスをカンマで区切って指定できます
5
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — *
他の設定はデフォルト値のままにして、[OK] をクリックします。
ウィンドウが閉じ、リストに新しいプロキシ ポートが表示されます。
Web サーバーが HTTPS プロトコルでアクセスできるように設定されている場合は、リスナー アドレス
0.0.0.0:80 または特定の Web サーバーのアドレスをもつ別の HTTP プロキシを追加する必要があります。
6
136
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
リバース HTTPS プロキシ
4
リバース HTTPS プロキシ構成の SSL 証明書
リバース HTTPS プロキシ構成は通常、クライアントによる不必要なデータのアップロードに対して、制限された数
の Web サーバーを保護するようにセットアップされます。これらのサーバーの SSL 証明書をインポートし、それら
をアプライアンス構成に追加する必要があります。
リバース HTTPS プロキシ構成では、アプライアンスは SSL セキュア モードでクライアントと通信します。しかし、
SSL ハンドシェイク中にアプライアンスがクライアントに送信した SSL 証明書は、SSL Scanner モジュールでは
発行できません。したがって、アプライアンスは、クライアントがアクセスをリクエストしている Web サーバーの
元の証明書を使用します。
SSL クライアント コンテンツの設定を構成するときに、これらの証明書をインポートできます。
アプライアンスはクライアントに送信するための適切な証明書を見つけるために、いくつかの方法を使用します。
クライアントを送信するための証明書の選択
指定された状況で、どの証明書を送信するかを確認するために、アプライアンスはインポートされた証明書のリスト
をスキャンします。このリストで、証明書は、それらが属する Web サーバーのホスト名にマップされます。アプラ
イアンスは、クライアントがアクセスをリクエストしたホストの名前にマップされる証明書を送信します。
明示的プロキシ セットアップで、このホスト名は CONNECT リクエストのヘッダーで送信され、アプライアンスに
認識されます。
透過型セットアップでは、アプライアンスはホスト名を検出するために、以下の方法を使用します。
•
クライアントが SNI 拡張を送信する場合、ホスト名は明示的プロキシ構成でそれを検出するのと同様の方法で見
つけることができます。
•
クライアント リクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、ホスト名は転
送を構成するときに指定される IP アドレスにより判明します。
この場合、アプライアンスがリスンするように構成されたすべての IP アドレスに対する適切な値に、URL.Host
プロパティを設定するというルールで、ルール セットを作成することも必要になります。これにより、アプライ
アンスはフィルタリングまたは許可されたときに、リクエストを転送する場所を知ることができます。
•
透過型セットアップが DNS エントリーによるリダイレクションを使用しない場合、アプライアンスはハンドシ
ェイク メッセージをクライアントがリクエストした Web サーバーに送信し、Web サーバーから受信した証明書
から共通名を抽出し、この共通名を使用して、適切なホスト名を検出します。
この方法では、アプライアンスと Web サーバーも SSL セキュア モードで通信することを必要とします。このモ
ードが使用されることを保証するために、アプライアンスの設定を構成することができます。
リバース HTTPS プロキシ構成での SSL 証明書設定の作成
これらの設定を構成する場合、リバース HTTPS プロキシ構成で Web サーバーに使用される SSL 証明書の設定を作
成し、証明書をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA なしで SSL クライアント コンテキストを有効にする]を選択します。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、追加する設定の名前を入力します。たとえば、Imported web server certificates
などです。
5 [オプション][コメント] フィールドで、設定の平文コメントを入力します。
McAfee Web Gateway 7.6.2
Product Guide
137
4
プロキシ
リバース HTTPS プロキシ
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[SSL クライアント コンテキストの定義(証明書認証なし)]セクションで、設定パラメーターを構成します。
a
インライン リスト[ホストまたは IP によりサーバー証明書を選択する]のツールバーで、[追加]をクリックし
ます。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[インポート]をクリックし、[サーバー証明書のインポート] ウィンドウのオプションを追加して、Web サー
バーの SSL 証明書をインポートます。
c
必要に応じて[証明書マッピングへのホストの追加]ウィンドウのその他パラメーターを構成します。
d
[OK]をクリックします。
ウィンドウが閉じ、SSL 証明書を Web サーバーのホスト名にマッピングする新しいエントリがインライン
リストに表示されます。
e
より多くのマッピング エントリをインライン リストに追加する場合、サブステップ a から d を繰り返しま
す。
f
Web サーバーへの接続が SSL セキュアか否かに従って、[SSL Scanner 機能はクライアント接続にのみ適
用]を選択または選択解除します。
この接続を保護しない場合、HTTPS から HTTP へネットワーク プロトコルを変更するルールを作成する必要
があります。
g
必要に応じて SSL クライアント コンテキストのその他設定パラメーターを構成します。
h
[OK]をクリックします。
[設定の追加]ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
9
[変更の保存]をクリックします。
デフォルト ルール セット システムの、SSL スキャナー ルールで提供されるクライアント コンテキスト設定のた
め、ルールのこれらの設定を使用できます。
リバース HTTPS プロキシ構成での URL.Host プロパティの設定
クライアント リクエストが リバース HTTPS プロキシ構成の DNS エントリーによりアプライアンスにリダイレク
トされる場合、転送要求するアプライアンスに Web サーバーの IP アドレスを URL.Host プロパティの値としてセ
ットする必要があります。
リクエストのフィルタリングが許可される結果を導いた後で、アプライアンスは要求された Web サーバーにそれを
転送するために、リクエストと共に送信された URL.Host プロパティを使用します。
リクエストが DNS エントリーに従ってリダイレクトされる場合、Web サーバーは IP アドレスでアプライアンスに
認識されます。URL.Host プロパティが値として Web サーバーの IP アドレスをもつ場合、アプライアンスはリク
エストを適切な宛先に転送します。
URL.Host プロパティの値を IP アドレスに設定することは、ルールによって行うことができます。アプライアンス
がリクエストを転送する各 Web サーバーに対してそのようなルールを作成する必要があります。
これらのルールは、独自のルール セットに含むことができます。
138
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
リバース HTTPS プロキシ
タスク
•
139 ページの「URL.Host プロパティの設定のためのルール セットの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セ
ットを作成できます。
•
139 ページの「URL.Host プロパティを設定するためのルールの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
URL.Host プロパティの設定のためのルール セットの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セットを作成で
きます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットに適した名前を入力します。たとえば、[Set value of URL.Host to IP
address]などです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の[リクエストと IM] を選択します。
7
[このルール セットを適用]の[常に]を選択します。
8
[オプション][コメント]の下に、ルール セットに関する平文テキストのコメントを入力します。
9 [オプション][権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
URL.Host プロパティを設定するためのルールの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールを作成したルール セットを選択します。たとえば、[Set value of
URL.Host to IP address]などです。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、URL.Host の値を 10.141.101.51 を設定するなど、新しいルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
139
4
プロキシ
リバース HTTPS プロキシ
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Destination.IP] を選択します。
b
中央列のオペレーターのリストから、[イコール]を選択します。
c
右列の[比較]の下の演算子フィールドに「、IP アドレスを入力します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[続行]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[プロパティ
の値を設定]を選択します。
[プロパティ設定の追加]ウィンドウが開きます。
10 以下のように、プロパティを設定します。
a
[このプロパティのセット]の下で、[URL.Host]を選択します。
b
[この文字列の結合]の下で、[追加]をクリックします。
[文字列を入力してください]ウィンドウが開きます。
c
[パラメーター値)]フィールドで、このルールで使用する IP アドレスを持つ Web サーバーのホスト名を入力
します。
d
[OK]をクリックします。
ウィンドウが閉じ、ホスト名が[プロパティ設定の追加]ウィンドウに表示されます。
11 [OK]をクリックします。
ウィンドウが閉じ、URL.Host プロパティを設定するイベントが[イベント]の下に表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、値の設定ルールで作成したルール セット内に新しいルールが表示されます。
13 [変更の保存]をクリックします。
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ
ネットワーク設定と SSL 証明書の取り扱いを構成するのに加えて、いくつかのほかのアクティビティを行い、リバ
ース HTTPS プロキシのスムーズな操作を保証することができます。
140
•
プロキシ ループ検出のアクティブ化解除
•
アプライアンス ポートへのアクセス制限
•
Web サーバーへのアクセス制限
•
複数 Web サーバーへの対応
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
リバース HTTPS プロキシ
タスク
•
141 ページの「プロキシ ループ検出のアクティブ化解除」
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを
検出できます。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお
勧めします。
•
141 ページの「アプライアンス ポートへのアクセス制限」
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユー
ザー インターフェースとファイル サーバー設定を適宜、構成する必要があります。
•
142 ページの「Web サーバーへのアクセス制限」
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、
制限された数の特定の Web サーバーを保護することです。したがって、この構成のためには、これらの
サーバーのみにアクセスを許可し、他のサーバーはブロックする必要があります。
•
144 ページの「複数 Web サーバーへの対応」
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリク
エストを転送します。
プロキシ ループ検出のアクティブ化解除
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを検出できま
す。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお勧めします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、プロキシ ループ検出のアクティブ化を解除するアプライアンスを選択し[プロキシ
(HTTP(S)、FTP、ICAP、および IM)]をクリックします。
3
[詳細設定]セクションで、[HTTP(S):プロキシ ループ検出のために、経由ヘッダーを検査]の選択を解除します。
4
[変更の保存]をクリックします。
アプライアンス ポートへのアクセス制限
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユーザー インタ
ーフェースとファイル サーバー設定を適宜、構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ポート アクセスを制限するアプライアンスを選択し、[ユーザー インターフェース]
を選択します。
3
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
4
[ファイル サーバー]を選択します。
5
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
6
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
141
4
プロキシ
リバース HTTPS プロキシ
Web サーバーへのアクセス制限
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、制限された数
の特定の Web サーバーを保護することです。したがって、この構成のためには、これらのサーバーのみにアクセス
を許可し、他のサーバーはブロックする必要があります。
他のサーバーへのアクセスがリクエストされ、ブロックされたら、アプライアンスにこれらの接続を閉じさせること
もお勧めします。
制限付きアクセス:
•
保護する Web サーバーのリストを作成します。
•
ブロック ルールのルール セットを作成します。
•
他の Web サーバーへのアクセスをブロックし、要求をブロックした後でクライアントの接続を閉じるルールを作
成します。
タスク
•
142 ページの「保護された Web サーバー リストの作成」
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
•
143 ページの「ブロック ルールのルール セットの作成」
ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックす
るルールを追加できます。
•
143 ページの「Web サーバーへのアクセスをブロックするルールの作成」
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサ
ーバーへのアクセスをブロックするルールを作成できます。
保護された Web サーバー リストの作成
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 保護された Web サーバーなど
• [オプション][コメント ]— 新しいリストに関するテキスト形式のコメント
•
[タイプ ]— ワイルドカード式
4 [オプション]権限タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [WildcardExpression] の下のリスト ツリーに表
示されます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
142
McAfee Web Gateway 7.6.2
Product Guide
4
プロキシ
リバース HTTPS プロキシ
7
保護する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
ブロック ルールのルール セットの作成
ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールを追
加できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットの名前を入力します。たとえば、リバース HTTPS プロキシ構成で Web サ
ーバーをブロックするなどです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の下で、[要求と IM]を選択します。
7
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
8
9
以下のとおり、ルール セット条件を設定します。
a
[プロパティ] リストから、[URL.Protocol]を選択します。
b
[演算子]リストから、[等しい] を選択します。
c
[オペランド]で、https と入力します。
d
(オプション) [コメント ]で、新しいルール セットに平文テキストのコメントを入力します。
(オプション) [権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
Web サーバーへのアクセスをブロックするルールの作成
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサーバーへのア
クセスをブロックするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ブロック ルールに作成するルール セットを選択します。たとえば、[リバース HTTPS
プロキシ構成で Web サーバーをブロックする]です。
McAfee Web Gateway 7.6.2
Product Guide
143
4
プロキシ
リバース HTTPS プロキシ
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、ルールの名前を入力します。たとえば、保護された Web サーバーにのみアクセスを許可
するです。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーターのリストから、[リストで一致する]を選択します。
c
右列の演算子のリストから、構成する Web サーバーを選択します。たとえば、[保護された Web サーバー]
などです。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[ブロック]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]、[追加] の順にクリックし、表示されたドロップダウン リストから [イベント] を選択します。
[イベントの追加] ウィンドウが開きます。
10 次の手順でイベントを設定します。
a
[イベント] リストから [プロキシ制御を有効にする] を選択します。
b
[設定リスト]から、[クライアントとの接続を維持しない]を選択します。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、作成した新しいルール セット内にルールが表示されます。
13 [変更の保存]をクリックします。
複数 Web サーバーへの対応
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリクエストを転
送します。
これを行うためには、
•
ルール セット ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートする
•
次のホップ プロキシ リストを作成する
•
次のホップ プロキシ設定の作成
•
保護されたサーバーのリストの Web サーバーが要求されたときに、リストと設定を使用し、
「次のホップ プロキ
シを有効にする」イベントをトリガーするルールを作成します
リストは保護サーバーのリストも使用します。このリストに対して、これらのサーバーへのアクセスを制限する
ために作成されたリストを使用できます。
144
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
リバース HTTPS プロキシ
4
タスク
•
145 ページの「次のホップ プロキシ リストを作成する」
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プ
ロキシとしてアドレス指定される Web サーバーのリストを作成できます。
•
146 ページの「次のホップ プロキシ設定の作成」
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
•
146 ページの「
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成」
保護された Web サーバーのリストのサーバーが要求されたときに、[ネクスト ホップ プロキシを有効
にする] イベントをトリガするルールを作成できます。
次のホップ プロキシ リストを作成する
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プロキシとし
てアドレス指定される Web サーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 次のホップ プロキシとして保護された Web サーバーなど
• [オプション][コメント] — 新しいリストに関するテキスト形式のコメント。
•
[入力] — NextHopProxy
4 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [NextHopProxy]の下のリスト ツリーに表示され
ます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
7
解決する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
145
4
プロキシ
リバース HTTPS プロキシ
次のホップ プロキシ設定の作成
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ネクスト ホップ プロキシを有効にする]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
以下の設定パラメーターを構成します。
•
[名前] — 設定名、たとえば、 保護された Web サーバーなど
• (オプション)[コメント ]— 新しい設定に関するテキスト形式のコメント
4
5
[ネクスト ホップ プロキシ サーバーー]で、次のように構成します。
a
[ネクスト ホップ プロキシ サーバーのリスト]から、作成したネクスト ホップ プロキシ リストを選択しま
す。たとえば、ネクスト ホップ プロキシとして保護された Web サーバーーなどです。
b
[ラウンド ロビン]が選択されていることを確認してください。
c
[プロキシ スタイル リクエスト]の選択を解除します。
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
6
[変更の保存]をクリックします。
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成
保護された Web サーバーのリストのサーバーが要求されたときに、[ネクスト ホップ プロキシを有効にする] イベ
ントをトリガするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、[ネクスト ホップ プロキシ] ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、たとえば、保護された Web サーバーをネクスト ホップ プロキシとしてアドレス指定す
る などのルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
146
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
プロキシ自動構成
6
7
4
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーやーのリストから、[リストで一致しない]を選択します。
c
右列の演算子のリストから、構成した Web サーバー リストを選択し、[保護された Web サーバー]など、こ
れらのサーバーへのアクセスを制限します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックして、デフォルトの[続行]のままにします。.
9
[イベント]、[追加] の順にクリックし、表示されたドロップダウン リストから [イベント] を選択します。
[イベントの追加] ウィンドウが開きます。
10 次の手順でイベントを設定します。
a
[イベント] リストから、[ネクスト ホップ プロキシを有効にする]を選択します。
b
[設定]リストから、このルールに構成した設定を選択します。たとえば、[保護された Web サーバー]などで
す。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了] をクリックします。
[ルールの追加] ウィンドウが閉じて、新しいルールが [ネクスト ホップ プロキシ] ルール セットに表示されま
す。
13 [変更の保存]をクリックします。
プロキシ自動構成
クライアントの Web ブラウザーのアプライアンスで 1 つ以上のプロキシ自動設定(PAC)ファイルを利用可能にす
ることができます。ブラウザーは、特定の Web ページにアクセスできるようにするプロキシを検索するために、そ
れらを使用できます。
プロキシ自動構成ファイルのファイル拡張子は通常、.pac です。アプライアンスにいくつか設定できます。たとえ
ば、「proxy.pac」や「webgateway.pac」などです。
プロキシ自動構成ファイルが WPAD (Web Proxy Auto-Discovery) プロトコルに準拠している場合、ファイル名は
「wpad.dat」になります。したがって、アプライアンスには 1 度しか存在できません。
.pac ファイルを使用可能にする
プロキシー自動構成に対してクライアントのブラウザーに「.pac」ファイルを使用可能にします。
タスク
1
アプライアンスの「/opt/mwg/files」フォルダーに「.pac」ファイルを保管します。
2
ブラウザーを開始し、ネットワーク構成設定に進みます。
3
[接続]セクションで、[設定]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
147
4
プロキシ
プロキシ自動構成
4
[自動プロキシー構成 URL]を選択し、「 .pac」ファイルのパスとファイル名を入力します。
たとえば、以下のように使用します。
http://mwgappl.webwasher.com:4711/files/proxy.pac
クライアントにファイルをダウンロードするための専用ポートを使用させたい場合、このポートを最初に構成す
る必要があります。
専用ポートが使用されない場合、クライアントはユーザー インターフェースに対して HTTP ポートに仕向けられ
ます(デフォルトのポート番号は 4711 です)。
5
[OK]をクリックします。
wpad.dat ファイルをダウンロードするルールの作成
クライアントの Web ブラウザーにより wpad.dat のダウンロードを有効にするためには、アプライアンスの適切な
ポートにダウンロード リクエストを転送するルールを構成する必要があります。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、wpad.dat ファイルを作成するアプライアンスを選択し、[ポート転送]をクリックし
ます。
3
[ポート転送ルール]の[追加]をクリックします。
[AppliancePortForwarding の追加]ウィンドウが開きます。
4
ポート転送ルールが以下のとおりの設定で構成されます。
•
[ソース ホスト] — 0.0.0.0
•
[ターゲット ポート] — 80
•
[宛先ホスト ]— 127.0.0.1
•
[宛先ポート] — <ファイル ダウンロード ポート>
<ファイル ダウンロード ポート>として、ユーザー インターフェースの HTTP ポート(デフォルト:4711)
または構成された専用ポートのいずれかを入力します。
5
[OK]をクリックします。
ウィンドウが閉じて、リストにルールが表示されます。
wpad ホストの自動検出の構成
wpad.dat ファイルが保管されるホストとして、Web ブラウザーにアプライアンスを検索するために自動検出を使
用させます。
タスク
148
1
Web ブラウザーを開始し、ネットワーク構成設定に進みます。
2
[接続]セクションで、[設定]をクリックします。
3
[このネットワークの自動検出プロキシ設定]を選択します。
4
[OK]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
プロキシ
Helix プロキシの使用
4
Helix プロキシの使用
Helix プロキシ-は、リアルタイム ストリーミング データを取り扱うサードパーティのプロキシです。
これはアプライアンスのユーザー インターフェースから最初にアクセスされませんが、管理システムにより提供され
たものなど、コマンド ライン インターフェースからアクセスできます。
Helix プロキシにアクセスした後で、固有のユーザー インターフェースのプロキシを管理できます。
Helix プロキシの使用の構成
コマンド ライン インターフェースから、Helix プロキシの使用を構成できます。
タスク
1
コマンド ライン インターフェースで、Helix プロキシのアクティベーション コマンドを入力します。
このコマンドは、以下のようなことが実行可能です。
service helix-proxy activate
初期管理者アカウントのユーザー名とパスワードを入力するように求められます。
2
両方を入力します。
Helix プロキシが開始します。
開始後に、アプライアンスの「 /opt/helix-proxy」フォルダーのプロキシの構成ファイルを検索でき、必要
に応じて個別に修正できます。
3
以下のコマンドとともに Helix プロキシのユーザー インターフェースを接続します。
http://<Helix プロキシの IP アドレス>:21774/admin/index.html
ユーザー インターフェースがログオン ウィンドウに表示されます。
4
ステップ 2 のユーザー名とパスワードを入力します。
ログオンが成功したら、プロキシのユーザー インターフェースが使用できるようになります。
5
必要に応じて、Helix プロキシの詳細構成のためこのインターフェースを使用します。
6
リアル プレイヤー アプリケーションを構成して、プロキシとしてアプライアンスを使用します。
以下のような方法でこれを完了します。
a
リアル プレイヤーを開始します。
b
ユーザー インターフェースで、プロキシ設定に進みます。
c
例えば、[RTSP](Real-Time Streaming Protocol)フィールドなどの適切な入力フィールドで、ポート番
号として 554 をもつアプライアンスの IP アドレスを入力します。
McAfee Web Gateway 7.6.2
Product Guide
149
4
プロキシ
Helix プロキシの使用
150
McAfee Web Gateway 7.6.2
Product Guide
5
一元管理
一元管理は、共通の設定でノードとしてネットワーク内でセットアップした複数のアプライアンスを管理できます。
一元管理の設定を管理するときは、主に以下の項目で作業を行います。
•
ノード - アプライアンスをノードとしてセットアップすると、他のノードに接続してデータの送受信を行い、更
新、バックアップ、ダウンロードなどのアクティビティを実行できます。
•
ノード グループ — ノードは別の方法でデータ転送を許可するさまざまなタイプのノード グループに割り当てら
れます。
•
スケジュール設定されたジョブ — データは設定できる異なる種類のスケジュールに従って転送できます。
更新スケジュールは、更新を実行するときと、しないときを指定する一元管理設定のノードに対しても設定できます。
目次
一元管理構成
一元管理の構成
一元管理構成にアプライアンスを追加
一元管理設定の構成
ノード グループにノードを割り当てる
Best practices - Configuring Central Management node groups
ノードの同期を確認する
スケジュール設定されたジョブを追加
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理設定
McAfee Web Gateway 7.6.2
Product Guide
151
5
一元管理
一元管理構成
一元管理構成
一元管理構成では、複数のアプライアンスがノードとして実行され、構成したものにしたがって、すべてのノードか
ら管理できます。
一元管理構成のノードは、以下のネットワーク内で接続されています。
•
各ノードは、Web トラフィックを向けるネットワークのクライアント システムに接続されています。
•
ノード グループにノードを割り当てる
•
ノード グループを使用すると、たとえば、別のノードや他の複数のノードに更新データを転送するなど、グ
ループ メンバーに共通の管理作業を行うことができます。
複数のアプライアンスをノードとして設定する場合、アプライアンスが相互に接続可能であること
を確認する必要があります。 他のアプライアンスからのメッセージを待機するデフォルト ポー
トは 12346 です。
アプライアンスが接続可能かどうか確認するには、ping コマンドを実行します。 ただし、すべて
のネットワークでこの方法を使用できるとは限りません。
•
グループ メンバーとの間で異なる種類のデータ転送が可能な、異なるタイプのノード グループがあります。
複数の Web Gateway アプライアンスが存在する集中管理構成はクラスターともいいます。
ただし、フェールオーバー機能を実装した高可用性クラスターを構成するには、関連するアプライアンス
のプロキシ機能にプロキシ HA (高可用性) モードを設定する必要があります。
以下の図は、一元管理構成のノードとして実行される、いくつかのアプライアンスを示しています。
図 5-1 一元管理構成
ノード グループのタイプ
一元管理構成のノードは、ノード グループに割り当て可能です。
152
McAfee Web Gateway 7.6.2
Product Guide
一元管理
一元管理の構成
5
ノード グループには名前があり、タイプを考慮して異なります。次のノード グループのタイプがあります。
•
ランタイム グループ — ランタイム グループのメンバーであるノードは、ランタイム データをグループ内のその
他すべてのノードと共有できます。
ランタイム データは、アプライアンスのランタイムに作成されるデータです。たとえば、クォータ制限が Web
の使用状況に課された場合、与えられた時点でユーザーに残される時間は、ランタイム データです。
ノードは、1 つ特定のランタイム グループのメンバーにのみできます。
•
更新グループ — 更新グループのメンバーであるノードは、更新をグループ内のその他すべてのノードと共有でき
ます。
ノードは、1 つ特定の更新グループのメンバーにのみできます。
•
ネットワーク グループ — ネットワーク グループのメンバーであるノードは、グループ内のその他すべてのノー
ドにすぐに接続できます。
ノードは同時に異なるネットワーク グループのメンバーになります。
ノードは、グループ A や B など異なるノード グループのメンバーです。ノードを通して、データの転送が可能
です。グループ B の中のノードによって、グループ B のメンバーでないグループ A 内の他のノードから、グル
ープ A のメンバーでないノードまでデータを転送することが可能です。
スケジュール設定されたジョブ
アプライアンスで、構成バックアップの作成、またはファイルのダウンロードなどを特定の時間および日付、または
一定の間隔に実行する、ジョブをスケジュール設定できます。、
また、現在作業しているアプライアンスのユーザー インターフェースでスケジュール設定の構成もでき、同じ一元管
理構成のその他ノードでジョブを実行しました。
一元管理の構成
ネットワーク内の複数のアプライアンスの一元管理を構成し、共通設定のノードとして管理できます。
以下の高レベル手順を完了します。
タスク
1
Begin with configuring Central Management on the user interface of an appliance within your
network and add at least one other appliance as a node in a common configuration.
アプライアンスは、ノードとしてはデフォルトで一元管理構成に含まれていないため、すべての関連アクティビ
ティは管理者によって実行される必要があります。
これらすべてのアクティビティに対して、[構成]トップレベル メニューの[アプライアンス] タブのオプションで
作業します。
構成にノードを追加するには、少なくとも以下を構成する必要があります。
•
ノードとして追加するアプライアンスのホスト名または IP アドレス
•
ネットワーク ノード グループのノードのメンバーシップ
ノードの以下の設定も構成できます。
•
他のノードとの通信に使用される IP アドレスおよびポート
•
ランタイムおよび更新ノード グループのメンバーシップ
McAfee Web Gateway 7.6.2
Product Guide
153
5
一元管理
一元管理構成にアプライアンスを追加
•
スケジュール設定されたジョブ
•
更新
構成にノードとして追加する他のアプライアンスに、これらのアクティビティを繰り返します。
2
After initially setting up a Central Management configuration, perform more configuration activities
as needed.
たとえば、以下の操作を実行できます。
•
Review the settings for Central Management on any node of the configuration and modify them.
You can review and modify settings for any node in the configuration on the user interface of
any other node in this configuration.
Best practice: Do not change the default [Advanced Management Settings] unless
necessary. If you change these settings, make sure that the [Use unencrypted
communication] setting is the same for all nodes in the configuration.
•
3
構成に 1 つ以上の新しいノードを追加する
変更を保存します。
一元管理構成にアプライアンスを追加
アプライアンスをノードとして一元管理構成に追加し、ネットワーク グループに割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーの[追加]をクリックします。
[アプライアンスの追加]ウィンドウが開きます。
3
[ホスト名または IP アドレス] フィールドで、ホスト名またはネットワーク内のその他のアプライアンスの IP ア
ドレスを入力します。
4
[ネットワーク グループ] リストから、アプライアンスのネットワーク グループを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、アプライアンス ツリーにアプライアンスが表示されます。
これで、作業するアプライアンスの一元管理構成のノードになり、追加を完了します。
154
McAfee Web Gateway 7.6.2
Product Guide
一元管理
一元管理設定の構成
5
一元管理設定の構成
一元管理設定を構成し、共通構成でノードとして複数のアプライアンスを管理できるようにします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[一元管理]をクリックします。
一元管理設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
ノード グループにノードを割り当てる
一元管理構成のノードのアプライアンスをを異なるタイプのノード グループに割り当て、異なる種類のデータ転送を
可能にします。
ランタイムまたは更新グループにノードを割り当てる手順も、ほとんど同じです。
ネットワーク グループの手順は、ノードが 1 つ以上のネットワーク グループのメンバーになる場合があるため、異
なります。
タスク
•
155 ページの「ランタイム グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられま
す。
•
156 ページの「更新グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
•
156 ページの「ネットワーク グループにノードを割り当てる」
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに
割り当てられます。
ランタイム グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとしてランタイム グループに割り当てるアプライアンスを選択し、[一元管理]
をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
155
5
一元管理
ノード グループにノードを割り当てる
3
[このノードは次のグループのメンバーです]セクションの[グループ ランタイム] フィールドで、ノードを割り当
てるランタイム グループの名前を入力します。
名前を入力したら、すべてを上書きします。これは、ランタイム グループのデフォルト名としてフィールドに表
示されます。
デフォルト名は、異なるランタイム グループで使用しないオプションを提供しますが、すべてのノードの 1 ラン
タイム グループのみあります。
デフォルトのすべてを削除し、名前を入力しない場合、名前として空の文字列のグループにノードを割り当てるこ
とになります。
4
同じランタイム グループにその他のノードを含むには、アプライアンス ツリーのこのノードを選択し、[一元管
理]を再度クリックして、[グループ ランタイム] フィールドに同じ名前を入力します。
同じランタイム グループに含むすべてのノードに、この手順を繰り返します。
5
[変更の保存]をクリックします。
更新グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして更新グループに割り当てるアプライアンスを選択し、[一元管理]をクリ
ックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ更新]フィールドで、ノードを割り当てるラン
タイム グループの名前を入力します。
手順は、ランタイム グループにノードを割り当てるのと同じです。
また。グループにその他のノードを含み、ランタイム グループと同じ方法で続行します。
4
[変更の保存]をクリックします。
ネットワーク グループにノードを割り当てる
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに割り当てら
れます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして 1 つ以上のネットワーク グループに割り当てるアプライアンスを選択
し、[一元管理]をクリックします。
3
デフォルトのすべてグループ以外にノードをネットワーク グループに割り当てるには、[グループ ネットワーク]
インライン リストのツールバーの[追加]アイコンをクリックします。
デフォルト グループは、異なるネットワーク グループで使用しないオプションを提供しますが、すべてのノード
の 1 ネットワーク グループのみあります。
1 つ以上のネットワーク グループを持つ場合は、すべてグループを削除するか、名前を変更する必要があります。
[文字列の追加]ウィンドウが開きます。
156
McAfee Web Gateway 7.6.2
Product Guide
5
一元管理
Best practices - Configuring Central Management node groups
4
新しいネットワーク グループを構成します。
a
[名前]フィールドで、ネットワーク グループ名を入力します。
b [オプション][コメント]フィールドで、ネットワーク グループの平文コメントを入力します。
c
[OK]をクリックします。
ウィンドウが閉じられ、新しいネットワーク グループが[グループ ネットワーク] インライン リストに表示
されます。
ノードがこのネットワーク グループのメンバーに追加されます。
[複数の追加]アイコンをクリックし、開いた[文字列の追加]ウィンドウで作業することで、複数のネットワーク
グループを 1 度に追加できます。
ウィンドウで、各自の新しい行を使用して、複数のグループ名を入力できます。
ウィンドウにはまた、同じコメントをすべてのグループに追加するか、異なるコメントを各グループに追加する
オプションもあります。
5
同じネットワーク グループまたはグループにその他のノードを含むには、アプライアンス ツリーのこのノードを
選択し、[一元管理]を再度クリックして、[グループ ネットワーク] インライン リストに同じグループ名または名
前を入力します。
同じネットワーク グループまたはグループに含むすべてのノードに、この手順を繰り返します。
6
[変更の保存]をクリックします。
Best practices - Configuring Central Management node groups
In a Central Management configuration, nodes are assigned to node groups to enable different ways of
communication between the nodes.
Node groups can also include nodes that are installed in different physical locations.
Before you begin to configure these groups, make sure the following applies:
•
Appropriate routes are configured in your network to allow communication between nodes.
If nodes in different locations are protected by firewalls, they must allow use of the port that is
configured on each node for communication with other nodes (default port: 12346).
•
Time is synchronized. Node communication depends on this when it is determined which node has
the most up-to-date configuration.
We highly recommend that you configure the use of an NTP server on each node for automatic
synchronization. This is done as part of configuring the[ Date and Time] settings of the
[Configuration ] top-level menu.
If you are not using an NTP server for your network, you can configure the default server that is
provided by McAfee at ntp.webwasher.com.
•
The same version and build of Web Gateway is running on all appliances that are configured as
nodes.
McAfee Web Gateway 7.6.2
Product Guide
157
5
一元管理
Best practices - Configuring Central Management node groups
Small sample configuration
In this sample configuration, there are two different locations (Tokyo and New York) with two nodes
each. In both locations, the nodes are assigned to their own runtime, update, and network groups.
The group names are tokyo and newyork, respectively, for all types of groups.
One node in each location is also assigned to the transit network group, which is the same for both
locations.
The following diagram shows this configuration.
This way, the following is achieved:
•
Policy changes that an administrator configures on any node are distributed to all other nodes, due
to the existence of a transit group node in each location. This ensures the web security policy
remains the same on all nodes.
The changes are transferred, for example, from the non-transit node in New York to the transit
node because both are in one network group. They are then transferred from this transit node to
the node in Tokyo, again, because both are in one network group, the transit group.
Finally, the changes are transferred from the Tokyo transit node to the other node in this location.
•
Updates of anti-malware and URL filtering information for the respective modules (engines) of Web
Gateway are only distributed between nodes in Tokyo and between nodes in New York.
This allows you to account for differences in the network structure of locations, which is advisable
regarding the download of potentially large update files.
Nodes in one location with, for example, fast connections and LAN links can share these updates,
while they are not distributed between these nodes and those in other locations with, for example,
slower connections and WAN links.
We generally recommend that you include only nodes of one location in the same update group.
•
Runtime data, for example, the quota time consumed by users, is only distributed between nodes
in Tokyo and between nodes in New York.
This makes sense, as probably users in one location will only be directed to the local nodes when
requesting web access. So it would not be required for a node in New York to be informed about,
for example, the remaining quota time of a user in Tokyo.
If the nodes in one location are assigned to different user groups with regard to their
web access, you can also configure these nodes in different runtime groups to avoid an
information overhead on any node.
158
McAfee Web Gateway 7.6.2
Product Guide
5
一元管理
Best practices - Configuring Central Management node groups
Larger sample configuration
Not more than 10 nodes should be configured for a network group together with a transit node. This
means that in larger locations, you need to configure more than one node for the transit network
group.
In the following sample configuration, there are 22 nodes in one location (Tokyo), which are split into
two network groups (toknet1 and toknet2), both of which include one node that is also a member of
the transit group.
The 18 nodes in the second location (New York) are configured in the same way, whereas the 9 nodes
in the third location (Paderborn) are all in one network group with one node that is also in the transit
group.
The following diagram shows this configuration.
Regarding runtime and update node groups, there is one of each type for every location.
Policy changes, updates of anti-malware and URL filtering information, as well as sharing of runtime
data are handled in the same way as for the smaller sample configuration.
Alternative configuration of nodes with transit group functions
You can configure nodes that perform the functions of nodes in a transit group without formally
creating a transit group as a group of its own.
If you have, for example, two groups of nodes, each of which is configured as a network group, you
can configure one of the nodes in each group to be a member not only of its own, but also of the other
network group.
The nodes that are configured in this way will perform transit group functions. For example, they will
distribute policy changes that the administrator applies on one node to all other nodes in the two
groups.
Best practice: For smaller node groups, configure one node as a member of its own group
and of the other group or groups. For larger node groups, configure more than one node
with multiple membership for every node group.
McAfee Web Gateway 7.6.2
Product Guide
159
5
一元管理
ノードの同期を確認する
ノードの同期を確認する
ユーザー インターフェースには、他の全般情報と一緒に、集中管理構成の各ノードのタイムスタンプが表示されま
す。これにより、すべてのノードが同期されているかどうか確認することができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、[アプライアンス (クラスター)] を選択します。
設定ペインに、構成のステータスと全般情報、構成内のノードが表示されます。
[アプライアンス情報] に、各ノードの情報が 1 行で表示されます。タイムスタンプは各行の最後に表示されま
す。
3
すべてのノードのタイムスタンプを比較します。
すべてのノードで一致している場合には、集中管理構成が同期されています。
スケジュール設定されたジョブを追加
スケジュール設定されたジョブをアプライアンスのリストに追加し、構成したタイム スケジュールに従って実行でき
ます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スケジュール設定されたジョブを追加するアプライアンスを選択し、[一元管理]をク
リックします。
3
設定パネルで、[詳細スケジュール設定ジョブ]を展開します。
スケジュール設定ジョブ リストがが表示されます。
4
リスト上のツールバーの[追加]をクリックします。
[スケジュール設定ジョブの追加]ウィンドウが開きます。
5
スケジュール設定ジョブの設定を構成します。
6
[OK]をクリックします。
ウィンドウが閉じ、新しいスケジュール設定ジョブがジョブ リストに表示されます。
7
[変更の保存]をクリックします。
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理構成のノードでアプライアンス ソフトウェアを更新するためには、最後に更新するノードの 1 つのユーザ
ー インターフェースから更新手順を実行できます。
開始する前に
現在の設定のバックアップを作成していることを確認します。
160
McAfee Web Gateway 7.6.2
Product Guide
一元管理
一元管理設定
5
タスク
1
更新する製品バージョンのリポジトリを構成内のノードにあるアプライアンスにインストールします。
a
SSH を使用してシステム コンソールからアプライアンスにログオンします。
b
以下のコマンドを実行します。
yum install yumconf-<version number>-mwg
yumconf-<version number>-mwg はリポジトリーの名前です。バージョン番号の桁はドットで区切る必
要があります。
2
この構成の 1 つのアプライアンスのユーザー インターフェースにログオンします。
3
[構成] 、 [アプライアンス]を選択します。
アプライアンス ツリーで、ログインしたアプライアンス以外のものを選択します。
4
5
作業中のアプライアンスを除き、アプライアンス ツリーの各アプライアンスを更新します。
a
アプライアンス ツリーでアプライアンスを選択します。
b
設定ペインの上にあるツール バーで、[アプライアンス ソフトウェアの更新] をクリックします。
構成内のノードにある作業中以外のすべてのアプライアンスで更新が実行されたら、作業中のアプライアンスで
更新を実行します。
a
アプライアンス ツリーのアプライアンスを選択します。
b
[アプライアンス ソフトウェアの更新]をクリックします。
構成のノードが、一部のノードが複数のグループのメンバーになっているときに、別のネットワーク
グループに割り当てられる場合、以下のように行うことを推奨します。
•
複数のメンバーシップをもつノードの 1 つから、更新手続きを実行します。
•
手続きの最後に、複数のメンバーシップをもつその他のノードを更新します。
•
最後に操作したノードを更新します。
たとえば、ノード 1、2、3、4 をもつネットワーク グループ A およびノード 3、4、5、6 をもつネ
ットワーク グループ B をもつ場合、ノード 3 または 4 を選択して、更新手順を実行してください。
最初にノード 1、2、5、6 を更新してから、4 (手順を実行するために 3 を選択した場合) を更新し、
最後に 3 を更新します。
アプライアンス ソフトウェアが更新されます。
一元管理設定
一元管理設定は、一般構成のノードとして管理するアプライアンスの構成に使用されます。
一元管理設定
一元管理構成でのノードの基本通信パラメーターの設定
McAfee Web Gateway 7.6.2
Product Guide
161
5
一元管理
一元管理設定
表 5-1 一元管理設定
オプション
定義
[一元管理通信のこのノードの IP
アドレスおよびポート]
一元管理構成でその他ノードとの通信に使用するノードである IP アドレス
およびポート番号を入力するためのリストを提供します。
[その他のノードへメッセージを配
信するタイムアウト]
その他のノードが現在のノードからメッセージに応答できる時間(秒)を指定
値に制限します。
時間範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
以下の表は、IP アドレスおよびポート リストのエントリの要素を説明しています。
表 5-2 IP アドレスおよびポート – リスト エントリ
オプション
定義
[文字列]
ノードの IP アドレスおよびポート番号を指定します。
[コメント]
IP アドレスおよびポート番号の平文コメントを提供します。
詳細管理設定
一元管理構成の詳細管理設定
表 5-3 詳細管理設定
オプション
定義
[Multiplier for timeout [一元管理設定]セクションのその他のノードへメッセージを配信するタイムアウトで構
when distributing
成された時間間隔を増加させる係数を設定します。
over multiple nodes]
時間間隔を増加させることは、1 つのノードからその他まで、そこから次のノードなど
までメッセージを処理する時間をより多く提供します。。
間隔は 1 ~ 2 の値ずつ長くすることが可能です。
値は、スライダーのスケールで設定されます。
[Node priority]
ノード グループ内で取得するノードの優先順位を設定します。
最高優先順位は 1 です。
ノードの構成データは、その他ノードとこれ以上同期しません。たとえば、ノードが少
しの間ダウンしたため、ノードが最高優先順位のノードからもっとも最近の構成データ
を受け取るなどです。
これを意図していない場合は、すべてのノードが同じ優先順位で、推奨されている設定
であることを確認します。
ノードの優先順位は 1 から 100 の範囲です。
スライダーのスケールに設定されます。
[GUI サーバーにこのノ
ードの添付を許可]
選択されると、サーバーは追加のユーザー インターフェースをアプライアンスに提供し、
ノードに接続できます。
[非ローカル ホストから
の GUI サーバーの接続
を許可する]
選択されると、現在のノードで実行していない追加のユーザー インターフェースを備え
たサーバーは、ノードに接続できます。
[GUI コントロール アド 現在のノードに接続するために使用する追加ユーザー インターフェースの IP アドレス
レス]
およびポート番号を指定します。
[GUI 要求アドレス]
162
McAfee Web Gateway 7.6.2
要求を送信するときに使用されるこのサーバーの IP アドレスおよびポート番号を指定
します。
Product Guide
5
一元管理
一元管理設定
表 5-3 詳細管理設定 (続き)
オプション
定義
[Use unencrypted
communication]
選択すると、構成内でこのノードから他のノードに送信されるメッセージが暗号化され
ません。
しかし、証明書を使用した認証は実行されています。
This option is not selected by default.
Make sure that all nodes in a Central Management configuration are
configured in the same way with regard to this option
Otherwise communication between the nodes will fail due to the
differences in encryption handling.
[Enable IP checking
for other nodes]
選択されると、構成でこのノードからその他のノードにメッセージを送信するとき IP ア
ドレスを確認できます
この機能で Web セキュリティは強化されますが、NAT セットアップなど、いくつかの
ネットワーク セットアップの問題を引き起こす可能性があります。
[Allowed time
difference]
構成の変更を受け入れることを許可する時間の差異(秒)を指定値に制限します。
秒数の範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
[Enable version
checking for other
nodes]
選択されると、構成の変更がノード間に配布される前に、アプライアンス ソフトウェア
のバージョンが確認されます。
このノードのアプライアンス ソフトウェアのバージョンが、変更を配布するノードのバ
ージョンと一致しない場合、構成の変更はノードに配布されません。
• [バージョン確認のレベル ]— 更新バージョンを確認するときの徹底レベルを設定し
ます。
レベルはスライダーのスケールに設定されます。次の値を選択できます。
• 1 - メジャー バージョン ナンバーのみ(7.3.0 の 7)が一致する必要があります。
• 2 - マイナー バージョン ナンバー(7.3.0 の 3)が一致する必要があります。
• 3 - フィーチャー バージョン ナンバー(7.3.0 の 0)が一致する必要があります。
• 4 - メンテナンス バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 1)も一致する
必要があります。
• 5 - Hotfix バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 2)も一致する必要が
あります。
• 6 - ビルド ナンバー(たとえば 14379)も一致する必要があります。
このノードは次のグループのメンバーです
ノードをグループ内のノードに含める設定
McAfee Web Gateway 7.6.2
Product Guide
163
5
一元管理
一元管理設定
表 5-4 このノードは次のグループのメンバーです
オプション
定義
[グループ ランタイ
ム]
ランタイム データをグループ内のすべてのノードと共有できるノードのグループ、たとえ
ば、時間のクォータを判別します。
[グループ更新]
更新をグループ内すべてのノードと共有できるノードのグループを判別します。
[グループ ネットワー
ク]
グループ内のその他すべてのノードに直ちに接続できるノードのグループを判別します。
ノードは複数のネットワーク グループのメンバーになれます。
この場合ノードは、このノードもメンバーである別のグループのノードにこのノードを通
して接続できるメンバーである 1 つのノードのグループです。
ノードがメンバーであるすべてのグループはグループ ネットワーク リストにリストされ
ています。
以下の表は、グループ ネットワーク リストのリスト エントリの要素を説明しています。
表 5-5 グループ ネットワーク – リスト エントリ
オプション
定義
[文字列]
ネットワーク ノード グループの名前を指定します。
[コメント]
ネットワーク ノード グループの平文コメントを提供します。
自動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の自動更新をスケジュール設定する設定
表 5-6 自動エンジン更新
オプション
定義
[自動更新を有効にする] 選択されると、データベース情報が自動的に更新されます。
[インターネットからの
更新のダウンロードを
許可する]
選択されると、データベース更新がインターネットからダウンロードされます。
[その他ノードからの更
新のダウンロードを許
可する]
選択されると、データベース更新が一元管理構成のその他ノードからダウンロードされま
す。
[更新間隔]
データベース情報が再び更新される前に経過する時間(分)を指定値に制限します。
時間はスライダーのスケールに設定されます。
許可されている値の範囲は 15 ~ 360 です。
[CRL 更新間隔]
フィルタリング SSL セキュア Web トラフィックに使用される証明失効リストが更新さ
れる前に経過する時間(分)を指定値に制限します。
この更新はその他の更新とは異なる方法を使用するため別々に構成される必要がありま
す。
時間はスライダーのスケールに設定されます
許可されている値の範囲は 3 ~ 168 です。
164
McAfee Web Gateway 7.6.2
Product Guide
5
一元管理
一元管理設定
表 5-6 自動エンジン更新 (続き)
オプション
定義
[更新プロキシを有効に
する]
選択した場合、プロキシ サーバーは更新されたデータベース情報のルーティングに使用
されます。
[プロキシの更新(フェー 更新されたデータベース情報のルーティングに使用するプロキシ サーバーを入力するた
ルオーバー)]
めのリストを提供します。
プロキシ サーバーはフェールオーバー モードで使用されます。リストの最初のサーバ
ーが最初に試行され、構成されたタイムアウトが経過した場合のみ次のサーバーが試行さ
れます。
以下の表は、更新プロキシ リストのエントリの要素を説明しています。
表 5-7 更新プロキシ – リスト エントリ
オプション
定義
[ホスト]
ルーティング更新のプロキシとして使用されるサーバーのホスト名または IP アドレスを指定しま
す。
[ポート]
更新要求をリスンするプロキシのポートを指定します。
[ユーザー]
ルーティング更新のためプロキシへのアクセスが許可されたユーザーのユーザー名を指定します。
[パスワード] このユーザーのパスワードを設定します。
コメント
プロキシの平文テキストのコメントを提供します。
詳細な更新設定
詳細更新機能の設定
表 5-8 詳細な更新設定
オプション
定義
[その他ノードへの更新のアッ
プロードを許可する]
選択されると、更新されたデータベース情報が、アプライアンス(一元管理構成の
ノードとして)から他のノードへアップロードされます。
[初めて更新を開始するとき
更新が開始される前に経過する時間(秒)を指定値に制限します。
は、開始する前に適切な時間待
5 から 1200 までの値を使用できます。
つ]
[1 回目の自動更新の開始時、
更新の起動間隔を使用する]
自動更新を最初に開始する試行間に経過する時間(秒)を指定値に制限します。
更新中、更新された情報をアプライアンスに保管するコーディネーター サブシス
テムは、この情報を使用するモジュールのあるアプライアンス コアへ接続を試み
ます。
この間隔に対しての低い値は、コアがデータを受信する準備ができるまでの待ち時
間を短縮できるため、更新をスピード アップできます。
5 から 600 までの値を使用できます。
[起動間隔を使って更新する]
更新を開始したときにアプライアンスが行った試行の数(1 から 9)を指定値に制
限します。
[代替 URL を使用]
デフォルト サーバーの代わりに使用される更新 サーバーの URL を指定します。
[SSL トンネルを確認する]
選択されると、 SSL セキュア通信の更新 サーバーが確認されたことで、証明書が
ノードに送信されます。
McAfee Web Gateway 7.6.2
Product Guide
165
5
一元管理
一元管理設定
表 5-8 詳細な更新設定 (続き)
オプション
定義
[更新サーバーの特別なカスタ URL フィルタリング情報のアップデートは、ここに入力されている URL で指定さ
マー パラメーター シーケンス れた URL フィルター データベース サーバーから取得されます。
を入力する]
[定義された時間枠で更新され
ない]
データベース情報が更新されない間の毎日のタイム スロットを入力するためのリ
ストを提供します。
以下の表は、タイム スロット リストのエントリの要素を説明しています。
表 5-9 タイム スロット – リスト エントリ
オプション
定義
[タイム スロットの開始(時間)]
毎日のタイム スロットを開始する時間を設定します。
[タイム スロットの開始(分)]
毎日のタイム スロットを開始する分を設定します。
[タイム スロットの開始(秒)]
毎日のタイム スロットを開始する秒を設定します。
[タイム スロットの終了(時間)]
毎日のタイム スロットを終了する時間を設定します。
[タイム スロットの終了(分)]
毎日のタイム スロットを終了する分を設定します。
[タイム スロットの終了(秒)]
毎日のタイム スロットを終了する秒を設定します。
コメント
タイム スロットの平文テキストのコメントを提供します。
詳細な契約リスト設定
詳細な契約リスト機能の設定
表 5-10 詳細な契約リスト設定
オプション
定義
[顧客の契約リストの 選択されると、顧客契約リストが現在のアプライアンスからダウンロードできます。
ダウンロードを許可す
アプライアンすが一元管理構成のノードであり、このオプションが他のノードでも選択され
る]
ている場合、ノードの 1 つがリストをダウンロードします。
特定のノードをリストにダウンロードする場合、他のすべてのノードのオプションが選択解
除されていることを確認する必要があります。
ノードが再起動され、1 つ以上の契約リストがこのノードで構成されている場合、リスト
コンテンツがダウンロードされ、有効な構成を確認します。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
ノードが契約リストが構成された他のノードとともに追加されるとき、リスト コンテンツ
が新しいノードのこれらのリストにダウンロードされます。
内部トラフィックを軽減するため、他のノードとの優先的な通信がなくダウンロードが実行
されます。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
手動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の手動更新を実行する設定
166
McAfee Web Gateway 7.6.2
Product Guide
一元管理
一元管理設定
5
表 5-11 手動エンジン更新
オプション
定義
[手動エンジン更新] フィルター処理で使用されているモジュールのデータベース情報をすぐに更新します。
データベース情報は、現在作業しているアプライアンスのモジュールにのみ更新されます。
処理保管構成ファイル
ディスクの構成ファイル フォルダーの保管設定
表 5-12 処理保管構成ファイル
オプション
定義
[最小限の時間で保管され 構成ファイル フォルダーがディスクに保管される最低限の時間(日数)を指定値に制限
た構成フォルダーを維持] します。
日数の範囲は 1 秒から 100 秒です。
[最小限の構成フォルダー いつでもディスクに保管できる最小限の構成ファイル フォルダー数を指定値に制限し
数を維持]
ます。
数の範囲は 1 から 100 です。
[最小限の圧縮フォルダー いつでもディスクに保管できる最小限の圧縮構成ファイル フォルダー数を指定値に制
数を維持]
限します。
ディスクでそれらを保管するために構成された最小限の時間が経過したとき、構成フォ
ルダーは圧縮されます。そして常にディスクに保管している最小限のフォルダー数は、
圧縮されないでいると超過してしまいます。
フォルダー数の範囲は 1 から 100 です。
詳細スケジュール設定ジョブ
スケジュール設定ジョブの設定
表 5-13 詳細スケジュール設定ジョブ
オプション
定義
[ジョブ リスト]
スケジュール設定ジョブ リストを提供します。
以下の表はリスト エントリの要素を説明しています。
表 5-14 ジョブ リスト エントリ
オプション
定義
[ジョブの開始]
スケジュール設定ジョブを開始する時間の設定、たとえば、時間別、日別、
1 回を指定します。
[オリジナルのスケジュールで開始し オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジ
なかった場合、直ちにジョブを開始し ュール設定ジョブが直ちに開始されます。
ます]
[ジョブ]
ジョブのタイプ、たとえば、バックアップ構成を指定します。
[固有のジョブ ID]
スケジュール設定されたジョブを識別します。
[このジョブが ID でジョブの実行を
終了したとき]
このジョブの後に直ちに実行するジョブの ID を提供します。
コメント
スケジュール設定ジョブの平文テキストのコメントを提供します。
McAfee Web Gateway 7.6.2
Product Guide
167
5
一元管理
一元管理設定
スケジュール設定ジョブ ウィンドウの追加
スケジュール設定ジョブの追加のウィンドウの設定
•
時間設定 - スケジュール設定ジョブの開始時間の設定
•
ジョブの設定 - スケジュール設定ジョブのタイプと ID の設定
•
パラメーターの設定 - スケジュール設定ジョブの追加パラメーターの設定
これらの設定は各ジョブ タイプによって以下のように異なります:
•
(構成のバックアップの設定) - アプライアンス構成のバックアップを作成するスケジュール設定ジョブの設
定
•
(バックアップの復元の設定) - アプライアンス構成のバックアップを復元するスケジュール設定ジョブの設
定
•
(ファイルのアップロードの設定) - HTTP または HTTPS プロトコルで外部サーバーにファイルをアップロ
ードするスケジュール設定ジョブの設定
•
(ファイルのダウンロードの設定) - HTTP または HTTPS プロトコルでアプライアンスにファイルをダウン
ロードするスケジュール設定ジョブの設定
yum 更新を実行するスケジュール設定ジョブに対して追加のパラメーター設定があります。
表 5-15 時間の設定
オプション
定義
[ジョブの開始]
時間設定を選択することができます。
(時間パラメータ
ーの設定)
• [時間別] — 毎時間スケジュール設定ジ
ョブを開始します。
• [月別] — スケジュール設定ジョブを 1
か月に 1 回開始します。
• [日別] - スケジュール設定ジョブを 1
日に 1 回開始します。
• [1 回] — 1 回のみスケジュール設定ジ
ョブを開始します。
• [週別] — スケジュール設定ジョブを 1
週間に 1 回開始します。
• [その他のジョブによる有効化] — その
他のジョブが完了した後にスケジュール
設定ジョブを開始します。
時間設定のパラメーターを指定する設定。例:時間別に実行されるジョブのスケジュール設定が
開始されるときの 1 時間内の分
どのパラメーター設定が選択された時間設定によって表示されますか。
例:時間別を選択した場合、時間内で分を構成できますが、月内で日は構成できません。
[オリジナルのス
ケジュールで開
始しなかった場
合、直ちにジョブ
を開始します]
• [分] - 分を設定します。
• [曜日の入力] - 曜日を設定します。
• [時間] - 時間を設定します。
• [月] — 月を設定します。1 から 12 の
数字で指定します。
• [日にち] - 日にちを設定します。
• [年] - 年を 4 桁で設定します。
選択されると、オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジュー
ル設定ジョブが直ちに開始されます。
このケースの場合は、例えば、アプライアンスが負荷がかかりすぎたため一時的にシャットダウ
ンし、ダウンタイム中にジョブがスケジュールを実行したときなどです。
ジョブはアプライアンスが再びアップされてからすぐに実行されます。
168
McAfee Web Gateway 7.6.2
Product Guide
5
一元管理
一元管理設定
表 5-16 ジョブ設定
オプション
定義
[ジョブ]
スケジュール設定されたジョブのタイプを選択できます。
• [構成のバックアップ] — アプライアンス構成のバックアップを作成します。
• [バックアップの復元] — アプライアンス構成のバックアップを復元します。
• [ファイルのアップロード] — HTTP または HTTPS プロトコルでファイルを外部サーバーに
アップロードします。
• [ファイルのダウンロード] — HTTP または HTTPS プロトコルでファイルをアプライアンス
にダウンロードします。
• [Yum の更新] — アプライアンス構成で yum 更新を実行します
このタイプのスケジュール設定ジョブは、アプライアンスが FIPS 対応モードで実行している場
合に利用できません。
[固有のジョブ
ID]
スケジュール設定されたジョブを識別します。
[ジョブ説明]
標準テキスト形式でのスケジュール設定ジョブのオプション説明を提供します。
[このジョブが
ID でジョブの
実行を終了した
とき]
ここで構成したジョブを完了した後、直ちに実行するスケジュール設定ジョブの ID を提供しま
す。
[リモート ノー
ドでジョブを実
行する]
スケジュール設定されたジョブを実行する構成の他のノードのリストを提供します。
ここに入力する文字は大文字と小文字が区別されます。
このジョブに、[その他のジョブによって有効化]時間設定を構成する必要があります。
リストは他のノードのホスト名を表示します。
このアプライアンスで構成するスケジュール設定ジョブは、選択されたノードの時間およびパラ
メーターで実行されます。
メッセージはその他のノードに送信され、スケジュール設定ジョブについて通知します。
表 5-17 パラメーター設定 – バックアップ構成
オプション
定義
[一番最近の構成 選択されると、スケジュール設定されたジョブは、もっとも最近のアプライアンス構成からバッ
を使用する]
クアップを作成します。
形式:|<path name>/<file name with extension>
[バックアップ構 バックアップに使用される必要がある構成が保管されている場所のフォルダーへのパス名を提
成パス]
供します。
形式:/opt/mwg/storage/default/configfolder
[一番最近の構成を使用する]が選択解除された場合、この設定のみ利用できます。
[パスの構成を保 バックアップ構成のパスおよびファイル名を指定します。
存する]
形式:/<path name>/<file name with file name extension>
フォルダーにデータを書き込める所有者にアプライアンスを作成して、バックアップ構成を保管
するフォルダーに対しユーザー権限を設定する必要があります。
コマンド ラインが提供され、例えば、シリアル コンソールによって、適切なコマンド実行し、
フォルダーを作成または既存のフォルダーの権利を変更します。
McAfee Web Gateway 7.6.2
Product Guide
169
5
一元管理
一元管理設定
表 5-18 パラメーター設定 – バックアップ復元
オプション
定義
[ファイルからバッ バックアップの復元に使用されるファイルのパスおよびファイル名を指定します。
クアップを復元す
形式:|<path name>/<file name with extension>
る]
[ポリシーのみ復
元]
選択されると、スケジュール設定ジョブはアプライアンスで実行された Web セキュリティ ポ
リシーに関連した設定のみバックアップします
その他の設定。例:アプライアンスのネットワークへの接続に必要な設定は復元しません。
[復元中のロック保 選択されると、スケジュール設定ジョブがバックアップ構成を完全に復元するまで他のファイ
ルはアプライアンスに保管できません
管]
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
表 5-19 パラメーター設定 – ファイルのアップロード
オプション
定義
[アップロードするフ アップロードするファイルのパスおよびファイル名を指定します。
ァイル]
形式:|<path name>/<file name with extension>
[ファイルをアップロ HTTP または HTTPS プロトコルでファイルをアップロードするサーバーのパス名およびサ
ードする送信先]
ーバーにファイルを保管するファイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[基本認証を有効にす 選択されると、ファイルをアップロードするために基本認証が必要になります。
る]
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
表 5-20 パラメーター設定 – ファイルのダウンロード
オプション
定義
[ダウンロードする
URL]
HTTP または HTTPS プロトコルでダウンロードされたファイルの場所の URL およびフ
ァイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[ダウンロードしたフ
ァイルを保存する]
ダウンロードしたファイルを保管した場所のパスおよび保存するファイルの名前を指定し
ます。
形式:|<path name>/<file name with extension>
[基本認証を有効にす
る]
170
選択されると、ファイルをダウンロードするために基本認証が必要になります。
McAfee Web Gateway 7.6.2
Product Guide
一元管理
一元管理設定
5
表 5-20 パラメーター設定 – ファイルのダウンロード (続き)
オプション
定義
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが
開き、[設定]ボタンが[変更]ボタンに代わります。
この設定は基本認証を有効化が選択された場合のみ利用できます。
McAfee Web Gateway 7.6.2
Product Guide
171
5
一元管理
一元管理設定
172
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
To protect your network against threats arising from the web, Web Gateway enforces a web security
policy, which is implemented during the initial setup. You can configure this policy to meet the
requirements of your organization.
目次
Configuring a web security policy
Access a rule set
[ルール セット] タブ
Rule set views
ルール セット
Filtering process
Configuring a web security policy
A web security policy is implemented on Web Gateway, which includes various rules. You can configure
these rules on the user interface.
Rules are grouped in rule sets, each of which usually deals with a particular field of web security.
There can be rule sets with rules for anti-malware filtering, URL filtering, media type filtering, and so
on. A default system of rules and rule sets is implemented on Web Gateway during the initial setup.
The rules are applied to the traffic that is created by web usage of users in your organization and
directed to Web Gateway. Unless you configure it differently, however, the rules are only applied to the
web usage of users who access the web from inside your local network.
The following are among the most common tasks when you are configuring a web security policy:
•
Configuring a rule element — As default rules are already implemented on Web Gateway, you
will usually configure individual elements of rules rather than creating completely new rules. For
example, you might want to fill or update a whitelist that is an element of a URL filtering rule.
•
Enabling a rule set for cloud use — You can enable a rule set for cloud use. This means that you
also want to enforce the rules of this rule set when users in your organization access the web from
outside your local network.
Completing these and other tasks within the different fields of web security, you create the web
security policy that suits the requirements of your organization.
関連トピック:
174 ページの「Configuring a rule element」
175 ページの「Enabling a rule set for cloud use」
McAfee Web Gateway 7.6.2
Product Guide
173
6
Policy configuration
Configuring a web security policy
Configuring a rule element
A rule on Web Gateway is composed of several elements. You can configure most of these elements to
let the rule contribute in a particular way to your web security policy.
For example, a rule for URL filtering might use a whitelist to exempt URLs from filtering. Including a
rule like this in a web security policy reduces filtering effort and time when requests to access web
objects are considered no risk.
Several whitelisting rules are implemented by default on Web Gateway. Adding entries to a whitelist is
therefore a common administrator activity.
Accessing a rule element
To access a rule element, you select the rule set that the rule with this element belongs to. For
example, to access a whitelist in a rule for URL filtering, you select the rule set for URL filtering.
The name of the default rule set for URL filtering on Web Gateway is [URL Filtering]. If you select this
rule set, several elements of its rules are displayed, for example, [URL Whitelist]. This element looks
as follows:
図 6-1 Sample rule element - URL Whitelist
Entering a value
Clicking the [Edit] button next to the element field opens the whitelist for editing. You can, for
example, enter the following:
http://www.mcafee.com/*
A request for web access with a URL that matches this entry is exempted from URL filtering. Due to
the use of the wildcard symbol (*), there can be many matching requests, for example:
http://www.mcafee.com/us/products/web-gateway.aspx
Rule set views
After selecting a rule set, you can access many rule elements without being shown the rules that these
elements belong to. Alternatively, you can view the rules that particular rule elements belong to and
access these elements from within their rules.
To enable access in either way, the user interface provides two views for most rule sets:
•
Key elements view — This view shows the key elements of the rules in a rule set. Key elements
are the elements that you will most likely want to work with when configuring the particular field of
web security that is covered by the rule set.
Working with this view saves you time when you are only interested in configuring a particular rule
element and want to leave the remainder of the rule untouched.
In some cases, a complete rule is treated as one element in the key elements view. This means that
you can enable or disable the rule when working with this view.
174
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
Configuring a web security policy
The key elements view is not available for:
•
•
A few default and library rule sets
•
Rule sets that you have created on your own
Complete rules view — This view shows all the rules in a rule set. It shows them completely,
which allows you to work with all elements that are available for the particular field of web security
that is covered by the rule set.
When working with this view, you can also delete rules or create rules of your own.
When you select a rule set, the key elements view is shown first. Before proceeding to the complete
rules view, however, consider the following:
•
You can proceed to the complete rules view of a rule set to review it and return to the key
elements view, as long as you have not made and saved any changes in the complete rules view.
•
After saving changes in the complete rules view, you cannot return to the key elements view unless
you re-implement the rule set by importing it from the rule set library. The rule set is then provided
in its initial state, which means that any changes that you made to the rule set before
re-implementing it are lost.
Configuring a rule element in the complete rules view
In the complete rules view, you can view and configure a rule element from within the rule that it
belongs to.
For example, the [URL Whitelist] element belongs to a default rule that can be paraphrased in plain
text as follows:
If the URL that a user submits in a request for web access matches one of the entries in the
URL whitelist, skip filtering for this request and forward it immediately to the requested
destination.
On the user interface, this rule is shown in the following format:
図 6-2 Sample element within a complete rule - URL whitelist
Clicking any instance of the [URL WhiteList] element in this rule opens the whitelist for editing. You
can enter a value in the same way as when working with the key elements view.
Enabling a rule set for cloud use
Users in your organization who access the web from outside your local network are referred to as
cloud users. To let a rule set that is implemented on Web Gateway apply to the web usage of these
users, you must enable this rule set for cloud use.
The web usage of your cloud users is protected by SaaS Web Protection, which is the partner product
of Web Gateway within the integrated solution that is known as Web Protection. Enabling a rule set for
cloud use on Web Gateway means that SaaS Web Protection will apply these rules to protect the web
usage of cloud users.
McAfee Web Gateway 7.6.2
Product Guide
175
6
Policy configuration
Configuring a web security policy
This way you can ensure that a common web security policy, or at least a policy that is the same for
important fields of web security such as anti-malware or URL filtering, is enforced within your
organization.
•
Rule sets must be enabled for cloud use, as no rule set is cloud-enabled by default on Web
Gateway.
•
A warning informs you if you try to enable a rule set for cloud use that is not compatible with this
use. In some cases, you can edit the rule set to make it compatible.
Configuring fields of web security
Configuring a web security policy includes configuration activities on different fields of web security,
such as anti-malware filtering, URL filtering, media type filtering, and others.
A particular field of web security is covered by rules that are usually grouped together in one rule set.
When the rule set is enabled, these rules initiate and control the process that is running on Web
Gateway to ensure web security for that particular field.
176
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
Access a rule set
When you are configuring a field of web security, you configure the relevant process on Web Gateway,
working mainly with the following items.
•
Rules — Rules consist of different elements, including criteria, actions, events, and others. If the
criteria for a particular rule matches, the rule action is executed as well as any events that are
additionally configured.
You can work with rules and their elements on the [Rule Sets] tab of the user interface, where the
two rule set views provide different ways of access.
For example, the default rule set for anti-malware filtering contains a rule that blocks requests to
access malware-infected web objects.
One element in this rule is an event that increments a counter whenever a request is actually
blocked. You might decide that you do not want to record blockings and therefore delete this event.
•
Lists — Rules make use of lists, for example, whitelists, which exempt requests for web access
from being processed according to the rules if the involved objects are not considered a threat to
web security.
For example, the default rule set for anti-malware filtering contains a rule that exempts requests if
they submit URLs of hosts that are on a whitelist. This whitelist is initially empty and must be filled
by you if you think that some hosts can be accessed without any risk.
•
Module settings — Rules also call processing modules that are used on Web Gateway to complete
particular activities, such as scanning web objects or retrieving category information for URLs.
For example, the rule in the default rule set for anti-malware filtering that blocks access to
malware-infected web objects calls the [Anti-Malware] module.
This module starts a scanning process for the object, which might be a file that a user wants to
download from a web server. If the scanning result is that the file is safe, the rule does not block
access to it, but passes it on the user.
Modules that are called by rules are also known as engines or filters on Web Gateway. You can
modify their behavior by configuring the module settings.
For example, you can configure the [Anti-Malware] module to pass on web objects to Advanced
Threat Defense for additional scanning, which does not happen by default.
Lists and module settings belong to the rule elements that you will most likely want to work with. The
[Lists] and [Settings] tabs are therefore provided in addition to the [Rule Sets] tab for accessing and
configuring lists and module settings.
Access a rule set
Access a rule set on the user interface of Web Gateway to work with its rules and their elements.
タスク
1
Select [Policy] 、 [Rule Sets].
The [Rule Sets] tab appears showing the rule sets that are implemented in the navigation pane.
2
Click the rule set that you want to access.
A view of the rule set appears in the configuration pane.
You can now work with the rules and rule elements of the rule set.
McAfee Web Gateway 7.6.2
Product Guide
177
6
Policy configuration
[ルール セット] タブ
[ルール セット] タブ
[ルール セット]タブでは、ルールとルール セットを設定します。
図 6-3
ルール セット タブ
[ルール セット] タブの主要要素
以下の表で、[ルール セット]タブの主要な要素について説明します。
表 6-1 [ルール セット] タブの主要要素
要素
説明
ルール セット ツールバー ルール セット ツリーのルール セットを操作できる項目
ルール セット ツリー
アプライアンスのルール セットが表示されるツリー構造
ルール セット メニュー
ツリー構造で表示されるボタン
•(一般的な)ルール セット
• ログ ハンドラー ルール セット
• エラー ハンドラー ルール セット
• ユーザー定義のプロパティ(ルール セットの条件、ルール条件、およびルール イベ
ントでの使用のため)
ルール ツールバー
ルールを操作できる項目
ルール
現在選択されているルール セットのルール
ルール セット ツールバー
ルール セット ツールバーでは、次のオプションが提供されています。
178
McAfee Web Gateway 7.6.2
Product Guide
Policy configuration
[ルール セット] タブ
6
表 6-2 ルール セット ツールバー
オプション
定義
[追加 ]
ルール セット メニューで現在選択されているものによって、項目を追加するためのメニューまた
はウィンドウを開きます。
• (([ルール セット]が選択されている)- メニューを開き、以下の項目を選択できます。
• [ライブラリからのルール セット] — ルール セット ライブラリからのルール セットをイン
ポートするための[ルール セット ライブラリから追加]ウィンドウを開きます
• [ルール セット] — アプライアンス設定にルール セットを追加できる[新規ルール セットの
追加]ウィンドウが開きます。
• [最上位レベル ルール セット] — ルール セット ツリーの最上位レベルにルール セットを追
加するための[最上位レベル ルール セットの追加]ウィンドウを開きます
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ユーザー定義プロパティ]が選択されている場合)— プロパティを追加する[新規ユーザー定
義プロパティの追加]ウィンドウを開くための[ユーザー定義プロパティ]を選択できます。
[エクスポート] ルール セットをライブラリまたはファイルにエクスポートするための[ルール セットのエクスポ
ート]ウィンドウが開きます。
[編集]
選択したルール セットを編集するための[ルール セットの編集]ウィンドウが開きます。
[削除]
選択したルール セットを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セットを、同じレベルの他のルール セットの上に移動します。
[下へ]
ルール セットを、同じレベルの他のルール セットの下に移動します。
[外に移動]
ルールをそのネストしているルール セットから、ネストしているルール セットと同じレベルに移
動します。
[中に移動]
ルール セットをそのネストしているルール セットから、このルール セットに続くルール セット
に移動します。
[すべて展開]
ルール セット ツリーで折りたたまれているすべての項目を展開します
[すべて折りた
たむ]
ルール セット ツリーで展開されているすべての項目を折りたたみます
ルール ツールバー
ルール ツールバーでは、次のオプションが提供されています。
表 6-3 ルール ツールバー
オプション
定義
[追加 ]
ルールを追加するための[ルールの追加]ウィンドウが表示されます。
[編集]
選択したルールを編集するための[ルールの編集]ウィンドウが開きます。
[削除]
選択したルールを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
McAfee Web Gateway 7.6.2
ルール セット内でルールを上の位置に移動します。
Product Guide
179
6
Policy configuration
Rule set views
表 6-3 ルール ツールバー (続き)
オプション
定義
[下へ]
ルール セット内でルールを下の位置に移動します。
[コピー]
選択したルールをコピーします。
[貼り付け]
コピーしたルールを貼り付けます。
[詳細情報の表示]
条件を含むルール エントリーの詳細を表示または非表示にします。
Rule set views
The user interface provides two kinds of views for a particular rule set, the key elements view and the
complete rules view.
キー要素ビュー
キー要素ビューには、ルール セットに含まれているルールのキー要素が表示されます。このビューでは、キー要素を
設定できます。
図 6-4 キー要素ビュー
キー要素ビューのオプション
以下の表では、キー要素ビューのオプションについて説明します。
180
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
Rule set views
表 6-4 キー要素ビューのオプション
オプション
定義
Rule set name
field
キー要素が含まれているルール セットのデフォルト名が表示されます。このフィールドで
は、この名前を編集できます。
Rule set
description field
キー要素が含まれているルール セットの説明が表示されます。このフィールドでは、説明を
編集できます。
[Enable]
When selected, the rule set with the key elements that you are currently
configuring is enabled.
[Enable in Cloud] When selected, the rule set with the key elements that you are currently
configuring is enabled for cloud use.
[Unlock View]
キー要素ビューを終了し、対応する完全なルール ビューが表示されます。
A confirmation message appears. Be aware that after leaving the key elements
view, you cannot return to it unless you discard all changes or re-import the rule
set.
ルール セット ツリーで、ルール セット名の前にあるアイコンに、現在有効になっているビュ
ーが表示されます。
キー要素ビューのルール セット
完全ルール ビューのルール セット
• ネストされたルール セットを操作するには、ネストしているルール セットの [ビューのロ
ック解除] をクリックします。
ネストされたルール セットがルール セット ツリーに表示されます。それぞれのルール セ
ットで完全ルール セット ビューが有効になっています。
• デフォルトの共通ルールルール セットでネストされているルール セットを表示するには、
そのルール セットを展開します。
ネストされたルール セットの最後のルール セットでは完全ルール ビューが有効になって
いますが、他のルール セットはキー要素ビューで表示されます。
ルール セットのコンテキスト メニューで [ロックの解除] オプションを使用する
と、同時に複数のルール セットでキー要素ビューを解除できます。
1 1 つまたは複数のルール セットを同時に選択して右クリックし、[ロックの解除]
を選択します。
ネストされたルール セットを含むルール セットを展開すると、ネストされたルー
ル セットを 1 つ以上選択できます。
2 キー要素ビューの終了を確認します。
選択したすべてのルール セットで完全ルール ビューが有効になります。
[権限]
現在設定中のキー要素を含むルール セットへのアクセスを許可するユーザーを設定します。
Key elements for キー要素はルール セットによって異なります。
a rule set
関連する機能のキー要素はグループとして表示されます。各グループの先頭にはグループ ヘ
ッダーが付きます。
たとえば、URL フィルタリングのキー要素の場合、[基本フィルタリング]、[SafeSearch] な
どのグループにキー要素が表示されます。
これらのグループには基本的な URL フィルタリングのキー要素が表示されます。これらのキ
ー要素は、フィルタリング プロセスの SafeSearch などの機能でも使用されます。
McAfee Web Gateway 7.6.2
Product Guide
181
6
Policy configuration
Rule set views
キー要素を設定する
以下では、Web セキュリティ ルールのキー要素を設定する簡単なタスクについて説明します。
1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン
グ ルール セットのルール要素です。
Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ
ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く
なり、許可された Web オブジェクトに簡単にアクセスできます。
この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している
ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、
http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま
す。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
このルール セットに含まれているルールのキー要素が設定ペインに表示されます。
3
[基本フィルタリング] で、[URL ホワイトリスト] の横にある [編集] をクリックします。
[リストの編集] ウィンドウが開きます。
4
ホワイトリストに URL を入力します。
a
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ワイルドカード式の追加] ウィンドウが開きます。
b
[ワイルドカード式] フィールドに http://www.mcafee.com/* と入力します。
c
[OK] をクリックします。
[ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。
5
[OK] をクリックします。
[リストの編集] ウィンドウが閉じます。
6
[変更の保存] をクリックします。
完全なルール ビュー
完全なルール ビューには、ルール セットに含まれるすべてのルールが表示されます。このビューでは、キー要素を
含む要素を操作できます。
ルールを編集したり、削除できます。また、独自のリストを作成することもできます。ルール セットの編集、削除、
作成もできます。既存のルールや独自のルールを使用して新しいルール セットを作成できます。
182
McAfee Web Gateway 7.6.2
Product Guide
Policy configuration
Rule set views
6
You can also import rule sets from a rule set library on Web Gateway and from an online rule set
library. You can work with these rule sets and their rules in the same way as with any other rules and
rule sets.
図 6-5 完全なルール ビュー
完全なルール ビューでルール要素を設定する
以下では、完全なルール ビューで Web セキュリティ ルールの要素を設定する簡単なタスクについて説明します。
1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン
グ ルール セットのルール要素です。この手順は、キー要素ビューで行う場合とほとんど同じです。URL ホワイトリ
ストへのアクセス方法が違うだけです。
Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ
ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く
なり、許可された Web オブジェクトに簡単にアクセスできます。
この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している
ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、
http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま
す。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
このルール セットに含まれているルールのキー要素が設定ペインに表示されます。
3
キー要素ビューを終了するには、[ビューのロック解除] をクリックします。
キー要素ビューの終了を確認するメッセージが表示されます。終了すると、このビューに戻ることはできません。
McAfee Web Gateway 7.6.2
Product Guide
183
6
Policy configuration
ルール セット
4
[はい] をクリックします。
完全なルール ビューが表示されます。
5
[URL ホワイトリストに一致する URL を許可する] で、[URL ホワイトリスト] をクリックします。
[リストの編集] ウィンドウが開きます。
6
ホワイトリストに URL を入力します。
a
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ワイルドカード式の追加] ウィンドウが開きます。
b
[ワイルドカード式] フィールドに入力します。例: http://www.mcafee.com/*
c
[OK] をクリックします。
[ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。
7
[OK] をクリックします。
[リストの編集] ウィンドウが閉じます。
8
[変更の保存] をクリックします。
ルールとルール セットの操作方法については、「ルール」を参照してください。
ルール セット
ルールは、アプライアンスのルール セットにグループ化されて含まれます。ルールはそのままでは使用できません。
ルールはルール セットに含まれる必要があります。
ルール セットは単一のルールのみか、複数のルールを含むことができます。1 つ以上のネストされた ルール セット
を含めることもできます。ルール セットがネストされたルール セットを含む場合、ネストされたルール セットと同
じレベルで個々のルールを含むことができます。
ルール セットは、通常、Web セキュリティを保証する特定の機能を提供するために、一緒に動作するルールを含み
ます。
たとえば、ウイルスとマルウェアをフィルタリングするルール セットに、ブロック ルールを省いてユーザーがアク
セスできるように、感染したルール セットをブロックするルール、および 1 つ以上のオブジェクトをホワイトリス
トするルールを含めます。
施行されたルール セットを変更し、固有のルール セットを作成してネットワークに適した方法で機能的なユニット
を構築できます。
ルール セットの条件
ルールと同様にルール セットには条件があり、その条件に一致した場合に適用されます。
通常、ルール セットの条件はルールの条件とは異なります。ルールが適用されるには、条件とルール セットの条件
の両方が一致する必要があります。
ルール セット サイクル
ルール セットは、フィルタリング プロセスの 3 つのサイクルでルールとともに処理されます。
ルール セットは、たとえば、リクエスト サイクルのみ、リクエストと応答サイクル、および 3 つのサイクルすべて
など、これらのサイクルのいかなる組み合わせでも処理することができます。
184
McAfee Web Gateway 7.6.2
Product Guide
Policy configuration
ルール セット
6
ルール セットのサイクルは、これを含み個々のルールのものと同じです。ルールに関しては、そのルール セットか
らのサイクルとは異なることはできません。
ネストされたルール セット
ルール セットには、他のルール セットをネストできます。ネストされたルール セットには独自の条件があります。
サイクルに関しては、ネストされたルール セットのサイクルで処理できますが、すべてのサイクルで処理する必要は
ありません。
この方法だと、ネストされたルール セットで特定のサイクルに特に対応すると同時に、他のルール セットで異なる
サイクルに対応するように構成できます。
たとえば、メディア タイプ フィルタリング ルール セットは、すべてのサイクルに適用される可能性がありますが、
有しているすべてのネストされたルール セットでは処理されません。
メディア タイプ フィルタリング ルール セット(リクエスト、応答、および埋め込みオブジェクト)
•
ネストされたルール セット、メディア タイプ アップロード(リクエストのみ)
•
ネストされたルール セット、メディア タイプ ダウンロード(応答および埋め込みオブジェクトのみ)
ルール セット システム
ルール セットは、ルール セット システム内のアプライアンスで実装されます。
Web アクセスのリクエストがアプライアンスで受け取られると、このリクエストに対して、システム内のすべての
ルール セットは上から下に処理されます。
ルール セット内のルールに一致すると、そのルールのアクションが実行されます。 アクションが [Block] の場合、
処理が停止します。 他のアクションの場合には処理が続行します。
同様に、実装されたシステムのルール セットは、リクエストおよび応答と一緒に送信された応答および埋め込みオブ
ジェクトの場合に処理されます。
ルール セット システムの操作
アプライアンスの初期セットアップで、デフォルトのルール セット システムが実装されます。 次の操作を行うと、
このシステムをネットワークの要件に合わせて調整できます。
•
ルールとルール セットの変更
•
ルール セットのインポート
•
ルールとルール セットの削除
•
ルールとルール セットの新しい位置への移動
•
ルールとルール セットの作成
•
ルールをコピーし、その他のルール セットに貼り
付ける
デフォルト ルール セット システム
デフォルトのルール システムは次のようになります(ネストされたルール セットが表示されます)。
McAfee Web Gateway 7.6.2
Product Guide
185
6
Policy configuration
ルール セット
表 6-5 デフォルト ルール セット システム
ルール セット
説明
[Microsoft (Office 365) サービスの
バイパス]
フィルタリングで、Office 365 または他の Microsoft サービスと送受信す
る要求と応答をバイパスします。
(デフォルトは無効)
他のフィルタリング機能で処理できるように、SSL で保護された Web ト
ラフィックを準備します。
[SSL スキャナー]
(デフォルトは無効)
[グローバル ホワイトリスト]
ホワイトリストに登録された URL または IP アドレスに対する要求をフ
ィルタリングの対象外にします。
[プライバシーを侵害するヘッダーの
削除]
プライバシーを侵害するヘッダーを要求から削除し、他のフィルタリング
機能で処理できるようにします。
[共通ルール]
Web キャッシング、進行状況の表示、アーカイブの使用など、フィルタリ
ング プロセスをサポートする機能を実行します。
[URL フィルタリング]
個々の URL と URL カテゴリのフィルタリングを制御します。
[メディア タイプ フィルタリング]
特定のタイプのメディアをフィルタリングします。
[ゲートウェイ マルウェア対策]
ウイルス シグネチャとプロアクティブな方法でウイルスとマルウェアをフ
ィルタリングします。
[コンテンツの動的分類]
コンテンツの分類を動的に制御します。
ルール セット ライブラリ
ルール セット ライブラリは、実装されたルール セット システムにインポートするためのルール セットを提供しま
す。
システムにない機能を追加するため、または実装されているルール セットがネットワークに適していない場合に、ラ
イブラリをインポートできます。
•
ルール セット ライブラリは、デフォルト ルール セット システムの一部であるルール セットも含みます。
•
オンライン ルール セット ライブラリからもっと多くのルール セットが利用可能です。このライブラリへのリ
ンクは、標準ルール セット ライブラリのウィンドウに表示されます。
標準ルール セット ライブラリでは、ルール セットは、認証や URL フィルタリングなどのカテゴリーでグループ化
されます。
以下のテーブルでは、標準ルール セット ライブラリのカテゴリーを示します。
表 6-6 ルール セット ライブラリのカテゴリー
186
ルール セット カテゴリー
次のルール セットが含まれます。
[アプリケーション制御]
アプリケーションとアプリケーションの個々の機能をフィルタリングします。
[認証]
ユーザーの認証
[警告/クォータ]
ユーザの Web アクセスにクォータと制限を設定します。
[クラウド サービス]
クラウド アプリケーションへのシングル サインオン アクセスを実装します。
[共通ルール]
Web キャッシュ、進行状況の表示、アーカイブの使用など、フィルタリング プ
ロセスをサポートします。
[DLP]
データ損失防止を実装します。
[ePO]
ePolicy Orchestrator の使用を可能にします。
[エラー処理]
エラー処理を実装します。
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
Filtering process
表 6-6 ルール セット ライブラリのカテゴリー (続き)
ルール セット カテゴリー
次のルール セットが含まれます。
[ゲートウェイのマルウェア対策] ウイルスなどのマルウェアに感染した Web オブジェクトをフィルタリングし
ます。
[HTML/スクリプト フィルター]
HTML ページとスクリプトをフィルタリングします。
[ICAP クライアント]
アプライアンスで ICAP クライアントを実行します。
[ロギング]
フィルタリングなどの処理をログに記録します。
[メディア タイプ フィルター]
特定のタイプのメディアをフィルタリングします。
[モバイル セキュリティ]
モバイル トラフィックをフィルタリングします。
[ネクスト ホップ プロキシ]
ネクスト ホップ プロキシを使用してデータ転送を行います。
[プライバシー]
プライバシーを保護するため要求を変更します。
[SiteAdvisor Enterprise]
SiteAdvisor を使用して要求をフィルタリングします。
[SSL スキャナー]
SSL で保護された Web トラフィックを処理します。
[トラブルシューティング]
トラブルシューティングを実行します。
[URL フィルター]
個々の URL と URL カテゴリをフィルタリングします。
[Web Hybrid]
McAfee SaaS Web Protection サービスとの同期を有効にします。
Filtering process
A filtering process is performed on the appliance that uses the implemented rules to ensure web
security for your network.
This process filters web traffic. It blocks some objects and lets others pass through, like a tea sieve or
strainer that catches the tea leaves and allows the liquid to flow through its perforations.
How does the process tell the tea leaves from the liquid? The tea strainer obviously uses size as a key
concept. If something is too big, it cannot pass through.
Similarly, the filtering process on the appliance uses in its rules all kinds of properties that web objects
can have or that are related in some way to web objects to make filtering decisions.
Properties of filtered objects
A property of a web object checked in the filtering process is, for example, being virus-infected. A
web object can have the property of being virus-infected, put more simply, it can be virus-infected.
Other examples could be the property of belonging into a particular URL category or the property of
having a particular IP address.
The following can then be asked about these and other properties:
•
For a given web object, what value does property p have?
•
And: If this value is x, what action is required?
Giving an answer to the second question leads to a rule:
If the value of property p is x, action y is required.
A property is a key element in every rule on the appliance. Understanding the property is essential to
understanding the rule.
McAfee Web Gateway 7.6.2
Product Guide
187
6
Policy configuration
Filtering process
When you are creating a rule, it is a good idea to begin by thinking about the property you want to
use. Using a property of an already existing rule as an example, you might consider something like the
following:
I want to filter viruses and other malware. I use the property of being virus-infected and
build a rule around it. I let this rule require a blocking action to be taken if a given web
object has this property.
The rule could look as follows:
If being virus-infected has the value true (for a given web object), block access to this
object.
The web object could, for example, be a file that a web server has sent because a user of your
network requested it and that is intercepted and filtered on the appliance.
Properties and rules are explained in this section using normal language. However, the format they
have on the user interface of the appliance does not differ from this very much.
For example, the above rule about virus infections could appear on the user interface as follows:
Antimalware.Infected equals true –> Block (Default)
where Antimalware.infected is the property and Block is the action, which is executed in the
default way.
The arrow does not appear on the user interface, it is inserted here to show that the blocking action is
triggered if a given web object really has the property in question.
Filtering users
Properties can be related to web objects, but also to the users that request them.
For example, a rule could use the property user groups that user is member of to block requests
sent by users who are not in an allowed group:
If user groups that user is member of (for a given user) are not on the list of allowed
groups, block requests sent by this user.
フィルタリング サイクル
このアプライアンスでのフィルタリング プロセスには、以下の 3 つのサイクルがあります。リクエスト サイクル、
応答サイクル、埋め込みオブジェクト サイクルいかなる時でも、これらの中から 1 つの処理しかできません。
リクエスト サイクルはネットワークのユーザーが Web に送信するリクエストをフィルタリングするために実行さ
れ、応答サイクルはこれらのリクエストにより Web から受信した応答のために使用されます。
埋め込みオブジェクトがリクエストまたは応答とともに送信される場合、埋め込みオブジェクト サイクルは追加の処
理のサイクルとして実行されます。
埋め込みオブジェクトは、たとえば、ファイルをアップロードするというリクエストとともに送信されるファイルで
あり、このファイルに埋め込まれるということがあります。フィルタリング プロセスは、リクエスト サイクル、リ
クエストのフィルタリング、アップロードのリクエストがあるファイルの確認から開始します。すると、埋め込みフ
ァイルに対して埋め込みオブジェクト サイクルが開始されます。
同様に、Web サーバーから応答として送信されて、他のファイルが埋め込まれているファイルでは、応答サイクル
と埋め込みオブジェクト サイクルが次々と開始されます。
アプライアンスのすべてのルールにつき、どのサイクルで処理されるかが指定されています。しかし、サイクルは個
々のルールで指定されているのではなく、それを含むルール セットで指定されます。
188
McAfee Web Gateway 7.6.2
Product Guide
6
Policy configuration
Filtering process
1 つのサイクルのみ、またはサイクルの組み合わせで、ルール セットを処理できます。
プロセス フロー
フィルタリング プロセスでは、実装されているルールがルール セットでの位置に応じて、次々と処理されます。
ルール セット自体は、ユーザー インターフェースの[ルール セット]タブで表示されている、ルール セット システ
ムの順序に処理されます。
3 つのサイクルそれぞれで、このサイクルでどれを処理する必要があるかを確認するために、実装されたルール セッ
トが次々と参照されます。
ルールが処理されて適用することが判明した場合、アクションをトリガーします。アクションは、Web オブジェク
トへのアクセスをブロックしたり、リクエストされたオブジェクトを削除するなどの、フィルタリング手段を取りま
す。
これに加え、アクションはフィルタリング プロセスに影響を与えます。フィルタリング プロセスを完全に停止する
必要があると指定、あるいは一部のルールを省いて続行、またはシンプルに次のルールで続行すると指定することが
できます。
すべての実装されたルールが処理された後も、処理が停止します。
それにより、プロセス フローは以下のようになります。
構成されたそれぞれのサ –> 処理が止まります。
イクルのすべてのルール
リクエスト サイクルでは、リクエストが適切なサーバーに通過することが許可され
が処理されたので、適用す
ます。
るルールが見つからない。
応答サイクルでは、Web から送信された応答は、適切なユーザーに転送されます。
埋め込みオブジェクト サイクルでは、リクエストまたは応答とともに送信された埋
め込みオブジェクトが一緒に通過することが許可されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、処理を –> 処理が止まります。
完全に停止する必要があ
処理が完全に止まるルールの例の一例は、ブロック アクションのあるルールです。
る。
たとえば、リクエストされた URL がブラックリストにあるためにリクエストがブ
ロックされた場合、他を処理を行うことは無意味になります。
リクエストがブロックされて適切な Web サーバーに渡されていないため、応答は
受信されません。リクエストがブロックされたため、リクエストとともに送信され
た埋め込みオブジェクトのフィルタリングも必要ありません。
メッセージは、たとえば、ユーザーにリクエストがブロックされたこととその理由
の通知など、アクションによって影響を受けたユーザーに送信されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、現在の –> このルール セットの処理が停止します。
ルール セットの処理を停
ルール セットの停止ルールに従うルールは省かれます。
止する必要がある。
ルール セットの処理を停止するルールの例は、同じルール セットにおいてホワイ
トリスト ルールにブロック ルールが続く場合です。
リクエストされた Web オブジェクトがホワイトリストで見つかった場合、そのリ
クエストは他にフィルタリングされることなく通過が許可されます。そのため、ル
ール セットはこれ以上処理されることなく、オブジェクトを最終的にブロックする
ルールは省かれます。
次のルール セットで処理が続行されます。
McAfee Web Gateway 7.6.2
Product Guide
189
6
Policy configuration
Filtering process
次のルール セットには、たとえば、リクエストが前のルール セットで通過するこ
とが許可されていてもそのリクエストをブロックするようなルールを、含むことが
できます。
ルールが適用され、現在の –> このサイクルの処理が停止します。
サイクルの処理を停止す
ルール セットの停止ルールに従うルールは省かれます。
る必要がある。
サイクルの処理を停止するルールの例は、グローバル ホワイトリスト ルールです。
リクエストされたオブジェクトがグローバル ホワイトリストで見つかった場合、そ
のリクエストは適切なサーバーに通過することが許可されます。リクエストが、最
終的に後に続くいかなるルールやルール セットにブロックされないことを保証す
るために、リクエスト サイクルはこれ以上処理されません。
次のサイクルで処理が続行されます。
ルールが適用され、次のル –> 処理は次のルールで続行します。
ールで処理が続行される
これは現在のルール セットにおける次のルール、あるいは次のルール セットまた
必要がある。
はサイクルの最初のルールである可能性があります。
フィルタリング プロセスを妨げずに続行させるルールの例は、統計ルールです。
このルールは、カウンターを増加させることでリクエストを数えるだけであり、そ
れ以外は何もしません。
190
McAfee Web Gateway 7.6.2
Product Guide
7
Complete rules
Working with complete rules allows you to configure all their elements. You can also delete rules and
create new rules of your own.
目次
ルール要素
ユーザー インターフェースでのルールの形式
テキスト内でのルールの表記
ルールの作成
ルール セットの作成
ルール セットのインポート
Restrict access to a rule set
ルール要素
アプライアンスの Web セキュリティ ルールには、3 つの主要要素があります。条件、アクション、および(オプシ
ョン)イベント.
1
[条件]
ルールが適用されるかどうかを判別します。
その他のルール構文は条件の代わりに条件を使用します。
URL のカテゴリーがリスト x にある場合、...
McAfee Web Gateway 7.6.2
Product Guide
191
7
Complete rules
ユーザー インターフェースでのルールの形式
条件には、以下の 3 つの要素があります。プロパティ、演算子、演算対象。
•
[プロパティ]
Web オブジェクトまたはユーザーに関連するものです。
URL のカテゴリー ...
•
[演算子]
演算対象のプロパティをリンクします。
... がリストにある
•
[演算対象]
プロパティがもつことができる値を指定します。
... x(リスト名)
演算対象はユーザー インターフェースではパラメーターとしても知られています。
2
[アクション]
条件が一致した場合に実行されます。
... URL をブロック
3
[イベント]
条件が一致した場合に実行されます。
... およびこのアクションをログに記録します。
イベントはルールに対してオプションです。ルールは複数のイベントを持つこともできます。
ユーザー インターフェースでのルールの形式
ユーザー インターフェイスでは、ルールは以下の形式で表示されます。
図 7-1 ユーザー インターフェースでのルールの形式
以下の表で、 ルール要素の意味を説明します。
192
McAfee Web Gateway 7.6.2
Product Guide
Complete rules
ユーザー インターフェースでのルールの形式
7
表 7-1 ユーザー インターフェースでのルールの要素
オプショ
ン
定義
[有効]
ルールを有効または無効にすることを可能にします
[名前]
ルールの名前
• [URL のブロック ...] ― 名前のテキスト
• [カテゴリー ブロックリスト] (ルール名) — ルールにより使用されるリスト
リスト名をクリックすると、編集のためにリストが開きます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空で、エントリーの入力が必要であることを示
します。
[条件]
ルールの条件
条件は、[詳細の表示]切り替えボタンをクリックした後のみに、表示されます。
• [URL.Categories] — プロパティ
• [<Default>] — プロパティの値を取得するモジュールの設定
たとえば、URL フィルターー モジュールの設定であるここに表示されるデフォルト設定。
設定名をクリックすると、編集のために設定が開きます。
モジュール名はルールでは表示されません。しかし、ルールの条件の[編集]ウィンドウで表示されま
す。
• [リストに少なくとも 1 つある場合] ― 演算子
• [カテゴリー ブラックリスト] — 演算対象、またはパラメーターとして知られています
リスト名をクリックすると、編集のためにリストが開きます。
リスト名は、条件が表示されていないときに利用可能にするため、ルール名と条件の両方に表示され
ます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空であることを示します。
[アクショ
ン]
ルールのアクション
• [ブロック] — アクションの名前
• [<URLBlocked>] — アクションの名前
設定名をクリックすると、編集のために設定が開きます。
[イベン
ト]
ルールの 1 つ以上のイベント
イベントは、[詳細の表示]切り替えボタンをクリックした後のみに、完全に表示されます。
• [Statistics.Counter. Increment] — イベントの名前
• [“BlockedByURLFilter, 1”] — イベントのパラメーター
• [<Default>] — イベントの設定
設定名をクリックすると、編集のために設定が開きます。
McAfee Web Gateway 7.6.2
Product Guide
193
7
Complete rules
テキスト内でのルールの表記
テキスト内でのルールの表記
Web Gateway のドキュメントでは、ルールの説明にいくつかの表記方法を使用しています。
ルールは長形式または短形式で表記されています。ルールの構造について明示的な説明が付いている場合もありま
す。 ルールの個々の要素は、他の要素と区別できるように別のフォントで表記されています。
形式と書式の組み合わせで次の 4 種類の表記方法があります。
•
短形式のルール表記 - ルールを短形式で表記し、要素ごとに異なるフォントを使用します。
•
短形式のルール表記 (統一書式) - ルールを短形式で表記し、すべての要素に同じフォントを使用します。
•
長形式のルール表記 - ルールを長形式で表記し、要素ごとに異なるフォントを使用します。
•
長形式のルール表記 (統一書式) - ルールを長形式で表記し、すべての要素に同じフォントを使用します。
どの形式の場合でも、ルールの後に各ルールの説明がテキスト形式で続きます。
ユーザー インターフェースでのルールの表記
Web Gateway のユーザー インターフェースでは、次のようにルールが表示されます。 ルールの 3 つの主要要素
(条件、アクション、イベント) は、それぞれ別の列に表示されます。 ルール名は、ルールの条件の上に太字で表示
されます。
図 7-2 ユーザー インターフェースでのルールの表記
この例のルール名と要素は次のとおりです。
•
名前 - ウイルスを検出したらブロック
•
条件 - Antimalware.Infected<Gateway Anti-Malware> equals true
•
アクション - Block<Virus Found>
•
イベント - Statistics.Counter.Increment("BlockedByAntiMalware",1)<Default>
テキストの場合と同様に、4 種類の表示方法があります。
短形式のルール表記
短形式のルール表記では、ルール名が太字で表示され、その下に主要要素が表示されます。 この表記方法は、ユーザ
ー インターフェースでルールを表示する場合によく利用される方法です。
ユーザー インターフェースでは、ルールの主要要素を区別するために、条件がイタリックで表示され、アクションの
前に矢印が表示されます。 この矢印は条件とアクションの関係を表しています。つまり、条件に一致すると、アクシ
ョンが実行されることを表しています。
ルール イベントは常にオプションです。 これも条件に一致した場合に実行されますが、アクションの後にダッシュ
が続き、その後に表示されます。
ウイルスを検出したらブロック
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
194
McAfee Web Gateway 7.6.2
Product Guide
Complete rules
ルールの作成
7
短形式のルール表記 (統一書式)
短形式のルール表記で統一書式の場合には、ルール名と要素がすべて同じフォントで表示されます。 すべて幅の狭い
太字で表示されます。
[ウイルスを検出したらブロック]
[Antimalware.Infected<Gateway Anti-Malware> equals true – Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>]
長形式のルール表記
長形式のルール表記では、ルールが表形式で表示されます。各要素はそれぞれ別の行になり、要素名が最初の列に表
示されます。 ルール名は、セクションのタイトルと同様に表の上に赤字で表示されます。
ウイルスを検出したらブロック
ルール要素
定義
[条件]
Antimalware.Infected<Gateway Anti-Malware> equals true
[アクション]
Block<Virus Found>
[イベント]
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
長形式のルール表記 (統一書式)
ルールが長形式の統一書式で表記される場合には、すべてのルール要素が幅の狭い太字のフォントで表示されます。
ウイルスを検出したらブロック
ルール要素
定義
[条件]
[Antimalware.Infected<Gateway Anti-Malware> equals true]
[アクション]
[Block<Virus Found>]
[イベント]
[Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>]
ルールの作成
ルールの作成は、ルールの異なる要素に関連するいくつかのアクティビティを含みます。
[ルールの追加]ウィンドウが、ルールの作成のため提供されます。適切な順番でルール要素を構成するアクティビテ
ィを完了できます。
たとえば、ルールの名前付けと有効化を開始し、条件、アクション、イベントを追加できます。
タスク
•
196 ページの「ルールに名前を付けて有効にする」
ルールに名前を設定し、一般設定として有効にします。
•
196 ページの「ルール条件の追加」
ルール条件を追加して、ルールを適用する場合について決定します。
•
197 ページの「ルール アクションを追加」
ルール条件に一致する場合、実行するアクションを追加します。
•
198 ページの「ルール イベントを追加する」
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
McAfee Web Gateway 7.6.2
Product Guide
195
7
Complete rules
ルールの作成
ルールに名前を付けて有効にする
ルールに名前を設定し、一般設定として有効にします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールのためにルール セットを選択します。
3
設定パネルの上の[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
ルール セットの以下の一般的な設定を構成します。
a
[名前]フィールドで、ルールの名前を入力します。
b
[ルールを有効にする]を選択して、ルール セットが処理されたときにルールが処理されるようにします。
c [オプション][コメント]フィールドで、ルールの平文コメントを入力します。
引き続き、ルールの要素を追加します。
ルール条件の追加
ルール条件を追加して、ルールを適用する場合について決定します。
タスク
1
[ルールの追加]ウィンドウで、[ルール条件]をクリックします。
2
[このルールを適用] セクションで、ルールの適用条件を設定します。
•
[常に] — ルールは常に適用されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
•
[次の条件に一致した場合] — 構成された条件に一致したら、ルールが適用されます。
次の手順に続きます。
3
[条件] セクションで [追加] をクリックし、ドロップダウン メニューから条件グループを選択します。
[条件の追加]ウィンドウが開き、選択されたグループから構成する条件に適合する項目を表示します。
すべての条件の項目を表示するには、[詳細条件] を選択します。
ウィンドウには 3 つの列があります。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
現在選択されている要素は、[選択したプロパティ]、[選択した演算子]、[比較]の下の各列上部に表示されます。
ウィンドウは、1 つの列の項目を選択した後、その他の列で自動的に採用して、適合する要素の選択をサポート
します。それから、その他の列は選択された項目を構成するのに適合する項目のみを表示します。
196
McAfee Web Gateway 7.6.2
Product Guide
7
Complete rules
ルールの作成
左または右列から項目を選択して開始できます。したがって、手順 4 ~ 6 も異なる順番で完了できます。
条件でオペランドとしてリストを使用する場合には、まず最初に、このリストを右側の列から選択してください。
4
プロパティを選択します。
a
左側の列にあるリストから項目を選択するか、事前に選択された項目をそのまま使用します (選択されている
場合)。
リストをフィルターするか、ユーザー設定プロパティを追加できます。
b
(条件付き) 設定が必要なプロパティを選択した場合には、プロパティと一緒に表示された [設定] ドロップダ
ウン リストから設定を選択するか、事前に設定された項目をそのまま使用します。
c [条件付き]パラメーターの設定が必要なイベントを選択した場合、プロパティ名の下の[パラメーター]をク
リックし、開いたウィンドウのオプションで、すべての必要なパラメーターの値を設定します。
5
中央列のリストから、オペレーターを選択するか、事前選択された 1 つを残します(残っている場合)。
6
右側の列にあるリストからオペランドを選択するか、事前に選択された項目をそのまま使用します (選択されてい
る場合)。 リストが空の場合には、適切な値 (数値など) を入力します。
表示されている演算子のタイプを変更するには、列の上部にあるリストからタイプを選択します。
オペランドを個別に選択するか、オペランドの種類を選択すると、中央と左側の列にあるリストが適用され、適
切な演算子とプロパティが表示されます。
7
[OK] をクリックして、[条件の追加] ウィンドウを閉じます。
新しい条件を[ルールの追加]ウィンドウに表示します。
複雑な条件を構成する場合、手順 3 から 6 を繰り返し、更なる条件の部分を構成します。
オプションとして提供される[AND]または[OR]で条件の部分を接続します。3 つ以上の条件の部分は、括弧を入
力し、[条件の組み合わせ]フィールドで物理的に接続する方法を示してから表示されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
ルール アクションを追加
ルール条件に一致する場合、実行するアクションを追加します。
タスク
1
In the[ルールの追加]ウィンドウで、[アクション]をクリックします。
2
[アクション] リストから、次のいずれかを選択します。
•
[続行]— 次のルールの処理で続行します
•
[ブロック] — オブジェクトへのアクセスをブロックしてルールの処理を停止します
•
[リダイレクト] — オブジェクトから他のオブジェクトにアクセスをリクエストしたクライアントをリダイレ
クトします
•
[認証] — 現在のサイクルの処理を停止し、認証リクエストを送信します
•
[ルール セットの停止] — 現在のルール セットの処理を停止し、次のルール セットで続行します
McAfee Web Gateway 7.6.2
Product Guide
197
7
Complete rules
ルールの作成
•
[サイクルの停止] — 現在のサイクルの処理を停止しますが、リクエストされたオブジェクトへのアクセスは
ブロックしません
•
[削除] — リクエストされたオブジェクトを削除し、現在のサイクルの処理を停止します
3 [条件付き]設定(ブロック、リダイレクト、認証)が必要なイベントを選択した場合、[設定]リストから設定を
選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
4
すべての必要なルール要素を作成したが、イベントを追加しない場合は、以下の手順に従ってください。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
ルール イベントを追加する
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
タスク
1
[ルールの追加]ウィンドウで、[イベント]をクリックします。
2
[イベント] セクションで [追加] をクリックし、ドロップダウン リストから [イベント] を選択します。
[イベントの追加] ウィンドウが開きます。
3
[イベント] リストから、イベントを選択します。
リストをフィルターするには、リストの上の入力フィールドで用語のフィルタリングを入力します。
4 [条件付き]設定が必要なイベントを選択した場合、[設定]リストから設定を選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
5 [条件付き]パラメーターの設定が必要なイベントを選択した場合、[パラメーター]をクリックし、開いたウィン
ドウのオプションで、すべての必要なパラメーターの値を設定します。
6
[OK] をクリックします。
[イベントの追加]ウィンドウが閉じて、新しいイベントが[イベント] リストに表示されます。
7
追加手順をすべて行ったら、次の操作を行います。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
198
McAfee Web Gateway 7.6.2
Product Guide
Complete rules
ルール セットの作成
7
ルール セットの作成
ルール セットを作成し、構成に追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
ルール セット ツリーの上にある [追加] をクリックします。
ドロップダウン リストが開きます。
4
[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
5
6
7
8
ルール セットで次の全般設定を行います。
•
[名前] — ルールの名前
•
[有効化] - オンにすると、ルール セットが有効になります。
•
[オプション][コメント] — ルール セットに関するテキスト形式のコメント。
[適用先] セクションで、処理サイクルを設定します。 1 つのサイクルを選択することも、3 つのサイクルの組み
合わせを選択することもできます。
•
[リクエスト ]— ネットワークのユーザーからのリクエストがアプライアンスに受信される際に、ルール セッ
トが処理されます。
•
[応答] — Web サーバーからの応答が受信される際にルール セットが処理されます。
•
[埋め込みオブジェクト] — リクエストと応答とともに送信される埋め込みオブジェクトのためにルール セ
ットが処理されます。
[このルール セットを適用する] セクションで、ルールの適用条件を設定します。
•
[常に] — ルールは常に適用されます。
•
[次の条件に一致した場合] — 下で構成された条件に一致したら、ルール セットが適用されます。
[条件]セクションで、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
9
[プロパティ] 領域では、以下の項目を使用してプロパティを設定します。
•
[プロパティ ]— プロパティを選択するためのリスト(プロパティ タイプは括弧で表示されています)
•
[検索 ]— プロパティを検索できる[プロパティの検索]ウィンドウが開きます。
•
[パラメーター ]— 3 つまでのパラメーターを追加できる[プロパティ パラメーター]ウィンドウが開きます。
ステップ 10 を参照してください。
パラメーターがない場合、アイコンはグレーアウトされます。
•
[設定 ]— プロパティの値を配信するモジュールの設定を選択するリスト(モジュール名は括弧内に表示され
ます)
McAfee Web Gateway 7.6.2
Product Guide
199
7
Complete rules
ルール セットのインポート
プロパティに設定が必要なくて、(必要なし)が追加されている場合、アイコンはグレーアウトされます。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[編集 ]— 選択した設定を編集するための[設定の編集]ウィンドウが開きます。
プロパティのためにパラメーターを構成する必要がない場合、[OK ]をクリックし、 ステップ 11 に進みます。
10 プロパティ パラメーターを追加する場合:
a
[パラメーター]をクリックします。
[プロパティ パラメーター]ウィンドウが開きます。
b
必要に応じていくらでもパラメーターを追加します。
パラメーターは以下のいずれかになります。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
11 [演算子]リストから、演算子を選択します。
12 [パラメーター] 領域で、パラメーター (オペランド) を追加します。
これは、以下のいずれかになります。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
13 [条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
14 [オプション][権限]タブをクリックして、新しいルール セットへのアクセスが許可されるユーザーを構成しま
す。
15 [新しいルール セットの追加]ウィンドウを閉じるには、[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、ルール セットがルール セット システムに挿入されます。
16 [変更の保存]をクリックします。
ルール セットのインポート
ライブラリからルール セットをルール セット システムにインポートできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
[追加] ドロップダウン リストから [ライブラリのルール セット] を選択します。
ウィンドウが開き、ライブラリ ルール セットのリストが表示されます。
4
インポートするルール セット、たとえば、[Gateway Antimalware ]ルール セットを選択します。
このルール セットをインポートする際に競合が発生した場合、それらはウィンドウに表示されます。
ルール セットがすでにルール セット システムに存在しているリストや設定など構成オブジェクトを使用すると
きに競合が発生します。
200
McAfee Web Gateway 7.6.2
Product Guide
7
Complete rules
Restrict access to a rule set
5
以下のいずれかの方法で競合を解決します。
•
•
6
[競合の自動解決] をクリックし、すべての競合に以下のいずれかの解決方法を選択します。
•
[既存のオブジェクトを参照することで解決する ]— インポートされたルール セットが、アプライアンス
の構成に同じ名前で存在しているオブジェクトを参照している場合、これらの既存のオブジェクトに参照
が適用されます。
•
[推奨にコピーと名前変更することで解決する ]— インポートされたルール セットが、アプライアンスの
構成に同じ名前で存在しているオブジェクトを参照している場合、これらのオブジェクトは使用されます
が、競合を回避するために名前変更されます。
リストされている競合を次々にクリックして、上記のいずれかの方針を毎回選択することで、個々に解決しま
す。
[OK] をクリックします。
ルール セットがルール セット ツリーに挿入されます。これはデフォルトで有効になります。
ルール セットがフィルタリング ジョブを実行する必要があるリストや設定がルール セットで実装され、リスト
と設定ツリーで表示できます。
7
必要である場合、ルール セット ツリーの上にある青色の矢印を使用して、ルール セットを移動させます。
8
[変更の保存]をクリックします。
Restrict access to a rule set
To restrict access to a rule set, complete the following procedure.
タスク
1
Select [Policy] 、 [Rule Sets] (or[ Lists ]or [Settings]).
2
On the tree structure, navigate to the position where you want to add the new item.
3
Click [Add] above the tree structure.
An [Add] window opens.
4
Complete the steps for adding a new item. Then click the [Permissions] tab.
Three modes of access can be configured: Read and Write, Read, and No Access.
5
Click [Add] under the [Read and Write] pane.
The [Add Role or User] window opens.
6
Select a role or a user (or more than one of each type at once) from the list in the corresponding
pane. Or type a wildcard expression as the name of a role or user in the [Wildcard] field.
7
Add as many entries to the [Read and Write] list as needed.
Use the [Delete] button under the pane to delete entries
8
Fill the [Read] and [No Access] panes in the same way.
9
Use the radio buttons under [All other roles have] to configure access for all roles and users that
are not included in one of the lists on the tab.
McAfee Web Gateway 7.6.2
Product Guide
201
7
Complete rules
Restrict access to a rule set
10 Click [OK] to close the window.
11 Click [Save Changes]
202
McAfee Web Gateway 7.6.2
Product Guide
8
リスト
リストは Web オブジェクトおよびユーザーの情報を取得するためにルールで使用されます。
いくつかタイプのリストがあり、それらは作成した人とそれらを含む要素のタイプに関して異なります。適宜、異な
る方法でこれらのリストを操作します。
ユーザー インターフェースで異なる場所にリストが表示されます。たとえば、ルールとルール セットの条件、リス
ト タブ、および設定内などです。
アプライアンスの初期セットアップ時に、リストはルール セット システムと共に施行されます。
施行されたシステムのリストを見直し、それらを変更および削除し、固有のリストも作成できます。
目次
リスト タイプ
リスト タブ
リストへのアクセス
リストの作成
さまざまなタイプのリストの操作
購読リスト
外部リスト
マップ タイプ リスト
共通カタログ
JavaScript Object Notation データ
McAfee Web Gateway 7.6.2
Product Guide
203
8
リスト
リスト タイプ
リスト タイプ
Web Gateway の Web セキュリティ ルールでは、いくつかのリストを使用して Web オブジェクトやユーザーの情
報を取得しています。
主なリストは次のとおりです。
•
カスタム リスト - ユーザーが変更できるリストです。 [リスト] タブのリスト ツリーで上のブランチに表示さ
れます。たとえば、フィルタリングから除外する URL リストなどがあります。
カスタム リストには、文字列、数字、カテゴリ、その他の形式で項目を追加できます。 リストの管理方法は形式
によって異なります。 カスタム リストの中には、ユーザーが項目を一から追加しなければならないものもありま
す。
独自のリストを作成して、初期セットアップ後に Web Gateway が提供するカスタム リストに追加することも
できます。
•
システム リスト - ユーザーが変更できないリストです。 [リスト] タブのリスト ツリーで下のブランチに表示
されます。
システム リストの中には、カテゴリ、メディア タイプ、アプリケーション名などのリストがあります。クラウド
シングル サインオンで使用されるコネクターのリストもあります。 Web Gateway の新しいバージョンにアッ
プグレードすると、これらのリストも更新されます。
Data Loss Prevention (DLP)、アプリケーション フィルタリング、Dynamic Content Classifier のシステム
リストも、スケジュールを設定して自動的に更新できます。
•
インライン リスト - リストの変更はできますが、[リスト] タブには表示されません。 これらのリストは、設定
項目の一部としてインライン表示されます (たとえば、プロキシ設定の HTTP ポートのリストなど)。
•
購読リスト - Web Gateway で名前付きのリストをセットアップできます。 これらのリストは空の状態で作成
され、購読しているデータソースから取得したコンテンツが記録されます。購読リストは、リスト ツリーでカス
タム リストの最後に表示されます。
購読リストには次の 2 つの種類があります。
•
McAfee が管理するリスト - このリストのコンテンツは、McAfee サーバーから取得されます。
McAfee サーバーでは、IP アドレス範囲やメディア タイプなど、多くのリストが使用できます。
•
顧客が管理するリスト - このリストのコンテンツは、ユーザーが指定したデータソースから取得されます。
指定できるソースは、HTTP、HTTPS または FTP で実行されている Web サーバー上のファイルです。
リスト コンテンツは、それぞれのサーバーで管理されます。 このコンテンツの新しいバージョンが Web
Gateway 上のリストに転送されるように、手動で更新を実行したり、自動更新を設定することができます。
•
外部リスト - 外部ソースに独自の名前で存在するリストです。 ルールのプロパティ値を使用して、これらのコ
ンテンツを Web Gateway に転送できます。
外部リストのコンテンツは実行時に転送されます。つまり、外部リストのプロパティを含むルールが処理された
ときにコンテンツが転送されます。
取得されたコンテンツはキャッシュに保存され、有効期間が終了するまで再利用されます。この有効期間はユー
ザーが設定できます。 期限切れになり、ルールが再度処理されると、再度転送が実行されます。
コンテンツの取得元は、HTTP、HTTPS、FTP または LDAP で実行されている Web サーバー上のファイルです。
特に、データベースから取得されます。 また、ローカル ファイル システムのファイルから取得することもでき
ます。
204
McAfee Web Gateway 7.6.2
Product Guide
リスト
リスト タブ
•
8
マップ タイプ リスト - これらのリストには、互いにマッピングされたキーと値の組み合わせを保存できます。
Web Gateway でマップ タイプ リストを作成してリスト項目を入力することも、購読リストまたは外部リスト
として別のソースから取得することもできます。
初期状態では、マップ タイプ リストのキーと値は文字列形式で保存されます。ルールで適切なプロパティを使用
すると、これらを別の形式に変換できます。
•
Common Catalog リスト - これらのリストは、McAfee ePO サーバーから Web Gateway にプッシュでき
ます。
Common Catalog リストには、IP アドレス、ドメイン名、文字列、ワイルドカード式が含まれています。 これ
らは McAfee ePO サーバーで管理されます。
リスト タブ
[リスト] タブを使用して、リストを操作します。
図 8-1 リスト タブ
リスト タブの主要要素
以下の表で、[リスト]タブの主要な要素について説明します。
McAfee Web Gateway 7.6.2
Product Guide
205
8
リスト
リスト タブ
表 8-1 リスト タブの主要要素
要素
説明
[リスト ツールバー]
[リスト]ツリーにあるリストを操作するための項目
[リスト ツリー]
アプライアンス構成のリストを表示するツリー構造
[リスト エントリー ツールバー ]
現在[設定]ツリーで選択されている項目の設定
[リスト エントリー ]
現在選択されているリストのエントリー
リスト ツールバー
リスト ツールバーでは、次のオプションが提供されています。
表 8-2 リスト ツールバー
オプション
定義
[追加 ]
リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
選択したリストを編集するための[リストの編集]ウィンドウが開きます。
[削除]
選択したリストを削除します。
削除を確認するためのウィンドウが開きます
[インポート]
システムのファイル マネージャーを開いて、リストをインポートできます。
[エクスポート]
システムのファイル マネージャーを開いて、リスト ツリーで選択したリストをエクスポート
できます。
[表示]
さまざまな方法でリストを表示できるようにするためにメニューを開きます(名前昇順、名前
降順、リスト タイプ別、現在リストが存在しない場合に対してリスト タイプありなし)
[すべて展開]
リスト ツリーで隠されている項目をすべて表示します。
[すべて折りたた
む]
リスト ツリーで表示されているすべての項目を隠します。
リスト エントリー ツールバー
リスト エントリー ツールバーでは、次のオプションが提供されています。
表 8-3 リスト エントリー ツールバー
オプション
定義
[追加 ]
リスト エントリーを追加するための[<リスト タイプ> の追加]ウィンドウ([文字列の追加]ウィン
ドウなど)が表示されます。
[複数追加]
複数のリスト エントリーを追加することが特定のリスト タイプで可能である場合、それを実行する
ために、[<リスト タイプ> の追加]ウィンドウを開きます。
[編集]
選択したリスト エントリーを編集するための[<リスト タイプ> の編集]ウィンドウ([文字列の編
集]ウィンドウなど)が表示されます。
[削除]
選択したリスト エントリーを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
リストの上にエントリーを移動します。
[下へ]
リストの下にエントリーを移動します。
[フィルター] 一致しあtリスト エントリーのみ表示するために、フィルタリング用語を入力するための入力フィ
ールド
フィルタリング機能は、フィールドに文字を入力したらすぐ動作します。
206
McAfee Web Gateway 7.6.2
Product Guide
リスト
リストへのアクセス
8
リストへのアクセス
[リスト] タブのリストにアクセスするか、ルールのリスト名をクリックできます。
タスク
•
207 ページの「リスト タブのリストにアクセスする」
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
•
207 ページの「ルールのリストにアクセスする」
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。
リスト タブのリストにアクセスする
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、アクセスするリストを含むブランチに移動し、リスト名をクリックします。
設定パネルにリストのエントリが表示されます。
リストで作業できます。
ルールのリストにアクセスする
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスするリストのルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
アクセスするリストのルールで、次のうちの 1 つを行います。
•
この名前に含まれている場合、ルール名のリスト名をクリックする。
•
ルール条件のリスト名をクリックする。
<Type>がアクセスするリストのタイプの場合、[編集リスト <Type>]ウィンドウを開きます。
リストで作業できます。
リストの作成
初期設定のアプライアンスで実行したもの、またはライブラリからリストをインポートした場合に加えて、独自のリ
ストを作成できます
以下の 2 つのステップを含むリストを作成します。
•
新しいリストの追加
•
新しいリストにエントリを記入する
McAfee Web Gateway 7.6.2
Product Guide
207
8
リスト
リストの作成
タスク
•
208 ページの「新しいリストの追加」
後でエントリを入力する新しいリストを追加できます。
•
208 ページの「リストのエントリーの入力」
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
新しいリストの追加
後でエントリを入力する新しいリストを追加できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、リストを追加する位置に移動します。
3
ツールバーで、[追加]をクリックします。
[リストの追加]タブが選択されている状態で、[リストの追加]ウィンドウが開きます。
4
リストの一般的な設定を構成するには、以下の項目を使用します。
•
[名前] — リストの名前
•
[コメント] — [オプション]リストの標準テキスト形式のコメント
•
[タイプ] — リスト タイプを選択するためのリスト
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストがリスト ツリーに表示されます。
7
[変更の保存]をクリックします。
これで、リストにエントリを入力できます。
リストのエントリーの入力
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2 [リスト]ツリーから、エントリーを追加するリストを選択します。
3
設定パネルで[追加]をクリックします。
[<リスト タイプ> の追加]ウィンドウ、たとえば、[文字列の追加]ウィンドウが開きます。
4
特定のリスト タイプで実行される方法で、エントリーを追加します。
5 [オプション] [コメント]フィールドで、リスト エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[<リスト タイプ> の追加]ウィンドウが閉じて、リストにエントリーが追加されます。
7
208
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
リスト
さまざまなタイプのリストの操作
8
さまざまなタイプのリストの操作
リストの操作はリスト タイプに応じてさまざまな方法で行われます。
たとえば、タイプが文字列で有る場合、[文字列の追加]ウィンドウの[文字列]フィールドに文字列を入力することで
エントリーを追加できます。しかし、タイプが MediaType である場合は、フォルダーのシステムの一部である、
メディア タイプ フォルダーからエントリーを選択します。
文字列およびワイルドカード式のリストでは、
[複数追加]をクリックして、各エントリーを改行にテキストを入力す
ることで、複数のエントリーを一度に追加するオプションがあります。
メディア タイプ リストの場合、個別に選択したくない場合は、複数のエントリーとフォルダーーを一度に選択する
ことができます。
タスク
•
209 ページの「ワイルドカード式を URL のグローバル ホワイトリストに追加」
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
•
210 ページの「URL カテゴリをブロック リストに追加する」
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスを
ブロックします。
•
210 ページの「メディア タイプ フィルター リストにメディア タイプを追加する」
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
ワイルドカード式を URL のグローバル ホワイトリストに追加
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、グローバル ホワイトリスト登録のルールを含むルール セット(たとえば、[グローバル
ホワイトリスト]など)を選択します。
設定パネルにルールが表示されます。
3
リストのワイルドカード式に一致するホストに URL を送信する際のリクエストを除外するホワイトリストを使
用するルール(たとえば、[URL.Host がグローバル ホワイトリストに一致する]など)を見つけます。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(ワイルドカード式)]ウィンドウが開きます。
4
[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
5
[ワイルドカード式]フィールドにワイルドカード式を入力します。
複数のワイルドカード式を一度に追加するには、[複数追加]をクリックし、それぞれのワイルドカード式を新し
い行に入力します。
6 [オプション][コメント] フィールドで、ワイルドカード式にコメントを入力します。
McAfee Web Gateway 7.6.2
Product Guide
209
8
リスト
さまざまなタイプのリストの操作
7
[OK]をクリックします。
ウィンドウが閉じ、ホワイトリストにワイルドカード式が表示されます。
8
[変更の保存]をクリックします。
URL カテゴリをブロック リストに追加する
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスをブロックしま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリング用のルールを含むルール セットを選択します。
設定パネルにルールが表示されます。
3
カテゴリ ブラックリストを使用するルールを見つけ([カテゴリ ブラックリストに存在するカテゴリを持つ URL
をブロックする] など)、リスト名をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
4
ブロックしたいカテゴリを持つグループ フォルダー(たとえば[購買]など)を展開し、カテゴリ(たとえば[オン
ライン ショッピング]など)を選択します。
複数のカテゴリを一度に追加するには、複数のカテゴリか、1 つまたは複数のグループ フォルダーを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、ブロック リストにカテゴリが表示されます。
6
[変更の保存]をクリックします。
メディア タイプ フィルター リストにメディア タイプを追加する
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、メディア フィルタリングのルールを含むルール セット(たとえば、メディア タイプ
フィルタリング ルール セットのネストされた[ダウンロード メディア タイプ] ルール セットなど)に移動し、
それを選択します。
設定パネルにルールが表示されます。
3
[メディア タイプ ブロック リストからタイプをブロックする] ルールを選択して、リスト名をクリックします。
[リストの編集(メディア タイプ)]ウィンドウが開きます。
4
[編集]をクリックします。
[編集]ウィンドウが開きます。メディア タイプを持つグループ フォルダーのリストが表示されます。
210
McAfee Web Gateway 7.6.2
Product Guide
リスト
購読リスト
5
8
追加したいメディア タイプを持つグループ フォルダー(たとえば、[オーディオ])、メディア タイプ(例、[audio/
mp4]など)を展開しを選択します。
複数のメディア タイプを一度に追加するには、複数のメディア タイプか、1 つまたは複数のグループ フォルダ
ーを選択します。
6
[OK]をクリックします。
ウィンドウが閉じると、フィルター リストにメデイア タイプが表示されます。
7
[変更の保存]をクリックします。
購読リスト
Web セキュリティ ルールで使用するリストは、適切なサーバーから取得されるコンテンツが給されている場合があ
ります。これらは、購読リストと呼ばれます。
行動リストを操作するときには、リスト名などの全般設定のみを自分自身で構成する必要があります。IP アドレスや
URL などのリストのコンテンツについては、行動リストまたは指定する別のサーバーを維持するために指定される
McAfes サーバーなど、サーバーに依存します。
McAfee サーバーからコンテンツを取得する購読リストは、McAfee が維持するリストと呼ばれます。別のサーバー
からコンテンツを取得する購読リストは、カスタマーが維持するリストと呼ばれます。
購読リストを作成した後、それはユーザー インターフェースのリスト ツリーの購読リスト ブランチで表示されま
す。リスト ツリーの他のリストと同様に購読リストを操作できます。
購読リストのサイズには制限があります。購読リストは 4 MB よりも大きかったり、100,000 を超える数のエントリ
ーを含むことはできません。
更新スケジュールを構成したり、更新を手動で実行することにより、最新のコンテンツが購読リストにより Web セ
キュリティ ルールに使用できるようにする必要があります。
McAfee サーバーからのリスト コンテンツの取得
購読リストのコンテンツがこの目的で指定された McAfee サーバーから取得されるとき、カタログからこのリストに
対するコンテンツのタイプを選択します。
コンテンツは McAfee サーバー上に維持されます。McAfee が維持するリストが最新のコンテンツを保持している
ことを確認するためには、アプライアンスのユーザー インターフェースで手動更新を実行してください。
別のサーバーからのリスト コンテンツの取得
購読リストのコンテンツが McAfee サーバー以外のサーバーから取得されるとき、サーバーにこのコンテンツを保持
するファイルの URL を指定します。
コンテンツはこのサーバー上に維持されます。この種の購読リストの更新は、リスト設定を構成するときにセットア
ップするスケジュールに従って実行されます。
McAfee Web Gateway 7.6.2
Product Guide
211
8
リスト
購読リスト
購読リストの作成
購読リストを作成するには、一般リスト設定およびリスト コンテンツの設定を構成します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
3
リストの全般設定を行います。
a
[名前]フィールドに、リスト名を入力します。
b
[入力]リストから、リスト タイプを選択します。
c
[含む]の下で、リストが含まれるエントリのタイプを選択します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
e [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
4
[リスト コンテンツをリモートから管理する] を選択します。
5
リスト コンテンツの設定を行います。
•
McAfee サーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[McAfee の保持されたリスト]を選択します。
•
[選択]をクリックします。
[リスト コンテンツの選択]ウィンドウが開きます。
•
•
コンテンツ タイプを選択します
•
[OK]をクリックしてウィンドウを閉じます。
他のサーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[顧客の保持されたリスト]を選択します。
•
[セットアップ]をクリックします。
[セットアップ]ウィンドウが開きます。
6
•
リスト コンテンツの設定を構成します。
•
[OK]をクリックしてウィンドウを閉じます。
もう一度 [OK] をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの[購読リスト] ブランチにリストが表示されます。
7
212
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
リスト
購読リスト
8
購読リスト コンテンツの設定
McAfee サーバー以外のサーバーで購読リストが維持されている場合、設定はそのコンテンツに対して構成される必
要があります。
表 8-4 購読リスト コンテンツの設定
オプション
定義
[ダウンロードす 購読リストのコンテンツのファイルの URL を指定します。
る URL]
URL を指定する形式は、次のとおりです。
HTTP | HTTPS | FTP ://<パス>/<ファイル名>.<拡張子>
[これを使用す
る]
これを選択すると、ラジオ ボタンの隣に表示される証明書認証チェーンに含まれる証明書が使用
されます。
リストのコンテンツを提供するサーバーへの接続が HTTPS プロトコルの下のコミュニケーショ
ン用の SSL セキュア接続の場合に必要です。
[証明書のエラー これをが選択されると、証明書のエラーはサーバーからのリストの内容を取得するときに障害を
発生させません
を無視する]
[ユーザー認証]
サーバーへのアクセスのための認証が必要な場合のユーザー名とパスワードの設定のためのセク
ションを提供します。
• [ユーザー名 ]-サーバーに認証するためのユーザー名を指定します。
• [パスワード] — サーバー認証のためのパスワードを設定します。
[プロキシ]
リスト コンテンツによるサーバーへのアクセスに使用されるプロキシ サーバーを選択するため
のリストを提供します。
デフォルトでは、リスト コンテンツ サーバーへのアクセスに使用されるプロキシ サーバーがあ
りません。
[プロキシの追
加]
リストにプロキシ サーバーを追加するためのウィンドウを開きます。
[リストの内容の リストの内容の設定と更新のためのセクションを提供します。
更新]
以下のとおり、更新を実行できます。
• [毎時間ごとの時刻(分)] — 1 時間経過した後の分を設定します。
• [毎日の時刻] — 時間と分を指定します。
• [毎週の曜日と時刻] — 曜日と時刻(時間と分)を指定します。
• [毎] — 次の更新が発生するまでの間隔(分)を設定します。
購読リストの更新
購読リストの内容の更新は、内容がこの目的で提供された McAfee サーバーから、または別のサーバーから取得され
たかどうかに応じて、スケジュールに従って実行されます。
McAfee サーバーから取得されたリストの内容の場合は、更新を手動で実行する必要があります。手動更新を行うた
びに、すべての McAfee が維持するリストが一緒に更新されます。
McAfee が維持するリストの内容はまた、この主の新しいリストを作成するたびにも更新されます。
McAfee サーバー以外のサーバーから取得されたリストの内容の場合は、更新はスケジュールに従って実行されます。
それぞれの購読リストは、固有のスケジュールをもっています。リストの内容の設定を構成するときに、スケジュー
ルをセットアップし、変更できます。
一元管理構成でノードの購読リストを管理するとき、更新は更新グループ内のすべてのその他のノードにより共有さ
れます。
McAfee Web Gateway 7.6.2
Product Guide
213
8
リスト
購読リスト
更新グループは一元管理設定のセクション[このノードは次のグループのメンバーです]により構成されます。
McAfee サーバー上に維持されている購読リストの更新
McAfee サーバー上に維持されている購読リストの場合は、更新を手動で実行する必要があります。
McAfee が維持するリストの内容はまた、新しいリストを作成するたびにも更新されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーの上のツールバーで、[手動エンジン更新]をクリックします。
McAfee が維持するリストの内容が更新されます。
顧客保守リストのコンテンツ ファイルの作成
顧客保守リストとして購読リストを設定した場合、リストの構造を記述したコンテンツ ファイルを作成し、リストの
コンテンツを取得する Web サーバーに保存する必要があります。
コンテンツ ファイルは txt または xml 形式で作成します。作成する形式は顧客保守リストの構造が単純か複雑かに
よって異なります。単純なリストの場合、コンテンツ ファイルはどちらの形式でも作成できますが、複雑なリストの
場合には xml 形式で作成します。
単純なリストとしては、アプリケーション名、カテゴリ、ディメンション、IP、IP 範囲、メディア タイプ、数字、
文字列、ワイルドカードなどのタイプがあります。
複雑なリストとしては、証明機関、拡張リスト要素、ホストと証明書、ICAP サーバー、ネクスト ホップ プロキシな
どのタイプがあります。
単純なリストのコンテンツ ファイル (txt 形式)
次の例は、ワイルドカードを使用した txt 形式のコンテンツ ファイルです。
type=regex "*.txt" "txt file extension" "*.xml" "xml file extension"
この txt 形式のコンテンツ ファイルの意味は次のとおりです。
•
ファイルの最初の行は顧客保守のタイプを表します。形式は次のとおりです。type=<list type>
リスト タイプの場合、applcontrol、category、dimension、ip、iprange、mediatype、number、
string、regex のいずれかを使用します。
•
2 行目以降はリスト エントリです。
各行では、必要な数の項目を記述します。項目は二重引用符で囲む必要があります。
ワイルドカード リストのエントリには 2 つの項目があります。1 つはワイルドカードで、もう 1 つはワイルド
カードを説明するコメントです。
以下では、コンテンツ ファイルの表記規則について説明します。
type=string "withoutDescription" "*emptyDescription\"\"\" "" "data with description and more
spaces in-between"
"description" "data with spaces*
"
"description" "Hello
\"Michael\" \"Michael!\"" ""
214
McAfee Web Gateway 7.6.2
Product Guide
8
リスト
購読リスト
•
文字列タイプのリストのエントリにも 2 つの項目 (文字列とコメント) がありますが、説明は省略できます。
説明を省略する場合、2 行目のように、コンテンツ ファイルの項目も省略します。
•
あるいは、3 行目のように、二重引用符の間に何も記述しません。
この行は次の条件を満たしている必要があります。
•
文字列内の二重引用符は、バックスラッシュでマスクする必要があります。
•
二重引用符が続かないバックスラッシュは文字 (バックスラッシュ) と見なされます。
•
* (アスタリスク) など、英数字以外の文字を文字列の先頭に使用することはできません。
ユーザー インターフェースで、3 行目のリスト項目は次のようになります。*emptyDescription\""
•
コンテキスト ファイルの項目間に複数のスペースが挿入されていると、顧客保守リスト内では無視されます。
ユーザー インターフェースで、4 行目の項目は次のようになります。"data with description and more
spaces in-between" "description"
•
コンテキスト ファイルの文字列内に複数のスペースがある場合、顧客保守リストでは無視されます。
ユーザー インターフェースで、5 行目の項目は次のようになります。"data with spaces*
" "description"
•
6 行目では、すでに説明した表記規則がいくつか使用されています。
単純なリストのコンテンツ ファイル (xml 形式)
次の例は、ワイルドカードを使用した xml 形式のコンテンツ ファイルです。リストのコンテンツは、前のサブセク
ションの最初の例と同じです。
<content type="regex">
<listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
コンテンツ タイプは、txt 形式のコンテンツ ファイルと同じ項目を使用する必要があります。
複雑なリストのコンテンツ ファイル
複雑な顧客保守リストのコンテンツを手動で作成するのは簡単なことではありません。ただし、ユーザー インターフ
ェースのオプションを使用して、既存の複雑なリストをエクスポートし、ファイルに保存することは可能です。
次のファイルでは、複雑なリストが xml 形式で記述されています。ファイルで <content> タグと </content> タ
グで囲まれている行をすべて削除すると、複雑なリストのコンテンツ ファイルを取得できます。
次に、<content> タグを <content type="<file type>" に変更します (例: <content
type="nexthopproxy">)。
ファイルタイプの指定に使用できる文字列は ca、extendedlist、icapserver、hostandcertificate、
nexthopproxy です。
ベスト プラクティス - McAfee が維持する購読リストの使い方
Web セキュリティ ポリシーのルール (特定のトラフィックを SSL スキャンの対象外にするルールなど) で、
McAfee が維持する購読リストを使用できます。
社内ネットワークのクライアントから特定の宛先 (WebEx アプリケーションなど) に SSL 接続で Web トラフィッ
クが送信されている場合について考えてみましょう。Web Gateway が受信したときに、このトラフィックに SSL
スキャンを実行しないようにするとします。
McAfee Web Gateway 7.6.2
Product Guide
215
8
リスト
購読リスト
この場合、WebEx が使用する IP アドレス範囲のリストが必要になります。このアドレスは頻繁に変更されていま
す。McAfee が維持するアドレス リストを使用することで、このリストを手動で更新する手間を省くことができま
す。
McAfee による更新を Web Gateway アプライアンスまたは集中管理構成のすべてのアプライアンスに転送するよ
うに、Web Gateway で設定する更新スケジュールにこのリストを追加します。
McAfee が維持するリストを Web セキュリティ ポリシーで使用するには、次の手順に従います。
•
McAfee リストから取得した WebEx アドレス範囲を追加できるように空のリストを作成します。
•
このリストを使用して WebEx へのアクセス要求を SSL スキャンから除外するルールを設定します。
IP アドレス範囲を含む購読リストを作成して、McAfee が維持する購読リストに変更する
WebEx アプリケーションの IP アドレス範囲を含む購読リストを作成して、このリストを McAfee が管理するよう
に設定するには、独自のリストを作成し、そのコンテンツが McAfee のリストから提供されるようにします。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
リスト ツリーで [追加] アイコンをクリックします。
3
[リストの追加] ウィンドウで、次のようにリストを設定します。
a
4
リストの全般設定を行います。
•
[名前]: WebEx 購読リスト または任意の名前
•
[タイプ]: [IPRange]
b
[リスト コンテンツをリモートから管理する] を選択します。
c
[McAfee が維持するリスト] を選択して、[選択] をクリックします。
d
[リスト コンテンツの選択] ウィンドウで、WebEx IP Ranges という名前のリストを選択します。
両方のウィンドウで [OK] をクリックします。
リスト ツリーの [購読リスト] ブランチにリストが表示されます。
5
[変更の保存] をクリックします。
作成したリストを適切なルールで使用できます。
McAfee が維持する購読リストをルールで使用する
特定の宛先への Web トラフィックに適切なアクションを実行するルールで、McAfee が維持する購読リストを使用
するには、ルール条件でリストを設定します。
タスク
216
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで SSL スキャナー デフォルト ルール セットを選択し、[ビューのロック解除] をクリック
して完全なルール ビューを表示します。
3
ルール セットを有効にして、ネストされた接続呼び出し処理ルールセットを選択してください。
McAfee Web Gateway 7.6.2
Product Guide
リスト
外部リスト
4
8
[ルールの追加] をクリックします。表示されたウィンドウで次のようにルールを設定します。
a
[名前] で、ルール名を入力します (例: Bypass SSL scanning for WebEx destinations)。
b
[条件] で、次の設定を行います。
•
[プロパティ]:URL.Destination.IP
•
[演算子]:is in range list
•
[比較] (オペランド):WebEx IP Ranges Subscribed Lists
c
[アクション] で、Stop Rule Set を選択します。
d
[完了] をクリックします。
ウィンドウが閉じ、ルール セットの最後にルールが追加されます。
e
5
ルールを先頭に移動します。
[変更の保存] をクリックします。
宛先に WebEx リストの IP アドレスが指定されている要求には、Web Gateway の SSL スキャンが実行されませ
ん。
外部リスト
データは、Web サーバーなどの外部ソースから取得でき、アプライアンスのルールで使用されます。
このデータは完全なリストまたは単独の値のいずれでもかまいません。一般的には外部リストまたは外部リスト デ
ータと呼ばれます。外部リストでは、文字列、数値、IP アドレス、その他、さまざまなデータ型を使用できます。
外部リストの重要な機能は、アプライアンスでダイナミックに処理されることです。外部リスト データのすべての取
得および変換は、データが初めてルールで使用されるときにランタイムで行われます。
データが取得されると、構成できる期間、内部キャッシュに保存されますが、ディスクには保存されないため、アプ
ライアンスの再起動時には保持されません。また、外部リストはユーザー インターフェースのリスト ツリーには表
示されません。
外部リスト プロパティ
外部ソースから取得したデータへのアクセスは、特別なプロパティを通じて行われます。外部リスト プロパティの名
前は ExtLists.<タイプ> です。<タイプ> はプロパティの値であるリストの要素のタイプです。たとえば、
ExtLists.IntegerList の値は整数のリストです。候補のリストには、文字列、数値、ワイルドカード表現式、その
他を含む要素のタイプが含まれます。
通常、外部リストのプロパティの値がリストでありますが、1 つの値に対する外部リストのプロパティもあります。
外部ソースが後のタイプのプロパティに対する入力として複数の値を指定するとき、最後の値のみが取得され、保存
されます。
外部リスト データはソース タイプに応じてフィルターすることができ、指定されたルールで使用されるプロパティ
のタイプに応じて別の形式に変換されます。
外部リスト プロパティのパラメーターを設定することにより、ランタイムにプロパティのパラメーターと置換される
プレースホルダーを指定できます。これらのプレースホルダーを使用して、外部リストの内容をユーザー名またはユ
ーザー グループ名などの条件に依存させることができます。
ロギングの目的で、ExtLists.LastUsedListName プロパティを使用することができます。これは、最後に使用
された外部リスト モジュールの設定の名前を値として持ちます。
McAfee Web Gateway 7.6.2
Product Guide
217
8
リスト
外部リスト
外部リスト モジュール
外部ソースから取得するデータを指定するには、データを取得する外部リスト モジュール (外部リスト フィルター
またはエンジン) を設定する必要があります。
外部データを正常に取得できない場合、外部リスト モジュールはエラー コードを返し、それはエラー ハンドラー ル
ールを使用して処理できます。別の範囲のエラー ID がこの目的で利用できます。
外部リスト モジュールは、外部ソースから取得するデータをキャッシングするために、メモリを消費します。外部リ
スト ハンドリングのルールを設定するときは、このことを考慮に入れる必要があります。
外部リスト データのソース
外部リストが記入するコンテンツのソースには、以下のようなものがあります。
•
Web サービス。これは HTTP、HTTPS、または FTP プロトコルの下でアクセスできます。
•
ローカル ファイル システム内のファイル
•
LDAP または LDAPS サーバー
•
データベース サーバー:
•
PostgreSQL
•
SQLite3
データベースでクエリを実行する場合は、SQL クエリ言語が使用されます。しかし、特定のクエリ形式は、両方のデ
ータベース タイプに対して異なる場合があります。
SQLite3 データベースは、ファイルベースで操作し、実稼働環境ではなく、テストにお勧めします。しかし、このタ
イプのデータベースのデータをすでにもっている場合は、それを引き続き使用したい場合があります。それ以外の場
合、外部リスト コンテンツを取得するためには、Web サービスまたはファイル データ ソースを使用することは簡
単です。
使用法 (推奨)
外部リスト機能の操作は、以下のような場合にお勧めします。
ほとんどが外部ソースに保管された多数のリストを処理する必要があり、中央管理構成でノードとして複数のアプラ
イアンスを実行中で、リスト データに頻繁に変更を適用する必要がある場合。
すべてのノードのすべてのリスト データの同期は、スケール自在ではなくなります。
ルールでの外部リスト データの使用
外部リスト データを処理するためには、条件の中で適切な外部リスト プロパティを含むルールを構成する必要があ
ります。
URL が外部ソースに保管されるリストの IP アドレス範囲の 1 つの中にある宛先 IP をもつ場合、Web オブジェク
トの要求をブロックする場合を考えてみましょう。
以下のルールでこれを達成することができます。
禁止範囲の IP アドレスをもつ URL をブロックする
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –>
Block<URL Blocked>
ルールが処理されると、URL.Destination.IP の値である IP アドレスが ExtLists.IPRangeList の値であるリ
ストの範囲の 1 つの中にあるかどうかをチェックされます。
218
McAfee Web Gateway 7.6.2
Product Guide
リスト
外部リスト
8
外部リスト プロパティと共に、<External Lists> 設定が指定されます。これらは、外部リスト モジュールが外部
リスト プロパティの値として適切なデータを取得するために使用する設定です。
特定の外部リストの取得場所と取得方法をモジュールに通知するには、次の設定を行う必要があります。たとえば、
このリストが Web サーバーにテキスト ファイルとして保存されている場合、ファイルにアクセスできる URL を指
定します。
これらの設定の一部として設定できるその他の情報には、タイムアウトとサイズ制限があります。
外部リスト プロパティのパラメーターはオプションです。これらはこの例では空です。
デフォルトで、アプライアンスでは外部リストの取り扱いのためのルールはありません。外部リスト データを使用し
てネットワークのユーザーの Web アクセスを制限したい場合は、上述のように 1 つ以上のルールをセットして、そ
れを適切なルール セットに挿入してください。
置換とプレースホルダー
外部リスト データの取得においてより柔軟性を得るために、URL など、外部リスト モジュールの設定を行うときに
プレースホルダーを使用できます。
プレースホルダーは、外部リスト プロパティのパラメーターとして指定する値でランタイムに置換されます。
たとえば、個人ユーザーに許可されるメディア タイプのリストを配布する Web サービスからデータを取得したいと
します。特定のメディア タイプのリストの URL は以下のとおりです。
http://my-web-service.com/ mediatypes?user= <value>
ここで、<value> はユーザーの名前です。
個々のユーザーをそれぞれカバーする外部リスト モジュールの個別設定を行うことは面倒ですから、以下のような方
法でプレースホルダーを使用できます。
•
設定の中の Web サービスの URL パラメーターの場合、以下のとおり指定します。
http://my-web-service.com/mediatypes?user=${0}
ここで、${0} はルールで使用している外部リスト プロパティの 3 つのパラメーターの最初のパラメーターに対
するプレースホルダーです。
•
外部リスト プロパティの最初のパラメーターの場合、Authentication.Username プロパティを指定します。
これは、個々のユーザーが使用できるメディア タイプのリストを取得します。ユーザー名は、特定のタイプのメディ
アにアクセスするためのリクエストを送信した後で、認証する必要があるときにこのユーザーが送信するものです。
McAfee Web Gateway 7.6.2
Product Guide
219
8
リスト
外部リスト
以下の 2 つのタイプのプレースホルダーを使用することができます。
•
${<n>} — 変換値で置換されるプレースホルダー
<n> は、外部リスト プロパティのパラメーターの一番号(0、1、2)です。ランタイムに、このプレースホル
ダーはパラメーターの設定時に指定した値により置換されます。
プレースホルダーが置換される前に、値が変換されます。このプロセスは、「エスケープ」ともいいます。変換
は、含まれるデータ ソースの内部ルールに従って実行されます。
たとえば、ソースが Web サービスである場合、対応する HTTP 基準(RFC 2616)の条件に従って、%XX シ
ーケンスによって許可されないすべての文字を置換します。
•
$<<n>> — 変換されない値で置換されるプレースホルダー
上記のように、変換はありません。このことは、置換により望ましくない結果に至らないように、自分自身で確
認することが必要なことを意味します。
このタイプのプレースホルダーは それらの一部が置換されるのではなく、URL 全体が置換されるときに使用する
ことができます。
外部リスト モジュールの構成
外部リスト モジュールの設定を構成し、外部リスト データを取得する必要があるモジュールの情報を提供できます。
デフォルトでは、アプライアンスのこのモジュールに設定は存在しません。個別設定を追加し、ルール内からデータ
を取得する各外部リストへ構成する必要があります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[外部リスト]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
[名前]フィールドに、設定名を入力します。
4 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
5 [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
6
必要に応じて、その他設定パラメーターを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、設定が設定ツリーの[外部リスト]の下に表示されます。
8
[変更の保存]をクリックします。
外部リスト モジュール設定
外部リスト モジュール設定は、外部ソースからデータを取得するモジュールを構成するために使用されます。
データ ソースの種類
データが取得されるソースの種類の設定
ここで選択する内容に応じて表示される別のセクションでそれぞれのソースの種類に対する特定の設定を構成できま
す。
220
McAfee Web Gateway 7.6.2
Product Guide
リスト
外部リスト
8
表 8-5 データ ソースの種類
オプション
定義
[Web T[rX]
データは HTTP、HTTPS、または FTP プロトコルの下で Web サービスを使用して取得さ
れます。
[ディスクのファイル] データはローカル ファイル システム内のファイルから取得されます。
[LDAP]
データは LDAP サーバーから取得されます。
[データベース]
データは PostgreSQL または SQLite3 データベースから取得されます。
共通パラメーター
外部リンク処理のための時間制限の設定
表 8-6 共通パラメーター
オプション
定義
[処理のタイム 外部リストの処理を完了できなった場合に、処理を停止するまでの経過時間 (秒単位) を指定しま
アウト]
す。
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。たとえば、
Web サーバーがアプライアンスからの要求に応答しないときなどに、タイムアウトに達します。
タイムアウトの有効期限は次のように指定できます。
• [単純な有効期限] — これを選択すると、取得したリスト データが内部キャッシュから削除され
るまでの時間 (分) を [有効期限] 入力フィールドで指定できます
• [スケジュール設定された有効期限] — これを選択すると、外部リストが内部キャッシュから削
除されるまでの時間 (分) を表示される複数の入力フィールドで指定できます
[有効期限:]
取得したデータが内部キャッシュから削除されるまでの時間 (分) を指定値に制限します。
[分/時間/日/
月/平日]
取得したデータが内部キャッシュから削除されるまでの時間を指定値に制限します。
これらの入力フィールドはスケジュール設定された有効期限を選択したときに表示されます。
削除は cron ジョブにより計算され、実行されるため、入力は「cron」と互換性がなければなりま
せん。
詳細については、Linux (UNIX) オペレーティング システムのマニュアルの crontab (5) マン
ページを参考にしてください。
これらの値の 1 つまたは任意の数だけ組み合わせて値を指定できます。
データ変換設定
外部ソースから取得したデータを変換するための設定
これらの設定は、選択した[Web サービス]または[ディスクのファイル]をデータのソースとして選択しているときに
のみ使用できます。
McAfee Web Gateway 7.6.2
Product Guide
221
8
リスト
外部リスト
表 8-7 データ変換設定
オプション
定義
[データ タイプ]
変換されるデータの入力形式を選択できます。
以下から 1 つを選択できます。
• [ プレーン テキスト] — 元のメッセージをテキスト形式で添付してください
各行は変換されたリストで個別のエントリーとして表示されます。
任意に、以下の入力フィールドのフィルタリング用語として正規表現を指定することができま
す。この用語と一致する文字列のみ、リストに入力されます。
正規表現にグループ化演算子がない場合、完全な文字列がリストに保管されます。それ以外の
場合、最初のグループにより取得されたデータが保管されます。
• [XML] — 元のメッセージを XML 形式で添付してください
取得するデータを選択する XPath 式を指定する必要があります。たとえば、XML タグまたは
属性に従ってデータを取得できます。
[正規表現]
変換されたデータの取得に使用する正規表現が表示されます。
[データの種類]の[プレーン テキスト]を選択している場合に、このオプションが表示されます。
[XPath 式]
変換されたデータの取得に使用する XPath 式が表示されます。
[データの種類]の[XML テキスト]を選択している場合に、このオプションが表示されます。
XPath 式の使用法に関して、w3schools サイトで提供されている XPath のチュートリアル
など、適切な資料を参照してください。
[2 番目の属性の
XPath 式
(MapType の場
合のみ)]
マップ タイプ変換データの取得に使用する 2 番目の属性の XPath 式が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[XPath 式] フィールドの XPath 式で設定された最初の属性では、キーのデータが取得されま
す。
この XPath 式で外部リストから取得する項目数は、最初の属性の式で取得される項目数と一致
させる必要があります。
2 つの式で取得する項目の順番も一致させる必要があります。
Web サービス固有のパラメーター
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。
これらの設定は Web サービスが[データ ソースの種類]セクションで選択されているときに表示されます。
表 8-8 Web サービス固有のパラメーター
オプション
定義
[Web サービスの URL]
外部リストを含んでおり、特定の Web サービス (HTTP、HTTPS、または FTP) により
提供される Web サーバーのファイルの URL を指定します。
URL 内部のプレースホルダーを指定できます。
[認証データを指定する] 選択すると、認証の情報を指定できます。この認証に成功しないと、Web サービスから
データを取得できません。
[HTTP 認証のタイプ]
HTTP 認証の種類を選択するためのリストを提供します。
サポートされる種類は次のとおりです。なし、基本、ダイジェスト
[ユーザー名]
222
McAfee Web Gateway 7.6.2
認証のために送信するユーザー名を設定します。
Product Guide
リスト
外部リスト
8
表 8-8 Web サービス固有のパラメーター (続き)
オプション
定義
[ユーザーのパスワード] 認証のために送信するパスワードを設定します。
[設定] をクリックすると、パスワードの設定ウィンドウが開きます。
[サーバーへのアクセス
にネクスト ホップ プロ
キシを使用する]
これを選択すると、Web サーバーへのアクセスは、ネクスト ホップ プロキシ サーバー
を使用して行われます。
[使用するネクスト ホッ
プ プロキシ サーバーの
リスト]
Web サーバーにアクセスするために、ネクスト ホップ プロキシとして使用できるサー
バーのリストを選択するためのリストを提供します。
[証明機関のリスト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリスト
を選択するためのリストを提供します。
このチェックボックスを選択した後で、以下の 3 つの項目がアクセス可能になります。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[追加の HTTP ヘッダー
のリスト]
アプライアンスで受け取った後に HTTP 要求に追加するヘッダーを選択するためのリス
トを提供します。
次の表に[追加の HTTP ヘッダーのリスト]にあるエントリーを示します。
表 8-9 追加の HTTP ヘッダー - リスト エントリー
オプション
定義
[ヘッダー名]
HTTP 要求に追加するヘッダーの名前を指定します。
[ヘッダー値]
HTTP 要求に追加するヘッダーの値を指定します。
[コメント]
ヘッダーの平文テキストのコメントを提供します。
ファイル固有のパラメーター
外部リストのソースがローカル ファイルシステム内のファイルであるときに設定が適用されます。
これらの設定は[ディスクのファイル]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 8-10 ファイル固有のパラメーター
オプション
定義
[ファイルの完全パス] 外部リストのソース ファイルのローカル ファイル システム内でのパスが表示されます。
LDAP 固有のパラメーター
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
これらの設定は[LDAP]が[データ ソースの種類]セクションで選択されているときに表示されます。
McAfee Web Gateway 7.6.2
Product Guide
223
8
リスト
外部リスト
表 8-11 LDAP 固有のパラメーター
オプション
定義
[LDAP サーバーの
URL]
外部リストのソースであるローカル ファイル システムからのファイルの名前を指定します。
URL 内部のプレースホルダーを指定できます。
ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカ
ル ファイル システムの一部を指定できます。
ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりませ
ん。
[証明機関のリス
ト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリストを選
択するためのリストを提供します。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集するた
めのウィンドウを開きます
[ユーザー名]
LDAP サーバーに接続しようとするときにアプライアンスが送信するユーザー名を指定しま
す。
[LDAP パスワー
ド]
LDAP サーバーに接続しようとするときにアプライアンスが送信するパスワードを設定しま
す。
指定した[設定/変更]切り替えボタンを使用して、パスワードを設定または変更できます。
[検索 DN]
外部リストについて検索される LDAP サーバーのデータベースのドメイン名を指定します。
この名前の中でプレースホルダーを指定できます。
[検索範囲]
LDAP サーバーの外部リストの検索範囲を選択できます。
• [サブツリー] — 検索される[検索 DN]の下で指定されたドメインの完全なサブツリー。
• [1 レベル] — 検索される[検索 DN]の下で指定されたドメインの下の 1 レベルのみ。
• [基本] — 検索される[検索 DN]の下で指定された基本のドメインのみ。
[検索フィルター]
LDAP サーバーの外部リストの検索結果をフィルタリングする用語を指定します。
データベースのエントリーの名前がフィルタリング用語と一致している場合のみ、エントリー
が示す項目が取得されます。
この用語の中でプレースホルダーを指定できます。
[属性]
たとえば、電子メール アドレスなど、対象の検索結果である LDAP サーバーのデータベース
の項目の属性を指定します。
[2 番目の属性
(MapType のみ)]
LDAP サーバーのデータベース項目の 2 番目の属性が表示されます。この項目のデータがマ
ップ タイプ データの場合に検索結果が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[属性] フィールドで設定された最初の属性では、キーのデータが取得されます。
[LDAP バージョン
3 を有効にする]
これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
このオプションを無効にする場合、LDAP サーバーで通信するために使用されるエンコーディ
ングを指定する必要があります。
[LDAP バージョン 3 を有効にする]の選択を解除すると、この情報に対して以下の入力フィー
ルドが表示されます。
[LDAP ライブラリ
に参照に従うこと
を許可する]
224
リストを取得するために、外部リストに検索が行われる LDAP サーバーの外部の場所への参照
に従うことができます。
McAfee Web Gateway 7.6.2
Product Guide
リスト
外部リスト
8
データベース固有のパラメーター
外部リストのソースがデータベースであるときに適用される設定
これらの設定は[データベース]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 8-12 データベース固有のパラメーター
オプション
定義
[SQL クエリ]
データベースで実行されるクエリのタイプを表す文字列を指定します。
外部リスト情報の取得に使用されるクエリのデフォルトの種類は、SELECT です。
文字列の最後にセミコロン (;) を付けることができますが、これは必須ではありません。
クエリはまた、さまざまなデータを含むプレースホルダーを使用することもできます。
SQL インジェクションを防ぐため、$N プレースホルダーを使用すると、変数の値として挿入
されたデータがエスケープされます。円記号 (\) は円記号 2 つ (\\) に置換されます。アポス
トロフィ (') の前に円記号 (\) が付きます。
SQL クエリは、複数の列を返すクエリを実行する場合、通常 1 データ列を返し、最初のものだ
けが外部リストのコンテンツに使用されます。
いくつかの列からコンテンツを取得するためには、適切な SQL 演算子を使用して、出力するた
めの列の組み合わせを指定する必要があります。
[データベースの
タイプ]
外部リストのコンテンツが取得されるデータベースの種類を指定します。
以下の 2 種類が使用可能です。
• PostgreSQL
• SQLite3
データベースの種類を選択した後で、データベース固有のパラメーターがこのタイプに従って表
示されます。
表 8-13 PostgreSQL データベース固有のパラメーター
オプション
定義
[データベース ホスト]
データベースが常駐するサーバーのホスト名を指定します。
[データベース ポート]
外部リストの内容を取得するためのクエリを待機するデータベースのポートの
ポート番号を指定します。
デフォルトのポート番号は 5432 です。
[データベース サーバーのデータ データベース サーバーの下でわかっているデータベースの名前を指定します。
ベース名]
[データベース ユーザー名]
データベース サーバーに接続するアプライアンスのユーザー名を指定します。
[データベースのパスワード]
アプライアンスのユーザー名のパスワードを設定します。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
表 8-14 SQLite データベース固有のパラメーター
オプション
定義
[SQLite データベースへのファイル パス] データベースを含むアプライアンスのファイルへの完全パスを指定し
ます。
詳細パラメーター
外部リンク処理のための詳細な方法の設定
McAfee Web Gateway 7.6.2
Product Guide
225
8
リスト
外部リスト
表 8-15 詳細パラメーター
オプション
定義
[データ変換中に「不正」 選択すると、整数、倍精度、ブール値など、要求された種類に変換できないデータが省略
エントリーをスキップ] されます。
[取得するエントリーの 外部リストから取得するエントリーの数を指定値に制限します。
最大数]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
[取得するエントリーの 外部リストから取得するデータ量 (KB) を制限します。
最大サイズ]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
外部リストの全般設定の構成
アプライアンスでの使用のため取得するすべての外部リストに適用する設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[外部リスト]をクリックします。
外部リストの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
外部リスト システム設定
外部リスト システム設定は、アプライアンスで処理するすべての外部リストに適用されます。
グローバル構成
外部リスト データを保管するアプライアンスの内部キャッシュの設定
表 8-16 グローバル構成
オプション
定義
[外部リスト キャッシュ 内部キャッシュに保管されているデータを削除します。
のフラッシュ]
[失敗後の再試行までの
時間]
外部リスト モジュールが特定の外部ソースからのデータを取得することに失敗したこと
を記憶している時間(秒)を指定値に制限します。
このモジュールは、障害を記憶する限り、ソースに対する再試行を実行しません。
ネットワークの要件に従って、デフォルト値を維持するか、それを変更することをお勧め
します。
このようにして、すでに過負荷になっている Web サーバーに定期的に再試行することに
よって、負荷を追加しないで済みます。
226
McAfee Web Gateway 7.6.2
Product Guide
8
リスト
マップ タイプ リスト
ファイル データ ソースの構成
外部リスト データを取得できるローカル ファイル システムの設定
表 8-17 ファイル データ ソースの構成
オプション
定義
[ファイル データ アクセ ローカル ファイル システム内に外部リストを保管するためのフォルダーを指定するパ
スに許可されるファイル スを指定します。
システム]
データが取得される外部リストは、このフォルダーーに保管される必要があります。
それ以外の場合、データを取得しようとすると、アクセス拒否エラーとなります。
外部リスト データが SQLite データベースから取得されると、ここで指定されるパスは
データベースを含むローカル ファイル システム内のフォルダーーへのパスです。
Web データ ソースの構成
外部リスト データのソースであるすべての Web サービスの設定
表 8-18 Web データ ソースの構成
オプション
定義
[SSL 証明書の ID のチ これを選択すると、SSL セキュア コミュニケーションで Web サーバーが送信する証明
ェック]
書が検証されます。
アプライアンスで実施される SSL スキャニング ルールに従って検証が実行されます。
たとえば、Web サーバーが自己署名証明書を使用する場合にはエラーになる場合があり
ます。
マップ タイプ リスト
マップ タイプ リスト (マップ) を使用すると、相互に対応するキーと値の組み合わせを保存することができます。キ
ーと値は両方とも文字列タイプです。
既存のマップを参照すると、マップ上に特定のキーが存在するかどうか、またはどの値がキーに対応しているのか調
べることができます。
その他に、特定のキーに対して値の設定や削除を行ったり、マップ全体を 1 つの文字列に変換することができます。
Web Gateway のユーザー インターフェースでマップ タイプ リストを作成して、入力することができます。また、
外部リストと契約済みのリスト機能を使用して、リストをリモートから取得することもできます。
マップに他のデータ タイプ (数字、IP アドレスなど) を使用する場合、Number.ToString や IP.ToString など
のプロパティを使用してデータを変換することができます。
マップ タイプ リストを作成する
マップ タイプ リストを作成するには、このタイプのリストを追加し、キーと値の組み合わせを定義します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
リスト ツリーで [追加] アイコンをクリックします。
[リストの追加] ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
227
8
リスト
マップ タイプ リスト
3
マップ リストを追加します。
a
[名前] フィールドで、リスト名を入力します。
b
[タイプ] リストで、[マップ タイプ] を選択します。
c
[OK] をクリックします。
ウィンドウが閉じます。リスト ツリーで、[カスタム リスト] 、 [マップ タイプ] の順に移動すると、新しいマ
ップ タイプ リストが表示されます。
設定ペインでエントリを入力できます。
4
設定ペインで [追加] アイコンをクリックします。
[マップ タイプの追加] ウィンドウが開きます。
5
次のように、エントリを設定します。
a
[キー] フィールドで、キーの名前を入力します。
b
[値] フィールドで、値を入力します。
c
[OK] をクリックします。
ウィンドウが閉じます。設定ペインの先頭行にエントリのペアが表示されます。
6
[変更を保存] をクリックします。
プロパティによるマップ タイプ リストの操作
いくつかのプロパティは、マップ タイプ リストの操作に使用できます。これらのプロパティをルール条件で使用す
ると、マップ タイプ リストの情報を取得したり、リストの変更や作成、リストから文字列への変換を行うことがで
きます。
マップ タイプ リスト (マップ) に関する情報を取得する場合、次の操作を実行できます。
•
名前を指定してマップを取得する
•
マップ内のキーのリストを取得する
•
特定のキーがマップに存在するかどうかを確認す
る
•
マップ内の特定のキーの値を取得する
•
マップ内のキーと値の組み合わせの数を確認する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.ByName
指定した名前のマップを提供します。
Map.HasKey
指定したマップに指定したキーが存在する場合 true になります。
Map.Size
マップ内のキーと値の組み合わせの数を提供します。
Map.GetKeys
マップ内のキーのリストを提供します。
Map.GetStringValue
指定したマップの指定したキーの値を表す文字列を提供します。
たとえば、ルールの条件で Map.GetStringValue プロパティを使用すると、特定の値を含むキーがリストにある
かどうか確認できます。キーはユーザー名で、値の文字列は認証でトークンとして使用されます。
条件を次のように設定します。
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
sampleuser キーの値が sampletoken の場合、条件を満たし、特定のアクション (続行 など) が実行されます。
228
McAfee Web Gateway 7.6.2
Product Guide
リスト
マップ タイプ リスト
8
マップを変更すると、元のマップのコピーに変更が適用され、元のマップは変更されません。これにより、次の操作
を行うことができます。
•
キーに特定の値を設定する
•
キーを削除する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.SetStringValue
指定したキーに指定した値が設定されているマップを提供します。
Map.DeleteKey
指定したキーが削除されたマップを提供します。
新しいマップを作成したり、マップを文字列に変換する場合には、次のプロパティを使用します。
プロパティ
説明
Map.CreateStringMap
空の新しいマップを提供します。
Map.ToString
文字列に変換されたマップを提供します。
外部リストと購読リストを使用したマップ データの取得
マップ タイプ リスト (マップ) のデータは、外部リストと購読リストから取得できます。
外部リスト
外部リストからマップ データを取得するには、ルールの条件で ExtLists.StringMap プロパティを使用します。
このプロパティには、外部リストをソースとするマップのリストが設定されています。
たとえば、外部ソースから取得するリストに特定のキーが含まれているかどうか確認する場合、以下の条件を設定し
ます。
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
外部リストと取得場所を指定するには、取得を実行する外部リスト モジュールを設定する必要があります。前述の条
件では、この設定は External Lists に指定します。
外部リスト データは、Web サービス、ファイル、PostgreSQL、SQLite3 データベース、LDAP から取得できます。
マップ データの取得元を設定する場合、ソース タイプについて以下の点に注意してください。
•
Web サービスまたはファイル
Web サービスまたはファイルから取得する場合、データの種類は Plain Text にする必要があります。
データを検索する場合、2 つの部分から構成される正規表現を使用します。最初の部分がキー、2 番目が値です。
•
データベース
データを取得するデータベース クエリでは、2 つの列を照会する必要があります。最初の列はキー、2 番目の列
は値です。
•
LDAP
データを取得するには、LDAP 設定の最初の属性と 2 番目の属性を設定します。最初の属性はキー、2 番目の属
性は値です。
McAfee Web Gateway 7.6.2
Product Guide
229
8
リスト
共通カタログ
購読リスト
マップ データを取得する購読リストの項目は次の形式にする必要があります。
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
listEntry 要素に complexEntry が含まれています。これにより、購読リスト モジュールがこの形式を処理でき
るようになります。
共通カタログ
共通カタログでは、McAfee ePO サーバーから Web Gateway アプライアンスにプッシュできるリストが提供され
ます。
IP アドレス、ドメイン名、文字列、ワイルドカードなどのリストをプッシュできます。
Web Gateway アプライアンスのリストの内容は変更しないでください。このコンテンツは、McAfee ePO サーバー
との間で更新されます。これらの更新により、適用済みの変更が上書きされます。
リストの転送を行うため、両方のシステムで REST (Representational State Transfer) インターフェースが実行さ
れます。また、Web Gateway の McAfee ePO 拡張ファイルが McAfee ePO サーバーで実行されている必要があり
ます。
この拡張ファイルには、拡張ファイルの使用方法を説明するヘルプの拡張ファイルも含まれます。拡張パッケージは、
[ePolicy Orchestrator] システム設定で Web Gateway のユーザー インターフェースに適用されます。
McAfee ePO サーバーからの要求を Web Gateway の Web セキュリティ ルールでフィルタリングされないよう
にするには、ライブラリから適切なルール セットをインポートし、ルール セット ツリーの先頭に配置して有効にす
る必要があります。
また、リスト転送の処理を許可するアプライアンスにインスタンスが必要なため、McAfee ePO ユーザー アカウン
トをセットアップする必要があります。このアカウントをセットアップするには、[ePolicy Orchestrator] のシステ
ム設定を使用します。
McAfee ePO アカウントのユーザーは、内部の Web Gateway 管理者アカウントの中でも管理者として表示されま
す。
共通カタログのリストが Web Gateway にプッシュされると、ユーザー インターフェースの [リスト] タブに表示
されます。リスト名には、McAfee ePO サーバーから取得したリストであることを示すプレフィックスが付いていま
す。
これらのリストを使用して、[リスト] タブのほかのリストのようなルールを構成できます。
共通カタログ リストの使用を準備する
McAfee ePO サーバーから Web Gateway アプライアンスにプッシュされる共通カタログ リストの使用を準備す
るには、次の手順に従います。
タスク
230
1
Web Gateway で McAfee ePO ユーザーのアカウントをセットアップします。
2
Web Gateway で、同じユーザー名とパスワードを使用して管理者アカウントをセットアップします。
3
Web Gateway での REST インターフェースの使用を可能にします。
McAfee Web Gateway 7.6.2
Product Guide
リスト
共通カタログ
8
4
Web Gateway のユーザー インターフェースでライブラリから「ePO 要求を迂回」ルール セットをインポート
します。このルール セットをルール セット ツリーの最上位に移動し、有効にします。
5
Web Gateway の McAfee ePO 拡張パッケージをダウンロードし、McAfee ePO サーバーにインストールしま
す。
6
McAfee ePO サーバーのユーザー インターフェースで、Web Gateway が稼動しているアプライアンスを指定
し、Web Gateway と通信を行う新しいサーバーを登録します。
約 15 分後、Web Gateway で処理された Web トラフィックのデータがユーザー インターフェースのダッシュ
ボードに表示されます。
7
McAfee ePO サーバーから Web Gateway にリストをプッシュします。
Web Gateway にプッシュしたリストがユーザー インターフェースのリスト ツリーに表示されます。
McAfee ePO 拡張パッケージのインストールと McAfee ePO サーバーでの操作については、McAfee ePO のマニュ
アルを参照してください。
共通カタログ リストのユーザー アカウントのセットアップ
共通カタログ リストを使用するには、Web Gateway で McAfee ePO ユーザー アカウントをセットアップし、リ
ストの転送を行うインスタンスを作成する必要があります。
タスク
1
[構成] 、 [ePolicy Orchestrato]を選択します。
2
[ePolicy Orchestrator の設定] で、ユーザー アカウントを設定します。
a
[ePO ユーザー アカウント] フィールドで、事前に設定されている値 (epo) を使用します。
b
[パスワード] フィールドの横にある [変更] をクリックします。
[新しいパスワード] ウィンドウが表示されます。
c
ウィンドウのオプションを使用して、新しいパスワードを設定します。
3
[ePO のデータ収集を有効化]]が選択されていることを確認します。
4
[変更の保存]をクリックします。
設定した McAfee ePO アカウントのユーザー名が Web Gateway の管理者アカウントとして表示されます。
共通カタログ リストに管理者アカウントをセットアップする
共通カタログ リストを使用するには、McAfee ePO のユーザー アカウントと同じ名前とパスワードを使用して、
Web Gateway に管理者アカウントをセットアップする必要があります。
タスク
1
[アカウント] 、 [管理者アカウント] の順に選択します。
2
[内部管理者アカウント] で、[追加] をクリックします。
[管理者の追加] ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
231
8
リスト
共通カタログ
3
共通カタログ リストを使用する管理者アカウントをセットアップします。
a
[ユーザー名] フィールドに epo と入力します。
b
[パスワード] フィールドと [パスワードの確認] フィールドに、ePO ユーザーのユーザー アカウントをセッ
トアップしたときに設定したパスワードを入力します。
c
[ロール] リストで、[ePO 共通カタログ管理者] を選択します。
d
[編集] をクリックして、ロールの現在の設定を確認します。
[ロールの編集]ウィンドウが表示されます。必要に応じて、以下の設定を有効にします。
e
•
[ポリシー - リストにアクセス可能 ]
•
[ポリシー - リストの作成 ]
•
[REST インターフェースにアクセス可能 ]
[OK] をクリックします。
ウィンドウが閉じて、新しい管理者アカウントが [内部管理者アカウント] に表示されます。
この管理者アカウントは、McAfee ePO ユーザーのユーザー アカウントと一緒に Web Gateway のインスタンスと
して機能し、McAfee ePO サーバーからのリスト転送の処理で必要になります。
共通カタログ リストでの REST インターフェースの使用を有効にする
McAfee ePO サーバーに接続して共通カタログ リストを取得する場合、Web Gateway で内部 REST
(Representational State Transfer) インターフェースを有効にする必要があります、
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、共通カタログ リストを転送するアプライアンスを選択し、[ユーザー インターフェー
ス] をクリックします。
3
[UI アクセス] で、[HTTP 接続で REST インターフェースを有効にする] と [HTTPS 接続で REST インターフ
ェースを有効にする] の両方を選択します。
4
[ログイン ページ オプション] で、[1 つのログイン名で複数のログインを許可する] を選択します。
5
[変更を保存] をクリックします。
McAfee ePO サーバーに Web Gateway を登録する場合の設定例
共通カタログ リストを Web Gateway アプライアンスに転送するには、McAfee ePO サーバーでアプライアンスを
新しいサーバーとして登録する必要があります。
以下に、この登録を行う場合の設定例を示します。
232
オプション
サンプル値
[サーバーの種類]
McAfee Web Gateway 7
[名前]
mwg7-3.sample-lab.local
[メモ]
(オプション)
[ホスト名]
mwg7-3.sample-lab.local
[ホスト アドレス]
171.18.19.226
McAfee Web Gateway 7.6.2
Product Guide
リスト
JavaScript Object Notation データ
8
オプション
サンプル値
[管理ポート ]
4712
[統計取得ポート]
9090
[ユーザー名 (ホスト GUI への
アクセス) ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
ユーザー名または現在のユーザー名>
[パスワード ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
パスワードまたは現在のパスワード>
[ユーザー名 (統計取得とリスト
管理) ]
epo
[パスワード]
<ePO ユーザーや Web Gateway の管理者アカウントと同じパスワード>
[オプション]
[このシステムのリストを ePO で管理する] (有効)
Web Gateway のユーザー インターフェースにアクセスする場合の初期のユーザー名とパスワードは、それぞれ
admin と webgateway です。
JavaScript Object Notation データ
Web Gateway では、JavaScript Object Notation (JSON) 形式でエンコードされたデータの読み取り、変更、作
成を行うことができます。
JavaScript Object Notation は、テキスト ベースのデータ交換フォーマットです。JavaScript で読み取りが可能
ですが、この言語の使用とは関係ありません。このフォーマットは、対話型の Web サイトとの通信や、NoSQL や
ドキュメント指向データベース (MongoDB、Couch DB など) との通信に使用されます。
JSON ベースのプログラミング インターフェースは、Facebook や Twitter などの有名なソーシャル ネットワーク
でも使用されています。
®
Web Gateway では、McAfee Advanced Threat Defense (Advanced Threat Defense) が提供したスキャン レ
ポートなどで JSON データを使用しています。外部ソースから取得し、Web Gateway で処理されたリストも
JSON データ形式で記述されます。
JSON データ
JSON データはオブジェクトとして使用できます。JSON オブジェクトは、文字列や数値など、同じまたは異なる通
常のデータ型を含むコンテナーです。
JSON オブジェクトの基本構造は次のようになります。
object:{"key": value,
"key": value, ...}
例:
Employee:{"First name":"Joe",
"Last name":"Miller",
"Age":32}
JSON 要素の値は、文字列、数値、ブール値、NULL のいずれかのデータになります。
JSON オブジェクトに配列が含まれている場合もあります。
object:{"key": value,
"key": value,
array:[value, value,
...]}
例:
Employee:{"First name":"Joe",
McAfee Web Gateway 7.6.2
"Last Name":"Miller",
"Children":[Ian, Lisa]}
Product Guide
233
8
リスト
JavaScript Object Notation データ
本来の JavaScript Object Notation では、階層データ構造の最上位でオブジェクトと配列以外は使用できません。
Web Gateway でサポートするときに、単純な要素も最上位で使用できるようになりました。
JSON オブジェクトが他の JSON オブジェクトに埋め込まれている場合もあります。
JSON データを処理するプロパティの使用
Web Gateway で JSON データの読み取り、変更、作成を行うために、いくつかのプロパティを使用することがで
きます。
たとえば、JSON.FromString プロパティを使用すると、文字列から JSON 要素を作成できます。この文字列は、
プロパティのパラメーターとして指定します。JSON.FromString("Miller") は、"Miller" という文字列を JSON
要素の値として渡します。
JSON オブジェクトの作成には JSON.CreateObject プロパティを使用します。初期状態では、このオブジェクト
は空です。オブジェクト内に JSON 要素を格納するには、両方の項目に名前を付けて指定する必要があります。
オブジェクト名はユーザー定義のプロパティで設定します。
たとえば、User-Defined.myjsonemployee という名前でユーザー定義のプロパティを作成して、ルール内の
イベントを使用し、JSON.CreateObject プロパティの値を渡すことができます。
名前
ユーザー定義のプロパティとして JSON オブジェクトを作成する
条件
Always
アクション
–>
Continue
イベント
– Set User-Defined.myjsonemployee = JSON.CreateObject
空の JSON オブジェクト User-Defined.myjsonemployee に値を挿入するには、JSON.StoreByName プ
ロパティを使用します。このプロパティでは、パラメーターとしてオブジェクト名、要素キー、要素の値を指定しま
す。
たとえば、以下の例では、"Last name" というキーと "Miller" という値を持つ要素をオブジェクトに保存していま
す。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", JSON.FromString("Miller"))
オブジェクトに要素を保存する場合、より簡単な方法で保存することもできます。
•
JSON.StoreByName プロパティを使用する前に、オブジェクトを作成する必要はありません。
プロパティのパラメーターとしてオブジェクト名を指定したときに、オブジェクトが存在しないと、指定した名
前でオブジェクトが作成されます。
•
要素値を取得するために、JSON.FromString プロパティを使用する必要はありません。
文字列を直接指定して、この値を作成できます。JSON 要素の値に格納できる他のデータ型も同様の方法で作成
できます。
以下の方法でもオブジェクトに要素が保存されます。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", "Miller"))
JSON プロパティのグループ
同じ種類のデータの処理を行うという点で、多くの JSON プロパティは他のプロパティと類似しています。
JSON.FromString などの JSON.From<x> プロパティは、単純なデータ型を値に持つ JSON 要素を渡します。こ
のデータ型の値は、JSON プロパティのパラメーターとして指定されます。
234
McAfee Web Gateway 7.6.2
Product Guide
8
リスト
JavaScript Object Notation データ
以下では、JSON プロパティの中で重要なグループについて説明します。
•
JSON.From<x> = 単純なデータ型の値を持つ JSON 要素を渡します。
プロパティ: JSON.FromString、JSON.FromNumber、JSON.FromBool、JSON.FromStringList、
JSON.FromNumberList
•
JSON.As<x> = JSON 要素の値を単純なデータ型で渡します。
このグループのプロパティは、JSON.From<x> プロパティとは逆の処理を行う場合に使用されます。
これらのプロパティを使用するには、JSON 要素の形式が単純なデータ型と一致している必要があります。
たとえば、JSON.AsString プロパティは、JSON 要素の値が (JSON) 文字列の場合にのみ文字列を渡します。
プロパティ: JSON.AsString、JSON.AsNumber、JSON.AsBool
•
JSON.Create<x> = JSON オブジェクト、配列、要素値 0 を作成します。
プロパティ: JSON.CreateObject、JSON.CreateArray、JSON.CreateNull
•
JSON.Get<x> = オブジェクト内または要素のデータ型から JSON 要素を生成します。
JSON.GetByName は JSON オブジェクトでキーに一致する要素を取得します。
JSON.GetAt は JSON 配列内の位置に一致する要素を取得します。
JSON.GetType は要素のタイプを取得します。
フィルタリング ルールでの JSON プロパティの使用
JSON.ToString プロパティは、JSON 要素の値を文字列形式に変換します。
たとえば、このプロパティは、特定のクライアントの IP アドレスをホワイトリストに追加する単純なリストで使用
できます。
このルールでは、特定のクライアント IP アドレスをホワイトリストに追加するクライアント IP アドレスと比較し、
両方のアドレスが一致するかどうか確認します。
名前
JSON 要素値で提供されたクライアント IP アドレスを許可する
条件
アクション
Client.IP equals String.ToIP(JSON.ToString(User-Defined.myjsonipaddress)) –> StopCycle
ホワイトリストに追加するクライアント IP アドレスは、ユーザー定義プロパティの
User-Defined.myjsonipaddress の値で渡します。
JSON.ToString プロパティは、この値を文字列形式に変換します。String.ToIP プロパティは、この文字列を IP ア
ドレスに変換し、ルールの先頭にある Client.IP プロパティに指定された値と一致するかどうか比較します。
UserDefined.myjsonipaddress プロパティを同じルールで使用するには、このプロパティを JSON データ形式で
作成し、ホワイトリストに追加するアドレスを値として設定する必要があります。
値を確認するには、次のように同じルールで別のイベントを使用します。
名前
JSON タイプのユーザー定義プロパティの値をクライアント IP アドレスに設定する
条件
アクション
McAfee Web Gateway 7.6.2
イベント
Product Guide
235
8
リスト
JavaScript Object Notation データ
Always –> Continue
– Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
ルール イベントの JSON.FromString プロパティが、プロパティ パラメーターで文字列として指定されたクライア
ント IP アドレスを JSON 要素の値に変換します。
Advanced Threat Defense レポートからの JSON データの取得
Web Gateway で Advanced Threat Defense がルールによって呼び出され、Web オブジェクトをスキャンする
と、スキャン結果が Antimalware.MATD.Report プロパティの値として保存されます。
この結果は文字列として提供されますが、この文字列には JSON スタイルで配列の要素となる項目が含まれていま
す。この項目は、JSON.ReadFromString プロパティを使用すると、JSON 要素に変換できます。このプロパティ
は、AntiMalware.MATD.Report プロパティをパラメーターとして使用します。
JSON 要素は、ユーザー定義プロパティの値として設定できます。
これらのプロパティを使用するルールは次のようになります。
名前
JSON タイプのユーザー定義プロパティの値を Advanced Threat Defense レポートに設定する
条件
アクション
Always –> Continue
イベント
– Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
たとえば、JSON.GetByName プロパティを使用して結果のデータを取得し、ログ ファイルに書き込むことができ
ます。
名前
Advanced Threat Defense レポートから取得した JSON データをログ ファイルに書き込む
条件
アクショ
ン
イベント
Always – Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
このルールのイベントで、"Summary" は、スキャン結果のデータを値として持つ JSON 要素のキーになります。
このキーと値は、JSON オブジェクトの Antimalware.MATD.Report プロパティの値として保存されます。
JSON オブジェクトの構造は次のようになります。
いくつかの埋め込みオブジェクトが存在します。要素キーは、レポートで実際に使用されているものですが、値はサ
ンプルです。
Report:{"Summary":{"Selectors":[{"Engine":"GAM engine", "MalwareName":"EICAR test file",
"Severity":"5" }], "Verdict":{"Severity":"5", "Description":"Subject is malicious" },
"Stats":
[{"ID":"0", "Category":"Persistence, Installation Boot Survival",
"Severity":"5" }] }
JSON データ形式での外部リストの取得
外部ソースから取得したリストで JSON データを処理するには、Ext.Lists.JSON プロパティを使用します。外部
リストを取得すると、リストのコンテンツは JSON 要素になり、このプロパティに値が保存されます。
他の外部リスト プロパティと同様に、Ext.Lists.JSON は文字列形式の 3 つのパラメーターを使用し、外部ソース
の識別に使用します。
236
McAfee Web Gateway 7.6.2
Product Guide
9
設定
設定は、Web Gateway でモジュール (エンジン)、ルール アクション、システム機能を設定する場合に使用されま
す。
設定名はユーザー インターフェースの様々な場所で表示されます。たとえば、ルールの条件、アクション、イベント
の他、[設定] タブや [アプライアンス] タブにも表示されます。
設定名をクリックすると、パラメーターと値にアクセスし、設定を行うことができます。
アプライアンスの初期セットアップでは、アクション設定のルール セットとアプライアンスの設定が実装されます。
ルール セット ライブラリからルール セットをインポートすると、追加モジュールとアクション設定が実装されま
す。
最初に実装またはインポートされた設定を確認し、変更することができます。モジュールとアクション設定を完全に
削除し、独自のモジュールとアクション設定を作成することもできます。
目次
設定のタイプ
設定タブ
アクセスの設定
アクションおよびモジュール設定の作成
設定のタイプ
異なる種類の設定がルールの処理やアプライアンスのその他の機能と共に使用されます。
•
モジュール設定 — プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジ
ュール (エンジンとも呼ばれる) の設定
•
アクション設定 — ルールで実行されるアクションの設定
•
システム設定 — アプライアンスのシステム設定
モジュール設定
モジュールの設定では、プロパティの値を設定したり、他のジョブを実行するためにルールが呼び出すモジュール
(エンジンともいいます) の設定を行います。
たとえば、URL フィルター モジュールは、フィルタリング ルールの URL.Categories プロパティの値を配布するた
めに URL カテゴリーの情報を取得します。
ルールでは、ルールにより呼び出されるモジュールの設定名がルール プロパティの隣に表示されます。たとえば、ウ
イルスとマルウェア フィルタリングのルールでは、Gateway Antimalware を Antimalware.Infected の隣
に設定名として表示できます。
McAfee Web Gateway 7.6.2
Product Guide
237
9
設定
設定のタイプ
このことは、マルウェア対策モジュールが呼び出され、値 true または false がプロパティに対して配布されると、
モジュールは Gateway Antimalware 設定で実行されます。たとえば、この設定により、感染について Web オ
ブジェクトをスキャンする際にどの方法を使用するかが決定します。
これらのルールのモジュール設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
アクションの設定
アクションの設定は、ルールにより実行されるアクションに対する設定です。
これらは主に、ブロックや認証などのルール アクションの影響を受けるユーザーに送信されるメッセージを指定する
ために構成されます。ユーザーに影響を与えないアクション、たとえば「ルール セットの続行」や「停止」には設定
がありません。
これらのルールの設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
システム設定
システム設定は、アプライアンス システムの設定、たとえば、ネットワーク インターフェースの設定またはドメイ
ン名サーバーの設定です。
これらの設定は、[構成]最上位メニューの[アプライアンス]タブでアクセスすることができます。
これらの設定を変更できますが、、新しい設定を作成することはできません。
238
McAfee Web Gateway 7.6.2
Product Guide
設定
設定タブ
9
設定タブ
[設定] タブで、アクションとモジュール (エンジン) の設定を行います。
図 9-1
設定タブ
[設定] タブの主要要素
以下の表で、[設定]タブの主要な要素について説明します。
表 9-1 [設定] タブの主要要素
要素
説明
設定ツールバー
アクションとモジュール (エンジン) を設定するコントロール
設定ツリー
アクションとモジュール (エンジン) を表示するツリー構造
設定
現在選択されているアクションまたはモジュール (エンジン) のパラメーターと値
設定ツールバー
設定ツールバーでは、次のオプションが提供されています。
表 9-2 設定ツールバー
オプション
定義
[追加 ]
設定を作成するための[設定の追加]ウィンドウが表示されます。
[編集]
既存の設定を編集するための[設定の編集]ウィンドウを開きます
McAfee Web Gateway 7.6.2
Product Guide
239
9
設定
アクセスの設定
表 9-2 設定ツールバー (続き)
オプション
定義
[削除]
選択した設定を削除します。
削除を確認するためのウィンドウが開きます。
[すべて展開]
設定ツリーで折りたたまれているすべての項目を展開します
[すべて折りたたむ]
設定ツリーで展開されているすべての項目を折りたたみます
アクセスの設定
[設定]タブの設定にアクセスするか、ルールの設定名をクリックできます。システム設定にアクセスするため、[構
成]トップレベル メニューの[アプライアンス] タブで作業する必要があります。
タスク
•
240 ページの「設定タブのアクションおよびモジュール設定にアクセスする」
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
•
240 ページの「ルールのアクションおよびモジュール設定へのアクセス」
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスでき
ます。
•
241 ページの「システム設定へのアクセス」
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
設定タブのアクションおよびモジュール設定にアクセスする
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[アクション] または [エンジン] ブランチに移動し、作業する設定にアクセスします。
3
この設定を選択するには、次のいずれかを実行します。
•
[アクション] ブランチで、アクションをクリックして展開し、アクセスするアクションを選択します。
•
[エンジン] ブランチで、モジュール(エンジンとも呼ばれている)をクリックして展開し、アクセスするモジ
ュールを選択します。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
ルールのアクションおよびモジュール設定へのアクセス
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスする設定のルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
240
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.6.2
Product Guide
設定
アクションおよびモジュール設定の作成
4
9
アクセスする設定のルールで、設定名をクリックします。
•
モジュール設定にアクセスするルール条件で
•
アクション設定にアクセスするルール アクションで
[設定を編集]ウィンドウが選択した設定とともに開きます。
この設定で作業できます。
システム設定へのアクセス
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、設定名をクリックします。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
アクションおよびモジュール設定の作成
モジュールとアクションの設定を作成できます。
これらの設定を作成する場合、完全に新しいものを作成するのではなく、新しい名前を付けて必要に応じて変更する
既存の設定を使用します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
新しい設定で使用する項目を選択するには、次のいずれかの方法で行います。
•
設定ツリーで、これらの設定を選択し、[追加]をクリックします。
選択された設定のパラメーターと値とともに、[設定の追加]ウィンドウが開きます。
•
[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
ウィンドウの[設定]ペインから設定を選択します。
これらの設定のパラメーターおよび値が設定パネルに表示されます。
3
[名前]フィールドで、新しい設定名を入力します。
4
(オプション) [コメント] フィールドで、設定の平文コメントを入力します。
5
必要に応じて、既存の値を変更します。
6
(オプション) [権限] タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
241
9
設定
アクションおよびモジュール設定の作成
242
McAfee Web Gateway 7.6.2
Product Guide
10
認証
アプライアンスでユーザーの「フィルタリング」ができます。つまり、認証できるユーザーのみに Web アクセスを
許可することが可能という意味です。
認証はデフォルトによ実施されませんが、事前定義された認証セットが存在し、それを使用することができます。
施行できる認証のタイプには、以下のものがあります。
•
標準認証 — HTTP、HTTPS、または FTP などの標準プロトコルの下で、Web アクセスに対してリクエストを送
信するユーザーの認証を構成できます。
デフォルト ルール セット システムの認証ルール セットが有効なときに、ユーザー情報はデフォルトで、内部ユ
ーザー データベースから取得されます。
この設定を変更して、NTLM、LDAP、Kerberos、およびその他など、別の方法を設定できます。
•
インスタント メッセージング認証 — Yahoo、Windows Live Messenger、ICQ、その他などのインスタント メ
ッセージング プロトコルの下で、Web アクセスに対してリクエストを送信するユーザーの認証を構成できます。
管理者アカウントとロールをセットアップし、維持することにより、アプライアンスへの管理者アクセスを制御する
こともできます。
目次
ユーザーの認証
LDAP ダイジェスト認証
認証の構成
認証モジュールの構成
認証設定
異なる認証方法の実装
認証を構成するためのシステム設定の使用
ベスト プラクティス - 配備タイプに合わせた認証の設定
ベスト プラクティス - LDAP 認証の設定
インスタント メッセージング認証
ワンタイム パスワード
クライアント証明書認証
管理者アカウント
McAfee Web Gateway 7.6.2
Product Guide
243
10
認証
ユーザーの認証
ユーザーの認証
ネットワーク上のユーザーを認証することにより、正しく認証されていないユーザーの Web アクセスを防ぐことが
できます。認証プロセスでは、ユーザーの情報を探します。たとえば、内部データベースや Web サーバーで、アク
セスをブロックまたは許可します。
このプロセスでは、機能の異なる複数の要素が実行されます。
•
認証ルールがプロセスを制御します。
•
ルールが呼び出した認証モジュールは、データベースからユーザーに関する情報を取得します。
初期セットアップ後、デフォルトでは、Web Gateway に認証プロセスが実装されません。このプロセスを実装する
には、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリシーの要
件に従ってプロセスを変更します。
認証を設定する場合、次のルールを使用できます。
•
ルールのキー要素 - 認証用のライブラリ ルール セットをインポートして、このセットをルール セッ
ト ツリーでクリックすると、認証プロセス ルールのキー要素を表示し、設定することができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、認証プロセスのルール
をすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルールの削除
を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
認証ルール
認証ルールには通常、認証に失敗したユーザーからの要求を認証してブロックするようなルールが用意されています。
これにより、認証前のユーザーに質問を行うことができます。
また、ホワイトリスト ルールを使用すると、要求を送信したユーザーの認証をスキップすることもできます。この操
作が可能かどうかは、要求の送信者または送信元の IP アドレスによって変わります。
異なる認証方法 (IM、Cookie 認証) のルールが存在するルール セットは、ルール セット ライブラリで使用できま
す。
認証モジュール
認証モジュールは、認証 (エンジン) ともいわれます。データベースからユーザーに関する情報を取得します。ルー
ルが呼び出したモジュールの場合、ユーザーが Web オブジェクトへのアクセス要求を行うには、ユーザーが認証を
受けている必要があります。
この情報を取得するために、異なる方法が使用されます。
•
[NTLM] -Windows ドメイン サーバー上のデータベースを使用します。
•
[NTLM Agent] - NTLM 認証方法を適用するために、Windows ベースのシステムの外部エージェントを使用し
ます。
•
[ユーザー データベース] - アプライアンス上の内部データベースを使用します。
デフォルトのルール セットが有効になると、このアクセス方法がデフォルトで使用されます。
•
244
[LDAP] - LDAP ドメイン サーバー上のデータベースを使用します。
McAfee Web Gateway 7.6.2
Product Guide
認証
LDAP ダイジェスト認証
10
•
[Novell eDirectory] - LDAP サーバーのロールを担うサーバー上のディレクトリからデータを取得し、使用し
ます。
•
[RADIUS] - RADIUS サーバー上のデータベースを使用します。
•
[Kerberos] - Kerberos サーバー上のデータベースを使用します。
•
[認証サーバー] - 別の外部サーバーでデータベースを使用します。
認証情報を指定して認証プロセスの他のパラメーターを設定する場合、認証モジュールを設定できます。
LDAP ダイジェスト認証
[LDAP] 認証方法をベースにする LDAP ダイジェスト認証は、認証プロセスの両側 (Web Gateway クライアントの
ブラウザーから Web アクセスを要求するユーザーと Web Gateway) で認識されている共有秘密鍵を使用します。
Web Gateway は、自身のプロキシ機能で要求を受信して認証を有効にし、設定済みの Web セキュリティ ポリシー
に従ってフィルタリングを実行します。
基本認証などの簡単な認証方法とは異なり、ブラウザーから Web Gateway にパスワードが直接送信されることは
ありません。パスワードは、認証プロセスの両側が認識している共有秘密鍵の一部に組み込まれています。
ハッシュ値は、共有秘密鍵とクライアント側の追加パラメーターで計算され、Web Gateway に転送されます。ここ
で、共有秘密鍵を使用してハッシュ値を再計算し、結果が一致しているかどうかを確認します。一致している場合、
ユーザーが認証されます。
クライアントから Web Gateway に転送されるハッシュ値はダイジェストとともいいます。Web Gateway は、ハ
ッシュの再計算に必要な共有秘密鍵を LDAP サーバーから取得します。
LDAP ダイジェスト認証に必要なハッシュ値の計算
Web Gateway との認証プロセスで LDAP ダイジェスト認証を実行すると、ハッシュの計算に MD5 が使用されま
す。
クライアントがハッシュを送信する前に、Web Gateway がいわゆる Nonce (number only once) を含む認証要
求をクライアントに送信します。この番号は Web Gateway でランダムに生成される番号で、ハッシュの再計算で
使用される共有秘密鍵以外に使用されるパラメーターの 1 つになります。
ハッシュ計算に使用されるパラメーターは次のとおりです。
•
ユーザー名 (共有秘密鍵の一部)
•
Nonce
•
領域名 (共有秘密鍵の一部)
•
クライアントから送信された HTTP 要求
•
パスワード (共有秘密鍵の一部)
•
要求された宛先の URL
Web Gateway での LDAP ダイジェスト認証の設定
Web Gateway で LDAP ダイジェスト認証を行うには、次の条件を満たしている必要があります。
•
LDAP 認証が、Web Gateway の全般的な認証方法として設定されている必要があります。
•
これらの設定は、Web Gateway の共通プロキシ設定で行います。この名前が共有秘密鍵に含まれている必要が
あります。
McAfee Web Gateway 7.6.2
Product Guide
245
10
認証
認証の構成
•
LDAP ダイジェスト認証では次のパラメーターを設定する必要があります。
•
LDAP ダイジェスト認証の有効化
•
LDAP サーバーで認証ハッシュを保存する属性の名前
•
Nonce が使用できる最大回数
•
Nonce が使用できる最長時間
また、次のことが可能です。
•
現在の設定で認証方法として LDAP ダイジェスト認証だけを許可する
他の認証設定を行うときに、他の認証方法も許可することができます (たとえば、[ユーザー データベース] と基
本認証)。
•
クライアントがハッシュ計算用のパラメーターとして URL に検査を実行する
URL は、このクライアントが Web 上の特定の宛先に対して送信したアクセス要求の URL と同じでなければなり
ません。URL が違う場合、同じハッシュ値でダイジェスト認証に成功した後で、要求していない宛先に対するア
クセスが許可される可能性があります。この場合、URL が異なる検査の結果であるため、要求がブロックされま
す。
クライアントでこの情報を送信するブラウザーが別の URL 形式を使用しているため、2 つの URL が実際には同
じものであっても検査に失敗する可能性があります。したがって、URL の検査はオプションです。
共有秘密鍵の領域名は [Common Authentication Parameters] に保存されます。[認証] の先頭にある各認証方
法で使用できます。
LDAP ダイジェスト認証のパラメーターは、[認証] モジュール (またはエンジン) の設定段階で Web Gateway に設
定されます。
これらの設定の最初で全般的な認証方法として LDAP を選択すると、LDAP 固有のパラメーターの後に [Digest
Authentication] という名前が表示されます。
関連トピック:
247 ページの「認証設定」
認証の構成
認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
デフォルト ルール セット システムの認証と許可ルール セットを有効にします。
2 「ユーザー データベースで認証」ネスト ルール セットを確認する
このルール セットは、認証されていないユーザーを認証するための単一のルールを含んでいます。
ルール条件は、認証モジュールの設定を含んでおり、ユーザー データベース認証の使用方法を指定します。これ
は、ユーザーの認証情報が、アプライアンスの内部情報から取得されるということです。
3
246
必要に応じて、デフォルトのルール セットを変更します。
McAfee Web Gateway 7.6.2
Product Guide
認証
認証モジュールの構成
10
たとえば、次の変更を行います。
•
認証モジュールの共通パラメーターを変更します
•
ユーザー データベース方法の特定パラメーターを変更します
•
NTLM または LDAP など、異なる認証方法を実行します
•
新しい認証方法の特定パラメーターを変更します
4
インスタント メッセージ認証など、ライブラリからルール セットをインポートし、通信の異なるタイプに認証を
検討します。
5
変更を保存します。
認証モジュールの構成
認証モジュールを構成し、ユーザー情報を取得してユーザーを認証する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、認証のためにルール セットを選択します。
デフォルトのルール セット システムでは、これは認証と許可ルール セットです。
3
ユーザー認証を制御するルールを選択して、ルール条件に指定された設定をクリックします。
たとえば、ルール セット システムのルール セットでは、[ユーザー データベースで認証] ルール セットに [ユー
ザー データベースで認証] ルールがネストされ、設定名が [ユーザー データベース] になっています。
[設定の編集] ウィンドウが開きます。認証モジュールの設定が表示されます。
4
必要に応じて、これらの設定を構成します。
5
[OK]をクリックしてウィンドウを閉じます。
6
[変更の保存]をクリックします。
関連トピック:
247 ページの「認証設定」
認証設定
認証設定では、認証プロセスでユーザーに関する情報を確認するときに認証モジュールが使用する方法を設定します。
認証方法
認証方法を選択するための設定
McAfee Web Gateway 7.6.2
Product Guide
247
10
認証
認証設定
表 10-1 認証方法
オプション 定義
[認証方法] 認証方式を選択するためのリストを提供します。
以下のいずれかを選択します。
• NTLM
• NTLM-Agent
• ユーザー データベース
• LDAP
セキュリティで保護された LDAP (LDAPS) を設定するには、LDAP バージョン 3 が必要
です。
このバージョンは、[LDAP 固有のパラメーター] で選択できます。このオプションはデフ
ォルトで選択されています。
• RADIUS
• Kerberos
• SSL クライアント証明書
• 認証サーバー
• ワンタイム パスワード
• SWPS (McAfee Client Proxy)
®
方法を選択した後、指定した設定が共通設定の下に表示されます。
認証テスト
特定の認証情報のあるユーザーが、認証されるかどうかをテストするための設定
表 10-2 認証テスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[認証ユーザー]
テストの実行。
[テスト結果 ]
テストの結果を指定します。
共通認証パラメーター
すべての認証方法で共通の設定
すべての認証方法に共通の詳細設定もあります。これらの設定については、認証方法固有のパラメーターを説明した後
で説明します。
表 10-3 共通認証パラメーター
オプション
定義
[プロキシ領域]
認証を要求されたユーザーから、要求を受信するプロキシの場所を指定します。
[認証試行タイムアウト] 認証が正常に完了しない場合に、認証プロセスが停止する前に経過する時間 (秒) を指定
値に制限します。
248
McAfee Web Gateway 7.6.2
Product Guide
認証
認証設定
10
表 10-3 共通認証パラメーター (続き)
オプション
定義
[認証キャッシュの使用] 選択されると、認証情報がキャッシュに保存されます。
すると認証は、認証サーバーまたは内部ユーザー データベースから取得した情報ではな
く、保存されている情報に基づくようになります。
[認証キャッシュ TTL]
認証情報がキャッシュに保存される時間 (秒) を指定値に制限します。
NTLM 固有のパラメーター
NTLM 認証方式の設定
表 10-4 NTLM 固有のパラメーター
オプション
定義
[デフォルト NTLM ドメイ 認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定し
ン]
ます。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン
の 1 つです。
[グローバル グループを取 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が検
得する]
索されます。
[ローカル グループを取得 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検索
する]
されます。
[グループ名の前にドメイ
ン名を付ける (domain
\group)]
選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効
にする]
選択されると、認証情報がこのキャッシュに保存されます。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
NTLM-Agent 固有のパラメーター
NTLM-Agent 認証方法の設定
表 10-5 NTLM-Agent 固有のパラメーター
オプション
定義
[安全なエージェント接続を 選択されると、NTML エーエンとと通信するために使用される接続は、SSL セキュ
使用する]
ア通信です。
[認証接続のタイムアウト
(秒)]
McAfee Web Gateway 7.6.2
アクティビティが発生しない場合に、NTLM Agent への接続が閉じる前に経過する
時間 (秒) を指定値に制限します。
Product Guide
249
10
認証
認証設定
表 10-5 NTLM-Agent 固有のパラメーター (続き)
オプション
定義
[エージェントの定義]
NTLM 認証の実行に関連するエージェントを入力するためのリストを提供します。
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定
します。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイ
ンの 1 つです。
[グローバル グループを取
得する]
選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
検索されます。
[ローカル グループを取得
する]
選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
索されます。
[グループ名の前にドメイン 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
名を付ける (domain
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
\group) ]
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。
する]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
ユーザー データベース固有のパラメーター
ユーザー データベース認証方法の設定
表 10-6 ユーザー データベース固有のパラメーター
オプション
定義
[クライアントにドメイン 選択されると、アプライアンスおよびそれが割り当てられたドメインの名前は、要求を
名とマシン名を送信する] 送信した認証されるユーザーであるクライアントに送信されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送信
される前に暗号化されます。
[NTLM キャッシュを有効 選択されると、認証情報がこのキャッシュに保存されます。
にする]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存さ
れている情報に基づくようになります。
250
McAfee Web Gateway 7.6.2
Product Guide
認証
認証設定
10
表 10-6 ユーザー データベース固有のパラメーター (続き)
オプション
定義
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
LDAP 固有のパラメーター
LDAP 認証方法の設定
表 10-7 LDAP 固有のパラメーター
オプション
定義
[接続する LDAP サーバ
ー]
認証サーバーが取得された LDAP サーバーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、証明書
を発行する証明機関を入力するためのリストを提供します。
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定します。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウを開き
ます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有 選択すると、LDAP プロトコルのバージョン 3 が使用されます。
効にする ]
セキュリティで保護された LDAP 認証 (LDAPS) を設定するには、このバージョンの
LDAP を使用する必要があります。
デフォルトでは、このバージョンが選択されています。
[LDAP ライブラリに参照
に従うことを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバーにリ
ダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時間 (分)
を指定値に制限します。
[LDAP 動作のタイムアウ
ト]
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間 (秒) を
指定値に制限します。
[ユーザー オブジェクトの ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し
基本の識別名]
ます。
[ユーザー名を DN にマッ 選択されると、認証するユーザー名は DN へマップする必要があります (識別名)。
ピングする]
この名前は、LDAP サーバーのディレクトリにあるユーザーを識別します
[ユーザー オブジェクトを ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
検索するための表現をフ
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用され
ィルタリングする]
ます。
[ユーザー属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバーで参
照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリストを提供
します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (スラッ
シュ) などを指定します。
McAfee Web Gateway 7.6.2
Product Guide
251
10
認証
認証設定
表 10-7 LDAP 固有のパラメーター (続き)
オプション
定義
[グループ属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP サー
バーで参照されます。
[グループ オブジェクトの グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し
基本の識別名]
ます。
[グループ オブジェクトを グループ属性の参照を制限するためにフィルタリング用語を指定します。
検索するための表現をフ
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用さ
ィルタリングする ]
れます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるグループ属性を入力するためのリストを提供
します。
ダイジェスト認証
LDAP ダイジェスト認証の設定
表 10-8 ダイジェスト認証
オプション
定義
[ダイジェスト認証を有効
にする]
選択すると、LDAP 認証でのユーザー認証の方法としてダイジェスト認証が実行されま
す。
[パスワード ハッシュ付き LDAP サーバーで認証ハッシュ値を保存しているユーザー属性を指定します。
のユーザー属性]
[Nonce の最大使用数]
認証プロセス中に転送され、認証ハッシュの計算でパラメーターとして必要になる
Nonce (number only once) の使用回数に制限を設定します。
デフォルトの最大使用回数は 100 回です。
[Nonce の最大 TTL]
Nonce の有効期間を分単位で制限します。
デフォルトの最大有効期間は 30 分です。
[ダイジェスト URI 検査
を有効にする]
選択すると、認証ハッシュを計算するパラメーターとしてクライアントが送信した
URL と、このクライアントが Web の特定の宛先に対するアクセス要求で使用した
URL が一致しているかどうか検査されます。
検査に失敗すると、要求がブロックされます。
URL を送信するクライアント ブラウザーが使用する形式が原因で検査に失敗する可能
性があるため、この設定はオプションです。
この検査は、デフォルトで有効になっています。
[ダイジェスト認証のみを
許可する]
選択すると、LDAP でユーザーの認証を行うときにダイジェスト認証が常に実行されま
す。
Novell eDirectory 固有のパラメーター
Novell eDirectory 認証方法の設定
表 10-9 Novell eDirectory 固有のパラメーター
252
オプション
定義
[接続する LDAP サーバー]
認証情報を提供するために LDAP サーバーのロールを担う eDirectory サーバ
ーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、
証明書を発行する証明機関を入力するためのリストを提供します。
McAfee Web Gateway 7.6.2
Product Guide
認証
認証設定
10
表 10-9 Novell eDirectory 固有のパラメーター (続き)
オプション
定義
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定しま
す。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウ
を開きます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえ
ば、ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有効にす これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
る]
[LDAP ライブラリに参照に従う
ことを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバ
ーにリダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時
間 (分) を指定値に制限します。
[LDAP 動作のタイムアウト]
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間
(秒) を指定値に制限します。
[eDirectory ネットワーク アド
レス属性]
eDirectory サーバーで使用されているネットワーク アドレスを提供する属性
の名前を指定します。
[eDirectory ネットワーク ログ
イン時間属性]
eDirectory サーバーで使用されているログオン時間を提供する属性の名前を指
定します。
[eDirectory ネットワーク最小
更新間隔]
eDirectory サーバーからの情報が更新される前の閉じるまでの時間 (秒) を指
定します。
[ユーザー オブジェクトの基本の ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を
識別名]
指定します。
[ユーザー名を DN にマッピング 選択されると、認証するユーザー名は DN へマップする必要があります (識別
する]
名)。この名前によって、LDAP サーバーのディレクトリ内のユーザーを識別し
ます。
[ユーザー オブジェクトを検索す ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使
る]
用されます。
[ユーザー属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバ
ーで参照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリスト
を提供します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (ス
ラッシュ) などを指定します。
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は
LDAP サーバーで参照されます。
[グループ オブジェクトの基本の グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を
識別名]
指定します。
[グループ オブジェクトを検索す グループ属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として
る]
使用されます。
[取得するユーザー属性]
McAfee Web Gateway 7.6.2
LDAP サーバーから取得する必要のあるグループ属性のリストを提供します。
Product Guide
253
10
認証
認証設定
RADIUS 固有のパラメーター
RADIUS 認証方法の設定
表 10-10 RADIUS 固有のパラメーター
オプション
定義
[RADIUS サーバー定義]
認証サーバーが取得された RADIUS サーバーを入力するためのリストを提供します。
[デフォルトのドメイン
名]
他のドメインが指定されていない場合に情報を取得するドメインの名前を指定します。
[共有秘密キー]
RADIUS サーバーへのアクセスを取得するためにアプライアンスに使用されるパスワ
ードを設定します。
[Radius 接続のタイムア
ウト (秒)]
トラフィックが発生しない場合に、RADIUS サーバーへの接続が閉じる前に経過する時
間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[コードを含む属性の値]
RFC 2865 に従って、ユーザー グループ情報とともに取得される属性のコード値を設
定します。
たとえば、「クラス」属性のコードは 25 です。
[ベンダー ID のあるベン ユーザー グループ情報の検索においてベンダー関連のデータ取得に必要なベンダー ID
ダー固有の属性]
を設定します。
RFC 2865 によると、ベンダー ID はベンダー属性の一部であり、それに多数のサブ属
性が続きます。そのコード値は 26 です。
[ベンダーのサブ属性タイ RFC 2865 によると、ベンダー属性に含まれるサブ属性のタイプのコード値を設定しま
プ]
す。
すべてのベンダーはこの構造に従っていないので、ここで 0 の値を指定することをお勧
めします。これは認証モジュールがすべての入手可能なベンダー情報を取得することを
可能にします。
Kerberos 固有のバラメーター
Kerberos 認証方法の設定
[設定] トップレベル メニューで [Kerberos 管理] システム設定を使用すると、この認証方法の詳細を設定できます。
表 10-11 Kerberos 固有のバラメーター
オプション
定義
[チケットからグループ メンバーシッ
プ ID を抽出する]
Kerberos 認証のユーザー認証プロセスで使用されるチケットから情報を
取得し、ユーザーのグループを識別します。
このオプションを選択すると、次のオプションが使用可能になります。
[NTLM でグループ名を参照する]
ユーザーのグループ名を NTLM 認証で取得します。
認証サーバー固有のパラメーター
認証サーバー方法の設定
254
McAfee Web Gateway 7.6.2
Product Guide
認証
認証設定
10
表 10-12 認証サーバー固有のパラメーター
オプション
定義
[認証サーバー URL]
この方法で認証情報を参照するために使用されるサーバーの URL を指定します。
[クライアント ID 必須]
選択すると、認証サーバーはユーザーが要求を送信したクライアントの ID を要求し
ます。
[Cookie に認証結果を保存]
これが選択されると、認証サーバーから取得した情報が cookie に保存されます。
Cookie 認証が実装されている場合は、ユーザーが 2 度も認証しなくても良いよう
に、それぞれのユーザーが送信する次の要求に Cookie を追加します。
[サーバーに持続 Cookie を
許可する]
選択されている場合、Cookie を複数の要求を認証サーバーに送信するために持続し
て使用できる
[認証サーバーのための
Cookie TTL (秒)]
要求とともにサーバーに送信される Cookie が保存される時間 (秒) を指定値に制
限します。
[Cookie プリフィックス]
MWG_Auth のように、アプライアンスでクッキーに追加するプリフィックスを指
定します。
ワンタイム パスワード固有のパラメーター
ワンタイム パスワード認証の設定
McAfee Web Gateway 7.6.2
Product Guide
255
10
認証
認証設定
表 10-13 ワンタイム パスワード固有のパラメーター
オプション
定義
[OTP サーバー]
ワンタイム パスワードでユーザーを認証するときに Web Gateway が接続する OTP サ
ーバーの IP アドレスとポート番号を指定します。
[SSL で接続して次の
証明書を信頼する]
OTP サーバーとの通信を SSL セキュア接続で実行します。
このオプションを選択すると、次の 4 つのフィールドの情報がグレー表示でなくなり、[イ
ンポート] ボタンが使用可能になります。
これらのフィールドには、OTP サーバーとの SSL セキュア通信で使用される証明書の詳
細が表示されます。
• [件名] - 証明書に関する全般的な情報が表示されます。
• [共通名 (CN)] - 証明書の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 証明書の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - 証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [発行者] - 証明書の発行者に関する情報が表示されます。
• [共通名 (CN)] - 発行者の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 発行者の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - サーバー証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [有効性] - 証明書の有効期間が表示されます。
• [開始] - 証明書の有効期間の開始日時が表示されます。
• [終了] - 証明書の有効期間の終了日時が表示されます。
• [延長] - 証明書の補足情報が表示されます。
• [コメント] — 証明書に関するコメントがテキスト形式で表示されます。
デフォルトでは、コメントはありません。
• [インポート] - 証明書をインポートするウィンドウが開きます。
[WS クライアント名]
OTP サーバーに接続する Web Gateway のユーザー名が表示されます。
[WS クライアント パ
スワード]
OTP サーバーに接続する Web Gateway のパスワードが表示されます。
[OTP メッセージ]
OTP サーバーから Web Gateway に送信されるメッセージのプレフィックスと区切り記
号が表示されます。
デフォルトでは、メッセージは次のようになります。
OTP for MWG:$$<OTP メッセージ>$$
McAfee Client Proxy
SWPS (McAfee Client Proxy) 認証方法の設定
256
McAfee Web Gateway 7.6.2
Product Guide
認証
異なる認証方法の実装
10
表 10-14 McAfee Client Proxy
オプション
定義
[顧客 ID]
顧客の識別子を指定します。
[共有パスワード]
顧客のパスワードを設定します。
[設定] をクリックすると、設定用のウィンドウが開きます。
[グループ名でドメインを維
持する]
選択すると、ユーザー グループの名前に含まれているドメイン情報が維持されま
す。
このオプションはデフォルトで選択されています。
[認証に使用した顧客ヘッダ
ーを削除する]
選択すると、認証で送信された情報からヘッダー情報が削除されます。
[MCP 認証情報を XML ファ
イルにエクスポートする]
SWPS (McAfee Client Proxy) 認証方法で送信された認証情報をエクスポートし
ます。
このオプションはデフォルトで選択されています。
デフォルトでは、メッセージは次のようになります。
OTP for MWG:$$<OTP メッセージ>$$
詳細パラメーター
高度な認証を構成する設定
この設定は、すべての認証方法で同じです。各認証方法については、このセクションの共通設定の後に詳
しい説明が記載されています。
表 10-15 詳細パラメーター
オプション
定義
[常にプロパティ値
を評価する]
選択されると、プロパティへ値を割り当てる新しい評価は、このプロパティの処理を含むル
ールが毎回実行されます。
キャッシュにプロパティに対する値が保存された場合、使用されません。
通常キャッシュ値が使用され、パフォーマンスを向上させることを推奨する一方、プロパテ
ィの新しい評価がっ必要な状況になる可能性があります。
これらの状況で、同じプロパティは認証ルール内かつ認証モジュールの同じ設定で、1 回以
上使用されます。新しい評価は、毎回ほとんどの現在値がプロパティに割り当てられている
ことを確認します。
異なる認証方法の実装
デフォルトのルール セットのユーザー データベース認証方式を使用したくない場合は、NTLM、LDAP、および他の
異なる認証方法を実装できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ユーザーを認証するためのルールを含むルール セット、たとえば、デフォルトの
[Authentication and Authorize] のルール セットに移動して、ネストされた [Authenticate with User
Database] ルール セットを選択します。
ネストされたルール セットのルールが設定パネルに表示されます。
McAfee Web Gateway 7.6.2
Product Guide
257
10
認証
認証を構成するためのシステム設定の使用
3
[Authenticate with User Database] のルールを選択し、ルールの条件で [ユーザー データベース]をクリック
します。
[設定の編集]ウィンドウが開きます。
4
[認証方法]で提供されているリストから認証方法、たとえば、[NTLM]を選択します。
5
必要に応じて選択された方法の共通および特定のパラメーターを構成します。
6
[OK]をクリックしてウィンドウを閉じます。
7
[変更の保存]をクリックします。
認証方法の変更後は、それに応じて認証モジュールの設定、認証ルール、ネストされたルール セットの名前変更を適
切に行うことをお勧めします。
たとえば、NTLM を選択した後は、設定を NTLM に、およびルールとネストされたルール セットの両方を
Authenticate with NTLM に名前を変更します。
認証モジュールでは、デフォルト設定の名前を変更する代わりに、異なる名前やパラメーターの値のあるさまざまな
設定を保持することもできます。
認証を構成するためのシステム設定の使用
一部の認証方法について、認証モジュールの設定ではなく、アプライアンス システムの設定を構成する必要がありま
す。
これは、認証方法として NTLM を実装しているときに適用されます。この場合、Windows ドメインにアプライアン
スを参加させ、システム設定で、Windows ドメイン メンバーシップ設定を構成する必要があります。
これはまた、Kerberos 認証モデルにも適用されます。これは、Kerberos 管理システム設定を使用して行われま
す。
Kerberos 管理システムの設定
Kerberos 管理システムの設定は、Kerberos 認証方法の特別な設定です。
Kerberos 管理システム
Kerberos 認証方法の設定
258
McAfee Web Gateway 7.6.2
Product Guide
認証
認証を構成するためのシステム設定の使用
10
表 10-16 Kerberos 管理システム
オプション
定義
[キーのタブ ファイ
ル]
Kerberos サーバーにアクセスするのに必要なマスター キーを含むファイルを指定します。
ファイル名を入力するか、[参照]ボタンを使用してファイルを参照し、フィールドにその名
前を入力します。
Kerberos 方法に従って認証するためのチケットが発行されると、マスター キーがアプライ
アンスに読み込まれ、チケットを検証するのに使用されます。
Web リクエストをアプライアンスにダイレクトする負荷分散装置が実行している場合、負荷
分散装置のためにチケットは発行され、アプライアンスで検証されます。その場合、リクエ
ストがアプライアンスにダイレクトされるかどうかは確認されません。
[Kerberos 領域]
認証の目的のために構成されている管理ドメインを指定します。
Kerberos サーバーは、このドメインの境界内では、ホストからリクエストを提出するか、サ
ービスを使用するユーザーを認証する権限があります。
領域名は大文字小文字を区別しますが、通常は大文字のみが使用され、領域名を関連する
DNS ドメインと同じように表すことをお勧めします。
[アプライアンスと アプライアンスとそのクライアントのシステム時間に許容される最大時間差(秒)を指定値
クライアントの最大 に制限します。
時間差]
Kerberos を認証方法として構成することは、特定のブラウザーがリクエストを送信するのに
使用される場合に、問題につながる可能性があります。
• Microsoft Internet Explorer の 7.0 より低いバージョンが使用される場合は、Kerberos
認証は全く不可能なこともあります。
• このエクスプローラーが Windows XP で実行されている場合は、Kerberos 認証は予期通
りに動作しない可能性があります。
• Mozilla Firefox が使用される場合、Kerberos 認証方法を有効にするために、この認証方
法をブラウザーの設定で構成する必要があります。
[キャッシュを有効
にする]
選択されている場合、認証のために発行されたチケットは 1 回以降使用できません。
このオプションを選択すると、認証パフォーマンスが低下します。
アプライアンスを Windows ドメインに参加させる
NTLM 認証方法を使用する場合は、認証モジュールにドメイン サーバーに保存されているユーザー情報を取得させる
ために、アプライアンスを Windows ドメインに参加させる必要があります。
アプライアンスは 1 つ以上のドメインに参加させることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、参加するアプライアンスを選択し、[Windows ドメイン メンバーシップ]を選択しま
す。
設定パネルでドメインのリストが表示されます。最初はリストが空です。
3
ドメインをリストに入力するには、[参加]をクリックします。
[ドメイン参加]ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
259
10
認証
認証を構成するためのシステム設定の使用
4
ドメイン名の構成、ドメイン コントローラー、ウィンドウでのその他の設定。
5
[OK]をクリックします。
ウィンドウが閉じて、リストに新しいドメインが表示されます。これでアプライアンスは、このドメインのメン
バーなりました。
複数のドメインを追加するには、ステップ 3 から 5 を繰り返します。
ツールバーのその端おアイコンを使用して、¥たとえば、リスト エントリーを変更したり、アプライアンスをドメイ
ンに残すなど、リストを操作してください。
関連トピック:
260 ページの「Windows ドメイン メンバーシップの設定」
Windows ドメイン メンバーシップの設定
Windows ドメイン メンバーシップの設定は、Windows ドメインにアプライアンスを参加させるために使用されま
す。
ドメイン参加
アプライアンスを Windows ドメインに参加させるための設定
表 10-17 ドメイン参加
オプション
定義
[Windows ドメイン名]
ドメイン名を指定します。
[McAfee Web Gateway アカウン アプライアンスのアカウント名を指定します。
ト名]
[既存のアカウントの上書き]
選択されている場合、既存のアカウントが上書きされます。
[NTLM バージョン 2 の使用]
選択されている場合、NTLM バージョン 2 が使用されます。
[この NTLM ドメインへのリクエ
ストのタイムアウト]
応答が受信されなかった場合、アプライアンスからドメイン コントローラーに
送信されたリクエストの処理が停止する前に経過する時間(秒)を指定値に制
限します。
[ドメイン コントローラーへの再
接続待ちの時間]
ドメイン コントローラーへの接続を前回試みてから、もう一度試みるまで待つ
時間(秒数)を指定します。
許容範囲は 5 ~ 300 です。
[構成済みドメイン コントローラ
ー]
認証情報を取得するためにアプライアンスが接続できるドメイン コントロー
ラーを入力するためのリストを提供します。
エントリーはコンマで区切る必要があります。
[アクティブなドメイン コントロ
ーラーの数]
同時にアクティブにできる構成済みドメイン コントローラーの最大数
[管理者名]
アプライアンスがドメインに参加するときに作成されるアカウントのユーザ
ー名を指定します。
許容範囲は 1 ~ 10 です。
ユーザー名とパスワードはこの目的のみに使用され、保存されません。
[パスワード]
260
McAfee Web Gateway 7.6.2
管理者名のパスワードを設定します。
Product Guide
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
10
ベスト プラクティス - 配備タイプに合わせた認証の設定
認証を設定する場合、Web Gateway とクライアント間のトラフィックの設定されている配備タイプ (明示的プロキ
シ モード、透過型モードなど) を考慮する必要があります。ルール セット ライブラリには、各タイプの認証処理に
最適なルール セットが含まれています。
認証プロセスでは、次の 2 つの点を考慮する必要があります。
•
このプロセスで評価されるユーザーの認証情報を Web Gateway が取得する方法
認証プロセスのこの部分は、認証のフロントエンドともいいます。
ユーザーの認証情報を取得する方法は、Web Gateway とクライアント間のトラフィックの処理に明示的プロキ
シ モード (直接プロキシ モード) が設定されているのか、透過型モード (透過型ルーター モードまたは透過型ブ
リッジ モード) が設定されているのかによって異なります。
明示的プロキシ モードの場合、クライアントが WCCP プロトコルのサービスを使用して追加オプションとして
要求を送信できるように設定することができます。
ルール セット ライブラリには、各モードに最適なルール セットが含まれています。
•
取得後の認証情報の評価方法
このプロセスは、認証バックエンドともいいます。
証明情報の評価は、設定された認証方法 (LDAP、NTLM など) によって異なります。
認証のライブラリ ルール セット
認証を設定するルール セットは、ルール セット ライブラリの「認証」ルール セットにあります。
以下の表では、それぞれの配備タイプの推奨ルール セットについて説明します。
表 10-18 認証のライブラリ ルール セット
配備タイプ
推奨のライブラリ ルール セット
明示的プロキシ モード
直接プロキシ認証と許可
透過型ルーターまたはブリッジ モード
認証サーバー (時間/IP ベースのセッション)
WCCP を使用した明示的プロキシ モード
トラフィックが次のモードで処理される場合:
• 明示的プロキシ モード - 直接プロキシ認証と許可
• WCCP モード - 認証サーバー (時間/IP ベースのセッション)
ライブラリからルール セットをインポートすると、ネットワーク要件に合わせてルールを変更し、適用することがで
きます。
ルール セット ツリー内での位置
「認証」ルール セットは、
「グローバル ホワイトリスト」ルール セットの後で、共通のルール セットより前に配置す
る必要があります (デフォルトのルール セット ツリーを使用している場合)。
このように「認証」ルール セットを配置すると、グローバル ホワイトリストにある Web オブジェクトへの認証要
求を送信するときにユーザーの認証が不要になります。
McAfee Web Gateway 7.6.2
Product Guide
261
10
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
明示的プロキシ モードの認証
明示的プロキシ モードの認証を設定する場合には、適切なルールを Web Gateway に実装する必要があります。
明示的プロキシ モードのライブラリ ルール セット
明示的プロキシ モードの推奨ライブラリ ルール セットは、直接プロキシ認証と許可です。
このルール セットには次の 2 つのルール セットがネストされています。
•
ユーザー データベースで認証
•
ユーザー グループを許可
このルール セットを実装すると、例外ルールが適用されない限り、Web Gateway のクライアントから受信した要
求に認証プロセスが実行されます。
Citrix がインストールされている構成か、ワークステーションが共有されている構成の場合、このルール セットを使
用して認証を処理します。
「直接プロキシ認証と許可」ルール セット
このルール セットのルールを使用すると、例外を作成できます。要求の送信ユーザーの認証を行わずに、Web
Gateway で要求を処理することができます。
次の項目で例外を作成できます。
•
要求を送信したクライアントの IP アドレス
•
要求の宛先となる Web オブジェクトの URL
これらのルールを使用すると、信頼されたクライアントから受信した要求や信頼された宛先に送信される要求でユー
ザーの認証が実行されません。これにより、パフォーマンスが向上します。
また、独自のルールを作成したり、このルール セットにツールを追加して、追加の例外を設定することもできます。
「ユーザー データベースで認証」ネスト ルール セット
このルール セットのルールにより、Web Gateway のクライアントから要求を送信するユーザーに認証が実行され
ます。ユーザーが指示に従って認証情報を送信すると、この情報が内部ユーザー データベースに記録された情報と比
較されます。
このルール セットは、このユーザーがまだ認証されず、以前の認証でも失敗していない場合に適用されます。この検
査では、Authentication.Is.Authenticated プロパティと Authentication.Failed プロパティが使用されま
す。
認証情報の評価に内部ユーザー データベースの情報ではなく、LDAP や NTLM などの別の認証方法を使用すること
もできます。
「ユーザー グループを許可」ネスト ルール セット
このルール セットのルールにより、承認されたユーザーの要求だけが許可されます。要求を送信したユーザーが特定
のリストのユーザー グループに属していない場合、要求がブロックされます。ユーザーが以前の評価で通過していて
も、要求はブロックされます。
このルールにより、追加のセキュリティ チェックを実装できます。このルールを使用する場合には、ルールで使用す
るリストにユーザー グループを定義する必要があります。使用しない場合には、ルール セットを無効にしたり、削
除することができます。
262
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
10
明示的プロキシ モードのルール セットの変更
明示的プロキシ モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更し
て、適用することができます。
次のような変更を行います。
•
認証方法の変更
•
ユーザー承認の変更、無効化、削除
•
例外ルールの設定
認証方法の変更
デフォルトでは、認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報を比較します。
この認証方法 (認証バックエンド) を変更するには、「ユーザー データベースで認証」ルール セットのルールで
Authentication.Authenticate プロパティの横に表示される設定を行う必要があります。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
ユーザー承認の変更、無効化、削除
ネストされた「許可されているユーザ グループ」ルール セットを使用すると、承認ユーザーからの要求のみが許可
されます。必要に応じて、このルール セットのルール リストにユーザー グループを追加できます。
このルールを追加のセキュリティ チェックとして使用しない場合には、ルール セットを無効にするか、削除します。
例外ルールの設定
「直接プロキシ認証と許可」ルール セットにルールを追加すると、認証プロセスの複数の例外に対応することができ
ます。
いずれかのルールに該当すると、ルール セットの処理が停止します。ネストされたルール セットは認証処理の対象
外になります。
たとえば、要求を送信したクライアントのブラウザーで特定のユーザー エージェントが実行されている場合に要求を
許可するようにルールを追加できます。ユーザー エージェントの情報は、要求ヘッダーから取得されます。
このルールは次のようになります。
許可ユーザーエージェントのリストにないユーザー エージェントの認証をスキップする
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
別のルールを使用すると、特定の IP アドレスを持つ Web サーバー上のオブジェクトに対するアクセス要求を許可
できます。IP アドレスは、要求で送信された URL から取得されます。
このルールは次のようになります。
許可宛先 IP リストにある宛先 IP の認証をスキップする
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
McAfee Web Gateway 7.6.2
Product Guide
263
10
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
透過型モードの認証
透過型モードの認証を設定する場合、Web Gateway に要求を送信するようにブラウザーの設定を変更する必要があ
ります。また、適切なルールを Web Gateway に実装する必要があります。
ブラウザー設定の変更
透過型ルーターまたはブリッジ モードの認証を有効にするには、要求の送信に使用する Web ブラウザーを設定を変
更し、Web Gateway を信頼する必要があります。
Web Gateway で認証方法として NTLM または Kerberos も設定されている場合、認証プロセスは内部的に処理さ
れます。ユーザーが認証を要求されることはありません。
•
Microsoft Internet Explorer を使用している場合には、次の方法でセキュリティ設定を変更する必要がありま
す。
•
セキュリティ ゾーンとしてローカル イントラネットを設定する
•
このゾーンに Web Gateway を Web サイトとして追加する
この設定を行うには、IP アドレスまたは完全修飾ドメイン名で URL を指定します。例: http://
10.10.69.73、http://*.mcafee.local。
•
ユーザー認証のセキュリティ ゾーンとしてゾーン内のすべての Web サイトに自動ログインを設定する
この設定は、[インターネット オプション] の [セキュリティ] で ローカル イントラネットを選択し、[ローカル
イントラネット] を使用します。
ブラウザーにグループ ポリシーを設定する場合には、[グループ ポリシー管理エディター]、[サイトとゾーンの
割り当て一覧]、[ログオン オプション] ウィンドウも使用できます。
•
Mozilla Firefox を使用している場合には、[about:config] で [network.automatic-ntlm-auth.trusted-uris]
パラメーターの値として、Web Gateway の IP アドレスまたは完全修飾ドメイン名を設定します。例:
10.10.69.73、mwgappl.yourdomain.local
詳細については、使用する Web ブラウザーのマニュアルを参照してください。
透過型モードのライブラリ ルール セット
透過型ルーターまたはブリッジ モードに推奨のライブラリ ルール セットは、認証サーバー (時間/IP ベースのセッ
ション) です。
次の 2 つのルール セットがネストされています。
•
有効な認証セッションの確認
•
認証サーバー
明示的プロキシ モードに実行される認証プロセスと異なり、このルール セットは、Web アクセス要求を送信したユ
ーザーが正常に認証されたときに、認証セッションを作成して認証を処理します。
このセッションが有効な間、このユーザーが送信する後続の要求はユーザー認証なしで処理されます。デフォルトの
セッション期間は 600 秒です。
Citrix がインストールされている構成またはワークステーションが共有されている構成でこのルール セットを使用
すると、次のような状況が発生します。ユーザー A が要求を送信して認証されると、認証セッションが作成されま
す。その後、ユーザー B が同じワークステーションから要求を送信しても、ユーザー A のセッションの続行が許可
されます。
264
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
10
「認証サーバー (時間/IP ベースのセッション)」ルール セット
このルール セットは、ネストされた 2 つのルール セットのコンテナーとして機能します。独自のルールはありませ
ん。
「有効な認証セッションの確認」ネスト ルール セット
このルール セットのルールは、クライアントから要求を送信するユーザーに有効なセッションが存在するかどうかを
確認します。セッション情報は、内部のセッション データベースに保存されます。ここには、ユーザー名、クライア
ントの IP アドレス、セッション期間が記録されます。
有効なセッションが存在すると、要求の処理が続行され、設定済みの残りのルールとルール セットが評価されます。
有効なセッションが存在しないと、要求が認証サーバーにリダイレクトされます。
「認証サーバー」ネスト ルール セット
このルール セットのルールにより、認証サーバーにリダイレクトされた要求の送信ユーザーの認証が実行されます。
認証に成功すると、このユーザーのセッションがセッション データベースに作成されます。
デフォルトでは、ユーザーの認証情報が内部ユーザー データベースの情報と比較されます。この認証方法を LDAP
や NTLM などの別の方法に変更することもできます。
透過型モードのルール セットの変更
透過型モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更して、適用
することができます。
次のような変更を行います。
•
認証サーバーの URL の変更
•
認証方法の変更
•
理想的な条件ルールの有効化
•
セッション TTL の増加
認証サーバーの URL の変更
セキュリティ ゾーンにローカル ドメインを設定して、Web Gateway への要求送信に使用するブラウザーのセキュ
リティ設定を変更した場合、IP アドレスまたは完全修飾ドメイン名で URL を指定して、このゾーンの Web サイト
として Web Gateway を追加できます。
この場合、ローカル ドメインの名前を挿入して、認証サーバーの URL も変更する必要があります。デフォルトで
は、この URL には Web Gateway の IP アドレスが含まれています。
Web Gateway が実行されているアプライアンスに、認証サーバーの URL が動的に生成されます。構成内に複数の
Web Gateway アプライアンスが存在する場合、静的な IP アドレスは使用できません。内部構成のプロパティを使
用して、動的に生成する必要があります。
この URL は、[IP 認証サーバー] で変更できます。
「有効な認証セッションの確認」ルール セットにある「有効なセ
ッションがないクライアントを認証サーバーにリダイレクトする」ルールの Authentication.Authenticate プ
ロパティの横に、この設定が表示されます。
デフォルトの URL は次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
特定の認証サーバーの URL を読みやすい形式にすると、次のようになります。
McAfee Web Gateway 7.6.2
Product Guide
265
10
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
http://10.10.69.71:9090
ローカル ドメインをセキュリティ ゾーンに設定したブラウザーに URL を設定すると、次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
"com.scur.engine.system.proxy.ip"/>$ が "com.scur.engine.system"/>$.yourdomain.local に
変わっています。
分かりやすい形式に直すと、次のようになります。
http://mwgappl.yourdomain.local:9090
mwgappl は、Web Gateway が実行されているアプライアンスのホスト名です。
認証方法の変更
デフォルトでは、透過型モードで認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報
を比較します。
この認証方法 (認証バックエンド) を変更するには、認証サーバー ルール セットで「ユーザー データベースでユー
ザーを認証する」ルールの Authentication.Authenticate プロパティの横に表示される設定を行う必要があり
ます。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
理想的な条件ルールの有効化
「有効な認証セッションの確認」ルール セットの「理想的な条件でセッションを再度確認する」ルールを使用すると、
理想的な条件でユーザーの認証を行うことができます。この場合、セッションが期限切れの場合に認証が要求されま
せん。
デフォルトでは条件は次のようになります。
•
セッションの残り時間が 400 秒未満
•
ネットワーク プロトコルが HTTP
•
ユーザーが送信した要求が GET 要求
このルールを有効にすると、次のような状況を回避できます。
1
ユーザーが Web Gateway のクライアントから要求し、認証を行います。セッションの許容時間は 600 秒です。
2
ユーザーがヘルプ デスクにチケットを送信し、データ フォームの入力を開始します (300 秒)。
3
ユーザーがフォームの入力に情報が必要になり、必要な情報を Web で検索します。Web Gateway が 一部の
GET 要求を受信します (さらに 200 秒)。
4
ユーザーがデータ フォームの入力を完了して送信します。Web Gateway が POST 要求を受信します。さらに
200 秒が経過しますが、最初の 100 秒でセッションが期限切れになります。
5
セッションが期限切れになると、POST 要求が処理される前に再度ユーザー認証が必要になります。ただし、セ
ッションが期限切れになっているため、入力されたデータが消失します。
理想的な条件ルールを有効にすると、手順 3 で情報を検索するときに再認証が要求されるため、フォームの入力で時
間切れになることはありません。
266
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
10
セッション TTL の増加
認証セッションの許可時間を増やすことができます。たとえば、デフォルトの 600 秒 (10 分) を 1 時間に変更でき
ます。
「有効な認証セッションの確認」ルールの条件で時間を変更できます。たとえば、400 秒から 600 秒に増やすことが
できます。
GET 要求を受信したときに、セッションの有効期間が 10 分以内になっていると、認証が要求されます。
WCCP を使用した明示的プロキシ モードの認証
WCCP を使用した明示的プロキシ モードの認証を設定する場合、2 つのルール セットをインポートして変更しま
す。また、適切なルール セットが使用されるように、受信トラフィックのポートを指定する必要があります。
WCCP を使用した明示的プロキシ モードを設定すると、クライアントは明示的プロキシ モードで Web Gateway
に要求を送信するか、WCCP プロトコルでサービスを使用します。
明示的プロキシ モードの認証を処理する場合には、「直接プロキシ認証と許可」ルール セットを使用してください。
WCCP モード (透過型モード) の場合には、「認証サーバー (時間/IP ベースのセッション)」ルール セットを使用し
てください。
つまり、両方のルール セットをインポートして、両方のモードに必要なアクティビティを実行する必要があります。
たとえば、WCCP モードの場合には、ブラウザーの設定を変更します。
各モードのトラフィックが適切な認証ルール セットで処理するには、タイプごとに異なるトラフィック ポートを設
定し、各ルール セットの条件にそれぞれのポートを指定します。
明示的プロキシ モードと WCCP モードに異なるポートを設定する方法
明示的プロキシ モードと WCCP モードのポートに 9090 と 9091 を使用している場合について考えてみましょ
う。HTTP ポート リストに WCCP サービスと両方のポートを設定するときに、WCCP モードのポートを指定する必
要があります。
WCCP サービスを設定するには、このサービスを [WCCP サービス] リストに追加します。このリストを表示するに
は、[プロキシ (HTTP(S)、FTP、ICAP、IM)] システムの [透過型プロキシ] セクションで、[WCCP] を選択しま
す。
[ネットワーク セットアップ] で [プロキシ (オプションの WCCP)] を選択して、WCCP を使用する明示的プロキシ
モードの設定を開始すると、このセクションが表示されます。
ポート 9091 で受信するトラフィックに使用する WCCP サービスは次のように設定します。
番号 サービ WCCP ルタ
ス ID ー...
ポー
ト...
ポート... プロキシ リスナ
ー...
プロキシ リ MD5 ... 割り当
て
スナー ポー
ト
1
80,
443
false
9091
91
10.10.69.7
10.10.69.73
コメ
ント
oooooo 1000
[透過型プロキシ] セクションの下にある [HTTP プロキシ] セクションで、[HTTP ポート定義リスト] を設定できま
す。
明示的プロキシ モードと WCCP モードは次のように設定します。
番号
リスナー アドレス
処理...
ポート...
透過...
McAfee...
コメント
1
0.0.0.0:9090
true
443
false
true
明示的プロキシ トラフィック
2
0.0.0.0:9091
true
443
false
true
WCCP トラフィック
McAfee Web Gateway 7.6.2
Product Guide
267
10
認証
ベスト プラクティス - LDAP 認証の設定
認証ルール セットの条件の適用
明示的プロキシ モードと WCCP サービスの使用時に受信するトラフィックに異なるポート (たとえば 9090 と
9091) を設定したら、2 種類のトラフィックを処理すルール セットの条件を適用する必要があります。
「直接プロキシ認証と許可」ルール セットに適用するルールの条件は次のようになります。
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
「認証サーバー (時間/IP ベースのセッション)」ルール セットの場合、適用する条件は次のようになります。
Proxy.Port equals 9091
ベスト プラクティス - LDAP 認証の設定
LDAP 認証は、Web Gateway で設定可能なユーザー認証方法の 1 つです。
LDAP は、Lightweight Directory Access Protocol の略です。 Web Gateway の認証プロセスは、このプロトコ
ルを介してネットワーク上の既存のディレクトリ サービスを利用します。 ディレクトリに格納されているユーザー
情報をクエリーで取得し、認証に使用できます。
ユーザーの認証以外にも、ユーザーやユーザーが所属するグループに関する情報をクエリーでディレクトリから取得
することができます。これらの情報を属性といいます。
たとえば、Microsoft Windows Server Active Directory (Active Directory) の場合、ユーザーの memberOf 属
性に、ユーザーが所属するグループの情報が格納されています。また、グループの member 属性には、グループ
メンバーのユーザー名が格納されます。
ユーザー属性とグループ属性の検索結果は Web Gateway の Authentication.UserGroups プロパティに保存
されます。
LDAP 認証プロセス
Web Gateway のユーザー認証は、次のように LDAP サーバーのディレクトリを使用します。
•
Web Gateway が管理者の認証情報を使用して最初のバインド要求を LDAP サーバーに送信します。
•
要求が成功すると、Web Gateway がユーザーから受信したユーザー名を使用してクエリーを送信します。
このクエリーでは、ユーザー名に関連付けられている識別名を LDAP サーバーのディレクトリから取得します。
•
識別名が見つかると、LDAP サーバーが識別名を戻します。
識別名 (DN) は、ユーザー、ユーザー グループ、ネットワーク ドメインの情報から構成されています。識別名は
LDAP スタイルの構文で記述されます。
たとえば、ユーザー名が jsmith の場合、LDAP サーバーは cn=John Smith,cn=users,dc=ldap,dc=local
という識別名を戻します。
•
ユーザーの認証を行うため、Web Gateway が 2 つ目のバインド要求を LDAP サーバーに送信します。
この要求では、取得した識別名とユーザーから受信したパスワードを送信します。
•
要求が成功すると、ユーザーが認証されます。
tcpdump で認証プロセスの手順を記録し、確認することができます。
268
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - LDAP 認証の設定
10
LDAP でのユーザー認証のルール
Web Gateway で LDAP 認証を設定する場合、Web Gateway と LDAP サーバーのディレクトリを統合するプロセ
スでユーザー認証のルールを実装する必要があります。
この目的に合わせて、ルール セット ライブラリに含まれているルール セットのデフォルト ルールを変更します。
変更したルールは次のようになります。
名前
Authenticate with LDAP
条件
アクション
Authentication.Authenticate<LDAP> equals false
–>
Authenticate<Default>
このルールは、ユーザーが LDAP 認証方法で認証されていない場合に適用されます。
このルールの Authentication.Authenticate プロパティの設定で、認証プロセスの実行に必要な情報を提供し
ます。たとえば、LDAP サーバーの IP アドレスや Web Gateway の管理者認証情報などを設定します。
ユーザー認証方法に LDAP を設定する
ユーザーの認証に LDAP を設定する場合、既存の認証ルールを使用できます。 このルールの名前を変更し、LDAP
認証に必要な設定を行います。
タスク
1
ルール セット ライブラリから [明示的プロキシに認証と許可]ルール セットをインポートします。
このルール セットは、明示的プロキシ モードの認証に使用します。 透過型モードの場合には、[認証サーバー] ル
ール セットをインポートします。
2
ネストされた [ユーザー データベースで認証] ルール セットの認証ルールを使用して、LDAP 認証に必要な設定
を行います。
透過型モードの場合には、ネストされた [認証サーバー] ルール セットの認証ルールを使用します。
3
a
現在のルールの名前を LDAP で認証 に変更します。
b
[Authentication.Authenticate] プロパティの設定名を LDAP 関連の設定に適切な名前 (例: LDAP) に変更
します。
c
LDAP 認証に必要な設定を行います。
ネストされたルール セットの名前を LDAP で認証 に変更します。
ネストされたライブラリ ルール セットを無効にするか、削除して、LDAP 認証用にネストされたルー
ル セットを新たに作成することもできます。
LDAP 認証の場合、[明示的プロキシに認証と許可] ライブラリ ルール セットの 2 番目のネストされ
たルール セットである [ユーザー グループを許可] は必要ありません。
このネストされたルール セットを削除するには、ネストされたルール セットの名前を変更するか、同
じ名前 (たとえば、LDAP による明示的プロキシの認証) のルールが他にないようにします。
4
[変更の保存] をクリックします。
関連トピック:
270 ページの「LDAP 認証方法を設定する」
McAfee Web Gateway 7.6.2
Product Guide
269
10
認証
ベスト プラクティス - LDAP 認証の設定
LDAP 認証方法を設定する
ルール セット ライブラリからインポートしたユーザー認証ルールの設定を変更して、LDAP 認証方法を設定します。
タスク
1
インポートしたルールで、LDAP または類似した名前に変更した [Authentication.Authenticate] プロパティの
設定をクリックします。
[設定の編集] ウィンドウが開きます。
2
[認証方法] で [LDAP] を選択します。
[共通認証パラメーター] の横に [LDAP 固有のパラメーター] セクションが表示されます。
共通パラメーターをそのまま使用することも、LDAP 固有のパラメーターを使用することもできます。
3
[接続する LDAP サーバー] リストで、ユーザー情報のディレクトリが存在する LDAP サーバーのエントリを追加
します。
エントリの構文は次のとおりです。
{LDAP | LDAPS}://<IP アドレス>[:<ポート番号>]
例: LDAP://10.205.67.8:389
LDAP は保護されたプロトコルではありません。情報はテキスト形式で転送されます。 可能であれ
ば、LDAPS (セキュア LDAP) を使用してください。
デフォルトの LDAP ポートは 389 で、LDAPS は 636 を使用します。
4
Web Gateway が LDAP サーバーとの接続時に送信する管理者認証情報を入力します。
a
[認証情報] で、共通名とドメイン コントローラーの名前を LDAP 形式で入力します。例:
cn:administrator,cn:users,dc:ldap,dc:local
b
[パスワード] で、管理者のパスワードを入力します。
5
LDAP サーバーのディレクトリが Active Directory の場合、[LDAP ディレクトリが参照に従うことを許可する]
の選択を解除します。
6
認証を受けるユーザーの識別名を取得するクエリーの情報を入力します。
a
[ユーザー オブジェクトの基本識別名] で、クエリーの開始ポイントを指定します。
開始ポイントは LDAP 形式で指定します。例:
cn:users,dc:ldap,dc:local
b
[ユーザー名を DN にマッピングする] を選択します。
このオプションを選択すると、ディレクトリに関連付けられたユーザー名を送信した識別名をクエリーで検索
できます。
270
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - LDAP 認証の設定
c
10
[グループ オブジェクトを検索するための表現をフィルタリングする] で、識別名を検索できるユーザー属性
を指定します。
このフィルター式を指定すると、ディレクトリでユーザーのエントリを検索できます。 フィルター式は、ユ
ーザーが送信したユーザー名です。 ユーザー名はユーザーの属性値としてディレクトリに格納されます。
Active Directory の場合、ユーザー名が格納される属性は sAMAccountName です。 Web Gateway の
場合、ユーザー名は %u という変数に保存されます。
Active Directory を使用する場合、フィルター式は次のように指定する必要があります。
samaccountname=%u
このフィルター式を使用すると、ユーザー エントリが検索され、ユーザー名とディレクトリに入力されたユ
ーザーの識別名の関連付けが行われます。
7
[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存] をクリックします。
この設定により、Web Gateway は LDAP でユーザーを認証します。 ディレクトリの他の属性に保存された情報を
取得するには、追加の設定が必要になります。
関連トピック:
271 ページの「ユーザー属性とグループ属性のクエリーを設定する」
ユーザー属性とグループ属性のクエリーを設定する
LDAP サーバーのディレクトリからユーザーとユーザー グループに関する詳細情報を取得 (プル) するクエリーの追
加情報を設定します。
これらのクエリーは、Web Gateway で認証モジュール (エンジン) のユーザー認証プロセスと一緒に設定します。
タスク
1
ユーザー属性のクエリーを設定します。
a
[ユーザー属性の取得] を選択します。
[ユーザー オブジェクトの基本識別名] オプションに特別な値を設定する必要はありません。これらの値は、ユ
ーザー認証で設定した値と同じです。
b
[取得するユーザー属性] リストで、クエリーで値を取得する属性の名前を追加します。 ここで複数の名前を
追加できます。
たとえば、ユーザーが所属するグループの情報を取得するには、memberof を追加します。
c
2
[属性結合文字列 ] で、結果で値を区切る文字を入力します (例: カンマ)。
グループ属性のクエリーを設定します。
a
[グループ属性の取得] を選択します。
b
[グループ オブジェクトの基本識別名] で、LDAP 構文を使用してクエリーの開始ポイントを入力します (例:
ou=groups,dc=ldap,dc=local)。
c
[グループ オブジェクトを検索するための表現をフィルタリングする] で、検索するグループのグループ属性
を指定します。
たとえば、member=%u を指定します。member は属性名、%u は Web Gateway でユーザー名が格納される
変数です。
McAfee Web Gateway 7.6.2
Product Guide
271
10
認証
ベスト プラクティス - LDAP 認証の設定
d
[取得するグループ属性] リストで、クエリーで値を取得する属性の名前を追加します。 ここで複数の名前を
追加できます。
たとえば、グループの共通名を検索するには、cn を追加します。
e
[属性結合文字列 ] で、結果で値を区切る文字を入力します (例: カンマ)。
別のプロパティへの属性の保存
ロギングなどの目的で、ユーザー属性またはグープル属性は個別のユーザー定義プロパティに保存できます。
LDAP サーバー上のディレクトリでユーザーまたはユーザー グループの属性を取得するクエリーを実行すると、結果
の情報が Authentication.UserGroups プロパティの値として Web Gateway に保存されます。
ユーザーのメール アドレスなど、特定の情報が必要な場合、これらの情報を別個に取得し、ユーザー定義のプロパテ
ィに保存できます。
この場合、追加ルールだけでなく、認証モジュール (エンジン) に名前付きの設定 (LDAP 電子メール参照 など) を
追加する必要があります。 このルールでは、認証モジュールが追加設定で実行され、ユーザーの項目や電子メール属
性値から保存された情報を取得します。
追加設定で次のようにオプションを設定する必要があります。
•
[ユーザー属性の取得] を有効にします。
•
[取得するユーザー属性] リストで電子メール属性に 1 つの項目を表示します。 LDAP サーバーで Active
Directory が実行されている場合、属性名は mail です。
•
[ユーザーを DN にマッピングする] を無効にする必要があります。
認証モジュールが実行され、ユーザー認証に LDAP が設定されています。ユーザー名がマッピングされているた
め、オプションを無効にしないとエラーが発生します。
他のすべてのオプションは、ユーザー認証ルールと同様に設定できます。
完全なルールは、以下のようになる可能性があります。
名前
Get email information and store separately
条件
Authentication.IsAuthenticated equals
true AND
Authentlcation.GetUserGroups
<LDAP_Email_:Lookup> does not contain
"no-group"
アクション イベント
–> Continue
Set User-Defined.Email=
List.OfString.ToString
(Authentication.UserGroups," ")
このルールは、LDAP 認証のルール セットに追加し、ユーザーを認証するルールの後に置く必要があります。
元のユーザー名の保存 (ロギング用)
ロギング目的で元のユーザー名を保存できます。
ユーザーが LDAP 認証を使用している場合、Authentication.Username プロパティの値がユーザーの識別名に
設定されます。 このプロパティがログ項目の作成に使用されている場合、ユーザーを識別するログ項目は次のように
なります。
CN=John Smith,CN=Users,DC=LDAP,DC=local
272
McAfee Web Gateway 7.6.2
Product Guide
10
認証
ベスト プラクティス - LDAP 認証の設定
ログ項目に識別名ではなく、元のユーザー名 (例: jsmith) を表示するには、LDAP 認証のルール セットを必要に応
じて変更します。
LDAP でユーザーの認証を行うルールだけでなく、ルール セットには次のものも含まされています。
•
ユーザーの LDAP 認証を処理し、ユーザー定義プロパティに元のユーザー名を保存します。
•
たとえば、他の LDAP 関連の処理を実行する 1 つ上のルールで、ユーザーが所属するグループの情報も取得でき
ます。
•
すべての LDAP 関連操作が完了した後で元のユーザー名を Authentication.Username プロパティにリストア
するルール
ユーザーの認証とユーザー名の保存を行うルール
以下のルールは、ユーザーの認証後に元のユーザー名が保存されます。 このルールのイベントには、ユーザー定義の
プロパティに応じて値が設定されます。
名前
Authenticate user and store user name
条件
アクション イベント
Authentication.IsAuthenticated equals
false AND
–> Continue
Authentlcation.Authenticate<LDAP> equals
true
Set User-Defined.UserName=
List.OfString.ToString
(Authentication.UserGroups," ")
この名前の LDAP サーバーでディレクトリのクエリーを実行すると、ユーザー名が取得されます。 ユーザーの認証
を行う Authentication.Authenticate プロパティは適宜設定されます。
クエリーが実行されると、ユーザー名は Authentication.Groups プロパティの値に保存されます。 この値は、
List.OfString.ToString プロパティで文字列に変換されます。
変換されたプロパティの元の値は文字列のリストです。すべての LDAP 関連のアクティビティが完了すると、この中
にはユーザー名だけではなく、他の情報も含まれています。
ユーザー グループ情報取得ルール
以下のルールでは、LDAP 関連の他のアクティビティを実行します。 ユーザーが所属するグループの情報を取得しま
す。
名前
Get user group information
条件
Authentication.IsAuthenticated equals true AND
アクション
–> Continue
Authentlcation.GetUserGroups<LDAP_Group_:Lookup> does not contain
"no-group"
McAfee Web Gateway 7.6.2
Product Guide
273
10
認証
ベスト プラクティス - LDAP 認証の設定
このルールでは、ユーザーを識別するためにユーザーの識別名が必要になります。元のユーザー名を
Authentication.Username プロパティの値としてはリストアできません。
Authentication.GetUserGroups プロパティの値を実行して取得するには、別の設定を作成し、認証モ
ジュール (エンジン) を設定する必要があります。
この設定の名前 (LDAP グループ参照) は、このサンプル ルール用の名前です。
この設定で、[ユーザーを DN にマッピングする] オプションが無効になっています。
元のユーザー名をリストアするルール
以下のルールでは、Authentication.Username プロパティの値に元のユーザーの名前をリストアします。
名前
Restore user name
条件
Authentlcation.Authenticate<LDAP>
equals false
アクショ イベント
ン
–> Stop
Rule
Set
Set Authentication.UserName=
User-Defined.Authentication.Username
このルール セットのイベントは、先行ルールで元のユーザー名を保存するために作成されたユーザー定義プロパティ
の値をこのプロパティに設定します。 一時的にこのプロパティの値を使用している識別名は上書きされます。
元のユーザー名がリストアされると、ロギング目的でプロパティを使用できます。
LDAP 認証のテストとトラブルシューティング
LDAP 認証プロセスのテストとトラブルシューティングは、段階的に行うことができます。
Web Gateway のユーザー インターフェースにあるツールを使用すると、特定のユーザー名とパスワードを使用し
て、設定済みの認証プロセスをテストできます。
テストの実行中にプロセスでエラーが発生した場合には、設定内容をよく確認してください。 エラーが見つからなか
った場合には、別のツールを使用してデバッグ ログを作成できます。 この方法でもエラーの詳細が分からない場合
には、3 つ目のツールを使用して tcpdump を生成します。
特定のユーザー名とパスワードの認証をテストする
認証モジュールの設定には、テスト目的のセクションがあります。 ユーザー名とパスワードを入力して、Web
Gateway でユーザーの認証を行うことができます。
タスク
1
[ポリシー] 、 [設定]の順に選択します。
2
設定ツリーの [エンジン] ブランチで、認証モジュール (エンジン) で変更または新規に作成した設定 (LDAP の設
定など) をクリックします。
3
[共通認証パラメーター] で、[認証キャッシュを使用する] の選択を解除します。
選択を解除しないと、キャッシュの有効期限が過ぎるまで LDAP サーバーのディレクトリに対する変更は検出さ
れません。
4
274
[認証テスト] を展開して、表示されたフィールドにユーザー名とパスワードを入力します。
McAfee Web Gateway 7.6.2
Product Guide
認証
ベスト プラクティス - LDAP 認証の設定
5
10
[ユーザーの認証] をクリックします。
認証プロセスの結果が [テスト結果] に表示されます。
•
プロセスが正常に実行されると、OK メッセージが表示されます。
テスト ツールには、クエリーを設定した属性値も表示されます。
•
プロセスが失敗すると、「エラー: 認証に失敗しました」というメッセージが表示されます。
認証のトラブルシューティングでデバッグ ログ ファイルを作成する
デバッグ ログ ファイルに認証プロセスを記録して、トラブルシューティングで確認することができます。
タスク
1
[設定] 、 [アプライアンス]の順に選択します。
2
アプライアンス ツリーで、デバッグ ログ ファイルを作成するアプライアンスを選択し、[トラブルシューティン
グ] をクリックします。
3
[認証トラブルシューティング] セクションで、[認証イベントを記録する] を選択します。
ログ ファイルのサイズを抑えるには、[追跡を 1 つの IP に制限する] を選択して、クライアント IP アドレスを指
定してください。
4
認証プロセスを再現します。
デバッグ ログ ファイルが作成されます。
5
デバッグ ログ ファイルを検索します。
a
[トラブルシューティング] を選択します。
b
アプライアンス ツリーで、デバッグ ログ ファイルを作成したアプライアンスを選択し、[ログ ファイル] を
クリックします。
c
[デバッグ] フォルダーを開き、該当するタイムスタンプのある [mwg-core.Auth.debug.log] ファイルを検
索します。
ログ ファイルの行には、認証プロセスの障害 ID が記録されています。 この ID の意味は次のとおりです。
0 – NoFailure: 認証は成功しています。
2 – UnknownUser: ユーザー名とユーザー DN の関連付けができません。
3 – WrongPassword: ユーザーのパスワードのバインドに失敗しました。
4 – NoCredentials: 認証情報がないか、形式が無効です。
5 – NoServerAvailable: サーバーと接続できません。
6 – ProxyTimeout: 設定したタイムアウトを過ぎても要求が処理されています。
8 – CommunicationError: タイムアウトなどが原因でサーバーと通信できません。
認証のトラブルシューティングで tcpdump を作成する
認証プロセスが失敗した原因をデバッグ ログ ファイルで確認できない場合には、tcpdump を作成すると、よく詳し
い情報を入手できます。
タスク
1
[トラブルシューティング] を選択します。
2
アプライアンス ツリーで、tcpdump を作成するアプライアンスを選択し、[パケット追跡] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
275
10
認証
インスタント メッセージング認証
3
[コマンドライン パラメーター] フィールドで、次のパラメーターを入力します。
"-s 0 -i any port 389"
このポート パラメーターにより、Web Gateway は暗号化されていないポートを介して LDAP サーバーに接続し
ます。トラブルシューティングの場合、このポートが必要です。
4
[tcpdump の開始] をクリックします。
5
問題を再現し、[tcpdump の停止] をクリックします。
6
wireshark ツールで追跡結果を開きます。 ldap.bindResponse 表示フィルターを使用して、LDAP サーバ
ーからの応答を検索します。
サーバーの応答には通常、LDAP、Active Directory、他のエラー コードが含まれています。 たとえば、サーバーの
応答に以下の行が含まれているとします。
"invalidCredentials (80090308: LdapErr: DSID-0c09030f, comment: AcceptSecurityContext error,
data 773, vece)"
773 は Active Directory のエラー コードで、ユーザー パスワードの変更が必要なことを表しています。
インスタント メッセージング認証
インスタント メッセージング認証は、ネットワークのユーザーに権限がない場合は、インスタント メッセージング
サービスを通じて Web にアクセスできないようにします。認証プロセスはユーザー情報をルックアップし、未認証
のユーザーを認証するかどうかを問い合わせます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する認証ルール
•
認証モジュール。別のデータベースからユーザーに関する情報を取得します。
認証ルールは Web に対してアクセスを要求したユーザーの認証に関する情報をログするためにイベントを使用でき
ます。
この場合、ロギング モジュールもまたプロセスに含まれます。
認証ルール
アプライアンスのデフォルトでは、インスタント メッセージング認証は実装御されませんが、ライブラリから IM
認証ルール セットをインポートできます。
このルール セットには、Web アクセスを要求しているユーザーがすでに認証されているかどうかを確認するために
ユーザー情報をルックアップするルールが含まれています。情報のルックアップに使用される方式はユーザー デー
タベース方式です。
ユーザー データベースで情報が見つからない権限をもたないユーザーは、認証のために資格情報を送信するように指
示されます。
別のルールは、ユーザーが認証されるか、権限を持たないユーザーについては資格情報を求めるために、認証サーバ
ー方式を使用して情報をルックアップします。
認証モジュールはこれらのルールによりコールされ、適切なデータベースからユーザー情報を取得します。
ライブラリ ルール セットのルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
276
McAfee Web Gateway 7.6.2
Product Guide
認証
インスタント メッセージング認証
10
認証モジュール
認証モジュール(エンジンとも呼ばれる)は、内部または外部データベースからのユーザーを認証するために必要な
情報を取得します。このモジュールは認証ルールによりコールされます。
ユーザー情報を取得するために別の方法は、モジュール設定で指定されます。適宜、2 つの設定がインスタント メッ
セージング通信のライブラリ ルール セットに表示されます。
•
IM 認証サーバーのユーザー データベース
•
認証サーバー IM
これらの設定は、ルール セット ライブラリ がライブラリからルールセットがインポートされるときに実装されま
す。
たとえば、認証サーバー方式の元でユーザー情報が取得されたサーバーを指定するためなどに、これらの設定をを行
うことができます。
ログ記録モジュール
インスタント メッセージング認証のライブラリ ルール セットには、認証関連のデータをログするルールが含まれ
る。たとえば、Web アクセスを要求したユーザーのユーザー名や要求された Web オブジェクトの URL などです。
ログ記録は FileSystemLogging モジュールにより処理され、この設定を行うこともできます。
インスタント メッセージ認証の構成
インスタント メッセージ認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから IM 認証ルール セットをインポートします。
2
ルール セットのルールを確認し、必要に応じて修正します。
たとえば、次の変更を行います。
3
•
ユーザー データベースまたは認証サーバー方法の認証モジュールの設定を変更します。
•
インスタント メッセージの認証に関する情報をロギングするように、ロギング モジュールの設定を変更しま
す。
変更を保存します。
インスタント メッセージ認証の認証モジュールの構成
認証モジュールを構成し、インスタント メッセージ サービスのユーザーを認証する必要がある情報を取得する方法
を指定します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.6.2
Product Guide
277
10
認証
インスタント メッセージング認証
4
認証モジュールを呼び出すルールを検索します。
ライブラリ ルール セットには、ユーザー データベースに対してクライアントを認証する および 証されていない
クライアントを認証サーバーにリダイレクトするがあります。
5
ルール条件で、構成する設定の設定名をクリックします。
Authentication.uthenticate プロキシの隣にこの名前が表示されます。
ライブラリ ルール セットでは、これは IM 認証サーバーのユーザー データベースまたは認証サーバー IM 設定
です。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
247 ページの「認証設定」
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成
ファイル システム ログ記録モジュールを構成し、インスタント メッセージ認証に関連する情報をログ記録する方法
を指定できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ファイル システム ログ記録モジュールを呼び出すルールを検索します。
ライブラリ ルール セットでは、これはルール認証ページの表示です。
5
ルール イベントで、モジュールの設定名をクリックします。
ライブラリ ルール セットでは、この名前は IM ログ記録です。
[設定の編集]ウィンドウが開きます。ファイル システム ログ記録モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
598 ページの「ファイル システム ログ設定」
278
McAfee Web Gateway 7.6.2
Product Guide
認証
インスタント メッセージング認証
10
IM 認証ルール セット
IM 認証ルール セットは、インスタント メッセージング認証のライブラリ ルール セットです。
ライブラリ ルール セット-IM 認証
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
•
IM 認証サーバー
•
IM プロキシ
IM 認証サーバー
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、ユーザー データベース方式を適用します。
ネストされたライブラリ ルール セット-IM 認証サーバー
条件– Authentication.IsServerRequest equals true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、インスタント メッセージング サービスのユーザーの認証がリクエストされた場合、ルール
セットが適用されると指定します。
このルール セットは、以下のルールを含みます。
ユーザー データベースに対してクライアントを認証する
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM 認証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証のためのユーザー データベース方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
認証ページの表示
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
McAfee Web Gateway 7.6.2
Product Guide
279
10
認証
ワンタイム パスワード
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
このルールは、インスタント メッセージングのユーザーによってクライアントから認証サーバーに送信されたリク
エストをリダイレクトし、ユーザーにリダイレクトのことを通知するためにメッセージを表示します。
アクション設定が、IM 認証の表示のテンプレートがメッセージに使用されるように指定します。
このルールはイベントも使用し、認証リクエストのログ エントリーの値を設定します。ログ ファイルにこのエント
リーを書き込むのに 2 つめのイベントを使用します。このイベントのパラメーターがログ エントリーを指定しま
す。
イベントの設定はログ ファイル、およびそれが維持される方法を指定します。
IM プロキシ
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、認証サーバー方式を適用します。
ネストされたライブラリ ルール セット-IM プロキシ
条件-Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、ユーザーがインスタント メッセージング プロトコルの下での接続でチャット メッセージま
たはファイルを送信して、メッセージがアプライアンスからユーザーにすでに返信できる場合に適用されるルール セ
ットを指定します。
ルール セットには、以下のルールが含まれます。
認証されていないユーザーを認証サーバーにリダイレクトする
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM 認
証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証での認証サーバー方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
ワンタイム パスワード
Web Gateway では、ユーザー認証にワンタイム パスワード (OTP) を使用できます。クォータの期限切れで Web
セッションが終了した場合、許可オーバーラードのパスワードを使用できます。
ユーザーが Web アクセス要求を送信すると、Web Gateway で使用可能な他の認証方法で認証が実行されます。た
とえば、内部ユーザー データベースに保存された情報に基づいて認証が実行されます。
ワンタイム パスワードの使用を設定すると、2 番目の方法としてこの認証方法が実行されます。Web Gateway は、
Web アクセスにワンタイム パスワードが必要であることをユーザーに通知します。ユーザーがワンタイム パスワ
ードを要求すると、ユーザー名を McAfee One Time Password (McAfee OTP) サーバーに送信し、パスワードを
要求します。
®
要求が承認されると、McAfee OTP サーバーがワンタイム パスワードを戻します。ただし、このパスワードは Web
Gateway に公開されません。McAfee OTP サーバーは、応答のヘッダー フィールドにコンテキスト情報を追加しま
す。
280
McAfee Web Gateway 7.6.2
Product Guide
認証
ワンタイム パスワード
10
このコンテキスト情報により、ユーザーに表示されるページのパスワード フィールドと送信ボタンが提供されます。
ユーザーは、このボタンをクリックしてワンタイム パスワードを送信し、要求した Web オブジェクトにアクセスで
きます。
Web Gateway でワンタイム パスワードの使用を実装するには、ルール セット ライブラリからルール セットをイ
ンポートします。ルール セットをインポートすると、デフォルトの値が設定されます。これらの設定は、ネットワー
クの要件に合わせて調整することができます。
たとえば、McAfee OTP サーバーの IP アドレスやホスト名、Web Gateway からの要求を待機するポートなどは設
定が必要です。
McAfee OTP サーバーでの認証に使用する Web Gateway のユーザー名とパスワードも必要です。
Web Gateway と McAfee OTP サーバー間の通信を SSL で保護する場合には、この通信で使用する証明書をインポ
ートする必要があります。
Web Gateway と連動して認証プロセスを処理するように McAfee OTP サーバーを設定する必要があります。
許可オーバーライドのワンタイム パスワード
ネットワーク内の Web 利用にクォータ制限が設定されている場合、ワンタイム パスワードを使用して、クォータ期
限で終了する Web セッションの期限を延長することができます。
許可オーバーライドでワンタイム パスワードの使用を実装するには、ライブラリから別のルール セットをインポー
トします。これにより、認証プロセスの設定を行うことができます。
McAfee Pledge デバイスのワンタイム パスワードの使用
®
McAfee Pledge デバイスが提供するワンタイム パスワードをユーザーの認証や許可オーバーライドに使用できま
す。
この方法を認証プロセスのワンタイム パスワードとして有効にするには、適切なルール セットをルール セットライ
ブラリからインポートして実装する必要があります。インポートを行うと、認証プロセスの設定が実装されます。
McAfee Pledge デバイスの使用方法については、この製品のマニュアルを参照してください。
ユーザー認証にワンタイム パスワードを設定する
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「認証サーバー (OTP による時間/IP ベースのセッション)」ルール セットをイ
ンポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「認証サーバー (OTP と Pledge を使
用した時間/IP ベースのセッション)」をインポートします。
このルール セットは、認証 ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
McAfee Web Gateway 7.6.2
Product Guide
281
10
認証
ワンタイム パスワード
許可オーバーライドにワンタイム パスワードを設定する
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「OTP を使用する許可オーバーライド」ルール セットをインポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「OTP と Pledge を使用する許可オー
バーライド」をインポートします。
このルール セットは、警告/クォータ ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
ワンタイム パスワードを設定する
ワンタイム パスワードを処理するルール セットをインポートすると、ワンタイム パスワードにデフォルトの値が設
定されます。ネットワーク要件に合わせて、この設定を変更します。
認証と許可オーバーライドで同じ設定のワンタイム パスワードを使用することはできません。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで、[認証] を展開します。
3
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。そうでない場合には、手
順 4 に進みます。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
b
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
c
[IP 認証サーバー] をクリックします。
設定パネルに IP 認証サーバーの設定が表示されます。
d
[IP 認証サーバー固有のパラメーター] セクションで設定を行います。必要であれば、他のセクションで共通
の認証設定を行います。
e
[認証サーバーのユーザー データベース] をクリックします。
認証サーバーにあるユーザー データベースの設定が設定パネルに表示されます。
f
[ユーザー データベース固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
手順 5 に進みます。
4
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
282
McAfee Web Gateway 7.6.2
Product Guide
認証
ワンタイム パスワード
b
5
10
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
[変更を保存] をクリックします。
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット
認証サーバー (OTP による時間/IP ベースのセッション) ルール セットは、ワンタイム パスワードによるユーザー認
証を有効にするライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP による時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされています。
•
有効な認証セッションの確認
•
認証サーバー
有効な認証セッションの確認
このルールは、ユーザーが認証サーバーでまだ認証されていない場合に、クライアントから送信されたユーザーの要
求を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない
場合、このルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名の修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この変更が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名にワイルドカードの使用が許可されてい
ない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバーのユーザー デ
ータベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP アドレスが評価
されます。
McAfee Web Gateway 7.6.2
Product Guide
283
10
認証
ワンタイム パスワード
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーは証明書の送信を要求されます。このアクションは、指定された設
定で実行されます。
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、ユーザ
ーが要求を送信した後に再度認証を要求します。
この処理は、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
ユーザーが有効なワンタイム パスワードを送信したときに、Web アクセス要求を転送します。有効なワンタイム パ
スワードが入力されなかった場合、ユーザーに認証を要求します。
最初の認証では、認証サーバーにあるユーザー データベースの情報が使用されます。認証に成功すると、Web アク
セスにもワンタイム パスワードが必要であることが通知されます。このパスワードは、ユーザーの要求を処理すると
きに Web Gateway に送信されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットは、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に適用されま
す。
このルール セットには、以下のルールが含まれます。
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信し
たユーザーが正常に認証されているかどうか確認します。
認証に成功すると、Web アクセスが許可され、認証サーバーから要求した Web オブジェクトにリダイレクトされ
ます。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信したユーザ
ーが認証されていないかどうか確認します。
認証できない場合、要求がブロックされ、要求がブロックされたこととその理由が通知されます。
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
284
McAfee Web Gateway 7.6.2
Product Guide
認証
ワンタイム パスワード
10
Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを送信したユーザ
ーが認証サーバーのユーザー データベースで認証されているかどうかを確認します。
認証されていない場合、ユーザーに認証を要求します。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
このルール セットの前のルールがすべて適用されなかった場合、Web アクセスを要求したユーザーは有効なワン
タイム パスワードを送信していませんが、認証サーバーのユーザー データベースで認証されています。
このルールが処理されると、Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情
報がヘッダーに存在するどうか確認します。
存在する場合、ユーザーにワンタイム パスワードを送信します。
クライアントに認証データを戻す
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報がヘッダーに存在するかど
うか確認します。
存在する場合、要求をブロックし、ワンタイム パスワードの送信要求を行ったユーザーにメッセージを送信しま
す。
ワンタイム パスワードの認証プロセスに関するコンテキスト情報付きのヘッダーをブロック メッセージに追加し
ます。
最初のイベント パラメーターには、追加するヘッダー情報を指定します。2 つ目のパラメーターは、ワンタイム パ
スワード認証プロセスに関する情報を値として含むプロパティです。これが追加する情報のソースになります。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
このルール セットの前のルールがすべて適用されない場合、このルールのブロック アクションが常に実行されま
す。
このアクションでは、ルールの処理を停止します。要求は転送されません。
このアクションの設定に従って、ユーザーにメッセージが送信され、Web アクセスにワンタイム パスワードが必
要であることを通知し、Web Gateway から取得するように指示します。
「OTP を使用する許可オーバーライド」ルール セット
「OTP を使用する許可オーバーライド」ルール セットは、許可オーバーライドでワンタイム パスワードの使用を有
効にするライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
McAfee Web Gateway 7.6.2
Product Guide
285
10
認証
ワンタイム パスワード
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルール
セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com*
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在する場合に、ル
ール セットが適用されます。
このルール セットには、以下のルールが含まれます。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
このルールが処理されます。このルールは、Header.Exists プロパティを使用して、ワンタイム パスワードの送
信要求を含む情報が要求のヘッダーに存在するかどうか確認します。
条件を満たす場合、ユーザーにワンタイム パスワードを送信します。
286
McAfee Web Gateway 7.6.2
Product Guide
認証
ワンタイム パスワード
10
クライアントに認証データを戻す
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報が要求のヘッダーに存在す
るかどうか確認します。
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
条件を満たす場合、要求は転送されず、ユーザー認証に関する情報が特定のプロパティ値に設定されます。
指定した設定でブロック アクションが実行されます。ブロックの理由を通知するメッセージがユーザーに送信さ
れます。
イベントが提供する情報は、OTP.Context イベント パラメーターで指定します。この情報を設定するプロパティ
は第 2 パラメーターに指定します。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、このルールのアクションが常に実
行されます。
ルールの処理を停止します。要求は転送されません。このアクションの設定では、ワンタイム パスワードが Web
Gateway から取得できることを通知するメッセージがユーザーに送信されます。
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ル
ール セット
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セットは、McAfee Pledge デバ
イスが提供するワンタイム パスワードを使用してユーザーを認証するライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされます。
•
有効な認証セッションの確認
•
認証サーバー
有効な認証セッションの確認
このネストされたルールは、ユーザーが認証サーバーで認証されていない場合に、クライアントから送信された要求
を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
McAfee Web Gateway 7.6.2
Product Guide
287
10
認証
ワンタイム パスワード
通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない
場合、このルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名を修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この値が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名でのワイルドカードの使用が許可されて
いない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバ
ーのユーザー データベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP
アドレスが評価されます。
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーに証明書の送信を要求します。このアクションは、指定した設定で
実行されます。
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、要求の
送信後に再認証をユーザーに要求します。
これは、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
このルール セットは、ユーザーが McAfee Pledge デバイスから取得した有効なワンタイム パスワードを送信した
ときに、Web アクセス要求を転送します。
有効なワンタイム パスワードが入力されなかった場合、ユーザーに認証を要求します。 まず、認証サーバーにある
ユーザー データベースにある情報で認証が実行されます。
認証に成功すると、Web へのアクセス時に McAfee Pledge デバイスのワンタイム パスワードが必要になることが
ユーザーに通知されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に、ル
ールセットが適用されます。
このルール セットには、以下のルールが含まれます。
288
McAfee Web Gateway 7.6.2
Product Guide
認証
ワンタイム パスワード
10
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを
送信したユーザーが認証サーバーのユーザー データベースで正しく認証されているかどうかを確認します。
条件を満たしていない場合、ユーザーに認証を要求します。
ブロック テンプレートを表示
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
このルールは、URL.GetParameter プロパティを使用して、McAfee Pledge デバイスから取得したワンタイム
パスワードが要求の URL パラメーターとして送信されているかどうかを確認します。
パラメーターが空の場合、要求がブロックされます。Web アクセスに McAfee Pledge デバイスのワンタイム パス
ワードで認証を行う必要があることを通知するメッセージがユーザーに送信されます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、ワンタイム パスワード認証プロセスのコンテキスト情報を認証済みのユーザーに送信します。
McAfee OTP サーバーでワンタイム パスワードを検証するために、この情報が取得されます。
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
このルールは、Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パス
ワードを送信したユーザーが正常に認証されているかどうか確認します。
条件を満たすと、Web アクセスが許可され、認証サーバーからリダイレクトされ、要求した Web オブジェクトに
移動します。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
このルールは、Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを
送信したユーザーが認証されていないことを確認します。
条件を満たすと、要求がブロックされ、要求の処理状況と理由が通知されます。
「OTP と Pledge を使用する許可オーバーライド」ルール セット
「OTP と Pledge を使用する許可オーバーライド」ルール セットは、McAfee Pledge デバイスが提供するワンタイ
ム パスワードを使用して許可オーバーライドを行うライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
McAfee Web Gateway 7.6.2
Product Guide
289
10
認証
ワンタイム パスワード
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルール
セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在し、許可オーバ
ーライド後に継続可能な時間クォータを超えている場合にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、認証ユーザーにワンタイム パスワードを送信します。
ユーザー認証に必要なコンテキスト情報は、McAfee OTP サーバーで検証されたワンタイム パスワードを使用して
取得します。
要求をブロックして OTP を提供する
Always –> Block<OTP Required with Pledge>
290
McAfee Web Gateway 7.6.2
Product Guide
認証
クライアント証明書認証
10
Web アクセス要求をブロックします。
このアクションの設定では、McAfee Pledge デバイスから取得したワンタイム パスワードの送信後に Web アクセ
スが許可されることを通知するメッセージがユーザーに送信されます。
クライアント証明書認証
クライアント証明書の提出は、アプライアンスのユーザー インターフェースへのアクセス方法として構成できます。
この方法はクライアント証明書認証 または X.509 認証と呼ばれます。
クライアント証明書認証は、アプライアンスのプロキシ機能を構成するとき、認証手順の選択できる方法の 1 つで
す。
プロキシ構成に使用する場合、以下が方法に適用されます。
•
ユーザー名およびパスワードは、NTLM または LDAP など他の方法の場合と同じく、リクエストを送信するユー
ザーの認証に必要ありません。
•
方法はクライアントの Web ブラウザーから、明示的プロキシ モードで構成されたアプライアンスへ SSL セキュ
ア通信で送信するリクエストで実行可能です。
•
この通信で使用されるプロトコルは HTTPS です。
SSL ハンドシェイクがアプライアンスとクライアント間の通信の最初の手順の 1 つとして実行されるとき、クライ
アント証明書が送信されます。リクエストはそれから認証サーバーへリダイレクトされ、証明書を検証します。
有効な場合、クライアントとリクエストを最終的に適切な Web サーバーへ送信するため、認証が正常に完了します。
構成のノードとして複数のアプライアンスを実行するとき、リクエストがもともと実行されたノードの認証サーバー
が存在することが重要です。
また、正常な認証の後の Web への送信は、同じモードで完了する必要があります。
クライアント証明書認証の認証サーバーの使用は、ルールによって制御されています。認証サーバー ルール セット
をインポートし、ネストされたルール セットでルールを変更でき、適切な証明書の使用を有効にします。
また、方法を実行し、クライアント証明書認証を適用する必要があります。これを行うために推奨される方法は、
cookie 認証を使用することです。
この方法が実行される場合、認証はリクエストの送信元であるクライアントに必要ですが、cookie は証明書が提出
され 1 度有効であると認識された後、このクライアントに設定されます。証明書の送信は、そのクライアントからの
後続リクエストには必要ありません。
この方法で処理されたクライアント証明書認証を持つルール セットをインポートおよび変更できます。
クライアント証明書認証のための証明書の使用
クライアント証明書認証方法の下では認証を実行するさまざまなタイプの証明書が必要です。この認証は、SSL セキ
ュア通信で実施されます。
クライアント証明書
クライアント証明書は、アプライアンスへ要求を送信するクライアントの識別情報を認証するために必要です。
信頼されたクライアントが送信した要求だけが受け入れられます。要求と一緒に送信された証明書が信頼できるルー
ト CA (証明機関) によって署名されている場合に、クライアントが信頼されます。
クライアント証明書認証方式では、認証にクライアント証明書も使用されます。要求と共に送信された証明書が信頼
されている証明機関によって署名されている場合のみ、認証が正常に完了します。
McAfee Web Gateway 7.6.2
Product Guide
291
10
認証
クライアント証明書認証
サーバー証明書
サーバー証明書は、SSL セキュア通信に含まれるサーバーの識別情報を認証するために必要です。
サーバーは通信の最初の段階で送信される証明書がクライアントによっても信頼されているルート CA (証明機関)
によって署名されている場合のみ、クライアントにより信頼されます。
クライアント証明書認証方式では、認証サーバーにサーバー証明書も使用されます。
ルート CA
ルート CA (証明書機関) は、その他の証明書に署名するインスタンスです。
SSL セキュア通信では、ルート CA は通信プロセスで表示できる証明書として表示されます。
ルート CA がクライアントまたはサーバーにより信頼される場合、それにより署名されている証明書も同様に信頼さ
れ、このことは、クライアントまたはサーバーが署名済みの証明書などを送信した場合に、それが信頼されることを
意味します。
クライアント証明書認証のためのルール セット
クライアント証明書認証を実装するためのルール セットは、ルール セット ライブラリで利用可能です。
認証サーバー(X509 認証の場合)ルール セット
認証サーバー(X509 認証の場合)ルール セットは、クライアント証明書認証方法の下で認証サーバーの使用を扱う
ために、ネストされたいくつかのルール セットを使用します。
•
•
SSL エンドポイント終了 — SSL セキュア通信でリクエストの扱いを準備します
•
受信 HTTPS 接続を受け付ける — 認証サーバーに送信できる証明書を示します
•
コンテンツ検査 — リクエストで送信されるコンテンツの検査を有効にします
認証サーバー リクエスト — 認証サーバーが正常に完了した後で、認証後にさらに処理をするアプライアンスで
プロキシにリクエストをリダイレクトして戻します
クッキーはリクエストが送信されたクライアントに対してセットされている場合、リクエストもまた、リダイレ
クトされます。
認証は認証サーバーで正常に完了できなかった場合、ユーザーはユーザー データベースで認証の認証情報を送信
するように指示されます。
•
その他すべてをブロック — 認証が正常に完了しなかったリクエストをブロックします
Cookie 認証(X509 認証の場合)ルール セット
Cookie 認証(X509 認証の場合)ルール セットは、クライアント証明書認証方法の使用を開始し、cookie の設定
を扱うためにいくつかのネストされたルール セットを使用します。
•
292
HTTP(S)プロキシで Cookie 認証 — cookie でクライアント証明書認証を扱うネストされたルール セットを
含みます
•
認証されたクライアントの Cookie を設定する — クライアントに対して一度認証が正常に完了した後で
cookie 認証を設定し、さらに処理するためのアプライアンスのプロキシにクライアントが戻すリクエストを
リダイレクトします
•
認証サーバーでのクライアントの認証 — cookie が認証サーバーにセットされていないクライアントから送
信されたリクエストをリダイレクトします
McAfee Web Gateway 7.6.2
Product Guide
認証
クライアント証明書認証
10
認証サーバーへのリクエストのリダイレクト
クライアント認証の認証方法の下で、リクエストは送信されたクライアントの証明書を検証するための認証サーバー
にリダイレクトされます。リダイレクトはアプライアンスの特別なリスナー ポートまたは固有のホスト名を使用し
て行うことができます。
特別なリスナー ポートの使用
リクエストは、たとえばポート 444 などの特別なリスナー ポートを使用して認証サーバーにリダイレクトできます。
アプライアンスの IP アドレスが 192.168.122. 199 であることを想定すると、リクエストは以下により認証サー
バーにリダイレクトされます。
https://192.168.122.119:444/
しかし、プロキシを使用した例外がリクエストを送信するクライアントの Web ブラウザーに対して設定されている
かどうかを考えることが重要です。
•
プロキシ例外が設定されていません — プロキシ例外が設定されていない場合、すべてのリクエストはアプライア
ンスでリスンしているプロキシ ポートに送信されます。これは、デフォルトではポート 9090 です。
ポート 9090 が設定済みのプロキシ ポートの場合、https://192.168.122.119:444/ へのリクエストさえも
ポート 9090 に到着します。
ファイアウォールがネットワーク設定の一部である場合、クライアントからポート 444 への接続がない場合、フ
ァイアウォール ルールからの例外は必要アありません。
リクエストが確実に認証サーバー 444 にリダイレクトされるようにするか、この目的で使用する別の値にリダイ
レクトされるようにするためには、認証サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロ
パティに対して設定される必要があります。
URL.Port プロパティの値は、リクエストにより指定される URL に含まれるポートです。リクエストが実際にポ
ート 9090 に到着する場合でも、これは、たとえば 444 です。
•
設定済みのプロキシ例外 — プロキシ例外は種々の理由に対して構成できます。たとえば、Web ブラウザーはロ
ーカル ホストにアクセスするためのプロキシを使用しないように設定できました。
https://192.168.122.119:444/ へのリクエストは、ポート 9090 に到着しません。
ブラウザーは宛先に直接アクセスするように設定したため、ポート 444 のアプライアンスに接続を試みます。こ
のことは、ポート番号 444 でリスナー ポートをセットアップする必要があることを意味します。
ファイアウォール ルールが所定の位置にある場合、ポート 444 にリクエストが到着することを許可するために、
例外もまた必要です。
リクエストが適切なルールにより確実に処理されるためには、444、またはこの目的で使用する別の値は、認証
サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロパティに対して設定される必要がありま
す。
Proxy.Port プロパティの値は、リクエストが実際に到着するポートです。たとえば、認証サーバーにリダイレク
トするリクエストを受け取るために、この番号をもつ@ポートをセットアップする場合、これは 444 になりま
す。
一意のホスト名の使用
一意のホスト名、たとえば authserver.local.mcafee を使用して認証サーバーにリクエストをリダイレクトするこ
とできます。この名前を使用して、リクエストは以下により認証サーバーにリダイレクトされます。
https://authserver.mcafee.local
McAfee Web Gateway 7.6.2
Product Guide
293
10
認証
クライアント証明書認証
リクエストが送信されるクライアントは、DNS を使用してホスト名をルックアップしようとはしません。URL はほ
とんどの場合解決される可能性が低く、クライアントは接続できないからです。
リクエストが適切なルールにより確実に処理されるためには、このホスト名は認証サーバー(X509 認証の場合)ル
ール セットの条件で URL.Host プロパティの値として設定されなければなりません。
クライアント証明書の認証の実施
クライアント証明書認証方式は、認証に対するリクエストと共に送信されるクライアント証明書を使用します。アプ
ライアンスでこの方法を実装するためには、以下の高レベル手順を実行します。
タスク
1
認証サーバー(X509 認証の場合)ルール セットをインポートします。
2
ネストされたルール セットを変更して、適切な証明書の使用を構成します。
3
アプライアンスのプロキシ ポートを使用していない Web ブラウザーにより送信されたリクエストに対して、リ
スナー ポートを構成します。
4
クライアント証明書認証が適用される方法を構成します。
クライアント証明書認証が一度適用され、正常に完了した後で、認証のために Cookie を使用するために、Cookie
認証(X509 認証用)をインポートし、変更できます。
5
アプライアンスに対してリクエストを送信するために使用される Web ブラウザーで使用される
認証サーバー(X509 認証の場合)ルール セットのインポート
アプライアンスでクライアント証明書認証方式を実装するためには、この方法で認証を処理するルール セットがなけ
ればなりません。この目的のために、認証サーバー(X509 認証の場合)ルール セットをインポートできます。
ルール セット ツリーの最上部にルール セットを挿入することをお勧めします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[認証サーバー(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
5
ルール セット条件を確認し、必要に応じて変更します。
インポートした後で、条件は以下のとおりです。
URL.Port equals 444 or Proxy.Port equals 444.
これにより、ルール セットはそのポートが受け取るすべてのリクエストに適用されるようになります。別のポー
トを使用する場合は、ここでポート番号を指定してください。
294
McAfee Web Gateway 7.6.2
Product Guide
認証
クライアント証明書認証
10
サーバー証明書の使用を設定するためのルール セットの変更
認証サーバー (X509 認証の場合) ルール セットは、適切なサーバー証明書が認証サーバーに送信されるようにする
ために変更する必要があります。ネストされたルール セットで変更が行われます。
別のホスト名と IP アドレスの下で認証サーバーに到達することができるため、アプライアンスが別のサーバー証明
書を毎回、送信できるようにし、ホスト名または IP アドレスが証明書の共通名と一致するようにすることになりま
す。
このためには、各ホスト名または IP アドレスに対してサーバー証明書をインポートして、それをサーバー証明書の
リストに追加する必要があります。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択し、[認証サーバー (X509 認証の場合)]を展開します。
2
このルール セット内にネストされた 「SSL Endpoint 終了」ルール セットを展開して、ネストされた「受信
HTTPS 接続を受け入れる」ルール セットを選択します。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[SSL コンテキストの定義]セクションで、サーバー証明書のリストを見直します。
5
リストにサーバー証明書を追加するには、次の手順に従います。
a
リストの上の[追加]アイコンをクリックします。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
[サーバー証明書のインポート]ウィンドウが開きます。
d
[参照]をクリックして、インポートする証明書を参照します。
e
このアクティビティを繰り返して、証明書と共にキーと証明書チェーンをインポートします。
f
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書情報が[証明書マッピングへのホストの追加]ウィンド
ウに表示されます。
6
(オプション) [コメント]フィールドに、サーバー証明書に関する平文コメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じて、リストにサーバー証明書が表示されます。
8
[SSL Scanner 機能はクライアント接続にのみ適用]チェックボックスが選択されていることを確認します。
これにより、アプライアンスはネットワークのその他のサーバーに照会せずに、クライアントからの要求を受け
付けるようになります。これは、この通信では必要とされていません。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
295
10
認証
クライアント証明書認証
証明機関の使用を設定するためのルール セットの変更
認証サーバー(X509 認証の場合)ルール セットは、適切なルート CA(証明書機関)が確実に設定されるように変
更する必要があります。ネストされたルール セットで変更が行われます。
クライアント証明書は、アプライアンスで維持されているリストからの証明書機関により署名された場合に信頼性が
あります。信頼されたクライアント証明書のインスタンスを署名するリストにすべての証明書機関をインポートする
必要があります。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー(X509 認証の場合)]を展開します。
2
ネストされた[SSL 認証サーバー リクエスト]ルール セットを展開します。
3
I[クライアント証明書をユーザーに問い合わせる]ルールで、[X509 認証]モジュール設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[クライアント証明書指定パラメーター]セクションで、証明書機関のリストを見直します。
5
証明書機関をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明機関の追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
ローカル ファイル システムにアクセスするウィンドウが開きます。
d
インポートする証明書権限ファイルを参照します。
e
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書が[証明機関の追加]ウィンドウに表示されます。
6
[信頼できる]チェックボックスが選択されていることを確認します。
7 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
8
[OK]をクリックします。
ウィンドウが閉じて、リストに証明書機関が表示されます。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
アプライアンスのリクエストを受信するリスナー ポートの構成
アプライアンスへ送信されるリクエストは、プロキシ ポートまたは特別なリスナー ポートで受信できます。プロキ
シ ポートはデフォルトでポート 9090 です。
プロキシ ポートへの到着からリクエストを防ぐプロキシの例外が作成された場合、リスナー ポートを構成する必要
があります。
296
McAfee Web Gateway 7.6.2
Product Guide
認証
クライアント証明書認証
10
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リスナー ポートを構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
プロキシ設定が設定パネルに表示されます。
3
[HTTP プロキシ] セクションまで下にスクロールします。
4
[HTTP プロキシを有効にする]が選択されていることを確認します。
5
[HTTP ポート定義リスト]のツールバーで、[追加]アイコンをクリックします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
6
以下のようにリスナー ポートを構成します。
a
[リスナー アドレス] フィールドで、0.0.0.0:444 を入力します。
リクエストの受信を待機している異なるポートを使用する場合、ここに入力します。
b
[SSL として扱われるポート] フィールドで、* を入力します。
c
その他すべてのチェックボックスが選択されていることを確認します。
7
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
8
[変更の保存]をクリックします。
9
アプライアンスを再起動して、リスナー ポートの構成が有効になっていることを確認します。
Cookie 認証(X509 認証の場合)ルール セットのインポート
クライアント証明書認証方式がアプライアンスで使用されるとき、Cookie 認証(X509 認証の場合)ルール セット
により、この方式の使用を開始できます。
認証を必要としない機能のルール セットの後、ただし、フィルタリング機能を処理するルール セットの前にこのル
ール セットを挿入することをお勧めします。
これにより、認証が失敗したためにリクエストがブロックされるときに、フィルタリング機能が実行されないように
なります。これにより、リソースが節約され、パフォーマンスが改善します。
ルール セット システムがデフォルト システムに類似している場合、SSL スキャナーとグローバル ホワイトリスト
ルール セットの後、ただし、コンテンツ フィルタリングと Gateway Antimalware ルール セットの前にこのルー
ル セットを挿入できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
297
10
認証
クライアント証明書認証
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[Cookie 認証(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
受信要求のリスナー ポートを変更するためのルール セットの変更
ポート 444 の代わりに使用する受信要求のリスナー ポートを設定するための Cookie 認証 (X509 認証の場合) を
変更することができます。これは、デフォルト ポートです。ネストされたルール セットで変更が行われます。
プロキシ例外がアプライアンスのプロキシ ポートに要求が到着できないようにしている場合、特別なリスナー ポー
トが受信要求を受け取るために使用されなければなりません。ポート 444 またはこの目的に対して設定された別の
ポートで到着する要求が認証サーバーに転送されます。
タスク
1
[ポリシー] 、 [ルールセット]を選択し、[Cookie 認証 (X509 認証の場合)]を展開します。
2
ネストされた [HTTP(S) プロキシで Cookie 認証] ルール セットを展開します。このルール セット内で、ネスト
された [認証サーバーでクライアントを認証する] ルール セットを選択します。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[認証サーバー固有のパラメーター] セクションで、[認証サーバー URL] フィールドの URL を確認します。
URL はデフォルトで次のとおりです。
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
ルールが処理されると、$...$ の部分がアプライアンスの IP アドレスで置き換えられます。
5
別のリスナー ポートを設定するためには、ここにこのポートの番号を入力してください。
6
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
7
[変更の保存]をクリックします。
クライアント証明書のブラウザーへのインポート
適切なクライアント証明書は Web ブラウザーで使用でき、SSL で保護された通信でアプライアンスにリクエストと
共に送信される必要があります。
証明書のインポート手順は、ブラウザーにより異なり、変更される場合があります。ブラウザー メニューは、使用し
ているオペレーティング システムによって異なります。
以下は、クライアント証明書を Microsoft Internet Explorer と Mozilla Firefox にインポートするための 2 つの考
えられる手順です。
298
McAfee Web Gateway 7.6.2
Product Guide
認証
クライアント証明書認証
10
タスク
•
299 ページの「クライアント証明書の Microsoft Internet Explorer へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft
Internet Explorer で利用可能にできます。
•
300 ページの「クライアント証明書の Mozilla Firefox へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla
Firefox で利用可能にできます。
クライアント証明書の Microsoft Internet Explorer へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet
Explorer で利用可能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[インターネット オプション]を順にクリックします。
[インターネット オプション]ウィンドウが開きます。
2
[コンテンツ]タブをクリックします。
3
[証明書]セクションで、[証明書]をクリックします。
[証明書]ウィンドウが開きます。
4
[インポート]をクリックします。
[証明書のインポート ウィザード]が表示されます。
5
このウィザード ページで、次の手順に従ってください。
a
[証明書のインポート ウィザードの開始]ページで、[次へ]をクリックします。
b
[インポートする証明書ファイル]ページで、[参照]をクリックし、証明書ファイルを保存してある場所に移動
します。
c
[ファイル名] フィールドに「*.pfx」と入力し、[Enter] キーを押します。
d
証明書ファイルを選択し、[開く]をクリックし、[次へ]をクリックします。
e
[パスワード]ページで、[パスワード]フィールドにパスワードを入力します。[次へ] をクリックします。
f
[証明書ストア]ページで、[証明書をすべて次のストアに配置する]をクリックします。
g
同じページの[証明書ストア]セクションで、[個人用]を選択し、[次へ]をクリックします。
h
[証明書のインポート ウィザードの完了]ページで、[完了] をクリックします。
6
[OK]をクリックして表示されるメッセージを確認します。
7
[閉じる]をクリックしてから[OK]ををクリックして、[証明書]と[インターネット オプション]を閉じます。
McAfee Web Gateway 7.6.2
Product Guide
299
10
認証
管理者アカウント
クライアント証明書の Mozilla Firefox へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可
能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[オプション]を順にクリックします。
[オプション]ウィンドウが開きます。
2
[詳細設定] をクリックして、[暗号化] をクリックします。
3
[暗号化] タブの[証明書] セクションで [証明書の表示] をクリックします。
[証明書マネージャー]ウィンドウが開きます。
4
[インポート]をクリックします。
ローカルのファイル マネージャーが開きます。
5
保存した証明書ファイルに移動し、[開く]をクリックします。
6
必要に応じて、パスワードを入力し、次に[OK]をクリックします。
管理者アカウント
管理者アカウントは、アプライアンスまたは外部サーバーでセットアップおよび管理することができます。ロールは
管理者の異なるアクセス権限で作成できます。
管理者アカウントの追加
初期セットアップの際にアプライアンス システムで作成されたアカウントに、管理者アカウントを追加できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[追加]をクリックします。
[管理者の追加]ウィンドウが開きます。
3
アカウントのユーザー名、パスワード、および他の設定を追加します。次に、[OK]をクリックします。
ウィンドウが閉じて、アカウント リストに新しいアカウントが表示されます。
4
[変更の保存]をクリックします。
関連トピック:
301 ページの「管理者アカウントの設定」
300
McAfee Web Gateway 7.6.2
Product Guide
認証
管理者アカウント
10
管理者アカウントの編集
初期設定時にアプライアンス システムにより作成されるものを含め、管理者アカウントを編集できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[編集]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
[管理者の編集]ウィンドウが開きます。
3
必要に応じてアカウントの設定を編集します。次に、[OK]をクリックします。
ウィンドウを閉じると、アカウントがアカウント リストに変更が表示されます。
4
[変更の保存]をクリックします。
関連トピック:
301 ページの「管理者アカウントの設定」
管理者アカウントの削除
少なくとも 1 つでも残れば、管理者アカウントも削除することができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、アカウントを選択し、[削除]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
削除を確認するためのウィンドウが開きます。
3
[変更の保存]をクリックします。
管理者アカウントの設定
管理者アカウント設定は、管理者の認証情報とロールを構成するために使用されます。
管理者アカウントの設定
管理者アカウントの設定
表 10-19 管理者アカウントの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
McAfee Web Gateway 7.6.2
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
Product Guide
301
10
認証
管理者アカウント
表 10-19 管理者アカウントの設定 (続き)
オプション
定義
[ロール]
管理者のロールを選択するためのリストを提供します。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
現在の設定でテスト
特定の認証情報を持つ管理者がアプライアンスで許可されるかどうかのテストの設定
表 10-20 現在の設定でテスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[テスト]
テストの実行。
テストの結果を表示するために、[認証テスト結果]ウィンドウが開きます。
管理者のロールの管理
管理者アカウントを構成するために、ロールを作成して、使用できます。
1 つの管理者ロールは初期設定時にアプライアンス システムによりすでに作成されています。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
管理者ロールを追加するには、以下の手順に従います。
a
[ロール]で、[追加]をクリックします。
[ロールの追加]ウィンドウが開きます。
b
[名前]フィールドで、ロール名を入力します。
c
ダッシュボード、ルール、リスト、および他の項目でのアクセス権限を構成します。
d
[OK]をクリックします。
ウィンドウが閉じて、管理者ロールのリストに新しいロールが表示されます。
3
[編集]および[削除]オプションをロールの編集と削除と同じように使用します。
4
[変更の保存]をクリックします。
新しく追加されたり、編集されるロールは、管理者アカウントに割り当てることができます。
関連トピック:
303 ページの「管理者のロールの設定」
302
McAfee Web Gateway 7.6.2
Product Guide
認証
管理者アカウント
10
管理者のロールの設定
管理者のロールの設定は、管理者に割り当てられたロールの構成に使用されます。
管理者のロールの設定
管理者のロールの設定
表 10-21 管理者のロールの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
[ロール]
管理者のロールを選択するためのリストを提供します、
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
外部アカウントの管理の構成
管理者アカウントを外部認証サーバーで管理し、外部的に保存されているユーザー グループおよび個々のユーザーを
アプライアンスのロールにマッピングすることができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[管理者アカウントは外部ディレクトリ サーバーで管理する]をクリックします。
追加の設定が表示されます。
3
[認証サーバーの詳細]で、外部サーバーの設定を構成します。
これらの設定は、アプライアンスの認証モジュールがサーバーから情報を取得する方法を決定します。
4
[認証グループ = ロール マッピング]の設定を使用して、外部サーバーに保存されているユーザー グループおよ
び個々のユーザーをアプライアンスのロールにマップします。
a
[追加]をクリックします。
[グループ/ユーザーのロール 名マッピングの追加] ウィンドウが開きます。
b
必要に応じてグループまたはユーザーと一致するフィールドの隣のチェックボックスを選択し、フィールド内
にグループまたはユーザーの名前を入力します。
c
[OK]をクリックします。
d
[マッピングされるロール]で、ロールを選択します。
McAfee Web Gateway 7.6.2
Product Guide
303
10
認証
管理者アカウント
e
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいマッピングが表示されます。
f
[変更の保存]をクリックします。
同じ方法で[編集]および[削除]オプションを使用し、マッピングを編集および削除できます。
304
McAfee Web Gateway 7.6.2
Product Guide
11
クォータの管理
クォータ管理は Web の使用状況をネットワークのユーザーに通知する手段です。このようにして、ネットワークの
リソースとパフォーマンスが過剰な影響を受けないようにすることができます。
クォータとその他の制限は次のいくつかの方法で開始されます。
•
時間クォータ — ユーザーが Web の使用に費やすことができる時間を制限します
•
ボリューム クォータ — ユーザーが Web の使用に費やすことができるボリュームを制限します
•
警告 — ユーザーが Web 使用料に費やすことができる時間を制限しますが、制限しないことにした場合、設定し
た時間制限を超えることができます
•
権限のあるオーバーライド — 警告と同じ方法で Web の使用にユーザーが費やすことができる時間を制限しま
す
しかし、時間制限は権限のあるユーザーのアクションによってのみ超えることができます。たとえば、教室の先
生などです。
•
ブロッキング セッション — Web オブジェクトのアクセスをユーザーが試みた後に指定の時間だけ Web への
アクセスをブロックします。その場合、アクセスは許可されません
クォータとその他の制限は手段を個別に、または組み合わせて課することができます。
目次
Web ページ上でクォータおよびその他の制限を課す
時間のクォータ
ボリュームのクォータ
警告
許可オーバーライド
セッションのブロック
クォータのシステム設定
Web ページ上でクォータおよびその他の制限を課す
クォータ管理プロセスでネットワークのユーザーにクォータなどの制限を設定すると、Web の利用方法を制限し、
ネットワーク リソースの消費を抑えることができます。
クォータ管理プロセスでは、機能の異なる複数の要素が実行されます。
•
クォータ管理ルールがプロセスを制御します。
•
ルールがクォータ管理リストを使用して、ユーザーと特定の Web オブジェクト (URL、IP アドレスなど) に制限
を設定します。
•
ルールによって呼び出されたクォータ管理モジュールが時間とボリュームのクォータ、セッション時間、プロセ
スの制約事項を処理します。
McAfee Web Gateway 7.6.2
Product Guide
305
11
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
初期セットアップ後、デフォルトでは、Web Gateway にクォータ管理プロセスは実装されません。このプロセスを
実装するには、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリ
シーの要件に従ってプロセスを変更します。
クォータ管理を設定する場合、次のルールを使用できます。
•
ルールのキー要素 - クォータ管理用のライブラリ ルール セットをインポートして、このセットをル
ール セット ツリーでクリックすると、クォータ管理プロセス ルールのキー要素を表示し、設定する
ことができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、クォータ管理プロセス
のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー
ルの削除を行うことができます。
変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
クォータ管理ルール
クォータとその他の制限の管理を制御するルールは、時間クォータまたはコーチング ルール セットなど、制限のタ
イプに応じて異なるルール セットに含まれています。
これらのルール セットのルールは、時間やボリュームに設定された制限を超えているかどうかをチェックし、最終的
にさらに Web アクセスが要求された場合にそれをブロックします。これらはまた、ユーザーが新しいセッションで
続行することにするときに、要求をリダイレクトします。
クォータ管理ルール セットはデフォルトのルール セット システムでは実装されませんが、ルール セット ライブラ
リからインポートできます。ライブラリ ルール セット名は時間のクォータ、ボリュームのクォータ。警告、許可オ
ーバーライド、セッションのブロックです。
ライブラリ ルール セットで実装されるルールを見直し、それらを変更または削除し、また固有のルールを作成する
こともできます。
クォータ管理リスト
クォータおよびその他の制限の管理のためのルール セットは、Web オブジェクトとユーザーのリストを使用して、
制限を適宜、課します。このリストには、ルール セットの条件が含まれます。
たとえば、リストは多くの URL を含み、時間のクォータ ルール セットはその条件にこのリストをもっています。
すると、このルール セットとその中のルールは、ユーザーがリスト上の URL のアクセスする場合のみ適用されま
す。IP アドレスまたはメディア タイプのリストも同じように使用できます。
このリストにエントリを追加したり、エントリを削除することが可能です。固有のリストも作成して、クォータ管理
ルール セットで使用することができます。
クォータ管理モジュール
クォータ管理モジュール (またはエンジンと呼ばれる) は、クォータ管理プロセスの時間とボリュームのパラメータ
ーを扱い、使った時間またはボリュームと残りの時間またはボリューム、セッション時間、およびその他の値に関し
て調べるために、プロセスのルール チェックによりチェックされます。
それぞれのタイプの制限に対してモジュールがあります。たとえば、時間のクォータまたは警告モジュールです。
これらのモジュールを設定することにより、クォータ管理プロセスに適用する時間とボリュームを指定します。たと
えば、時間のクォータ モジュールを設定するときは、ユーザーは 1 日当たり何時間何分、特定の URL または IP ア
ドレスをもつ Web オブジェクトにアクセスできるかを指定します。
306
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
11
セッション時間
クォータ管理モジュールに対してできる設定の中に、セッション時間もあります。これは、ユーザーが 1 回のセッシ
ョンで Web の使用にかけられる時間です。
セッション時間は、時間のクォータ、ボリュームのクォータ、およびクォータ管理機能のその他のパラメーター0に
対して、個別に設定され、それぞれ異なる処理が行われます。
•
時間のクォータのセッション時間-時間のクォータを構成する場合、セッション時間を構成する必要があります。
ユーザーはセッション時間を経過するたびに、セッション時間として構成されている時間の量がユーザーの時間
のクォータから差し引かれます。
時間のクォータが使い切られていない限り、ユーザーは新しいセッションを開始できます。時間のクォータを超
過した場合、ユーザーが送信する要求はブロックされて、ブロック メッセージが表示されます。
•
ボリュームのクォータのセッション時間-ボリュームのクォータを構成する場合、セッション時間はユーザーの
ボリュームのクォータに影響しません。
それでも、Web アクセスに使用された時間の量をユーザーに通知するために、セッション時間を構成することは
できます。セッションの時間を経過する場合、構成されたボリュームが消費されていない限り、ユーザーは新し
いセッションを開始することができます。
セッション時間を 0 に設定すると、セッション時間は構成およびユーザーに通知されなくなります。
•
他のクォータ管理機能のセッション時間-セッション時間は警告、許可オーバーライド、およびセッションのブ
ロックを含む他のクォータ管理機能に対しても構成できます。それにより、警告、許可オーバーライド、または
セッションのブロックも利用できます。
警告および許可オーバーライドでセッション時間が経過した場合、ユーザーが送信する要求はブロックされます。
要求がブロックされた理由を説明するメッセージがユーザーに表示されます。時間のクォータも構成されていて
それが使い切られていない限り、ユーザーは新しいセッションを開始することができます。
セッションのブロックに対して設定されるセッション時間は、特定のユーザーにより送信された要求中にブロッ
クされる時間を示します。この時間が経過すると、時間のクォータが構成されていてそれが使い切られていない
限り、ユーザーからの要求は再び許可されるようになります。
クォータ管理機能の組み合わせ
特定のクォータ管理機能を使用して Web の使用を制限することは、他のクォータ管理機能の使用に影響を与えませ
ん。たとえば、時間のクォータとボリュームのクォータはアプライアンスで別々に実装されます。
しかし、これらの機能を意味のある方法に組み合わせることができます。
たとえば、いくつかの URL カテゴリーへのアクセスでは警告を指定すると同時に、他のカテゴリーでは許可オーバ
ーライドの認証情報を要求することができます。
さらに他のカテゴリーのグループで、アクセスを試行するユーザーを構成された期間ブロックすることができます。
McAfee Web Gateway 7.6.2
Product Guide
307
11
クォータの管理
時間のクォータ
時間のクォータ
時間のクォータを構成することで、ネットワークのユーザーが Web の使用にかけられる時間を制限できます。
時間のクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-時間のクォータが URL カテゴリーに関連する場合、ユーザーは特定のカテゴリー、たとえば、
オンライン ショッピングなどに該当する URL にアクセスするために制限された時間のみが許可されます。
•
IP アドレス-時間のクォータが IP アドレスに関連する場合、特定の IP アドレスからリクエストを送信するユ
ーザーは Web の使用のために制限された時間のみが許可されます。
•
ユーザー名-時間のクォータがユーザー名に関連する場合、ユーザーは Web の使用のために制限された時間のみ
が許可されます。アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
これらのパラメーターは、時間のクォータのためにあるライブラリ ルール セットのルールによって使用されます。
時間のクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web を使用している時間は、アプライアンスに保存されています。あるユーザーに対して構成されてい
る時間のクォータを超過した場合、このユーザーが送信するリクエストはブロックされます。ユーザーに対してリク
エストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web の使用は、1 日、1 週間、1 月あたりの時間に制限できます。
時間のクォータの構成
時間のクォータを構成し、Web の使用に費やすネットワークのユーザーの時間を制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、時間のクォータのルールを含むルール セット、たとえば、[時間のクォータ] ライブ
ラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされてるルール セットを選択します。
たとえば、URL カテゴリに関連する時間のクォータを構成するには、[URL 構成での時間のクォータ ]を選択し
ます。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、[時間のクォータの URL カテゴリ ブラックリスト]のリスト名を選択します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに URL カテゴリを追加します。次に、[OK] をクリックして、ウィンドウを閉じます。
6
1 つのルールの条件で、[URL カテゴリの構成]設定名をクリックします。
[設定の編集]ウィンドウが開きます。
308
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
時間のクォータ
11
7
セッション時間と、1 日、1 週間、および 1 月あたりの時間のクォータを構成します。次に、[OK] をクリック
して、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
時間のクォータの設定
時間のクォータ設定は、時間のクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
時間のクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 11-1 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
の時間のクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... の時間(時間と分数) . .
選択された時間単位またはセッション時間に適用する時間のクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりの時間クォータを選択している場合、見出しは1週間当たりの時間クォータの時間と分と表
示されます。
表 11-2 ... の時間(時間と分数) . .
オプション 定義
[時間]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される時間数を設定します。
[分]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される分数を設定します。
実際の構成された時間のクォータ
構成された時間のクォータの表示
表 11-3 実際の構成された時間のクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)の時間の 許容される 1 日、1 週間、または 1 月あたりの時間を示し
クォータ]
ます。
[セッション時間]
許容されるセッション時間を示します。
時間のクォータ ルール セット
j 時間のクォータ ルール セットは、Web 使用量に時間のクォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-時間のクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
McAfee Web Gateway 7.6.2
Product Guide
309
11
クォータの管理
時間のクォータ
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成での時間のクォータ
•
IP 構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成での時間のクォータ
このネストされたルール セットは、URL カテゴリーに関連する時間のクォータを処理します。
ネストされたライブラリ ルール セット-URL 構成での時間クォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連する時間クォータのブロックリストにカテゴリーが分類
される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session
Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間セッションを超過したか確認する
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
このルールは Quota.Time.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間を
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間のクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
このルールは Quota.Time.Exceeded プロパティを使用し、ユーザーが構成された時間のクォータを超過した
かどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックされます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
310
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
ボリュームのクォータ
11
IP 構成での時間のクォータ
このネストされたルール セットは、IP アドレスに関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成での時間クォータ
条件-Client.IP is in list 時間のクォータの IP ブラックリストのリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連する時間クォータのブロックリストにある IP アドレスで、ク
ライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
時間のクォータルール セットと同じです。
認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、ユーザー名に関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成での時間クォータ
条件-Authenticated.RawUserName is in list 時間のクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連した時間クォータのブロックリストにユーザー名があるユーザーによりリ
クエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成での時間のクォータルール セットと同じです。
ボリュームのクォータ
ボリュームのクォータを構成することで、ネットワークのユーザーが Web からダウンロードできる Web オブジェ
クトのボリューム(GB および MB で測定)を制限できます。
ボリュームのクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-ユーザーには、特定のカテゴリー、たとえば、ストリーミング メディアなどに該当する URL
を使用する場合は、制限されたボリュームのみ、Web オブジェクトのダウンロードが許可されています。
•
IP アドレス-特定の IP アドレスからダウンロードのリクエストを送信するユーザーには、制限されたボリュー
ムのみが許可されています。
•
ユーザー名-ユーザーはある制限されたボリュームまで Web オブジェクトのダウンロードが許可されています。
アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
•
メディア タイプ-ユーザーはある制限されたボリュームまで特定のメディア タイプに属する Web オブジェク
トのダウンロードが許可されています。
これらのパラメーターは、ボリュームのクォータのためにあるライブラリ ルール セットのルールによって使用され
ます。ボリュームのクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web からダウンロードするボリュームについての情報は、アプライアンスに保存されます。あるユーザ
ーに対して構成されているボリュームのクォータを超過した場合、このユーザーが送信するリクエストはブロックさ
れます。ユーザーに対してリクエストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
McAfee Web Gateway 7.6.2
Product Guide
311
11
クォータの管理
ボリュームのクォータ
Web のダウンロードは、1 日、1 週間、1 月あたりにダウンロードされるボリュームに制限できます。
ボリュームのクォータの構成
ボリュームのクォータを構成し、Web の使用中に消費するネットワークのユーザーのボリュームを制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、ボリュームのクォータのルールを含むルール セット、たとえば、[ボリュームのクォ
ータ] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成でのボリュームのクォータ]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[ボリュームのクォータの IP ブロックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
適切なパラメーター、たとえば、セッション時間と、1 日あたり、1 週間あたり、および 1 月あたりのボリュー
ムのクォータなどを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
ボリューム クォータの設定
ボリュームのクォータ設定は、ボリュームのクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
ボリュームのクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 11-4 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータが選
択した時間単位に適用されます。
のボリュームのクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... のボリューム . .
選択された時間単位またはセッション時間に適用するボリュームのクォータを構成するための設定
312
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
ボリュームのクォータ
11
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりのボリュームのクォータを選択している場合、見出しは1週間当たりのボリュームのクォー
タの時間と分と表示されます。
たとえば、セッション時間を選択している場合、見出しは時間と分と表示されます。
表 11-5 ... のボリューム . .
オプション
定義
[GiB]
ボリュームに許可される GiB の数を指定します。
[MIB]
ボリュームに許可される MiB の数を指定します。
実際の構成されたボリュームのクォータ
構成されたボリュームのクォータを表示する
表 11-6 実際の構成されたボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)のボリュ
ームのクォータ]
許容される 1 日、1 週間、または 1 月あたりのボリューム
を示します。
[セッション時間]
許容されるセッション時間を示します。
ボリュームのクォータ ルール セット
ボリューム クォータ ルール セットは、Web 使用量にボリューム クォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア 通信に加え、CONNECT コマンドが最初に使用され
ていない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
• URL 構成での時間のクォータ
• IP 構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
• 認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
McAfee Web Gateway 7.6.2
Product Guide
313
11
クォータの管理
ボリュームのクォータ
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成でのボリュームのクォータ
•
IP 構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
メディア タイプの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成でのボリュームのクォータ
このネストされたルール セットは、URL カテゴリーに関連するボリュームのクォータを処理します。
ネストされたライブラリ ルール セット-URL 構成でのボリュームのクォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連するボリュームのクォータのブロックリストにカテゴリ
ーが分類される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリューム セッションを超過したか確認する
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間
を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロック
されます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリュームのクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.Exceeded プロパティを使用し、ユーザーが構成されたボリュームのクォータを
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
314
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
ボリュームのクォータ
11
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成でのボリュームのクォータ
このネストされたルール セットは、IP アドレスに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成でのボリュームのクォータ
条件-Client.IP is in list ボリュームのクォータの IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連するボリュームのクォータのブロックリストにある IP アドレ
スで、クライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
ボリュームのクォータルール セットと同じです。
認証済みユーザーの構成でのボリュームのクォータ
このネストされたルール セットは、ユーザー名に関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成でのボリュームのクォータ
条件-Authenticated.RawUserName is in list ボリュームのクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連したボリュームのクォータのブロックリストにユーザー名があるユーザー
によりリクエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成でのボリュームのクォータルール セットと同じです。
メディア タイプの構成でのボリュームのクォータ
このネストされたルール セットは、メディア タイプに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-メディア タイプの構成でのボリュームのクォータ
条件 – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがボリュームのクォータ管理のために特別に維持されているブロック リストにあ
るメディア タイプに属する Web オブジェクト リクエストを送信するときに、ルール セットが適用されることを指
定しています。
このルール セットのルールは、[メディア タイプ構成]であるルール条件に表示されるモジュール セットを除き、
URL 構成でのボリュームのクォータルール セットと同じです。
McAfee Web Gateway 7.6.2
Product Guide
315
11
クォータの管理
警告
警告
警告クォータを構成することおで、ネットワークのユーザーが Web を使用する時間を制限できますが、続行を選択
する場合は許可されます。
ユーザーの Web の使用について警告を出すには、特定期間の警告セッションを構成します。ユーザーのこのセッシ
ョン時間が経過すると、ブロック メッセージが表示されます。すると、ユーザーは新しいセッションの開始を選択で
きます。
URL カテゴリ、IP アドレス、およびユーザー名などの警告ライブラリ ルール セットで使用されているパラメーター
に関連する警告を構成することができます。他のパラメーターを使用して独自のルールを作成することもできます。
警告の構成
警告を構成してネットワークのユーザーに対して Web の使用を制限できますが、構成された時間制限を過ぎた後に
Web の使用を選択したときに続行を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、警告のルールを含むルール セット、たとえば、[警告] ライブラリ ルール セットを拡
張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での警告]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[警告の IP ブラックリスト]をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
警告設定
警告設定は、警告を処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
警告セッションの期間を構成するための設定
316
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
警告
11
表 11-7 セッション時間の時間と分数
オプション
定義
[日]
警告セッションの日数を設定します。
[時間]
警告セッションの時間数を設定します。
[分]
警告セッションの分数を設定します。
警告ルール セット
警告ルール セットは、実行を選択した場合ユーザーが送信できる Web の使用状況に制限が課せられるライブラリ
ルール セットです。
ライブラリ ルール セット-警告
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で警告
•
IP 構成で警告
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で警告
このルール セットは、初期状態では有効になっていません。
URL 構成で警告
このネストされたルール セットは、URL カテゴリに関連する警告を処理します。
ネストされたライブラリ ルール セット-URL 構成で警告
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する警告のブロック リストに該当するカテゴリにある
URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
新しい警告セッション開始後にリダイレクト
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching
Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
警告セッションを超過したか確認する
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
McAfee Web Gateway 7.6.2
Product Guide
317
11
クォータの管理
許可オーバーライド
このルールは Quota.Coaching.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時
間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ
クされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、警告を処理するためのモジュールの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での警告クォータ
このネストされたルール セットは、IP アドレスに関連する警告を処理します。
ネストされたライブラリ ルール セット-IP 構成で警告
条件-Client.IP is in list 警告の IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが警告のために IP アドレスに関連するブロック リストにある IP アドレスを有す
るクライアントからリクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される IP 構成を除き、URL 構成での警告ルー
ル セットと同じです。
認証済みユーザーの構成で警告
このネストされたルール セットは、ユーザー名に関連する警告を処理します。
ネストされたライブラリ ルール セット-認証済みユーザーの構成で警告
条件-Authenticated.RawUserName is in list 警告のユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する警告のためにブロック リストにユーザー名がリストされ
ているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される 認証されたユーザー構成を除き、URL 構
成での警告ルール セットと同じです。
許可オーバーライド
許可オーバーライドを許可するセッションでは、セッション時間を構成できます。
このセッション時間が経過すると、ユーザー リクエストはブロックされ、ブロック メッセージが表示されます。こ
のメッセージでは、新しいセッションを開始するためにユーザー名とパスワードの提出も求められます。
これらの認証情報は、許可されているユーザーのものである必要があります。たとえば、教室の状況で、許可オーバ
ーライド セッションの終了後にブロックされるユーザーは生徒であり、許可されたユーザーは教師だということはあ
り得ます。
ユーザーの認証は、構成された認証方法に従って実行されます。しかし、この方法を構成するとき、統合認証モード
を含むことはできません。
ブロック メッセージは、ブロックされたユーザーの許可オーバーライド セッションの期間を指定するオプションも
提供しています。
このユーザーのために構成される期間は、許可オーバーライドのモジュール設定の一部として、すべての他のユーザ
ーのために構成されている期間を超えない必要があります。
318
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
許可オーバーライド
11
URL カテゴリ、IP アドレス、およびユーザー名などのライブラリ ルール セットで使用されているパラメーターに関
連する許可オーバーライドを構成することができます。他のパラメーターを使用して独自のルールを作成することも
できます。
許可オーバーライドの構成
許可オーバーライドを構成し、ユーザーの Web 使用を制限できますが、許可ユーザーのアクションを通過する構成
された時間制限を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、許可オーバーライドのルールを含むルール セット、たとえば、[許可オーバーライド]
ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での許可オーバーライド]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[許可オーバーライドの IP ブラックリスト]をク
リックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
許可オーバーライド設定
許可オーバーライド設定は、許可オーバーライドを処理するモジュールを構成するために使用されます。
最大セッション時間の時間と分数
許可オオーバーライドにおけるセッションの最大時間の長さを構成する設定
表 11-8 最大セッション時間の時間と分数
オプション
定義
[日]
許可オーバーライド セッションの日数を設定します。
[時間]
許可オーバーライド セッションの時間を設定します。
[分]
許可オーバーライド セッションの分数を設定します。
McAfee Web Gateway 7.6.2
Product Guide
319
11
クォータの管理
許可オーバーライド
許可オーバーライド ルール セット
許可オーバーライド ルール セットは、許可ユーザーのアクションを通して通すことができる、Web の使用状況に時
間制限を課するライブラリ ルール セットです。
ライブラリ ルール セット-許可オーバーライド
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で許可オーバーライド
•
IP 構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
URL 構成で許可オーバーライド
このネストされたルール セットは、URL カテゴリに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-URL 構成で許可オーバーライド
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する許可オーバーライドのブロック リストに該当するカテ
ゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
許可オーバーライドの認証の後にリダイレクトする
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true
AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After
Authorized Session Activation>
このルールは、セッション時間を超過した後に、ユーザーに再び Web オブジェクトと、新しいセッションが検証
された状態で続行するためにユーザーが提出した認証情報にアクセスできるように、リクエストをリダイレクトし
ます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
許可オーバーライド セッションを超過したか確認する
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
このルールは Quota.AuthorizedOverride.SessionExceeded プロパティを使用し、ユーザーが構成された
セッション時間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエ
ストはブロックされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、許可オーバーライドを処理するためのモジュール
の設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
320
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
セッションのブロック
11
IP 構成で許可オーバーライド
このネストされたルール セットは、IP アドレスに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-IP 構成で許可オーバーライド
条件-Client.IP is in list IP Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが許可オーバーライドのために IP アドレスに関連するブロック リストにある IP
アドレスを有するクライアントからリクエストを送信するときに、ルール セットが適用されることを指定していま
す。
このルール セットのルールは、ルール条件のモジュール設定の IP 構成を除き、URL 構成で許可オーバーライド ル
ール セットと同じです。
認証済みユーザーの構成で許可オーバーライド
このネストされたルール セットは、ユーザー名に関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-認証済みユーザーの構成で許可オーバーライド
条件-Authenticated.RawUserName is in list User Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する認可オーバーライドのためにブロック リストにユーザー
名がリストされているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定の 認証済みユーザーの構成を除き、URL 構成で許可オ
ーバーライド ルール セットと同じです。
セッションのブロック
セッションのブロックを構成することで、構成された期間にユーザーによって送信されたリクエストをブロックでき
ます。
許可されていないカテゴリに分類した URL のリクエストなど、ユーザーが構成ルールに従ってブロックするリクエ
ストを送信した後、セッションのブロックが課せられます。
これは Web オブジェクトへの不要なアクセスをより厳格に処理する Web セキュリティ ポリシーを施行する方法
の 1 つです。
ライブラリ ルール セットに使用されているパラメーターに関連するセッションのブロックを構成できます。他のパ
ラメーターを使用して独自のルールを作成することもできます。
ブロック セクションの構成
許可されていない Web オブジェクトにアクセスを試みた後、ブロック セクションを構成し、構成された期間にわた
ってユーザーのセッションをブロックできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、セッションのブロックのルールを含むルール セット、たとえば、[セッションのブロ
ック] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.6.2
Product Guide
321
11
クォータの管理
セッションのブロック
3
適切なネストされたルール セット、たとえば、[IP 構成でのセッションのブロック]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[セッションのブロックの IP ブラックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッションのブロック期間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを
閉じます。
8
[変更の保存]をクリックします。
ブロック セッションの設定
ブロック セッション設定は、ブロック セッションを処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
セッションのブロックの期間を構成するための設定
表 11-9 セッション時間の時間と分数
オプション
定義
[日]
セッションのブロックの日数を設定します。
[時間]
セッションのブロックの時間数を設定します。
[分]
セッションのブロックの分数を設定します。
セッションのブロック ルール セット
セッションのブロック ルール セットは、許可されていない Web オブジェクトへのアクセスを試みた後、Web セッ
ションのブロックのライブラリ ルール セットです。
ライブラリ ルール セット-セッションのブロック
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セットでネストされています。URL 構成でセッションのブロック
URL 構成でセッションのブロック
このネストされたルール セットは、URL カテゴリに関連するセッションのブロックを処理します。
322
McAfee Web Gateway 7.6.2
Product Guide
クォータの管理
クォータのシステム設定
11
ネストされたライブラリ ルール セット-URL 構成でセッションのブロック
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking
Sessions
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連するセッションのブロックのブロック リストに該当するカ
テゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
セッションのブロックがアクティブな場合、ユーザーをブロックする
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking
Session Template>
このルールは、BlockingSession.IsBlocked プロパティを使用して、リクエストを送信するユーザーに対して
セッションのブロックがアクティブにされているかどうか確認します。アクティブな場合は、リクエストがブロッ
クされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
カテゴリがセッションのブロックのカテゴリ リストにある場合、セッションのブロックをアクティブにする
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue
— BlockingSession.Activate<Blocking Session Configuration>
このルールは、URL.Categories プロパティを使用して、ユーザーがアクセスをリクエストする URL が、セッシ
ョンのブロック用に特別に維持されているブラックリストのカテゴリに該当するかどうかを確認します。リストに
あるカテゴリに該当する場合、セッションのブロックはそのユーザーに対してアクティブにされます。
BlockingSession.Activate イベントは、セッションのブロックをアクティブにするために使用されます。イベ
ント設定は、イベントで指定されます。
クォータのシステム設定
クォータのシステム設定は、クォータ管理に関連する時間間隔の一般的な設定です。
アプライアンスが一元管理構成のノードの場合、その他ノードとのデータ同期の時間間隔も設定できます。
これらの設定は、[構成]トップレベル メニューの[アプライアンス]タブで構成されます。
[警告]の名前(クォータではなく)で表示されることもありますが、クォータ管理に提供されるすべてのオプション
にどちらの場合も適用されます。
(許可オーバーライド、セッションのブロック、警告、時間のクォータ、ボリューム
のクォータ)。
同期と保存のクォータの間隔(分)
クォータ管理に関連する時間間隔の設定
表 11-10 同期と保存のクォータの間隔(分)
オプション
定義
[保存間隔]
現在のクォータの値がアプライアンスに保存される前に経過する時間(分)を指定値に制限します。
保存されるクォータ値は、たとえば、ユーザーによって消費されたバイト数です。
[更新されたク 一元管理の構成において、現在のクォータの値がアプライアンスからすべてのノードに分配される
ォータのデー 前に経過する時間(分)を指定値に制限します。
タを送信する
分配されるデータには、最後にアプライアンスからデータが分配された後に発生したクォータの値
間隔]
への変更が含まれます。
McAfee Web Gateway 7.6.2
Product Guide
323
11
クォータの管理
クォータのシステム設定
表 11-10 同期と保存のクォータの間隔(分) (続き)
オプション
定義
[基本同期の間 一元管理の構成において、クォータの値がすべてのノードで同期される前に経過する時間(分)を
隔]
指定値に制限します。
この同期は、すべてのアプライアンスにある現在のクォータ値のスナップショットをとります。個
々のユーザーにとって最新である値は、すべてのアプライアンスに分配されます。
値は、一時的に非アクティブであって、その間に更新を受信しなかったノードにも分配されます。
さらに、値は構成に新しく追加されたノードに分配されるため、以前の更新は受信されません。
[~ 後にデー クォータのデータベースでデータが削除されるまでの最小時間(日数)を指定値に制限します。
タベースをク
リーンアップ] データが削除される前に、データが無効であるかどうかの確認が実行されます。クォータ管理機能
のために構成された時間間隔が経過した場合、データは無効です。
たとえば、特定のバイトの量が 1 か月の間に消費されるボリュームのクォータとして構成されてい
る場合、次の月が始まると、ユーザーが実際に消費した量は無効になります。すると、[~ 後にデ
ータベースをクリーンアップ]オプションで構成されている時間も経過している場合、クリーンアッ
プはこのデータを削除します。
時間のクォータの場合、保存されているデータは 1 月で無効になります。他のクォータ管理機能で
は、他の時間間隔もクリーンアップに関連しています。たとえば、警告と許可オーバーライドでは、
許容されているセッション時間が経過する前はクリーンアップを実行することできません。
324
McAfee Web Gateway 7.6.2
Product Guide
12
Web フィルタリング
ネットワーク上のユーザーが Web アクセス要求を送信すると、Web Gateway はこれらの要求をフィルタリングし
ます。また、Web から戻される応答もフィルタリングします。要求や応答に埋め込まれたオブジェクトもフィルタ
リングします。
Web フィルタリングは、様々な方法で実行されます。フィルタリングを制御するルールは、組織の Web セキュリテ
ィ ポリシーの要件に合わせて変更し、適用することができます。
Web Gateway では、次のデフォルト フィルタリングが用意されています。
•
Anti-malware filtering — Blocks access to web objects that are infected by viruses and other
malware
•
URL フィルタリング - 特定の URL にある Web オブジェクトへのアクセスをブロックまたはブロックします。
•
メディア タイプ フィルタリング - 特定のメディア タイプの Web オブジェクトへのアクセスをブロックまた
は許可します。
グローバル ホワイトリストを使用すると、上記のフィルタリング ルールが適用される前に Web オブジェクトへの
アクセスを許可することができます。SSL スキャンを使用すると、SSL セキュア通信で送信された要求をフィルタ
リングできます。
目次
Anti-malware filtering
URL フィルタリング
メディア タイプ フィルタリング
アプリケーション フィルタリング
ストリーミング メディア フィルタリング
グローバル ホワイトリスト登録
SSL スキャン
ハードウェア セキュリティ モジュール
Advanced Threat Defense
Data Loss Prevention
McAfee Web Gateway 7.6.2
Product Guide
325
12
Web フィルタリング
Anti-malware filtering
Anti-malware filtering
Anti-malware filtering ensures that the users of your network cannot access web objects that are
infected by viruses and other malware. The filtering process detects infections and blocks access
accordingly.
Anti-malware filtering process
The anti-malware filtering process includes several elements, which contribute to it in different ways.
A default process for virus and malware filtering is implemented on Web Gateway after the initial
setup. You can modify this process to adapt it to the requirements of your web security policy.
The process includes several elements, which contribute to it in different ways.
•
Filtering rules control the process.
•
Whitelists are used in rules to let some web objects skip anti-malware filtering.
•
The [Anti-Malware] module, which is called by a particular rule, scans web objects for infections by
viruses and other malware.
Rules for anti-malware filtering
The rules that control anti-malware filtering are usually contained in one rule set. The key rule in this
rule set is the one that blocks access to web objects if they are infected by viruses and other malware.
To find out whether an object is infected, the rule calls the [Anti-Malware] module, which scans the
object and lets the rule know about the result.
Whitelisting rules can be placed and processed in this rule set before the blocking rule. If any of them
applies, the blocking rule is skipped and the whitelisted objects are not scanned.
When the default rule set system is implemented, a rule set for virus and malware filtering is included.
Its name is [Gateway Anti-Malware].
Lists for anti-malware filtering
The lists used in anti-malware filtering rules are mainly whitelists.
Whitelists are used by whitelisting rules to let a blocking rule be skipped for particular web objects,
which means no scanning is applied to these objects. There can be whitelists for URLs, media types,
and other types of objects.
You can add entries to these lists or remove entries. You can also create your own lists and let them
be used by the whitelisting rules.
Blocking lists are typically not used in virus and malware filtering because here the blocking depends
not on entries in lists, but on the findings of the [Anti-Malware] module.
Anti-Malware module
The [Anti-Malware] module is also known as the [Anti-Malware] engine. This module scans objects to
detect infections by viruses and other malware.
According to the findings of this [Anti-Malware], a blocking rule blocks access to web objects or lets
them pass through.
When the module is called to run and scan web objects, it is by default a combination of two modules
(engines) that are running. These modules can be seen as submodules of the [Anti-Malware] module.
Each of these submodules uses different scanning methods.
326
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
The two submodules are the Gateway Anti-Malware engine, and the Avira engine. The latter uses virus
signatures to detect infections in web objects. This method can, however, only detect viruses and
other malware that are already known and have been given signatures. To ensure a higher level of
web security, the Gateway Anti-Malware engine also uses proactive methods to detect new viruses and
malware.
When configuring settings for the [Anti-Malware] module, you can change the default mode, for
example, to let the Avira engine run on its own,
To avoid temporary overloading of the submodules, you can configure an anti-malware queue that
requests are moved to before being scanned.
Key elements for anti-malware filtering
The key elements of the rules for anti-malware filtering deal with important parts of this filtering
process.
Bypass Scanning for These Agents and Hosts
Key elements for bypassing scanning by the [Anti-Malware] module
表 12-1 Bypass scanning for these agents and hosts
Option
Definition
[User agent whitelist] Clicking [Edit] opens a window to let you edit the User Agent Whitelist that is
used by a rule.
You can add, modify, and remove entries on the list.
[URL host whitelist]
Clicking [Edit] opens a window to let you edit the URL Host Whitelist that is
used by a rule.
You can add, modify, and remove entries on the list.
Scanning Options
Key elements for the scanning activities of the [Anti-Malware] module
表 12-2 Scanning Options
Option
Definition
[Remove partial When selected, a rule is enabled that removes the specification in an HTTP or
content for HTTP HTTPS request for accessing only a part of the content of a web object and lets
requests]
the request ask for the complete content.
If a web object, for example, a file, is delivered completely by the web server in
question, it can also be scanned completely on Web Gateway. A complete scan can
detect infections that might not be noticed if only a part of the web object was
scanned.
[Block partial
content for FTP
requests]
When selected, a rule is enabled that blocks FTP requests for access to only a part
of the content of a web object.
Under the FTP protocol. it is not possible to remove a specification in a request for
access to only a part of the content of a web object. For this reason it might be
advisable to block such requests.
[Use the Media
When selected, the Media Stream Scanner scans and delivers web objects that are
Stream Scanner] streaming media chunk-by-chunk, to speed up the process.
The proactive functions of the McAfee Gateway Anti-Malware engine are used for
the scanning, but the other engines that are available for this purpose on Web
Gateway are not involved.
McAfee Web Gateway 7.6.2
Product Guide
327
12
Web フィルタリング
Anti-malware filtering
Gateway Anti-Malware Settings
Key elements for configuring the settings of the [Anti-Malware] module
表 12-3 Gateway Anti-Malware Settings
Option
Definition
[Enable Anti-Malware
scanning]
When selected, a rule is enabled that calls the [Anti-Malware] module,
which scans web objects for infections by viruses and other malware.
[Settings]
Clicking [Edit] opens a window to let you edit the settings for the
[Anti-Malware] module.
マルウェア対策の設定
[マルウェア対策]の設定は、[マルウェア対策] モジュールが Web オブジェクトをスキャンし、ウイルスなどのマル
ウェアを検出する方法を設定する場合に使用します。
Gateway Anti-Malware settings
The [Gateway Anti-Malware] settings are settings for the [Anti-Malware] module (engine) that are by
default available after the initial setup of Web Gateway.
スキャン エンジンと動作を選択する
スキャン エンジンと感染を検出した場合の動作を選択します。
スキャン エンジンは、[マルウェア対策] モジュールとともに Web オブジェクトをスキャンするサブモジュールで
す。
表 12-4 スキャン エンジンと動作を選択する
オプション
定義
[Full McAfee coverage: The recommended
high-performance configuration]
When selected, the McAfee Gateway Anti-Malware
engine is active.
このオプションはデフォルトで選択されています。
[Layered coverage: Full McAfee coverage
plus specific Avira engine features — minor
performance impact]
When selected, the McAfee Gateway Anti-Malware
engine and, for some web objects, also the third-party
Avira engine are active.
[Duplicate coverage: Full McAfee coverage
and Avira engine — less performance and
more false positives]
When selected, the McAfee Gateway Anti-Malware
engine and the third-party Avira engine are active.
[Avira only: Only uses Avira engine — not
recommended]
選択すると、Avira エンジンのみがアクティブになります。
[エンジンがウイルスを検出した直後にウイルス
スキャンを停止する]
選択すると、ウイルスまたはマルウェアに感染した項目を検出
するとすぐに Web オブジェクトのスキャンを停止します。
モバイル コードの振る舞い
モバイル コードの分類時に、リスク レベルを設定するための設定項目
リスク レベルには 60 ~ 100 の値を入力できます。
スキャン方法が極めて厳密に適用されるため、値が小さいほどモバイル コードの振る舞いを積極的にスキャンし、そ
れがマルウェアであることを検出しないリスクが低くなることを意味します。 悪質な可能性の条件がわずかしか検
出されない場合でも、モバイル コードはマルウェアとして分類されます。
このため、実際には悪質でないマルウェアとしてモバイル コードが分類される可能性があります (誤検知)。
328
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
プロアクティブなセキュリティではより厳密な設定を使用しますが、どのモバイル コードが実際に悪質かを判断する
精度は劣ります。 その結果、ユーザーに配信する必要がある Web オブジェクトがアプライアンスでブロックされる
場合があります。
値を大きくすると、悪意のあるモバイル コードを検出できない可能性 (非検知) が高くなりますが、悪質なモバイル
コードを正確に分類することで精度を向上させることができます (誤検知が少なくなります)。
表 12-5 モバイル コードの振る舞い
オプション
定義
[分類しきい値]
スライダーのスケールで前述のリスク レベルを設定します。
• 最小値 (最大の予防効果): 60
• 最大値 (最大精度): 100
詳細設定
すべてのスキャン サブモジュールの詳細設定
詳細設定
表 12-6 詳細設定
オプション
定義
[ウイルス対策の事前スキャンを有効にする]
選択すると、スキャンに対する負荷が軽減されるので、サブ
モジュールのパフォーマンスが向上します。
[次の対象にライトウェイト パスを有効にして
Web Gateway のパフォーマンスを向上させる:]
• [共通 Web ファイル]
• [共通 Web ファイルと他の危険度低のファイル]
このオプションはデフォルトで選択されています。 この
設定は有効にしてください。
このオプションを選択すると、次の 3 つのオプションが使用
できます。
• [共通 Web ファイル、他の危険度低のファイル、
いずれかのオプションを選択すると、軽量マルウェア スキャ
信頼サイトの Web コンテンツ]
ンを適用するファイルの種類を設定できます。
[選択したオプションに一致したファイルに対して
3 つ目のオプションがデフォルトで選択されています。
標準のマルウェア スキャンを続行しない]
この 3 つのオプションは相互に関連しています。最初のオプ
ションを設定すると、残りの 2 つのオプションは無効になり
ます。 2 つ目のオプションには最初のオプションが含まれて
います。3 つ目のオプションは最初のオプションと 2 番目の
オプションが含まれています。
ファイルのダウンロード元が信頼できるサイトかどうか検証
するために、URL フィルター モジュールが使用されます。
ウイルスとマルウェアのフィルタリング情報を更新する
と、ファイル タイプの分類 (安全、稀に攻撃される、信頼
サイトにホスティングされている) が変更される場合があ
ります。
[GTI ファイル レピュテーション クエリーを有効
にする]
選択すると、Global Threat Intelligence システムから取得
したファイルのレピュテーション情報がスキャン結果に表示
されます。
[ヒューリスティック スキャンを有効にする]
選択すると、Web オブジェクトにヒューリスティック スキ
ャンが適用されます。
McAfee Web Gateway 7.6.2
Product Guide
329
12
Web フィルタリング
Anti-malware filtering
McAfee Gateway Antimalware の詳細設定
McAfee Gateway Anti-Malware の詳細設定
表 12-7 McAfee Gateway Antimalware の詳細設定
オプション
定義
[Enable detection for potentially
unwanted programs]
When selected, web objects are also scanned for potentially
unwanted programs.
This option is not enabled by default.
[Enable mobile code scanning]
選択すると、モバイル コードがスキャンされます。
個々の設定は、[次のモバイル コード タイプをスキャンします] で行いま
す。
[Enable removal of disinfectable
content detected in HTML
documents by mobile code filter]
When selected, the content described here can be removed.
This option is not enabled by default.
Avira の詳細設定
Avira サブモジュールの詳細設定
表 12-8 Avira の詳細設定
オプション
定義
[アーカイブ メンバーの最
大サイズ]
Avira エンジンが感染をスキャンするアーカイブ内のメンバーのサイズを MB 単位
で制限します。
このサイズを超えるアーカイブはスキャンされず、ブロックされます。
デフォルトのサイズ制限は 1024 MB です。
Gateway Anti-Malware rule set
The [Gateway Anti-Malware] rule set is the default rule set for anti-malware filtering.
Default rule set – Gateway Anti-Malware
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには、以下のルールが含まれます。
User-Agent が User Agent ホワイトリストに一致する場合に許可する
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
このルールは、Header.Request.Get プロパティを使用して、要求のヘッダーと一緒に送信される User-Agent
情報を確認します。
問題のユーザー エージェントが指定したホワイトリストにある場合、ルール セットの処理が停止し、ルール セッ
トの最後にあるブロック ルールが処理されません。
プロパティのパラメーターで、ルールの処理時にユーザー エージェント情報を確認する必要があることを指定しま
す。
このルールは、デフォルトでは有効になっていません。
ホワイトリストの登録にこのルールだけを使用すると、クライアントは任意のユーザー エージェントを設定できるた
め、セキュリティ上の問題が発生します。
330
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
マルウェア対策 URL ホワイトリストで一致する URL ホストを許可する
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
このルールは、URL.Host プロパティを使用して、指定した URL が特定のホワイトリストに登録されているかど
うかを確認します。
一致する場合、ルール セットの処理が停止し、ルール セットの最後にあるブロック ルールが処理されません。
URL のホストが既知の Web サービスに関連し、ウイルスなどのマルウェアを拡散する可能性がない場合、このル
ールを使用して Web トラフィックをフィルタリングから除外できます。
ホワイトリストに登録すると、登録された Web オブジェクトのスキャンが実行されないため、パフォーマンスが
向上します。
HTTP 要求で部分的なコンテンツを削除
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR
Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”)
このルールは、Cycle.TopName プロパティと Connection.Protocol プロパティを使用し、現在の処理サイ
クルが要求サイクルかどうか、要求が HTTP または HTTPS モードで送信されているかどうかを確認します。
条件に一致する場合、Header.RemoveAll イベントが、部分的なコンテンツを要求している指定部分を削除し、
要求を変更します。コンテンツ全体に対する要求が関連する Web サーバーに転送され、このサーバーから Web オ
ブジェクトのすべてのコンテンツがアプライアンスに送信され、処理されます。
たとえば、完全なアーカイブを開いてスキャンを実行し、ウイルスなどのマルウェアを検出することができます。
ファイルを部分的にスキャンする場合、ファイル全体を複数の部分に分けて配信される悪質なコンテンツを見逃す
可能性がありますが、ファイル全体のスキャンを実行すると、このような脅威を検出することができます。
続行アクションは、次のルールの処理を開始します。
FTP 要求で部分的なコンテンツ要求をブロックする
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND
Command.Categories contains “Partial” –> Block<Partial Content Not Allowed>
このルールは、Cycle.TopName、Connection.Protocol、Command.Categories プロパティを使用して、
現在の処理サイクルが要求サイクルであり、要求が FTP モードで送信されているかどうか確認します。さらに、
FTP 転送のコマンド カテゴリに Partial という文字列が含まれているかどうか確認します。
これにより、Web Gatway は部分的なコンテンツを要求する FTP 要求を検出し、ブロックします。
HTTP または HTTPS 要求の場合と異なり、部分的なコンテンツを要求する FTP 要求は、完全なコンテンツを要求
するように変更することはできません。ただし、HTTP と HTTPS 要求をブロックするルールで説明したように、
アプライアンスで部分的なコンテンツが承諾されると、セキュリティ上の問題が発生する可能性があります。
アクションの設定で、要求を送信したユーザーへのメッセージを指定します。
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ストリーム スキャナーを開始する
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming
Detection> equals true –> Stop Rule Set – Enable Media Stream Scanner
このルール セットは、Cycle.Name プロパティを使用して、応答サイクルの処理かどうかを確認します。さらに、
StreamDetector.IsMediaStream プロパティを使用して、Web Gateway への応答で送信された Web オブ
ジェクトがストリーミング メディアかどうかを確認します。
両方の条件に一致すると、ルール セットの処理が停止します。残りのルールは処理されず、イベントによってメデ
ィア ストリーム スキャナーが開始します。
ウイルスを検出したらブロック
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、指定した Web オブジェクトがウイルスなどの
マルウェアに感染しているかどうかを確認します。
McAfee Web Gateway 7.6.2
Product Guide
331
12
Web フィルタリング
Anti-malware filtering
オブジェクトをスキャンするためにマルウェア対策モジュールが呼び出されると、このプロパティの指定に従い、
Gateway Anti-Malware の設定で実行されます。これらの設定により、モジュールは 3 つのサブモジュールとそ
のメソッドをすべて使用し、Web オブジェクトをスキャンします。
モジュールが Web オブジェクトの感染を検出すると、すべてのルールの処理が停止し、オブジェクトはこれ以上
転送されません。アクセスはこのようにブロックされます。
要求サイクルでは、感染 Web オブジェクトが Web に転送されません。応答サイクルと埋め込みオブジェクト サ
イクルでは、要求を送信したユーザーにオブジェクトは転送されません。
アクションの設定で、このユーザーに対するメッセージを指定します。
このルールは、イベントを使用して、ウイルスなどのマルウェア感染によるブロックをカウントします。
イベント パラメーターには、インクリメントするカウンターとインクリメントを指定します。イベントの設定で
は、統計モジュールの設定を指定します。これによりカウントが実行されます。
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更
マルウェア対策モジュールの設定を構成する場合、Web オブジェクトのスキャンを実行するサブモジュールの組み
合わせを変更できます。
異なるサブモジュールをマルウェア対策モジュール (またはエンジン) の名前で実行し、スキャンを実行できます。
アプライアンスで使用できるサブモジュールは、購入したライセンスによって異なります。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
マルウェア対策の設定にアクセスします。
a
ルール セット ツリーで、ウイルスとマルウェア フィルタリングのルール セットを選択します。
デフォルトでは、Gateway Anti-Malware ルール セットになります。
ルール セットのルールが設定パネルに表示されます。
b
[詳細を表示]が選択されていることを確認します。
c
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
d
ルールの条件で設定名をクリックします。
この名前は、Antimalware.Infected プロパティの横に表示されます。デフォルトでは、Gateway
Anti-Malware になります。
[設定の編集] ウィンドウが開きます。マルウェア対策モジュールの設定が表示されます。
3
[スキャン エンジンと動作を選択する] で、次のサブモジュールの組み合わせの一つを選択します。
•
[Full McAfee coverage: 推奨される高度な構成] — 選択されると、McAfee Gateway マルウェア対策エン
ジンおよび McAfee マルウェア対策エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ
このモジュールの組み合わせはデフォルトで有効になっています。
•
[Layered coverage:Full McAfee coverage plus specific Avira engine features – minor performance
impact] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + いくつかの Web
オブジェクトに対する他社製モジュール機能
332
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
•
12
[Duplicate coverage:Full McAfee coverage and Avira engine – less performance and more false
positives] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、および他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機
能
•
[Avira のみ: Avira エンジンのみの使用 — 非推奨] — 選択すると、Avira エンジンのみがアクティブになり
ます。
スキャン モードは以下のとおりです。他社製モジュール機能
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
Gateway Anti-Malware のルール セットと一緒に Avira のみのオプションを選択する場合には、設定とルール セ
ットの名前を変更し、キー設定が変更されたことを示します。
たとえば、Gateway Anti-Malware (設定とルール セット) を Avira Anti-Malware (設定とルール セット)
に変更します。
ルール セットおよび設定の名前を変更する代わりに、追加ルール セットおよび追加設定も作成し、ルールの構成を
必要とするときに利用可能になります。
マルウェア対策フィルタリングで使用される URL 情報
マルウェア対策フィルタリングで正確な結果を得る上で URL の情報は重要です。 フィルター モジュールの特定の
設定では、この情報が必須になります。
Web Gateway のマルウェア対策フィルタリングで Gateway Anti-Malware エンジンが ファイルをスキャンする
ときに、より正確な結果を提供するため、ファイルの URL 情報を使用します。 この情報では、URL カテゴリとレピ
ュテーション スコアが重要な部分となります。
Web Gateway の URL フィルタリングは主に URL フィルター モジュール (またはエンジン) によって処理されま
す。マルウェア対策フィルタリングを行うマルウェア対策モジュール (またはエンジン) は、URL フィルター モジュ
ールから URL 情報を取得します。 URL フィルター モジュールは、この情報を複数のソースから取得します。設定
によっては、Global Threat Intelligence も使用されます。
スキャン プロセスで適切な情報が Gateway Anti-Malware エンジンに送信されるように、Global Threat
Intelligence へのクエリーをマルウェア対策モジュールと URL フィルター モジュールに設定してください。
関連トピック:
333 ページの「マルウェア対策フィルタリングで URL 情報を使用する」
マルウェア対策フィルタリングで URL 情報を使用する
Global Threat Intelligence から取得した URL のカテゴリとレピュテーション スコアを Web Gateway のマルウ
ェア対策フィルタリングのスキャン プロセスで使用するように設定します。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[マルウェア対策] モジュール (エンジン) のすべての設定を展開し、[詳細設定] で [GTI ファイル レピュテーシ
ョン クエリーを有効にする] オプションを選択します。
McAfee Web Gateway 7.6.2
Product Guide
333
12
Web フィルタリング
Anti-malware filtering
3
[ポリシー] 、 [ルール セット] の順に選択し、以下のことを確認します。
•
[共通ルール] ルール セットに [URL フィルターの内部設定] ルール セットがネストされている。
これらのルール セットは、デフォルトのルール セット システムに含まれています。 削除または変更されて
いる場合には、これらのルール セットのデフォルト バージョンをルール セット ライブラリからインポート
してください。
•
ネストされた [URL フィルターの内部設定] ルール セットの [他のフィルターで使用される URL フィルター
を設定する] ルール セットに [URLFilter.SetInternalSettings] イベントが設定されている。
[Default] という名前のイベント設定が [URL フィルター] モジュールのデフォルトの設定です。
•
イベント設定の [評価設定] で、[ローカルの評価に結果がない場合にオンラインの GTI Web レピュテーショ
ンとカテゴリ サービスを使用する] が選択されています。
このオプションはデフォルトで選択され、グレー表示になっています。 [ローカルの評価に結果が
ない場合に Dynamic Content Classifier を有効にする] オプション (デフォルトは true) が選
択されている間、このオプションも有効になります。
[ローカルの評価に結果がない場合に Dynamic Content Classifier を有効にする] の選択を解除
すると、[ローカルの評価に結果がない場合にオンラインの GTI Web レピュテーションとカテゴ
リ サービスを使用する] は選択されたままになりますが、グレー表示にはなりません。
4
ルール セット システムの設定オプションを変更した場合には、[変更の保存] をクリックします。
Integrating TIE server information with anti-malware filtering
You can integrate TIE server information with anti-malware filtering on Web Gateway, using this
information in filtering rules and notifying the TIE server of critical scanning results found on Web
Gateway.
A rule set is available in the library to implement this integrated filtering, providing several rules in
addition to the rules in the [Gateway Anti-Malware] default rule set.
The additional rules integrate anti-malware filtering as performed by the filtering functions that are
available on Web Gateway with information retrieved from a TIE server. The TIE server is in turn
notified of critical filtering results found on Web Gateway.
The integrated filtering is only applied to files with media type [Executables].
DXL messages are used to exchange information between Web Gateway and the TIE server. As parts
of the DXL architecture are managed by a McAfee ePO server, Web Gateway must also be configured
to connect to this administration device.
334
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
Property and event for exchanging information with a TIE server
The following property and event can be used in rules that handle information exchange with a TIE
server.
•
[TIE.Filereputation] — The value of this property is set to the reputation score that is queried and
retrieved from a TIE server for a particular file.
Processing of the property is performed by the [TIE Filter] module, which runs with particular
settings.
•
[TIE: Report file reputation] — This event sends a file reputation score to a TIE server. The score is
based on the malware probability that the Gateway Anti-Malware (GAM) engine on Web Gateway
finds after scanning a file.
Scores are sent according to the scale of values used on a TIE server, corresponding to ranges of
probability grades. For example, for a malware probability between 60 and 80, 30 is sent as a
score to the TIE server.
Sample rule for using file reputation retrieved from a TIE server
The following sample rule uses [TIE.Filereputation] property to find out whether the reputation of a file
that is processed on Web Gateway remains below a particular value. Information about the file
reputation is retrieved from a TIE server.
If the file reputation actually remains below the configured value, an action is executed to block access
to the file.
The blocking action runs with particular settings, which you can configure to provide a message to
inform the user who requested the file about the blocking reason.
[Name ]
[Block after retrieving information about bad reputation from a TIE
server]
[Criteria ]
[Action]
[TIE.Filereputation less than or equals 30]
–> [Block<TIE Reputation>]
Sample rule for reporting file reputation to a TIE server
The following sample rule uses the [TIE: Report file reputation] event to send a file reputation score to
a TIE server.
The score is based on the malware probability for a file that is processed on Web Gateway. The
[Antimalware.Infected] and [Antimalware.Proactive.Probability] are used to find out about this
probability.
If the probability exceeds the configured value, an action is executed to block access to the file. The
[TIE: Report file reputation] event then sends a reputation score to a TIE server, which is based on the
found probability range.
[Name ]
[Send information about file reputation to a TIE server]
[Criteria ]
[Antimalware.Infected<Gateway Anti-Malware with TIE>
equals true AND Antimalware.Proactive.Probability<Gateway
Anti-Malware> greater than or equals 90 ]
McAfee Web Gateway 7.6.2
[Action]
–> [Block<Virus
Found>]
[Event]
[TIE: Report File
Reputation (1)]
Product Guide
335
12
Web フィルタリング
Anti-malware filtering
Configure integrating TIE server information with anti-malware filtering
To integrate TIE server information with anti-malware filtering, import the appropriate library rule set
and configure settings for connecting to a McAfee ePO server.
タスク
1
2
3
4
Implement the rule set for integrating TIE server information with anti-malware filtering.
a
Select [Policy] 、 [Rule Sets].
b
Import the [Gateway Anti-Malware with TIE] rule set from the library.
c
On the rule sets tree, place the imported rule set immediately before the default [Gateway
Anti-Malware] rule set and disable or delete the default rule set.
Configure settings for connecting to a McAfee ePO server.
a
Select [Configuration] 、 [Appliances].
b
On the appliances tree, select the appliance that you want to connect to a McAfee ePO server
and click [ePolicy Orchestrator].
c
Configure a host name, user account, and password for use by Web Gateway when connecting
to a McAfee ePO server.
d
Click [Rejoining ePO for DXL communication] to complete the setup.
[Optional] Configure DXL message tracing.
a
On the appliances tree, keep your appliance selected and click [Troubleshooting].
b
In the [Troubleshooting] section of the configuration pane, select [Enable DXL tracing] and,
optionally, [Write full message body into log].
Click [Save Changes].
TIE Filter settings
The [TIE Filter] settings are used for configuring the [TIE Filter] module, which is involved in the
process of exchanging information between Web Gateway and a TIE server.
TIE Reputations settings
The [TIE Reputations] settings are settings for the [TIE Filter] module (engine) that are by default
available after the initial setup of Web Gateway.
Product Priorities
Settings for configuring the order in which connected web security products are queried for file
reputation information
336
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
表 12-9 Product Priorities
Option
Definition
[Use default product
priority order (TIE first,
worst reputation of all
other next)]
When selected, information is queried from connected web security
products in the default order.
The default order is to query information from a TIE server first. This
information is then used in rules for anti-malware filtering.
If noTIE server information is available, all other connected products are
queried.
The lowest reputation score that is retrieved from a connected product is
then used in rules for anti-malware filtering.
[Customize product
order]
When selected, a list becomes available that allows you to configure a
different order of querying connected web security products.
[List of user-defined
counters]
Provides a list of connected web security products. The products are
queried for file reputation information in the order that they take in this
list.
表 12-10 List of user-defined counters - List entry
Option
Definition
[Product IDs] Specifies the ID of a web security product that is connected to Web Gateway.
When an * (asterisk) is specified as the only ID or in last position, all
connected products are queried for file reputation information.
The lowest score that is retrieved from a product is then used in rules for
anti-malware filtering.
[Comment]
Provides a plain-text comment on a product.
Gateway Anti-Malware with TIE rule set
The [Gateway Anti-Malware with TIE] rule set is a library rule set for integrating anti-malware flitering
on Web Gateway with information retrieved from a TIE server.
Library rule set – Gateway Anti-Malware with TIE
[Criteria – Always ]
[Cycles – Requests (and IM), Responses, Embedded Objects]
The rule set contains the rules that are also contained in the default [Gateway Anti-Malware] rule set,
as well the following rules, which are needed to enable the integrated filtering.
This rule set is provided only in the complete rules view.
[TIE - Trusted reputations ]
[MediaType.EnsuredTypes at least one in list Executables AND TIE.Filereputation<TIE Reputations>
greater than or equals 70 AND TIE.Filereputation<TIE Reputations> less than or equals 99 –> Stop
Rule Set ]
The rule uses the [MediaType.EnsuredTypes] property to check whether a given web object is an
executable file by looking it up in a list.
It also uses the [TIE.Filereputation] property to check whether the file reputation score for this
object, which is retrieved from a TIE server, is between 70 and 99. This score means that the object
is not considered malicious.
McAfee Web Gateway 7.6.2
Product Guide
337
12
Web フィルタリング
Anti-malware filtering
When the [TIE.Filter] module is called to retrieve the file reputation, it runs with the [TIE.Reputation]
settings, as specified with the property.
If all parts of the criteria match, processing of the rule set stops and the rules that follow this rule in
the rule set are skipped.
Skipping these rules means that the object is not scanned and filtered by the submodules of the
[Anti-Malware] module on Web Gateway, which include the Gateway Anti-Malware (GAM) and Avira
engines.
[TIE - Unknown reputations]
[TIE.Filereputation<TIE Reputations> equals 50 AND TIE.Filereputation<TIE Reputations> greater
than 0 –> Continue]
The rule uses the [TIE.Filereputation] property to check whether the file reputation score for this
object, which is retrieved from a TIE server, equals 50, which means the reputation is not known.
When the [TIE.Filter] module is called to retrieve the file reputation, it runs with the [TIE.Reputation]
settings, as specified with the property.
If the criteria matches, processing continues, which means the rule does not take any particular
action on objects with unknown reputations.
This rule is not enabled by default.
[TIE - Malicious reputations]
[TIE.Filereputation<TIE Reputations> less than or equals 30 AND TIE.Filereputation<TIE
Reputations> greater than 0 –> Block<TIE Reputation>]
The rule uses the [TIE.Filereputation] property to check whether the file reputation score for this
object, which is retrieved from a TIE server, is between 30 and 0, which means it is considered
malicious.
When the [TIE.Filter] module is called to retrieve the file reputation, it runs with the [TIE.Reputation]
settings, as specified with the property.
If both parts of the criteria match, processing of all rules stops and the object is not passed on
further. Access to it is blocked this way.
In a request cycle, the infected web object is not passed on to the web. In the response and
embedded object cycles, it is not passed on to the user who requested it. The action settings specify
a message to this user.
This rule is not enabled by default.
[Block if virus was found]
[MediaType.EnsuredTypes at least one in list Executables AND Antimalware.Infected<Gateway
Anti-Malware with TIE> equals true AND Antimalware.Proactive.Probability<Gateway Anti-Malware
with TIE> greater than or equals 60 AND Antimalware.Proactive.Probability<Gateway Anti-Malware
with TIE> less than 80 –> Block<Virus Found> – Statistics.Counter.Increment
(“BlockedByAntiMalware”,1)<Default> – TIE: Report File Reputation (30)]
The rule uses the [MediaType.EnsuredTypes] property to check whether a given web object is an
executable file by looking it up in a list.
It also uses the [Antimalware.Infected] and [Antimalware.Proactive.Probability] properties to find out
whether this object is infected by a virus or other malware and whether the probability that it is
infected is between 60 and 80, which means it is likely that it is malicious.
When the [Anti-Malware] module is called to scan the object and rate its malware probability, it runs
with the [Gateway Anti-Malware with TIE] settings, as specified with the properties.
These settings let the module use both its submodules, the Gateway Anti-Malware (GAM) engine and
the Avira engine, and their methods to scan web objects.
If all parts of the criteria match, processing of all rules stops and the object is not passed on further.
Access to it is blocked this way.
338
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
In a request cycle, the infected web object is not passed on to the web. In the response and
embedded object cycles, it is not passed on to the user who requested it. The action settings specify
a message to this user.
The rule also uses an event to count blocking due to virus and malware infections. The event
parameters specify the counter that is incremented and the size of the increment. The event settings
specify the settings of the [Statistics] module, which executes the counting.
The rule uses another event to notify the TIE server that there is a high probability that the scanned
object is malicious. Corresponding to this high probability grade, a low reputation score is sent to the
TIE server.
[Block if virus was found]
[MediaType.EnsuredTypes at least one in list Executables AND Antimalware.Infected<Gateway
Anti-Malware with TIE> equals true AND Antimalware.Proactive.Probability<Gateway Anti-Malware
with TIE> greater than or equals 80 AND Antimalware.Proactive.Probability<Gateway Anti-Malware
with TIE> less than 90 –> Block<Virus Found> – Statistics.Counter.Increment
(“BlockedByAntiMalware”,1)<Default> – TIE: Report File Reputation (15) ]
The rule uses the [MediaType.EnsuredTypes] property to check whether a given web object is an
executable file by looking it up in a list.
It also uses the [Antimalware.Infected] and [Antimalware.Proactive.Probability] properties to find out
whether this object is infected by a virus or other malware and whether the probability that is
infected is between 80 and 90, which means it is very likely that it is malicious.
When the [Anti-Malware ]module is called to scan the object and rate its malware probability, it runs
with the [Gateway Anti-Malware with TIE] settings, as specified with the properties.
These settings let the module use both its submodules, the Gateway Anti-Malware (GAM) engine and
the Avira engine, and their methods to scan web objects.
If all parts of the criteria match, processing of all rules stops and the object is not passed on further.
Access to it is blocked this way.
In a request cycle, the infected web object is not passed on to the web. In the response and
embedded object cycles, it is not passed on to the user who requested it. The action settings specify
a message to this user.
The rule also uses an event to count blocking due to virus and malware infections. The event
parameters specify the counter that is incremented and the size of the increment. The event settings
specify the settings of the [Statistics] module, which executes the counting.
The rule uses another event to notify the TIE server that there is a very high probability that the
scanned object is malicious. Corresponding to this very high probability grade, a very low reputation
score is sent to the TIE server.
[Block if virus was found]
[MediaType.EnsuredTypes at least one in list Executables AND Antimalware.Infected<Gateway
Anti-Malware with TIE> equals true AND Antimalware.Proactive.Probability<Gateway Anti-Malware
with TIE> greater than or equals 90 –> Block<Virus Found> – Statistics.Counter.Increment
(“BlockedByAntiMalware”,1)<Default> – TIE: Report File Reputation (1) ]
The rule uses the [MediaType.EnsuredTypes] property to check whether a given web object is an
executable file by looking it up in a list.
It also uses the [Antimalware.Infected] and [Antimalware.Proactive.Probability] properties to find out
whether this object is infected by a virus or other malware and whether the probability that is
infected is greater than or equals 90, which means it is almost sure that it is malicious.
When the [Anti-Malware] module is called to scan the object and rate its malware probability, it runs
with the [Gateway Anti-Malware with TIE] settings, as specified with the properties.
These settings let the module use both its submodules, the Gateway Anti-Malware (GAM) engine and
the Avira engine, and their methods to scan web objects.
If all parts of the criteria match, processing of all rules stops and the object is not passed on further.
Access to it is blocked this way.
McAfee Web Gateway 7.6.2
Product Guide
339
12
Web フィルタリング
Anti-malware filtering
In a request cycle, the infected web object is not passed on to the web. In the response and
embedded object cycles, it is not passed on to the user who requested it. The action settings specify
a message to this user.
The rule also uses an event to count blocking due to virus and malware infections. The event
parameters specify the counter that is incremented and the size of the increment. The event settings
specify the settings of the [Statistics] module, which executes the counting.
The rule uses another event to notify the TIE server that it is almost sure that the scanned object is
malicious. Corresponding to this extremely high probability grade, an extremely low reputation score
is sent to the TIE server.
[Block if virus was found ]
[Antimalware.Infected<Gateway Anti-Malware with TIE> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default> ]
The rule uses the [Antimalware.Infected] property to check whether a given web object is infected by
a virus or other malware.
When the [Anti-Malware] module is called to scan the object, it runs with the [Gateway Anti-Malware
with TIE] settings, as specified with the property.
These settings let the module use both its submodules, the Gateway Anti-Malware (GAM) engine and
the Avira engine, and their methods to scan web objects.
If the module finds that a web object is infected, processing of all rules stops and the object is not
passed on further. Access to it is blocked this way.
In a request cycle, the infected web object is not passed on to the web. In the response and
embedded object cycles, it is not passed on to the user who requested it. The action settings specify
a message to this user.
The rule also uses an event to count blocking due to virus and malware infections. The event
parameters specify the counter that is incremented and the size of the increment. The event settings
specify the settings of the [Statistics] module, which executes the counting.
The rule does not notify the TIE server of any scanning results.
関連トピック:
330 ページの「Gateway Anti-Malware rule set」
ホスト ヘッダーがない場合の処理
Web Gateway で受信した ICAP 要求にホスト ヘッダーがない場合、この要求をマルウェア対策スキャンで処理す
るために、追加の処理が必要になることがあります。
If you have only purchased a license for the McAfee scanning engine, the problem with the missing host
header does not arise since this engine does not require the information that is provided by this header
for scanning.
Web Gateway クライアントが ICAP プロトコルで要求を送信すると、非常に稀ですが、要求からホスト ヘッダー
が欠落する場合があります。
たとえば、reqmod モードの ICAP 通信の場合、ホスト ヘッダーのない要求が送信される可能性があります。 この
要求の GET 部分には空の URL が含まれます。この URL は HTTP プロトコルだけで構成され、ICAP 要求が埋め込
まれていることを表します。 URL の部分は http:// のように見えます。
ホスト ヘッダーの重要性
Web Gateway のスキャン プロセスに Gateway Anti-Malware エンジンが含まれている場合、動作スキャンで
URL が必要になります。 たとえば、Global Threat Intelligence からレピュテーション スコアとカテゴリ情報を取
得するときに URL が使用されます。
340
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Anti-malware filtering
12
Web Gateway では、URL が複数のソースから構成されます。この中には要求のホスト ヘッダーが含まれます。 こ
れにより、Gateway Anti-Malware エンジンでの処理が可能になります。 ホスト ヘッダーの情報を取得できない
と、URL が構成できず、使用することができません。
このため、ホスト ヘッダーが欠落していると、Gateway Anti-Malware エンジンによるスキャンでエラーが発生し
ます。 デフォルトのルールでは、このエラーが発生すると要求がブロックされるので、指定した宛先には転送されま
せん。 このエラーは mwg-antimalware log に記録されます。
マルウェア対策エンジンとの併用
Web トラフィックをスキャンする場合、Gateway Anti-Malware エンジンは別のスキャン エンジン (McAfee エン
ジン) を使用します。 McAfee エンジンだけでもスキャン アクティビティの範囲を減らすことができますが、マルウ
ェア対策でこの 2 つのエンジンを併用することをお勧めします。
Web Gateway で両方のエンジンが使用できるかどうかは、Gateway Anti-Malware エンジンのライセンスを購入
しているかどうかによって異なります。このライセンスを購入すると、McAfee エンジンも使用できます。McAfee
エンジンのみのライセンスを購入している場合には併用できません。
ホスト ヘッダー問題の解決
ICAP 要求にホスト ヘッダーがない場合に発生する問題を解決するには、いくつかの方法があります。
•
ホスト ヘッダーを送信するように ICAP クライアントを設定する。
この解決策は、Web Gateway ではなく、不完全な要求を送信したクライアント システムに行います。 クライ
アントの設定が原因で、ホスト ヘッダーのない要求が送信される場合があります。
詳細については、ICAP プロトコルの解説書を参照してください。
•
Gateway Anti-Malware エンジンの使用を回避または軽減するように、マルウェア対策フィルタリングのルール
を設定する。
ホスト ヘッダーの情報を処理する必要がない場合に Gateway Anti-Malware エンジンを使用しないように設定
できます。
マルウェア対策フィルタリングのルール セットには、次のルールが含まれています。
•
要求にホスト ヘッダーが含まれている場合に Gateway Anti-Malware エンジンをフルに使用するデフォル
ト スキャン プロセスのルール。
•
要求にホスト ヘッダーが含まれていない場合に Gateway Anti-Malware エンジンの使用を回避するスキャ
ン プロセスのルール。
McAfee Web Gateway 7.6.2
Product Guide
341
12
Web フィルタリング
Anti-malware filtering
この 2 種類のルールの詳細については、
『マルウェア対策フィルタリングでの Gateway Anti-Malware エンジン
の利用度』を参照してください。
•
ホスト ヘッダーの追加ルールを作成する。
ホスト ヘッダーに値を設定するルールを作成し、マルウェア対策スキャンを制御するルールの前に追加できます。
この 2 番目のルールが実行されると、ルール エンジンがホスト ヘッダー値を検出し、Gateway Anti-Malware
エンジンをフルに利用してスキャンを実行できます。
このルールでは、[URL.Host] プロパティの設定イベント使用してホスト ヘッダー値を提供します。 特定のホス
トから要求を受信していること確認している場合には、そのホストの値をプロパティに設定できます。
このようなホストが分からない場合には、プロパティにダミーの値を設定できます。 このようにプロパティを設
定すると、スキャン プロセスで Gateway Anti-Malware エンジンをフルに活用できます。 適切なホスト情報が
ない場合、マルウェア対策のフィルタリングの結果に影響を及ぼし、誤検知の数が多くなる可能性があります。
ルールの詳細については、『ホスト ヘッダーを追加するルール』を参照してください。
マルウェア対策フィルタリングでの Gateway Anti-Malware エンジンの利用度
以下では、マルウェア対策フィルタリングで Gateway Anti-Malware エンジンをフルに活用する場合と使用を限定
する場合のサンプル ルールを示します。これらのルールは、要求にホスト ヘッダーが存在するかどうかによって使
い分けます。
これらのルールを作成するときに、デフォルトの [Gateway Anti-Malware] ルール セットにある [ウイルスを検出し
たらブロック] ルールを使用できます。 ルールを作成して有効にした後で、デフォルトのルールを削除する必要があり
ます。
スキャンで要求にウイルスなどのマルウェアの感染を検出した場合、最初のルールによりホスト ヘッダーを含む要求
がブロックされます。
ルール エンジンがルールを処理するときに、[マルウェア対策] モジュールを呼び出し、[AV.Infected] プロパティ
の値を提供します。 このモジュールはデフォルトの設定で実行されます。スキャン プロセスで Gateway
Anti-Malware エンジンがフルに利用され、プロパティ値が提供されます。
[名前]
[Gateway Anti-Malware エンジンをフルに利用してスキャンする]
[条件]
[URL.Host does not equal " " ] [AND
AV.Infected<Default> equals true ]
[アクション]
[イベント]
–> [Block<Virus Found>] [Statistics.
Counter.Increment
("BlockedByAnti
Malware">, 1)<Default> ]
スキャンで要求にウイルスなどのマルウェアの感染を検出した場合、2 番目のルールによりホスト ヘッダーを含まな
い要求がブロックされます。
ルール エンジンがルールを処理するときに、[マルウェア対策] モジュールを呼び出し、[AV.Infected] プロパティ
の値を提供します。 このモジュールはデフォルトの設定で実行されません。新しい設定が使用され、スキャン プロ
セスで Gateway Anti-Malware エンジンの使用が軽減されます。
新しい設定は、デフォルトの設定と異なり、[モバイル コード スキャンを有効にする] オプションが無効になります。
[名前]
[Gateway Anti-Malware エンジンの使用を限定してスキャンする]
[条件]
342
McAfee Web Gateway 7.6.2
[アクション]
[イベント]
Product Guide
Web フィルタリング
Anti-malware filtering
[URL.Host equals " " ] [AND
AV.Infected<Reduced use of Gateway
Anti-Malware engine> equals true ]
12
–> [Block<Virus Found>] [Statistics.
Counter.Increment
("BlockedByAnti
Malware">, 1)<Default>]
ホスト ヘッダーを追加するルール
以下では、ヘッダー情報がない ICAP 要求にホスト ヘッダーを追加するサンプル ルールを示します。
[名前]
[ホスト ヘッダーを追加する]
[条件]
[アクション] [イベント]
[URL.Host equals " " ] –> [Continue]
[Set URL.Host=<value for host that request was sent
from>]
関連トピック:
343 ページの「Gateway Anti-Malware エンジンの使用を軽減するように設定する」
Gateway Anti-Malware エンジンの使用を軽減するように設定する
Gateway Anti-Malware エンジンの使用を軽減するように、マルウェア対策フィルタリングを設定できます。 この
操作は、要求にホスト ヘッダーが含まれていない場合に必要になります。
タスク
1
デフォルトの設定を使用して、マルウェア対策フィルタリングに新しい設定を作成し、適切な名前を付けます (例:
[Gateway Anti-Malware エンジンの使用回避])。
2
新しい設定で、[McAfee Gateway Anti-Malware の詳細設定] を展開します。
3
[モバイル コード スキャンを有効にする] の選択を解除します。
4
[変更の保存] をクリックします。
マルウェア対策フィルタリングを実行するルールに新しい設定を挿入し、Gateway Anti-Malware エンジンの使用
頻度を減らすことができます。
新しい設定の作成方法については、「設定」の「アクションとモジュール設定を作成する」を参照してください。
メディア ストリームのスキャン
Media streams can be scanned on Web Gateway chunk-by-chunk, which allows users to see or hear
downloaded streaming media faster, as they do not have to wait until a stream has been scanned
completely.
This scanning method is performed by the Media Stream Scanner, which is provided by the Gateway
Anti-Malware engine. Streaming media is scanned and delivered chunk-by-chunk to the client that
requested the download. If an infection is detected in a chunk, the download stops, and this chunk
and the rest of the streaming media are not delivered.
The scanning that is performed by the Media Stream Scanner uses the proactive functions of the
Gateway Anti-Malware engine. The Avira engine, which can also be configured to scan web objects for
infections by viruses and other malware, is not involved when the Media Stream Scanner is active.
The scanner is started by an event of a rule in the [Gateway Anti-Malware] rule set of the default rule
set system. The rule applies if the Stream Detector module finds that a web object that was received
on Web Gateway in response to a download request is streaming media.
ルール セットの処理が停止すると、Web オブジェクトの感染をスキャンする残りのルールは処理されません。
McAfee Web Gateway 7.6.2
Product Guide
343
12
Web フィルタリング
Anti-malware filtering
ストリーム ディテクターが Web オブジェクトをストリーミング メディアとして認識しないと、ルールは適用され
ません。残りのルールが処理され、設定に従って Web オブジェクトがスキャンされます。
マルウェア対策キュー
ウイルスやその他マルウェアによる感染に対して、Web オブジェクトをスキャンするモジュールの負荷を避けるた
めには、アクセスをリクエストして、Web オブジェクトは処理される前にキューに移動されます。
このキューはマルウェア対策キューと呼ばれています。リクエストがアプライアンスで受け取られた場合、プロキシ
モジュールのワーキング スレッドによってこのキューに移動します。これは、その他のスレッドによって取り出され
るまで残り、スキャン モジュールの 1 つのスレッドに送信されます。
同じくリクエストが送信された Web サーバーから受け取った応答に適用されます。
スキャン モジュールに要求や応答を送信したり、モジュールがスキャンの実行で使用する作業用スレッドをマルウェ
ア対策作業用スレッドまたは AV スレッドといいます。
マルウェア対策キューを構成するとき、以下を指定できます。
•
利用可能なマルウェア対策ワーキング スレッドの数
•
マルウェア対策キューのサイズ
•
キューに存在するリクエストおよび応答の最大時間
Moving requests and responses to the anti-malware queue is a solution to avoid load peaks occurring
over a short period of time. Permanent overloading should be addressed by other measures.
マルウェア対策キューの構成
マルウェア対策キューの設定を構成し、スキャン モジュールの負荷を避けることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、マルウェア対策キューをオンにするアプライアンスを選択して、[マルウェア対策]を
クリックします。
マルウェア対策キューの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
マルウェア対策のシステム設定
[マルウェア対策] のシステム設定は、マルウェア対策キューを設定する場合に使用します。
マルウェア対策のグローバル設定
マルウェア対策キューの設定
344
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
表 12-11 グローバル マルウェア対策設定
オプション
定義
[ウイルス スキャンのスレッ
ド数]
アプライアンスで利用可能なマルウェア対策ワーキング スレッドの数を設定しま
す。
ここで指定する数は、リクエストを送信するスレッドの両方に適用され、スキャン
モジュールのスレッドおよびスキャン モジュール スレッド自体に応答します。
たとえば、25 を指定した場合、送信用の 25 のスレッドとスキャン用の 25 のスレ
ッドが存在します。
[使用可能な CPU コア数以上 選択すると、使用可能な CPU コアの数以上の AV スレッドでスキャン操作を処理
の AV スレッドを使用する]
します。
[キュー内のジョブの最大数]
スキャン モジュールのジョブとして、マルウェア対策キューに移動できるリクエス
ト数または応答数を制限します。
[削除する前に、キューにスキ スキャンに送信しなかった場合、リクエストまたは応答がマルウェア キューから削
ャン ジョブが存在する秒数] 除する前に経過する時間(秒)を制限します。
URL フィルタリング
URL フィルタリングでは、Web セキュリティでリスクと見なされた Web オブジェクトや他の理由で許可されてい
ないオブジェクトへのアクセスを阻止します。
フィルタリング プロセスは、ブロック リスト、カテゴリ情報、URL レピュテーション スコアを使用し、アクセスを
ブロックまたは許可します。
このプロセスでは、機能の異なる複数の要素が実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールでは、一部の Web オブジェクトを URL フィルタリングから除外し、他のオブジェクトをブロックするよ
うに、ホワイトリストと様々なブロック リストを使用します。
•
特定のルールから呼び出された URL フィルター モジュールが、URL カテゴリに関する情報とレピュテーション
スコアを Global Threat Intelligence システムから取得します。
初期セットアップ後、Web Gateway には URL フィルタリングのデフォルト プロセスが実装されています。このプ
ロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
URL フィルタリングを設定するときに、次のルールを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの URL filtering ルール セットをクリッ
クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ
ます。
•
完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル
タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定
し、新しいルールの作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
McAfee Web Gateway 7.6.2
Product Guide
345
12
Web フィルタリング
URL フィルタリング
フィルタリング ルール
URL フィルタリング プロセスを制御するルールは、通常、1 つの URL フィルタリング ルール セットに含まれてい
ます。これらのうち、たとえば、ブロック リストのエントリに一致する場合、URL へのアクセスがブロックされる、
というルールがあります。
ブロック リストに存在するカテゴリに属する場合、別のルールが URL をブロックします。このルールは URL フィ
ルター モジュールを呼び出し、Global Threat Intelligence システムから URL のカテゴリ情報を取得します。別の
ルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
ホワイトリスト登録ルールは、ルールが使用しているリストのエントリに一致する URL をフィルタリングから除外
します。このルールはブロック ルールの前に配置され、処理されます。適用されると、ブロック ルールがスキップ
され、ホワイトリストに登録された オブジェクトに対して URL フィルタリングは行われません。
デフォルトのルール セットを実装すると、URL フィルタリングのルール セットも実装されます。ルールの名前は
URL Filtering です。
ホワイトリストとブロック リスト
ホワイトリストはホワイトリスト登録ルールが使用します。これにより、一部の URL がブロック リストをスキップ
します。これらのオブジェクトに URL フィルタリングは実行されません。
URL フィルタリング ルール セットは、URL フィルタリングだけを制御します。このため、ウイルスとマルウェアの
フィルタリングと異なり、種類ごとに異なるホワイトリストを用意する必要はありません。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
URL フィルタリングのルール セットは URL フィルタリングのみを処理し、ホワイトリストはウイルスおよびマルウ
ェアのフィルタリングに含まれているため、一部の種類のオブジェクトには必要ありません。
ブロック リストは属するカテゴリーによって、またはリストのエントリに一致するという理由から、URL をブロッ
クするルールに使用されます。ブロック ルールはそれぞれ固有のリストを使用します。
フィルター モジュール
URL フィルター モジュールは、URL フィルター エンジンともいいます。McAfee が提供する Global Threat
Intelligence™ システムから URL カテゴリに関する情報とレピュテーション スコアを取得します。この情報をもと
に、ブロック ルールが URL へのアクセスをブロックします。
リンク クローラー、セキュリティ フォレンジック、ハニーポット ネットワーク、高度な自動評価ツール、カスタマ
ー ログといった様々な技術がこの情報を収集するために使用されます。McAfee の Web アナリストによる国際的
な多言語チームが情報を評価し、特定のカテゴリーのもと URL をデータベースに入力します。
URL 評価に関する情報を収集するため、その動作が世界規模でリアルタイムに分析されています (例: URL が Web
のどこに表示されるか、そのドメイン動作やその他詳細)。
たとえば、提供する拡張リストから取得したカテゴリー情報を含める、または URL の DNS 参照を行い、カテゴリ
ー情報検索の関連する IP アドレスを含めるなど、このモジュールの設定事項を設定できます。
346
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
URL フィルタリングでキー要素を設定する
URL フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタリング プロ
セスを適用します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
関連トピック:
347 ページの「URL フィルタリングのキー要素」
URL フィルタリングのキー要素
URL フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。
基本フィルタリング
基本 URL フィルタリングを実行する場合のキー要素
表 12-12 基本フィルタリング
オプション
定義
[URL ホワイトリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ホワイトリストを
編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
[URL ブロックリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ブロックリストを
編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
[URL カテゴリ ブロッ [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL カテゴリ ブロック
クリスト]
リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
SafeSearch
SafeSearch と URL フィルタリング プロセスを統合する場合のキー要素
表 12-13 SafeSearch
オプション
定義
[SafeSearch を有効に
する]
選択すると、URL フィルタリング プロセスの SafeSearch 部分を制御するルールが有効
になります。
[SafeSearch の設定]
[編集] をクリックすると、ウィンドウが開き、SafeSearch エンフォーサー モジュール
(エンジン) の設定を編集できます。
このモジュールは、SafeSearch エンフォーサーの統合を処理します。このセキュリティ
製品は、Web Gateway の URL フィルタリング プロセスに追加されます。
McAfee Web Gateway 7.6.2
Product Guide
347
12
Web フィルタリング
URL フィルタリング
GTI レピュテーション
URL フィルタリング プロセスで Global Threat Intelligence サービスから取得したレピュテーション スコアを評
価する場合のキー要素
表 12-14 GTI レピュテーション
オプション
定義
[レピュテーションが危険 選択すると、レピュテーションで Web セキュリティに対する危険度が高または中と評
度高の URL をブロック] 価された URL をブロックするルールが有効になります。
URL のレピュテーション スコアは McAfee の Global Threat Intelligence サービス
が設定します。URL フィルター モジュールがこのサービスからスコアを取得します。
未分類の URL
URL フィルタリング プロセスで分類できなかった URL を処理するキー要素
表 12-15 未分類の URL
オプション
定義
[未分類の URL] [ブロック] を選択すると、URL フィルタリング プロセスで分類できなかった URL を含む Web
オブジェクトのアクセス要求がブロックされます。
[許可] を選択すると、このルールによるアクションは実行されません。次のルールが処理され、
URL フィルタリングが継続します。
完全なルール ビューで URL フィルタリングを設定する
ネットワークの要件に合わせて URL フィルタリングを設定し、このプロセスに適用できます。
URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。
タスク
1
ルール セットで、URL フィルタリングのルールを確認します。
デフォルトでは、URL Filtering ルール セットになります。
2
必要に応じて、これらのルールを設定します。
たとえば、次の変更を行います。
•
ブロックルールやホワイトリスト ルールを有効または無効にします。
•
これらのルールで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。
•
3
348
URL フィルター モジュールの設定を変更します。
変更を保存します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
URL フィルター モジュールを詳細する
URL フィルター モジュールを設定し、URL カテゴリとレピュテーション スコアの情報を Global Threat
Intelligence システムから取得する方法を変更します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、URL フィルタリングのルール セットを選択します。
デフォルトのルール セット システムでは、URL フィルタリングのルール セットは、コンテンツ フィルタリング
のルール セットにネストされています。
設定パネルにルールが表示されます。
3
[詳細を表示] が選択されていることを確認します。
4
カテゴリのブロック リストを使用するルールを検索します。
デフォルトでは、「カテゴリ ブラックリストにカテゴリがある URL をブロックする」ルールになります。
5
ルールの条件で設定名をクリックします。
この名前は、URL.Categories プロパティの横に表示されます。デフォルトでは、Default になります。
[設定の編集] ウィンドウが開きます。URL フィルター モジュールの設定が表示されます。
6
必要に応じて、これらの項目を設定します。
7
[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存] をクリックします。
関連トピック:
349 ページの「URL フィルターー設定」
URL フィルターー設定
URL フィルターー設定は URL フィルターー モジュールが Global Threat Intelligence システムから情報を取得
する方法を設定するために使用されます。
拡張リスト
拡張リストの設定
表 12-16 拡張リスト
オプション
定義
[拡張リストを使用]
拡張リストを選択するためのリストを提供します。
[追加]
拡張リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
[リストの編集(拡張リスト)]ウィンドウが開き、選択した拡張リストを編集します。
レーティング設定
カテゴリーとレピュテーション スコアをもとに、URL に関するレーティング情報を取得するための設定。
McAfee Web Gateway 7.6.2
Product Guide
349
12
Web フィルタリング
URL フィルタリング
表 12-17 レーティング設定
オプション
定義
[レーティングの CGI パラメ
ーターを検索する]
これが選択されると、CGI パラメーターが情報の検索に含まれます。
URL がアクセスされた場合の URL トリガー スクリプトまたはプログラムの CGI
パラメーター。URL を分類する際に、CGI の情報が考慮されます。
[埋め込み URL の検索および これが選択されると、埋め込み URL は情報の検索に含まれ、評価されます。
評価]
埋め込み URL を分類する際に、埋め込み URL の情報が考慮されます。
埋め込み URL の検索はパフォーマンスを低下させる場合があります。
[URL を評価するために DNS これを選択すると、関連情報が見つからなかった URL に対して DNS 参照が実行さ
前方参照を行う]
れます。
参照された IP アドレスは別の検索で使用されます。
[未評価 IP ベース URL の逆
方向 DNS 参照を行う]
これを選択すると、関連情報が見つからなかった URL に対して、その IP アドレス
をもとに逆方向 DNS 参照が実行されます。
参照されたホスト名は別の検索で使用されます。
[組み込みキーワード リスト
を使用する]
これを選択すると、組み込みのキーワード リストが検索に含まれます。
[オンラインの GTI Web レ
ピュテーションと分類サービ
スのみを使用する]
選択すると、 Global Threat Intelligence システムから URL カテゴリーとレピュ
テーション スコアの情報のみを取得します。
[ローカルの評価に結果がない これを選択すると、内部データベースに結果がない場合、 Global Threat
場合、オンラインの GTI Web Intelligence システムから URL カテゴリーとレピュテーション スコアの情報の
レピュテーションと分類サー みを取得します。
ビスを使用する ]
[Web レピュテーションと分
類サービスにデフォルトの
GTI サーバーを使用する]
これを選択すると、アプライアンスがデフォルト サーバーに接続して、Global
Threat Intelligence システムから URL カテゴリーとレピュテーション スコアの
情報を取得します。
• [サーバーの IP ]— デフォルト サーバーを使用しない場合、Global Threat
Intelligence システムに接続するために使用するサーバーの IP アドレスを指定
します。
形式:<ドメイン名>または <IPv4 アドレス> または <IPv6 アドレスにマップ
される IPv4 アドレス>
正規の IPv6 アドレスはここでは指定できません。
• [サーバーのポート]— アプライアンスからのリクエストをリスンするこのサー
バーのポートのポート番号を指定します。
許容範囲: 1–65535
詳細設定
URL フィルター モジュールの詳細設定
350
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
表 12-18 詳細設定
オプション
定義
[クラウドへの接続問 選択すると、アプライアンスから Global Threat Intelligence サーバーへの接続で発生す
題をエラーとして処理 る問題がエラーとしてログに記録されます。
する]
エラー処理のプロパティが設定され、最終的にはエラーハンドラーのルール セットからル
ールが実行されます。
[プライベート アドレ これを選択すると、プライベート IP アドレスが DNS 逆方向参照に含まれます。
スでも逆方向 DNS 参
このアドレスを参照から除外すると、URL フィルタリングのパフォーマンスが向上します。
照を行う]
このオプションはデフォルトでは無効になっています。
参照には次のタイプのアドレスが含まれます。
• IPv4
• プライベート アドレス
• Zeroconf アドレス
• IPv6
• リンク ローカル アドレス
• サイト ローカル アドレス
• ユニーク ローカル アドレス
アプライアンスが Global Threat Intelligence™ システムに接続するために使用できるプロキシを構成するための
設定
表 12-19 プロキシ設定
オプション
定義
[アップストリーム プロ これを選択すると、アプライアンスは Global Threat Intelligence サーバーに接続する
キシを使用]
ためにプロキシを使用し、そこで「クラウド内」参照と呼ばれる URL カテゴリー情報を
参照することができます。
[プロキシの IP または
名前]
プロキシの IP アドレスまたはホスト名を指定します。
[プロキシのポート]
アプライアンスからのリクエストを参照するためにリスンするプロキシ上のポート番号
を指定します。
[ユーザー名]
プロキシにログオンするときのアプライアンスのユーザー名を指定します。
[パスワード]
アプライアンスのパスワードを設定します。
[設定]
パスワードを設定するためのウィンドウを開きます。
URL フィルタリングのアクティビティをアプライアンスにログするための設定
McAfee Web Gateway 7.6.2
Product Guide
351
12
Web フィルタリング
URL フィルタリング
表 12-20 ログ
オプショ
ン
定義
[ロギン
グを有効
にする]
これを選択すると、URL フィルタリングのアクティビティがアプライアンスにログされます。
[ログ レ
ベル]
ログ レベルを選択するためのリストを提供します。
このオプションが選択されていない場合、次のログ オプションは灰色表示されます。
ログには次のレベルがあります。
• 00 緊急 — 緊急のエラーのみログに記録します。
• 01 エラー — すべてのエラーをログに記録します。
• 02 警告 — エラーと警告をログに記録します。
• 03 情報 — エラー、警告、追加情報をログに記録します。
• 04 デバッグ 1 ...013 デバッグ 9 — URL フィルタリング アクティビティをデバッグするのに必要
なログ情報。
ログされた情報量はレベルがデバッグ 1 から デバッグ 9 に増加します。
• 14 追跡 — URL フィルタリング アクティビティを追跡するのに必要なログ情報。
• 15 すべて — すべての URL フィルタリング アクティビティをログ
(ログ領
域)
URL フィルタリング アクティビティのさまざまな領域をログに含めるためのオプション セットを提供
します。
• [LOG_AREA_ALL] — 選択すると、すべての URL フィルタリング アクティビティがログに記録され
ます。
• [LOG_AREA_NETWORK] — 選択すると、URL フィルタリングに使用するネットワーク接続に関す
るアクティビティがログに記録されます。
• [LOG_AREA_DATABASE_SEARCH] — 選択すると、内部データベースからの URL フィルタリング
のデータ取得に関するアクティビティがログに記録されます。
• [LOG_AREA_DNS] — 選択すると、URL フィルタリングのために実行される DNS 参照に関するア
クティビティがログに記録されます。
• [LOG_AREA_URL] — 選択すると、解析など URL 処理のアクティビティがログに記録されます。
• [LOG_AREA_CLOUD] — 選択すると、 Global Threat Intelligence システムからの情報取得に関
するアクティビティがログに記録されます。
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワ
イトリストに追加する
ルールの条件に URL プロパティ (URL、URL.Host、URL.Host.BelongsToDomains など) を使用して、Web
オブジェクトをホワイトリストに追加することができます。
Web オブジェクトをホワイトリストに追加すると、このオブジェクトにアクセスして、ページの表示やファイルの
ダウンロードを行うことができます。ホワイトリスト ルールは、Web Gateway のルール セット システム内の適切
なルール セットに挿入します。他のルールがアクセスをブロックしないように、このルールが適用されると、この
Web オブジェクトの要求に対して残りのルール処理は実行されません。
異なる URL プロパティを使用して、異なるホワイトリストを作成することもできます。個々の Web オブジェクト
に対するアクセスを許可するには (たとえば、特定のファイルのダウンロードなど)、このファイルの完全な URL を
含むリストに URL プロパティを使用します。
以下の例では、ホワイトリストに最適な URL プロパティを選択して使用する方法について説明します。
352
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
この他に、ヒントや次の情報も提供します。
•
URL に設定される値 (サンプルの URL が処理されたときに、Web アクセス要求で Web Gateway に送信され
る値)
•
ルールの条件で is in list と matches in list の 2 つの演算子を使用する方法
•
URL プロパティと一緒に使用するリストで適切な項目と不適切な項目
個々の Web オブジェクトをホワイトリストに追加する - URL
目的 個々の Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/
Stinger.exe から Stinger.exe をダウンロードします。
手順 ルールの条件で、完全な URL のリストと一緒に URL 文字列プロパティを使用します。
たとえば、次のようにルールを設定します。
URL is in list URLWhiteList –> Stop Rule Set
URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe をリスト
URLWhiteList に追加すると、このルールが処理されたときにファイル Stinger.exe がホワイト リストに追加さ
れます。
同様に、デフォルトの URL フィルタリング ルール セットの次のルールを使用すると、ファイルに対す
るアクセスをブロックできます。
URL matches in list URLBlockList –> Block
問題の URL をリスト URLBlockList に追加すると、ルールが処理されたときにファイルがブロックさ
れます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数の Web オブジェクトをホワイトリストに追加することができ
ます。
ただし、特定のホストが提供するすべての Web オブジェクトをホワイトリストに追加する必要がある場合、
URL.Host プロパティを使用すると、この操作を簡単に行うことができます。
ホストをホワイトリストに追加する - URL.Host
目的 特定のホストが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com にある Stinger.exe や他のファイルをダウンロードします。
手順 ルールの条件で、ホスト名のリストと一緒に URL.Host 文字列プロパティを使用します。
たとえば、クラウドで URL.Host プロパティを使用するルールを次のように設定します。
URL.Host is in list HostWhiteList –> Stop Rule Set
ホスト download.mcafee.com をリスト HostWhiteList に追加すると、ルールが処理されたときに、このホ
ストが提供するすべてのオブジェクトがホワイトリストに追加されます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数のホストをホワイトリストに追加することができます。
McAfee Web Gateway 7.6.2
Product Guide
353
12
Web フィルタリング
URL フィルタリング
ただし、特定のドメイン内のすべてのホストをホワイトリストに追加する必要がある場合、
URL.Host.BelongsToDomains プロパティを使用すると、この操作を簡単に行うことができます。
ドメインをホワイトリストに追加する - URL.Host.BelongsToDomains
目的 特定のドメインが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com が提供する Stinger.exe と他のファイルをダウンロードし、
ドメイン mcafee.com 内の他のホストが提供するダウンロード可能なファイルをダウンロードします。
手順 ルールの条件で、ドメイン名のリストと一緒に URL.Host:BelongsToDomains ブール型プロパティを使
用します。
たとえば、次のようにルールを設定します。
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
ドメイン mcafee.com をリスト Domain List に追加すると、ルールが処理されたときに、このドメイン内のす
べての Web オブジェクトがホワイトリストに追加されます。
リスト Domain List は、URL.Host:BelongsToDomains プロパティのパラメーターで設定します。このプロ
パティはブール型です。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe が処
理されると、ドメイン mcafee.com がリストに Domain List に入力されているかどうかによってプロパティの
値 (true または false) が変わります。
以下の例では、ホワイトリストの設定にプロパティが使用されるときに、比較に使用される Domain List リストの
項目を表します。
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
条件:
URL.Host.BelongsToDomains("Domain List") equals true
比較される URL:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
比較されない URL:
https://www.mymcafee.com
354
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
http://www.treasury.ga.us
http://malicioustwitter.com
URL.Host.BelongsToDomains プロパティを使用すると、複雑な条件を作成しなくても同じ結果を得ることが
できます。例:
•
ワイルカードを含む式のリストに 2 つの項目を使用する場合:
twitter.com
*twitter.com
•
ワイルドカードを含む式に複雑な項目を使用する場合:
regex((.*\.|.?)twitter\.com)
サンプル URL のプロパティ値
サンプル URL http://www.mcafee.com/us/products/web-gateway.aspx が処理されると、以下の
URL プロパティに異なる値が設定されます。
プロパティ
サンプル URL の値
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true または false
このプロパティのパラメーターとして設定されたリストで、ドメインに次の値
を入力する必要があります。mcafee.com
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
比較で使用する演算子
ルールの条件で使用する演算子 (is in list または matches in list) で処理の結果が異なります。
演算子
説明
is in list
文字列に完全に一致する必要があります。
リスト項目にワイルドカード文字がある場合、この文字はリテラル文字として解釈されます。
matches in list リスト項目でワイルドカードを使用し、評価できます。
URL プロパティに適切な項目と不適切な項目
URL プロパティで使用するリストの項目は、プロパティの使用目的によって適切になる場合も、不適切になる場合も
あります。以下では、適切な項目と不適切な項目の例について説明します。
McAfee Web Gateway 7.6.2
Product Guide
355
12
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL と is in list 演算子
適切
http://www.mcafee.com/us/products/web-gateway.aspx
このプロパティでは完全な URL が必要です。ワイルドカードは指定されて
いません。is in list 演算子を使用した場合、ワイルドカードは評価されませ
ん。
不適切
www.mcafee.com/us/products/web-gateway.aspx
この項目には完全な URL が指定されていません。プロトコル情報 http://
が含まれていません。
URL と matches in list 演算子
適切
http://www.mcafee.com/*
この項目にはワイルドカードが含まれています。matches in list 演算子
を使用する場合、ホスト www.mcafee.com が提供する Web オブジェク
トにアクセスが許可されます。
この項目は http://mcafee.com/ に一致しません。
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
この項目には複雑な正規表現が含まれています。一致すると、HTTP または
HTTPS プロトコルでドメイン mcafee.com とそのサブドメイン内のすべ
ての Web オブジェクトに対するアクセスが許可されます。
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?))
この項目は前の例と同じですが、.com や .co.us などのトップレベル ドメ
インもホワイトリストに追加しています。
不適切
*.mcafee.com*
この項目は不要な一致を除外していません。例: URL http://
malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com
356
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL.Host と is in list 演算子
適切
12
www.mcafee.com
ホスト名が入力されています。これは、このプロパティの使用目的に一致し
ています。ワイルドカードは指定されていません。is in list 演算子を使用
する場合、ワイルドカードは評価されません。
不適切
mcafee.com
この項目では、ドメイン名 (mcafee.com) が指定されています。プロパテ
ィの値はホスト名です (URL http://www.mcafee.com/us/
products/web-gateway.aspx が処理される場合、
www.mcafee.com になります)。
一致する項目はありません。
*.mcafee.com
ワイルドカードが含まれていますが、is in list 演算子を使用した場合、ワイ
ルドカードは評価されません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目
的には不適切です。
さらに、ワイルドカードが含まれています。is in list 演算子を使用した場
合、ワイルドカードは評価されません。
McAfee Web Gateway 7.6.2
Product Guide
357
12
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL.Host と matches in list
演算子
適切
*.mcafee.com
この項目は、ドメイン mcafee.com ないの任意のホストに一致しますが、
mcafee.com 自体には一致しません。
regex((.*\.|\.?)mcafee.com)
ドメイン mcafee.com とそのホストをホワイトリストに追加する正規表
現が記述されています。
不適切
*.mcafee.com*
http://www.mcafee.com .malicious-download-site.cc/ など、
不要な一致が除外されていません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目
的には不適切です。
URL.HostBelongsToDomains
適切
リスト Domain List に入力された mcafee.com。プロパティのパラメ
ーターとして設定されています。
この項目は、mcafee.com ドメインとそのすべてのホストに一致します。
例: www.mcafee.com、secure.mcafee.com
www.mcafee.com
ドメイン名が指定されていませんが、有効です。ホスト
www.mcafee.com だけがホワイトリストに追加されます。
URL.Host プロパティを is in list 演算子と一緒に使用する場
合、リストに項目を追加しても同じ結果になります。
不適切
*.mcafee.com
この項目にはワイルドカードが含まれていますが、このプロパティの使用目
的には不適切です。
このプロパティは、リスト項目でのワイルドカードの使用を避けるために作
成されました。たとえば、mcafee.com に完全に一致する必要があります。
URL フィルタリング ルール セット
URL フィルタリング ルール セットは、URL フィルタリングのデフォルト ルール セットです。
デフォルト ルール セット— URL フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
URL ホワイトリストに一致する URL を許可する
URL matches in list URLWhiteList –> Stop Rule Set
358
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
このルールは URL プロパティを使用し、特定の URL が指定されたホワイトリストに存在するかどうかを確認しま
す。存在する場合、ルール セットのプロセスが停止し、ホワイトリスト登録ルールに従うブロック ルールは処理さ
れません。
このルールを使用して、フィルタリングから URL を除外し、ネットワークのユーザーが使用できるようにし、次の
ブロック ルールによってブロックされないようにします。ホワイトリスト登録はまた、それぞれの URL について
の情報を取得する手間を省くため、パフォーマンスを向上させます。
URL ブラックリストに一致する URL をブロックする
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<Default>
ルールは URL プロパティを使用し、特定の URL が指定されたブロック リストに存在するかどうか確認します。
存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通
過しません。アクセスはこのようにブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。イベ
ント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュ
ールの設定を指定します。これによりカウントが実行されます。
SafeSearchEnforcer を有効にする
Always –> Continue — Enable SafeSearchEnforcer<Default>
このルールは成人向けコンテンツを含む Web サイトへのアクセスにフィルターをかける追加モジュールである
SafeSearchEnforcer を有効にします。
有効化はイベントを実行することで行えます。モジュールの設定はイベントで指定されます。
処理は次のルールで続行します。
未分類の URL を許可する
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
このルールはパラメーターとして URL.Categories プロパティをもつ List.OfCategory.IsEmpty を使用し、
URL を分類するためのカテゴリーが空であるかどうかをチェックします。これは、URL が未分類であり、既存カテ
ゴリーに割り当てられないことを意味します。URL.Categories プロパティをパラメーターとして指定すること
で、特定のカテゴリー リストが確認されるようにします。これはこのプロパティの値となるリストです。
URL.Categories プロパティの値としてカテゴリー リストを提供するために、URL フィルター モジュールが呼び
出されます。このモジュールはこのリストを Global Threat Intelligence システムから取得します。このモジュ
ールは指定されたデフォルト設定で実行されます。
URL が未分類である場合、ルール セットのプロセスが停止し、このルールに従ったブロック ルールは処理されま
せん。URL へのリクエストは適切な Web サーバーへ転送され、URL へのアクセスが応答または埋め込みオブジェ
クト サイクルでブロックされない限り、ユーザーは、URL の送信によってリクエストされた Web オブジェクトへ
のアクセスを許可されます。
URL カテゴリー ブラックリストにカテゴリーがある URL をブロックする
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
このルールは URL.Categories プロパティを使用し、特定の URL が属するカテゴリーのどれかが指定したブロ
ック リストに存在するかどうかを確認します。これらのカテゴリーに関する情報を取得するために呼び出される
URL フィルター モジュールが、プロパティで指定されるとおり、デフォルト設定で実行されます。
URL のカテゴリーのいずれかがリストに存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リ
クエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
McAfee Web Gateway 7.6.2
Product Guide
359
12
Web フィルタリング
URL フィルタリング
悪い評価を持つ URL をブロックする
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<default>
このルールは URL.IsHighRisk プロパティを使用し、URL が、アクセスを許可するとリスクが高くなるという評
価を持つかどうかを調べます。このプロパティの値が True である場合、すべてのルール プロセスが停止し、URL
へのアクセス リクエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
レピュテーション スコアは URL フィルターー モジュールによって取得されます。このモジュールはプロパティ
の後で指定する設定で実行されます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
Dynamic Content Classifier を使用する URL フィルタリング
URL は Dynamic Content Classifier によりフィルタリングするためにカテゴリ化できます。
DCC(Dynamic Content Classifier)が、ローカル データベースと Global Threat Intelligence サービスに加え
て、URL に関するカテゴリ情報の別のソースとして提供されます。
ほかの 2 つのソースを含む URL カテゴリ情報を参照した時に結果が示されなかった場合に、この Dynamic
Content Classifier の使用を設定できます。
Dynamic Content Classifier の使用を構成する
その他の検出メソッドで何も見つからない場合に、URL カテゴリを検出するために Dynamic Content Classifier
の使用を構成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリングのためのルールにルール セットを選択します。
デフォルト ルール セット システムで、これは、たとえば[URL フィルタリング]ルールセットです。
設定パネルにルールが表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
Dynamic content Classifier の使用を構成する URL カテゴリを扱うためのルールを選択します。
URL フィルタリング ルール セットで、これはたとえば、[カテゴリ ブロックリストに存在するカテゴリを持つ
URL をブロックする]ルールです。
5
ルール条件の URL フィルター モジュールの設定をクリックします。
サンプル ルールで、これらは、条件[URL.Categories <Default> at least one in list Category BlockList]の
[Default]設定です。
[設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。
6
360
[評価設定]で、[Enable the Dynamic Content Classifier if GTI web categorization yields no results(GTI
Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする)]が選択さ
れていることを確認します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
7 [オプション]Dynamic Content Classifier が検出する URL カテゴリのリストを編集します。
a
リスト[Categories that will be dynamically detected(動的に検出されるカテゴリ)]の上で、[編集]アイ
コンをクリックします。
[編集]ウィンドウが表示されます。
b
[DCC カテゴリ]の下で、[サポートされるカテゴリ]フォルダーを展開します。
c
必要に応じて、URL カテゴリを選択および選択解除します。
d
[OK]をクリックします。
[編集]ウィンドウが閉じると、選択したカテゴリがリストに表示されます。
[削除]記号をクリックしてリストから URL カテゴリを削除し、開いたウィンドウを確認します。
8
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
9
[変更を保存]をクリックします。
Dynamic Content Classifier には、Web アクセスのリクエストで送信される URL が構成された URL カテゴリの
1 つに分類されるかどうかを検出することが含まるようになりました。
固有の URL フィルター データベースの使用
URL フィルタリングは、固有のデータベースから取得される情報を使用して実行されます。
Web Gateway アプライアンスの URL フィルタリングは、URL が該当するカテゴリとそれらに割り当てる Web レ
ピュテーション スコアに関する情報を使用します。この情報は URL フィルタリングのモジュールの設定が構成さ
れる方法に応じて、ローカルの URL フィルター データベース、Global Threat Intelligence システム、または
Dynamic Content Classifier から取得されます。
ローカル データベースの情報は、Global Threat Intelligence システムにより特定の URL に対してカテゴリと
Web レピュテーション スコアが判別された後で、それらを保管した結果です。ローカル データベースの参照で結果
がえられない場合、2 つの情報ソースは追加で使用できます。
ローカル データベースの代わりに、URL カテゴリと Web レピュテーション スコアの情報を含む固有のデータベー
スを使用できます。ローカル データベースを置換するには、集中管理設定を構成するときに自分のデータベースが常
駐するサーバーの URL を指定する必要があります。
URL フィルタリング情報を取得するために最初に検索されるソースとして自分のデータベースを使用できますが、ほ
かの 2 つのソースを無効にして、データベースに保管された情報を使用するフィルタリング プロセスを制限できま
す。
固有の URL フィルター データベースの使用を構成する
固有のデータベースから URL フィルタリング情報を取得するためには、集中構成設定の一部として、このデータベ
ースの使用を構成します。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、データベース情報を使用するアプライアンスを選択して、[集中管理]をクリックしま
す。
3
[詳細な更新設定]まで下にスクロールします。
McAfee Web Gateway 7.6.2
Product Guide
361
12
Web フィルタリング
URL フィルタリング
4
[アップデート サーバーの特別なカスタマー パラメーターを入力する]フィールドで、データベースが常駐するサ
ーバーの URL を入力します。
5
[変更を保存]をクリックします。
アプライアンスの URL をフィルタリングするためにデータベースが使用されるときには、ローカル データベースか
らではなく、自分のデータベースから取得されます。
フィルタリング プロセスを自分のデータベースに保管された情報に制限するために、URL フィルタリング情報のほ
かのソースを追加で無効にすることができます。
URL フィルタリングをデータベース情報に制限する
URL フィルタリングのデータベース情報のみを使用するには、Global Threat Intelligence システムと Dynamic
Content Classifier の使用を無効にします。
自分の URL フィルター データベースの使用を構成する場合、フィルタリング情報がこのデータベースからのみ取得
されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[エンジン] 、 [URL フィルター]の下で、情報ソースを無効にする URL フィルター設定を選択します。
3
[評価設定]の下で、次の 2 つのチェックボックスの選択を順に解除します。
4
•
[GTI Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする]
•
[ローカルの評価に結果がない場合、オンラインの GTI Web レピュテーションとカテゴライゼーション サー
ビスを使用する]
[変更を保存]をクリックします。
IFP プロキシを使用した URL フィルタリング
IFP プロトコルの下で送信される Web アクセスに対するリクエストで、URL フィルタリングを実行できます。
このようなリクエストで URL フィルタリングを実行するには、以下の手順が必要です。
•
IFP プロキシをセットアップします。
•
適したフィルタリング ルールを実装します。
IFP リクエストのフィルタリング アクティビティは、ユーザー インターフェースのダッシュボードで表示されます。
接続追跡はこれらのアクティビティにも実施できます。
IFP プロキシをセットアップする
IFP プロトコルの下でユーザーがクライアント システムから送信する Web アクセスのリクエストを処理およびフ
ィルタリングするには、アプライアンスのプロキシ機能を適切に構成する必要があります。IFP プロキシは、これら
のリクエストをインターセプトして URL フィルタリングで使用できるようにセットアップする必要があります。
362
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
12
プロキシをセットアップするには、[構成] 、 [プロキシ]で、ユーザー インターフェースの設定数を指定する必要が
あります。これらの設定には、以下が含まれます。
•
プロキシの有効化または無効化
•
プロキシ ポートのリスト、各プロキシの指定:
•
•
IP アドレスおよびポート番号
•
メッセージ モード(ブロック メッセージが IFP プロトコルの下で、リダイレクトとして送信されるか、通常
のメッセージとして送信されるかを示します)
同時の IFP リクエストの最大数
この設定を使用すると、IFP プロキシの過負荷を回避できます。
IFP リクエストのフィルタリングのルール
IFP リクエストのフィルタリング プロセスを制御するためのデフォルトまたはライブラリのルール セットはありま
せん。ただし、独自のルール セットを作成することはできます。また、既存のルール セットで IFP プロキシ機能を
使用できるようにすることも可能です。
IFP リクエストのルール セットを作成する場合、IFP プロトコルの使用をルール セット条件として指定し、このプ
ロトコルの下で送信されるリクエストにルール セットが確実に適用されるようにする必要があります。これは、
Connection.Protocol プロパティを条件に含めて、IFP プロトコルを演算子として構成することによって、実現
します。
IFP プロトコルはリクエストのみを取り扱うので、ルール セットを適用する必要のあるアクティビティとして、フィ
ルタリング応答および埋め込みオブジェクトを除外できます。
ルール セットのルールは、デフォルトの URL フィルタリングのルール セットのルールと同じである可能性がありま
す。
IFP プロトコルの下で送信されるリクエストのみで URL フィルタリングを実行する場合は、デフォルトの URL フィ
ルタリング ルール セットを削除して、ここで説明されている方法で作成した IFP フィルタリング ルール セットのみ
を使用することをお勧めします。
既存のルール セットで IFP プロキシ機能を使用することも 1 つの選択肢として可能です。たとえば、さまざまな他
のプロトコルの下で送信されるリクエスト用に実装された認証があり、IFP リクエスト用の認証を追加する場合など
です。
認証サーバー(時間/IP ベース セッション)のライブラリ ルール セットには、リクエストの送信先のクライアント
に対してすでに認証済みのセッションがあるかどうかをチェックするルールを持つ埋め込みルール セットが含まれ
ています。それ以外の場合、ルールはリクエストを認証サーバーにリダイレクトします。
埋め込みルール セットは HTTP や HTTPS などのプロトコルに対応しています。Connection.Protocol プロパ
ティを使用すると、条件を拡張し、IFP プロトコルを含めることができます。
IFP フィルタリングのリダイレクト
URL のフィルタリングのために IFP プロキシを使用する場合、次の制限に注意する必要っがあります。
McAfee Web Gateway 7.6.2
Product Guide
363
12
Web フィルタリング
URL フィルタリング
•
SafeSearch Enforcer の制限使用
IFP フィルタリングを実行すると、SafeSearch Enforcer は、Google を使用して実行される検索リクエストの
フィルタリングのみで動作します。
これは、他の検索プロバイダーはすべてクッキーを使用していますが、Google のみは検索条件を送信するために
URL を使用しているからです。ただし、アプライアンスの IFP プロキシによってクッキーは処理できません。
•
一部の機能に必要な IFP プロキシ
以下を実行する場合には、IFP プロキシだけでなく、HTTP プロキシをセットアップする必要があります。
•
フィルタリング ルールのためにブロックされた IFP リクエストをブロッキング ページにリダイレクトして、
リクエストを送信したユーザーのクライアントにブロック メッセージを表示する。
•
内部認証サーバーで検証された証明書を持つことにより、アプライアンスのユーザーを認証する。
•
時間のクォータ ライブラリ ルール セットを実装して、ユーザーの Web 利用を制限する。
ダッシュボード上の IFP フィルタリング アクティビティ
ユーザー インターフェースのダッシュボードは、いくつかの IFP フィルタリング アクティビティに関する情報を提
供します。
•
処理される IFP リクエストの数
この情報は、[Web トラフィック サマリー] 、 [プロトコル別の要求]の下に表示されます。
•
最も頻繁にリクエストされるアクセス先のドメイン(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別のトップレベル ドメイン]の下に表示されます。
•
最も頻繁にリクエストの宛先となる Web サイト(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別の宛先]の下に表示されます。
IFP フィルタリング アクティビティの追跡接続
IFP リクエストのフィルタリングでは、追跡接続を実行できます。
接続追跡を有効にすると、接続追跡ファイルが作成され、格納されます。[トラブルシューティング]のトップレベル
メニューの下にあるユーザー インターフェースからアクセスできます。
IFP プロキシ設定を構成する
IFP プロキシ設定を構成し、このプロトコルで送信された Web アクセスに対するリクエストの処理を有効にするプ
ロキシを設定できます。
タスク
364
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、IFP プロキシ設定を構成するアプライアンスを展開し、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
設定パネルで、[IFP プロキシ]セクションまで下にスクロールします。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
URL フィルタリング
4
必要に応じてこのセクションの設定を構成します。
5
[変更を保存]をクリックします。
12
IFP プロキシ設定
IFP プロキシ設定は、IFP プロトコルで送信された Web アクセスのリクエストをインターセプトして、URL フィル
タリングで使用できるようにするプロキシを構成するために使用されます。
IFP プロキシ
IFP プロキシを構成するための設定
表 12-21 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロキシがアプライアンス上で有効になります。
[IFP ポート定義リスト]
IFP リクエストをリスンするポートのリストを作成できます。
[同時に許可される IFP リクエストの最大数]
同時に処理される IFP リクエストの数を指定値に制限します。
この設定を使用すると、IFP プロキシの過負荷を回避できます。
次の表では、IFP ポート定義リストのエントリについて説明しています。
表 12-22 IFP ポート定義
オプション
定義
[リスナー アドレス]
IFP リクエストをリスンするポートの IP アドレスおよびポート番号を指定します。
[リダイレクトとしてエ
true に設定する場合、リクエストを送信したユーザは、たとえば、リクエストがブロッ
ラー メッセージを送信す クされたことなどを、エラー メッセージ ページにリクエストをリダイレクトすること
る]
によって通知されます。
そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されま
す。
[コメント]
IFP リクエストにリスンするポートの平文コメントを提供します。
IFP リクエストをフィルタリングするルール セットを作成する
IFP プロトコルで送信された Web アクセスのリクエストをフィルタリングするルールを使用して、ルール セットを
作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[名前]フィールドで、Filter IFP Requests などのルール セットに適した名前を入力します。
3
[適用先]で、[応答]および[埋め込みオブジェクト]を選択解除します。
4
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。
5
ルール セット条件を設定します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
[条件の追加]ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
365
12
Web フィルタリング
URL フィルタリング
b
プロパティ リストから、[Connection.Protocol]を選択します。
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
e
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
6
[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
ルール セットが作成された場合、URL フィルタリング ルールを挿入する必要があります。たとえば、デフォルトの
URL フィルタリング ルール セットからルールをコピーし、必要に応じてルールを微調整することができます。
認証ルール セットを修正して IFP プロトコルを含める
認証ルール セットの条件に IFP プロトコルを含めると、そのプロトコルで送信されるリクエストの認証を有効にす
ることができます。
タスク
1
ライブラリから認証ルール セットをインポートします。
a
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[最上位レベル ルール セット]を選択しま
す。
[最上位レベル ルール セットの追加]ウィンドウが開きます。
b
[ライブラリ ルール セットからのルール セットのインポート]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが開きます。
c
[ルール セット ライブラリ]リストから、[認証(時間/IP ベース セッション)]ルール セットを選択します。
d
[競合のインポート]領域で、リストに表示されている競合を選択し、[競合の解決]で競合解決方法を選択しま
す。
e
[OK]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが閉じ、ルール セットがルール セット ツリーに表示されま
す。
2
ルール セットを展開し、埋め込まれた[有効な認証セッションのチェック]ルール セットを選択します。
埋め込まれたルール セットの条件およびルールは設定ペインに表示されます。
366
3
[編集]をクリックします。[ルール セットの編集]ウィンドウが開きます。
4
ルール セット条件を修正します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
b
プロパティ リストから、[Connection.Protocol]を選択します。
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
メディア タイプ フィルタリング
e
12
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
f
5
[条件の組み合わせ]で、文字 e の後の閉じ括弧を削除し、d の後に挿入します。
[OK]をクリックします。
[ルール セットの編集]ウィンドウが閉じます。
6
[変更を保存]をクリックします。
メディア タイプ フィルタリング
メディア タイプ フィルタリングを使用すると、特定のメディア タイプに対するアクセスを禁止することができま
す。たとえば、組織の Web セキュリティ ポリシーで画像、オーディオ、ストリーミング メディアが許可されてい
ない場合、これらのメディアに対するアクセスをブロックできます。
このようにして、ユーザーが多くのリソースを消費しないようにできます。
メディア フィルタリング プロセスには複数のプロセスが存在します。これらの要素は様々な方法で実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールでブロック リストを使用し、特定のメディア タイプへのアクセスをブロックできます。
初期セットアップ後、Web Gateway にはメディア タイプ フィルタリングのデフォルト プロセスが実装されていま
す。このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
メディア タイプ フィルタリングを設定する場合、次の操作を行うことができます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトのメディア タイプ フィルタリング ルール
セットをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を
行うことができます。
•
完全なルール - キー要素ビューで [ビューのロックを解除] をクリックし、ルール セット ツリーで
メディア タイプ フィルタリング ルール セットを展開すると、ネストされている「メディア タイプの
アップロード」と「メディア タイプのダウンロード」のルール セットを表示できます。
いずれかをクリックすると、完了したフィルタリング プロセスのデフォルト ルールを確認できます。
また、キー要素など、すべての要素を設定できるだけなく、新しいルールの作成やルールの削除も実
行できます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
メディア タイプ フィルタリング プロセスを制御するルールは、通常、1 つのメディア タイプ フィルタリング ルー
ル セットに含まれています。Web にアップロードしたり、Web からダウンロードするメディア タイプのフィルタ
リング ルールには 2 つのルール セットをネストできます。
デフォルトのプロセスを実装すると、2 つのルール セットがネストされたメディア タイプ フィルタリング ルール
セットが追加されます。ネスト側のルール セットの名前は、「メディア タイプ フィルタリング」で、ネストされる
ルールセットは「メディア タイプのアップロード」と「メディア タイプのダウンロード」です。
McAfee Web Gateway 7.6.2
Product Guide
367
12
Web フィルタリング
メディア タイプ フィルタリング
メディア タイプ フィルタリング ルールでは、メディア タイプのリストを使用できます。また、
MediaType.IsAudio や MediaType.IsVideo プロパティなど、適切なプロパティを使用する必要があります。
ブロック リスト
ブロック リストは、特定のメディア タイプへのアクセスをブロックするルールで使用されます。ネットワーク内か
ら Web へのメディアのアップロードを禁止するブロック リストもあります。また、Web からネットワークへのメ
ディアのダウンロードを禁止するブロック リストもあります。
メディア タイプ フィルタリングでキー要素を設定する
メディア タイプ フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタ
リング プロセスを適用します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[メディア タイプ フィルタリング] ルール セットを選択します。
フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
メディア タイプ フィルタリングのキー要素
メディア タイプ フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。
アップロードでメディア タイプをブロック
Web にアップロードされるメディアをフィルタリングするキー要素
表 12-23 アップロードでメディア タイプをブロック
オプション
定義
[ブロックするメディア タイプ] [編集] をクリックすると、ウィンドウが開き、ルールが使用するアップロード メ
ディア タイプのブロック リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
ダウンロードでメディア タイプをブロック
Web からダウンロードされるメディアをフィルタリングするキー要素
表 12-24 ダウンロードでメディア タイプをブロック
オプション
定義
[ブロックするメディア タイプ]
[編集] をクリックすると、ウィンドウが開き、ルールが使用するダウンロード
メディア タイプのブロック リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
368
[検出不能なメディア タイプをブ
ロック]
選択すると、検出不能なタイプのメディアがブロックされます。
[非対応のメディア タイプをブロ
ック]
選択すると、Web Gateway で処理できないタイプのメディアがブロックされ
ます。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
メディア タイプ フィルタリング
12
表 12-24 ダウンロードでメディア タイプをブロック (続き)
オプション
定義
[マルチメディアをブロック]
選択すると、マルチメディア タイプのメディアがブロックされます。
[ストリーミング メディアをブロ
ック]
選択すると、ストリーミング タイプのメディアがブロックされます。
完全なルール ビューでメディア タイプ フィルタリングを設定する
ネットワークの要件に合わせてメディア タイプ フィルタリングを設定し、このプロセスに適用できます。
URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。
タスク
1
ルール セットで、URL フィルタリングのルールを確認します。
デフォルトでは、URL Filtering ルール セットになります。
2
必要に応じて、これらのルールを設定します。
たとえば、次の変更を行います。
•
ブロックルールやホワイトリスト ルールを有効または無効にします。
•
これらのルールで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。
•
3
URL フィルター モジュールの設定を変更します。
変更を保存します。
メディア タイプ フィルタリングのプロパティ
デフォルト ルール セットのメディア タイプ フィルタリング ルールの多くは、条件に
MediaType.EnsuredTypes プロパティを使用しています。その他のプロパティを使用すると、メディア タイプ
フィルタリングが別の方法で実行されるようにします。
たとえば、 MediaType.NotEnsuredTypes プロパティがあります。ブロック ルールの条件でこのプロパティを
使用する場合、ルールは、実際にこのタイプである可能性が 50% 未満であっても、メディア タイプがブロック リ
ストに存在するメディアをブロックします。
メディア タイプがすべての状況で確実にブロックしたい場合これを行うことができます。
次の表に、メディア タイプ フィルタリングのルールにあるルールのプロパティを示します。
表 12-25 メディア タイプ フィルタリング プロパティ
プロパティ
説明
MediaType.EnsuredTypes
50% 以上の可能性で確認されるメディア タイプを持つメディアのプロパ
ティ
アプライアンスの内部リストからのメディア タイプ シグネチャがメディア
のオブジェクト コードに存在する場合、このレベルの可能性が想定されま
す。
MediaType.NotEnsuredTypes
McAfee Web Gateway 7.6.2
実際にメディアの各タイプである可能性が 50% 未満であるメディアのプ
ロパティ
Product Guide
369
12
Web フィルタリング
メディア タイプ フィルタリング
表 12-25 メディア タイプ フィルタリング プロパティ (続き)
プロパティ
説明
MediaType.FromFileExtension メディア タイプがメディア タイプ ファイル名の拡張子に基づいて推測さ
れるメディアのプロパティ
拡張子およびそれに関連するメディア タイプは、アプライアンスの内部カタ
ログで検索されます。ただし、複数のメディア タイプによって使用される拡
張子があります。
MediaType.FromHeader
メディアと共に送信されるヘッダーのコンテンツ タイプ フィールドによっ
て推測されるタイプのメディアのプロパティ
ヘッダーは標準形式で読み込み、評価します。元の形式でヘッダーをフィル
タリングするには、Header.Get プロパティを使用できます。
MediaType.IsSupported
アプライアンスのオープナー モジュールによって展開できる埋め込みメデ
ィアまたはアーカイブ メディアのプロパティ
List.OfMediaType.IsEmpty
内部リストにないタイプを持つメディアのプロパティ
メディア タイプ フィルタリング ルールの変更
ルールの条件のプロパティを変更することで、メディア タイプ フィルタリング ルールを別の種類のメディア タイプ
をフィルターするように変更できます。変更したルールで使用できるよう新しいフィルター リストを作成すること
も必要です。
タスク
•
370 ページの「変更したルールにフィルター リストを作成」
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成で
きます。
•
371 ページの「メディア タイプ フィルタリングのルールでプロパティを置換する」
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディ
ア タイプ フィルタリング ルールの条件のプロパティを置換できます。
変更したルールにフィルター リストを作成
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの[リストのカスタマイズ] ブランチで、[メディア タイプ]を選択し、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
[名前]フィールドに新しいリストの名前(Not Ensured Download Media Type Blocklist など)を入力し
ます。
4 [オプション][コメント] フィールドで、新しいリストの平文コメントを入力します。
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストが[メディア タイプ]の下のリスト ツリーに表示されます。
新しいリストのエントリを記入して、メディア フィルタリング ルールにブロックするものと許可するものを設定で
きます。
370
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
メディア タイプ フィルタリング
12
メディア タイプ フィルタリングのルールでプロパティを置換する
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディア タイプ フ
ィルタリング ルールの条件のプロパティを置換できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2 [ルール セット]ツリーで、メディア タイプ フィルタリングのルール セット(たとえば、[メディア タイプ フ
ィルタリング] ルール セットでネストされた[ダウンロード メディア タイプ]など)を選択します。
3
ルール([ダウンロード メディア タイプのブラックリストからタイプをブロック]など)を選択し、[編集]をクリ
ックします。
[ルールの編集]ウィンドウが選択した[名前]ステップとともに開きます。
4
[ルールの条件]をクリックし、[条件]下でルールを選択します。そこで[編集]をクリックします。
[条件の編集]ウィンドウが開きます。
5
6
以下のとおり、ルール条件を構成します。
a
左の列のプロパティのリストから、たとえば、MediaType.EnsuredTypes の代わりに
[MediaType.NotEnsuredTypes ]などの新しいプロパティを選択します。
b
右側の列のオペランドのリストから、[確認されていないダウンロード メディア タイプのブラックリスト]を
選択します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
7
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、変更したルールが選択したネスト済みのルール セット内に表示されます。
8
[変更の保存]をクリックします。
メディア タイプ フィルタリングのルール セット
メディア タイプ フィルタリング ルール セットは、メディア タイプ フィルタリングのデフォルト ルール セットで
す。
ライブラリ ルール セット — メディア タイプ フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
• アップロード メディア タイプ
このルール セットは、デフォルトでは有効になっていません。
• ダウンロード メディア タイプ
アップロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのアップロードをブロックします。こ
れは、ユーザーが Web にメディアのアップロードをリクエストした際にリクエスト サイクルで、また、オブジェ
クトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
McAfee Web Gateway 7.6.2
Product Guide
371
12
Web フィルタリング
アプリケーション フィルタリング
ネストされたライブラリ ルール セット — メディア タイプ アップロード
条件 — Always
サイクル — Requests (and IM) and embedded objects
ルール セットは、以下のルールを含みます。
アップロード メディア タイプ ブラックリストからタイプをブロック
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベント
パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュール
の設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
ダウンロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのダウンロードをブロックします。こ
れは、Web サーバーがユーザーのダウンロード リクエストに応答してメディアを送信する際に応答サイクルで、
また、オブジェクトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — ダウンロード メディア タイプ
条件 — Always
サイクル — Responses and embedded objects
ルール セットには、以下のルールが含まれます。
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベント
パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュール
の設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
アプリケーション フィルタリング
アプリケーション フィルタリングは、ネットワークを使用して不審なアプリケーションにアクセスできないことを保
証します。たとえば、Facebook、Xing、その他などが該当する可能性があります。フィルタリング プロセスのアプ
372
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
アプリケーション フィルタリング
12
リケーション名とレピュテーション スコアを確認し、それにしたがってアクセスをブロックします。フィルタリング
はアプリケーションの各機能にも適用できます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
アプリケーションをブロックするルールで使用するアプリケーション リスト
•
間隔に更新するアプリケーション システム リスト
フィルタリング プロセスの状態および統計の更新は、ダッシュボードに表示されます。
アプリケーション フィルタリングのルール
アプリケーション フィルタリングをコントロールするルールは、通常 1 つのルール セットに含まれます。これら
は、次の 2 つの方法を使用して、アプリケーションおよびアプリケーションの各機能へのアクセスをブロックしま
す。
•
リストにあるアプリケーションおよび各機能をブロックする
•
特定のリスクの重大度に割り当てられたアプリケーションをブロックする
リストに従ってアプリケーションおよび各機能をブロックするには、Application.Name プロパティが使用されま
す。
このプロパティの値は、アプリケーションおよび各機能にアクセスするユーザーによって送信された、リクエストに
表示されるアプリケーションおよび各機能の名前です。この名前がブラックリストにある場合、アクセスがブロック
されます。例として、以下のルールが該当します。
名前
リストに従ってアプリケーションをブロックする
条件
Application.Name is in list Unwanted Applications
アクション
–> Block<Application Blocked>
リスクの重大度にしたがってアプリケーションをブロックするには、Application.IsMediumRisk または
Application.IsHighRisk などが使用され、これには値として true または false があります。
リスク評価は、Global Threat Intelligence システムによって割り当てられた、アプリケーションのレピュテーショ
ン スコアに基づいています。アプリケーションへのアクセスを許容するリスクが高いと考えられる場合、これは悪い
評価になります。
アプリケーションがこのレベルに達する、または超える場合、以下のルールのようにアクセスがブロックされます。
名前
高リスク アプリケーションをブロックする
条件
Application.IsMediumRisk equals true OR
Application.isHighRisk equals true
アクション
–> Block<Application Blocked>
両方の方法はアプリケーション システム リストを使用します。これらのリストにあるアプリケーションおよびアプ
リケーション機能のみ、アプリケーションのフィルタリング ルールに使用されるリストにも表示できます。
アプリケーションおよびアプリケーション機能のリスクの重大度も、アプリケーション システム リストに表示され
ます。
ログ用に、Application.To String および Application.Reputation があります。これは、それぞれレピュテ
ーション スコアのため文字列と数値に変換された、リクエストされたアプリケーション名です。
McAfee Web Gateway 7.6.2
Product Guide
373
12
Web フィルタリング
アプリケーション フィルタリング
ログ ファイル エントリで情報を記録するルールで、これらのプロパティを使用できます。
アプリケーション フィルタリングは、アプライアンスのデフォルトで実行されません。しかし、ライブラリから
Application Control ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
ブロッキング リスト
ブラックリストはルールによって使用され、ユーザーによってリクエストされたアプリケーションへのアクセスをブ
ロックします。ライブラリ ルール セットは、すでにいくつかのアプリケーション名があるリストが含まれています。
ライブラリ ルール セットからアプリケーション名をリストに追加するか、削除するか、独自のリストを作成できま
す。アプリケーション名を追加する場合、アプリケーション システム リストから取得する必要があります。
同じ方法で、アプリケーション機能名を使用してリストを作成および編集できます。
アプリケーション システム リスト
リストに表示されるアプリケーション フィルタリング ルールによって、ブロックできるアプリケーションおよびア
プリケーション機能です。これは、アプライアンス システムおよび間隔で更新されたことで提供されます。
[リスト]タブのリスト ツリーにあるシステム リストのアプリケーション名フォルダーを展開してこれらのリストを
表示できます。このフォルダーには、ファイル共有またはインスタント メッセージングなどの、異なるタイプのアプ
リケーションのたくさんのサブフォルダーが含まれています。
サブフォルダーにはアプリケーションのリストが含まれており、各々について次の情報が提供されます。
•
アプリケーション名(またはアプリケーション機能を持つアプリケーション名)
•
コメント
•
リスク レベル
•
アプリケーションの説明(またはアプリケーション機能)
アプリケーションの機能は、Orkut(Orkut Chat)のように、アプリケーション名の後の括弧内に表示されます。ブ
ロック ルールのリスト内にアプリケーション機能が含まれている場合、この機能はブロックされるだけで、アプリケ
ーションを終了するわけではありません。
以下は、システム リスト内にあるアプリケーションのエントリーの一例です。
MessengerFX | Risk:Minimal:A web-based instant messaging service
次の例は、アプリケーション機能のエントリを示します。
Orkut(Orkut Chat) | Risk:High:Allows users to send instant messages.
ダッシュボードのアプリケーション フィルタリング情報
ダッシュボードは、アプリケーション フィルタリングの以下の情報を提供します。
•
アプリケーション リストの状態を更新する
•
実際はブロックされたアプリケーションおよびアプリケーション機能の統計
アプリケーション フィルタリングの構成
アプリケーション フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
374
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
アプリケーション フィルタリング
12
タスク
1
Application Control ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
アプリケーションを追加または削除して、ルールで使用されたリストを編集します。
•
独自のリストを作成し、既存のリストの代わりで使用するか、既存のリストに追加して使用する
•
Application.IsMediumRisk の Application.IsHighRisk に置き換えるなど、関連プロパティに置き
換えることで、ルールで使用されるレピュテーション レベルを変更します。
独自のブロック ルールを作成することも可能です。
3
変更を保存します。
アプリケーション フィルタリングのリストを作成する
アプリケーション フィルタリング ルールで使用するためのリストを作成し、ブロックする必要のあるアプリケーシ
ョンまたはアプリケーションの各機能のエントリを入力します。
タスク
1
[ポリシー] 、 [リスト]を選択し、[Add]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
2
一般リスト設定を構成します。
a
[名前]フィールドで、Unwanted Applications のようなリストの名前を入力します。
b
[タイプ] リストで、[アプリケーション名]を選択します。
c [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
3
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの [カスタム リスト] 、 [アプリケーション名] の下にあるリ
スト ツリーにリストが表示されます。
4
設定ペインの上のリストを選択し、[編集]アイコンをクリックします。
[編集]ウィンドウは、アプリケーション名を含むフォルダーのコレクションと一緒に開きます。
McAfee Web Gateway 7.6.2
Product Guide
375
12
Web フィルタリング
アプリケーション フィルタリング
5
アプリケーションまたはアプリケーションの各機能のエントリを入力します。
a
ユーザーに名前を付けるアプリケーションまたはアプリケーションの各機能を含むフォルダーを展開し、
[Instant Messaging Web Applications] などをリストを追加します。
b
[MessengerFX] または [Orkut(Orkut Chat)]のように、アプリケーションまたはアプリケーション機能を
設定します。
複数のアプリケーションまたはアプリケーション機能を同時に選択したり、複数のフォルダーから同時にアイ
テムを選択したり、完全なフォルダーを選択したりすることができます。
[OK]をクリックします。
c
[編集]ウィンドウが閉じると、選択したアプリケーションおよびアプリケーション機能はリストに表示されま
す。
また、完全なフォルダーを追加して、含めたくないプリケーションおよびアプリケーション機能のエントリを
後で削除することもできます。
6
[変更を保存]をクリックします。
アプリケーション フィルタリング ルールの条件で作成したリストを使用できます。たとえば、アクセスするアプリ
ケーションまたはアプリケーション機能の名前がリストに表示されるように要求される場合に条件を満たします。
アプリケーション フィルタリング ルールのリスク レベルを修正する
高から中など、Web セキュリティに示すリスクに従って、アプリケーションをフィルタリングするルール内のリス
ク レベルを修正できます。これにより、アプリケーションが中程度のリスクであっても、ブロック アクションをト
リガーできるため、Web セキュリティが向上します。
開始する前に
次の手順は、ライブラリからアプリケーション コントロール ルール セットをインポートしていること
を前提としています。
タスク
1
[ポリシー ] 、 [ルール セット ]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[アプリケーション コントロール]ルール セットを展開し、[リクエスト サイクルのアプリケーションをブロック
する]ルール セットを展開します。
一般的な設定とネストされているルール セットのルールは、設定パネルで表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
[危険度高で Web アプリケーションをブロックする]ルールを選択し、[編集]をクリックします。
[ルールの編集]ウィンドウが開きます。
5
[Steps]で、[Rule Criteria]を選択し、[Criteria]セクションで、複雑な条件(いずれかは
[Application.IsHighRisk] プロパティを使用します)の上部分を選択して、[編集]をクリックします。
[条件の編集]ウィンドウ、およびプロパティ リストで選択した [Application.IsHighRisk] プロパティが開かれ
ます。
6
376
プロパティ リストから、[Application.IsMediumRisk] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
アプリケーション フィルタリング
7
12
[OK]をクリックします。
[条件の編集]ウィンドウが閉じると、修正された条件が[条件]セクションに条件が表示されます。
8
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、設定ペインには修正された条件と一緒にルールが表示されます。
9
[変更を保存]をクリックします。
アプリケーション コントロール ルール セット
アプリケーション コントロール ルール セットは、アプリケーション フィルタリングのライブラリ ルール セットで
す。
ライブラリ ルール セット – アプリケーション コントロール
条件 — Always
サイクル - 要求 (および IM)、応答
以下のルール セットは、このルール セット内にネストされています。
•
要求サイクルのアプリケーションをブロックする
•
応答サイクルのアプリケーションをブロックする
要求サイクルのアプリケーションをブロックする
このネストされたルール セットは、要求サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット - 要求サイクルのアプリケーションをブロックする
条件 — Always
サイクル - 要求 (および IM)
ルール セットは、以下のルールを含みます。
インスタント メッセージング アプリケーションをブロックする
Application.Name is in list Instant Messaging –> Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
McAfee Web Gateway 7.6.2
Product Guide
377
12
Web フィルタリング
ストリーミング メディア フィルタリング
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションの要求がブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
応答サイクルのアプリケーションをブロックする
このネストされたルール セットは、応答サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – 応答サイクルでアプリケーションをブロックする
条件 — Always
サイクル – 応答
ルール セットは、以下のルールを含みます。
応答サイクルで検索するアプリケーション
Application.Name is in list of Applications to Search for in Response Cycle –>
Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションの要求がブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
ストリーミング メディア フィルタリング
Web Gateway が Web オブジェクを受信したときに、ストリーミング メディア フィルタリングがこのタイプのオ
ブジェクトを検出し、設定済みのルールに従ってオブジェクトを処理します。
Web Gateway でウイルスとマルウェアのフィルタリングが実装されていると、受信した Web オブジェクトがスキ
ャンされ、感染の有無が確認されます。総合的なスキャン結果を得るには、完全な Web オブジェクトをスキャンす
る必要があります。
378
McAfee Web Gateway 7.6.2
Product Guide
12
Web フィルタリング
ストリーミング メディア フィルタリング
ただし、ストリーミング メディアの場合、完全な状態でスキャンすることはできません。ストリーミング メディア
以外を扱う通常のスキャンでは正確な結果を得ることはできません。
ストリーミング メディアを処理すると、スキャン プロセスが完了しないため、処理の遅延が延々と続くことになり
ます。
Web オブジェクトがストリーミング メディアであることが判明した場合にオブジェクトをブロックすると、スキャ
ンが完了していない Web オブジェクトに対するアクセスを禁止できます。
あるいは、ストリーミング メディアをウイルス/マルウェア スキャンの対象外にし、スキャンが完了していないメデ
ィアに対するアクセスをユーザーに許可することもできます。
Web Gateway では、フィルタリング プロセスで次の要素を使用します。
•
プロセスを制御するフィルタリング ルール
•
Web オブジェクトがストリーミング メディアである可能性を計算するモジュール
Web オブジェクトがストリーミング メディアである可能性が設定値に達するか、設定値を超えた場合、このモジ
ュールが該当するプロパティの値を true に設定します。
ストリーミング メディア フィルタリングは、フィルタリング プロセスの応答サイクルに適用され、ユーザーの要求
に応答して Web サーバーが送信したストリーミング メディアを処理します。
ストリーミング メディア検出のルール
ストリーミング メディアの可能性が特定の値に一致する Web オブジェクトをブロックまたは許可するには、
StreamDetector.IsMediaStream プロパティを使用するルールを設定します。
このプロパティの値が true になると、Web オブジェクトに対するアクセスが次のルールによってブロックされま
す。
名前
ストリーミング メディアへのアクセスをブロックする
条件
StreamDetector.IsMediaStream<Streaming Detection> equals
true
アクション
–> Block<Streaming Media
Blocked>
次のルールによって許可されます。
名前
ストリーミング メディアに対するアクセスを許可する
条件
StreamDetector.IsMediaStream<Streaming Detection> equals true
アクション
–> Continue
StreamDetector.IsMediaStream プロパティの値はストリーム ディテクター モジュールにより指定されま
す。
Web Gateway のデフォルトでは、ストリーミング メディア フィルタリングは実行されません。使用する場合には、
前述のようなルールを作成する必要があります。
このルールをそれ自身のルール セットで使用せずに、メディア タイプ フィルタリング ルール セットなど、別の適
切なルール セットに挿入することをお勧めします。
McAfee Web Gateway 7.6.2
Product Guide
379
12
Web フィルタリング
ストリーミング メディア フィルタリング
デフォルトの「ゲートウェイ マルウェア対策」ルール セットには、ウイルスとマルウェアのフィルタリングからス
トリーミング メディアを除外するルールが含まれています。このルール セットでは、マルウェア対策スキャン モジ
ュールで Web オブジェクトをスキャンするルールの前に、スキップ ルールが配置されています。
ストリーミング メディア フィルタリングの他のプロパティ
StreamDetector.IsMediaStream プロパティが true に設定されると、関連する値が他の 2 つのプロパティも
設定されます。StreamDetector.Probability プロパティには、Web オブジェクトに対して実際に計算された可
能性 (パーセント) が設定されます。たとえば、60、70 などの値が設定されます。
StreamDetector.IMatchedRule プロパティの値は一致するルールの名前です。
これらの追加プロパティは、ログ ファイル エントリーの情報を記録するルールで使用できます。
ストリーミング メディア検出のモジュール
Web オブジェクトがストリーミング メディアである可能性は、ストリーム ディテクター モジュール (フィルター、
エンジンともいいます) が計算します。このモジュールは、URL カテゴリ、content-type ヘッダー、送信元 IP ア
ドレスなどの項目を使用して可能性を計算します。計算の結果はパーセントで表されます。
このように検出できるストリーミング メディアの種類には、次のものがあります。
•
Flash ベースのビデオ
•
RealMedia
•
IC9 ストリーム
•
MP3 ストリーム
•
MS-WMSP
このモジュールの設定を行い、Streaming Media Detection などの名前を付けることができます。また、Web
オブジェクトがストリーミング メディアとして見なされる最小の可能性も設定します。
ストリーミング メディア フィルタリングの構成
ストリーミング メディア フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
ストリーミング メディアが構成されたレベルに届くまたは超える可能性がある場合、Web オブジェクトをブロッ
クするストリーミング メディア フィルタリング ルールを作成します。
2
たとえば、メディア タイプ ルール セットで、適合するルール セットにこのルールを挿入します。
可能性のレベルを上げるまたは下げることで、ルールを後で変更できます。これは、ストリーム検出モジュール
の設定を構成することで完了します。
3
変更を保存します。
ストリーミング メディア検出モジュールを設定する
ネットワーク要件に応じて、Web オブジェクトのストリーミング メディアの可能性を計算するモジュールを設定す
ることができます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[ストリーム ディテクター] を選択して [追加] をクリックします。
[設定の追加] ウィンドウが開きます。
380
McAfee Web Gateway 7.6.2
Product Guide
12
Web フィルタリング
ストリーミング メディア フィルタリング
3
[名前] フィールドに設定名を入力します。
4
(オプション) [コメント] 入力フィールドに、設定のコメントを入力します。
5
(オプション) [権限] タブをクリックして、設定へのアクセスを許可するユーザーを設定します。
6
必要に応じて、[ストリーム ディテクター] でモジュールの設定を行います。
7
[変更を保存] をクリックします。
ベスト プラクティス - ストリーム ディテクターの設定
ストリーム ディテクターを設定すると、ストリーム メディアの処理方法を設定できます。ストリーム ディテクター
がストリーム メディアの Web オブジェクトを検出したときに、特別なスキャンを実行するようにしてください。
通常、Web Gateway でウイルスとマルウェアのフィルタリングを行うには、Web オブジェクトが完全にダウンロ
ードされ、マルウェア対策モジュール (エンジンまたはフィルターともいいます) がスキャンする必要があります。
ストリーミング メディアの場合、メディアのダウンロードが完了するのを待ってスキャンを行うことはできません。
通常のスキャン方法では、処理の遅延が延々と続くことになります。
ストリーミング メディアの場合には、特別な処理が必要になります。このため、Web Gateway には次の 2 つのコ
ンポーネントが用意されています。
•
ストリーム ディテクター - Web オブジェクトがストリーミング メディアかどうかを判断します。
•
メディア ストリーム スキャナー - ストリーミング メディアをチャンク単位でスキャンします。
通常の方法と比べても、メディア ストリーム スキャナーは負荷のかからない方法でスキャンを実行します。
メディア ストリーム スキャナーの処理状況に合わせて、ダウンロード要求を送信したクライアントにストリーミン
グ メディアがチャンク単位で配信されます。チャンク内で感染が検出されると、ダウンロードが停止します。感染チ
ャンクと残りのストリーミング メディアは配信されません。
ストリーム ディテクターは Web Gateway の独立したモジュールです。メディア ストリーム スキャナーのよう
に、マルウェア対策モジュールの一部ではありません。
該当するルールが両方のコンポーネントを呼び出し、処理を実行します。デフォルトでは、このルールはゲートウェ
イ マルウェア対策ルール セットに含まれています。
ただし、McAfee Web Gateway の古いバージョンでは、このルールが使用できません。次の操作を行ってくださ
い。
•
ルール セット システムを検査します。
•
デフォルトのゲートウェイ マルウェア対策ルール セットあるいはウイルスとマルウェアのフィルタリングに使
用しているルール セットにルールが含まれていない場合には、このいずれかのルール セットにルールを設定しま
す。
このルールは、通常のマルウェア対策スキャンを開始するルールの直前に配置する必要があります。
ストリーミング メディア フィルタリングのルール
ストリーミング メディア フィルタリングのデフォルトのルールは次のようになります。
名前
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ス
トリーム スキャナーを開始する
条件
McAfee Web Gateway 7.6.2
アクショ
ン
イベント
Product Guide
381
12
Web フィルタリング
ストリーミング メディア フィルタリング
Cycle.Name equals "Response" AND
StreamDetector.IsMediaStream<Default Streaming Detection>
equals true
–> ルール セ – メディア ス
ットの停
トリーム ス
止
キャナーを有
効にする
デフォルトの「ゲートウェイ マルウェア対策」ルール セットで、このルールは、通常のマルウェア対策スキャンを
開始するルールの直前にあります。
Web オブジェクトがストリーミング メディアであることをストリーム ディテクターが確認すると、このルール セ
ットの処理を停止してメディア ストリーム スキャナーを開始します。ストリーミング メディアのスキャンを実行
して、通常のスキャンを実行するルールをスキップします。
Cycle.Name プロパティの条件部分により、転送された要求に応答して Web Gateway が Web から Web オブジ
ェクトを受信したときにのみ、このルールが適用されます。
ストリーム ディテクターの設定
ストリーム ディテクター モジュールの設定は、設定ツリーの [ストリーム ディテクター] で行います。デフォルト
の設定名は [デフォルトのストリーミング検出] です。
デフォルトでは、次のオプションだけが設定されています。
[最小の可能性] - ストリーミング メディアの可能性が設定されています。この可能性を満たすと、Web オブジェク
トがストリーミング メディアとして処理されます。
•
可能性はパーセントで表され、1 から 100 までの数字で設定されます。
•
この可能性はストリーム ディテクターが使用します。最小の可能性に達すると、
StreamDetector.IsMediaStream プロパティが true に設定されます。このプロパティは、ストリーミン
グ メディア フィルタリングのデフォルトのルールで使用されています。
•
最小の可能性のデフォルト値は 60 です。この値は変更しないようにしてください。
ストリーム ディテクターの設定
ストリーム ディテクターの設定は、ストリーミング メディアである Web オブジェクトの確率を計算するモジュー
ルを設定するために使用されます。
ストリーミング ディテクター
ストリーミング メディアの確率を計算するモジュールの設定
表 12-26 ストリーミング ディテクター
オプション
定義
[最小の可能性] Web オブジェクトがストリーミング メディアとして処理される可能性がパーセントで表示され
ます。この値は 0 から 100 の数字で設定します。
382
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
グローバル ホワイトリスト登録
12
グローバル ホワイトリスト登録
グローバル ホワイトリストを使用すると、ホワイトリストに登録された Web オブジェクトのフィルタリングをスキ
ップし、オブジェクトに対するアクセスを許可できます。
グローバル ホワイトリストのプロセスでは、機能の異なる複数の要素が実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールは、ホワイトリストを使用して Web オブジェクトのフィルタリングをスキップします。
初期セットアップ後、Web Gateway には グローバル ホワイトリストのデフォルト プロセスが実装されています。
このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
グローバル ホワイトリストを設定する場合、次のものを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの グローバル ホワイトリスト ルール セッ
トをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行う
ことができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、フィルタリング プロセ
スのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルール
の作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
グローバル ホワイトリスト登録を管理するルールは、1 つのルール セットに含まれます。
ホワイトリスト ルールは、このルールセットに配置され実行されます。これらのいずれかが適用されると、以下のル
ール セットがスキップされ、ホワイトリストに登録された オブジェクトに対してさらにフィルタリングは行われま
せん。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが実施されると、グローバル ホワイトリスト登録のルール セットが含まれます。
その名前は、グローバル ホワイトリストです。
ホワイトリスト
特定の Web オブジェクトをさらなるフィルタリングから除外するホワイトリスト登録ルールに使用されるホワイト
リスト URL 、メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、ホワイト
リスト登録ルールに使用させることも可能です。
グローバル ホワイトリストの構成
グローバル ホワイトリストを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
グローバル ホワイトリストのためルール セットのルールを確認します。
デフォルトでは、これはグローバル ホワイトリスト ルール セットです。
McAfee Web Gateway 7.6.2
Product Guide
383
12
Web フィルタリング
グローバル ホワイトリスト登録
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
変更を保存します。
グローバル ホワイトリストのルール セット
グローバル ホワイトリスト ルール セットは、グローバル ホワイトリスト登録のためのデフォルト ルール セットで
す。
デフォルト ルール セット — グローバル ホワイトリスト
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
許可されたクライアントのリストにあるクライアント IP
Client.IP is in list Allowed Clients –> Stop Cycle
ルールは Client.IP プロパティを使用し、リクエストを送信したクライアントの IP アドレスが指定のホワイトリ
ストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。そこでリクエストが適切
な Web サーバーに転送されます。
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
ルールは URL.Host プロパティを使用して、リクエストで送信された URL がアクセスを与えるホストが指定のホ
ワイトリストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。リクエストはそこで、リ
クエストされたホストである Web サーバーに転送されます。
384
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
SSL スキャン
SSL スキャンは SSL セキュア Web トラフィックが処理でき、その他のフィルタリング機能で使用できるようにな
っていることを確認します。
SSL s キャン プロセスでは、機能の異なる複数の要素が実行されます。
•
SSL スキャン ルールがプロセスを制御します。
•
ルールがホワイトリストと他のリストを使用して、Web オブジェクトに対する SSL スキャンをスキップしたり、
プロセス内の他の機能を実行します。
•
ルールによって呼び出された SSL スキャン モジュールが証明書の検証とプロセス内の他の機能を実行します。
SSL スキャンを設定するときに、次のルールを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの SSL Scanner ルール セットをクリッ
クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ
ます。
•
完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル
タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定
し、新しいルールの作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
SSL スキャン ルール
SSL スキャニングを制御するルールは、いくつかのネストされたルール セットをもつ 1 つのルール セットに通常含
まれます。ネストされた ルール セットのそれぞれは、SSL スキャニング プロセスの特定の機能を制御します。
•
CONNECT 呼び出しの処理 ― CONNECT 呼び出しを処理するためのルールをもつルールセットがあります。
これは SSL セキュア通信の先頭で HTTPS プロトコルの下で送信されます。
•
証明書の検証 ― たとえば、これらの証明書の共通名を検証するなど、SSL セキュア通信でクライアントとサー
バーにより送信された証明書を検証するためのルール セットがあります。
プロセスのこの部分は、明示的なプロキシと透過型のセットアップの両方に対する検証を許可します。
•
コンテンツの検査の有効化 ― 別のルール セットには、SSL セキュア通信で転送されたコンテンツの検査を有効
にするためのルールが含まれます。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
SSL スキャニングについてアプライアンスで施行されているルールを見直し、それらを変更または削除し、固有のル
ールを作成することもできます。
デフォルト ルール セット システムが実施されると、SSL スキャニングのルール セットが含まれます。その名前は、
SSL スキャナーです。ただし、このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.6.2
Product Guide
385
12
Web フィルタリング
SSL スキャン
SSL スキャニングのためのホワイトリストとその他のリスト
ホワイトリストは、Web オブジェクトにプロセスの一部を除外させるための SSL スキャニング ルールにより使用さ
れます。たとえば、証明書のホワイトリストは、証明書の検査の実行を免除します。
SSL スキャニングで使用されるその他のリストには、受け付けられる場合は CONNECT 呼び出しで許可されるポー
ト番号と特定の交換キーを適用できないために証明書の特別な種類の検証を必要とするサーバーを含みます。
このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、SSL スキ
ャニング ルールに使用させることも可能です。
SSL スキャン モジュール
以下のモジュール (エンジンとも呼ばれます) は、SSL スキャニング プロセスの異なる部分を実行するために、SSL
スキャニング ルールにより呼び出されます。
•
SSL スキャナー — 実行する際の設定に応じて、明書の検証を扱うか、コンテンツ検査を有効化します。
適宜、モジュールは異なる設定での証明書検証とコンテンツの検査のためのルールにより呼び出されます。
•
クライアント コンテキスト設定のためのモジュール ― SSL セキュア通信で要求を送信するクライアントへのア
プライアンスの証明書の送信を処理します。
この証明書が送信されると、証明書を発行する証明書機関 (CA) はそれと共に、またはそれなしで送信できます。
適宜、証明書機関と共に証明書を送信するモジュールと、証明書機関なしで証明書を送信する別のモジュールが
あります。
デフォルト システムの SSL スキャナー ルール セットは、証明書機関と共に証明書を送信する方法を使用しま
す。
デフォルトの証明書機関は、初期セットアップの後で使用できます。しかし、さらに使用するために固有の証明
書権限を提供することをお勧めします。
•
証明書チェーン — 証明書の追加元のリストを使用して、チェーンを形成する証明機関の追加を処理します。
チェーンを形成する際、モジュールはチェーンに含まれる証明書に証明機関のリストを使用します。既存のリス
トに証明機関および新しいリストを追加することができます。
SSL スキャンの構成
SSL スキャンを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
SSL スキャンのルール セットを有効にし、このルール セット内のルールを確認します。
デフォルトでは、これは SSL スキャナー ルール セットです。
2
386
必要に応じて、これらのルールを設定します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
たとえば、次の変更を行います。
•
アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明書
で置換します。
これは、ユーザー インターフェースで作成する、またはファイル システムからインポートする証明機関によ
って可能です。
•
•
ホワイトリスト ルールを有効または無効にします。例:
•
クライアントによって提出された証明書がホワイトリストにある場合、証明書の検証をスキップするデフ
ォルトのルールです。
•
要求された URL のホストがホワイトリストにある場合、コンテンツの検査をスキップするデフォルトで
す。
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
3
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
SSL スキャンに関連するモジュールの設定を変更します。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
変更を保存します。
SSL スキャン モジュールの構成
SSL スキャン モジュールを構成し、SSL セキュア Web トラフィックが処理される方法を変更できます。
以下のモジュールは SSL スキャンに関連し、構成可能です。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、SSL スキャンのためにルール セットを検索します。
デフォルトでは、これは SSL スキャナー ルール セットです。
3
ルール セットを展開し、構成するモジュールの設定があるルールを含むネストされたルール セットを選択しま
す。
たとえば、SSL スキャナー モジュールを構成するには、ネストされた接続呼び出しの処理ルール セットを展開
します。これは、SSL スキャナー モジュールのデフォルトの証明書の検証設定を持つデフォルトのルール証明書
の検証を有効にするによって含まれます。
ネストされたルール セットのルールが設定パネルに表示されます。
4
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.6.2
Product Guide
387
12
Web フィルタリング
SSL スキャン
5
構成するモジュールの設定を持つルールを検索します。
これは、例えば上記の証明書の検証を有効にするルールである可能性があります。
6
ルール内で、設定名をクリックします。
たとえば、証明書の検証を有効にするルール イベントで、デフォルトの証明書の検証をクリックします。
[設定の編集]ウィンドウが開きます。SSL スキャナー モジュールなどモジュールの設定を提供します。
7
必要に応じて、これらの設定を構成します。
8
[OK]をクリックしてウィンドウを閉じます。
9
[変更の保存]をクリックします。
デフォルトのルート証明書権限の置換
アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明機関に置換
することができます。デフォルトの証明機関は、初期セットアップ後に設定されます。
ユーザー インターフェースで新しいルート証明書権限を作成するか、ファイル システムからのものをインポートで
きます。
タスク
•
388 ページの「ルートの証明機関の作成」
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、
デフォルトの証明機関の代わりに使用できます。
•
389 ページの「ルート証明機関のインポート」
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名する
ために、ルート証明機関(CA)をインポートできます。
ルートの証明機関の作成
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、デフォルトの
証明機関の代わりに使用できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーの[エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト]に進み、
3
[新しく作成]をクリックします。
[新しい証明機関の作成]ウィンドウが開きます。
4
[組織]および[ローカリティ] フィールドに、独自の証明機関に関する適切な情報を入力します。
5 [オプション][組織ユニット]および[ステート] フィールドに適切な情報を入力します。[国]リストから、国を選
択します。
6
[共通名]フィールドに、独自の証明機関の共通名を入力します。
7 [オプション][電子メール] フィールドに、組織で使用している電子メール アドレスを入力します。
8
[有効]リストから、証明機関が有効になる時間を選択します。
9 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
388
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
10 [OK]をクリックします。
新しい証明機関が作成されます。
11 [変更の保存]をクリックします。
ルート証明機関のインポート
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名するために、ルー
ト証明機関(CA)をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA を持つ SSL クライアント コンテキスト] を選択し、インポートされた証明書を使用する設
定をクリックします。
3
[インポート]をクリックします。
[証明機関のインポート]ウィンドウが開きます。
4
[参照]をクリックして適切なファイルを参照することにより、[証明書]フィールドに証明認証ファイルの名前を入
力します。
ファイルは PEM (Privacy-enhanced mail) 形式でエンコードされている必要があります。
5
[参照]をクリックして適切なファイルを参照することにより、[秘密鍵]鍵フィールドに証明書の鍵ファイルの名前
を入力します。
ファイルは PEM 形式でエンコードされている必要があります。キーは少なくとも 2048 ビットの長さである必
要があります。
6
[条件付き] 秘密鍵がパスワードで保護されている場合、[パスワード]フィールドにパスワードを入力します。
ここでは、暗号化されていない鍵と AES 128 ビットの暗号化鍵のみを使用できます。
7
[条件付き] 証明機関が証明書チェーンに関連し、アプライアンスがクライアントに証明書を送信するよう、この
チェーンの情報を取得したい場合、[参照]をクリックし、適切なファイルを参照することにより、[証明書チェー
ン]フィールドの情報を含むファイル名を入力します。
ファイルは PEM 形式でエンコードされている必要があります。
8
[OK]をクリックします。
証明機関がインポートされます。
9
[変更の保存]をクリックします。
クライアント証明書リスト
クライアント証明書リストは、SSL セキュア通信でクライアント リクエストをアプライアンスで受信し、適切な
Web サーバーでパスする場合の、Web サーバーの送信される証明書のリストです。
SSL 再交渉が行なわれるため、Web サーバーが最初と後の握手で求める場合、証明書が送信されます。
ルール イベントはアプライアンスに伝達され、Web サーバーの通信にクライアント証明書を使用します。証明書は
クライアント証明書リストから選択できます。
この場合、証明書のプライベート キーは、リクエストに送信されるクライアントによって提供されることが必要で
す。
代わりに、常に Web サーバーに送信される事前設定された証明書を使用することもできます。
McAfee Web Gateway 7.6.2
Product Guide
389
12
Web フィルタリング
SSL スキャン
クライアント証明書リストから証明書の使用をトリガーするルール イベントは、CONNECT 要求に適用するルール、
または条件の Command.Name プロパティの値として CERTVERIFY を持つ証明書の検証に対するルール セッ
トのルールに属することができます。
クライアント証明書リストおよび手順を含むルール イベントの設定を構成し、使用できます。また設定は、アプライ
アンスが提供するクライアントの証明書のプライベート キーが、暗号化されていない状態で保管されるように指定で
きます。
クライアント証明書リストの作成
SSL セキュア通信で Web サーバーに送信可能なクライアント証明書のリストを作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[SSL クライアント証明書の取り扱い]を選択し、[追加]をクリックします。
[設定の追加]タブが選択されている状態で、[設定の追加]ウィンドウが開きます。
3
全般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[クライアント証明書の取り扱い]で、オプション[クライアントの所有権が証明された場合、既知のクライアント
証明書リストからクライアント証明書を使用する]が選択されていることを確認します。
5
[既知のクライアント証明書]リストのツールバーで、[追加]をクリックします。
[クライアント証明書の追加]ウィンドウが開きます。
6
[インポート]をクリックして、クライアント証明書をインポートします。
[クライアント証明書のインポート] ウィンドウが開きます。
7
クライアント証明書をインポートする
a
[証明書]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
ファイルを参照して選択します。
ファイル マネージャーが閉じ、証明書ファイルの名前がフィールドに表示されます。
b
[秘密鍵]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
鍵ファイルを参照して選択します。
ファイル マネージャーが閉じ、鍵のファイル名とパスワードが[秘密鍵]および[パスワード]に表示されます。
c
[OK]をクリックします。
ウィンドウが閉じ、証明書ファイルの情報が[クライアント証明書のインポート]ウィンドウに表示されます。
d [オプション][コメント] フィールドで、証明書の平文コメントを入力します。
8
[OK]をクリックします。
[クライアント証明書の追加]ウィンドウが閉じ、証明書ファイル名とコメント(提供された場合)が[既知のクラ
イアント証明書]リストに表示されます。
リストに追加する他の証明書に対してステップ 5 から 6 を繰り返します。
390
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
9
12
[設定の追加]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
SSL クライアント証明書処理の設定
SSL クライアント証明書処理の設定は、SSL セキュア通信で Web サーバーに送信されるクライアント証明書を設定
するために使用されます。
SSL クライアント証明書処理
SSL クライアント証明書の設定
表 12-27 SSL クライアント証明書処理
オプション
定義
[クライアントが所有権を証明 これが選択されると、SSL セキュア通信で Web サーバーに送信されるクライアン
した場合、既知のクライアント ト証明書は、既知のクライアント証明書のリストから取り出されます。
証明書リストのクライアント証
しかし、サーバーへのアプライアンスの転送をリクエストをもつクライアントがこ
明書を使用する]
の証明書の所有者である場合に、証明書はこのリストからのみ取り出されます。
このラジオ ボタンを選択した後で、[既知のクライアント証明書]セクションが表
示され、証明書のリストを構成するための設定を示します。
[常に事前定義されたクライア
ント証明書を使用する]
これを選択すると、同じクライアント証明書が常に SSL セキュア通信で Web サ
ーバーに送信されます。
このラジオ ボタンを選択した後で、[事前定義されたクライアント証明書]セクシ
ョンが表示され、1 つの証明書のリストを構成するための設定を示します。
既知のクライアント証明書
Web サーバーに送信できる既知のクライアント証明書のリストの構成の設定
表 12-28 既知のクライアント証明書
オプション
定義
既知のクライアント証明書リスト SSL セキュア通信で Web サーバーに送信できるクライアント証明書のリスト
を提供します。
次の表は既知のクライアント証明書のリストのエントリーの要素を説明しています。
表 12-29 既知のクライアント証明書 - リスト入力
オプション
定義
[証明書]
クライアント証明書の名前を指定します。
[コメント]
証明書の平文テキストのコメントを提供します。
事前定義されたクライアント証明書
Web サーバーに常に送信されるクライアント証明書の構成の設定
McAfee Web Gateway 7.6.2
Product Guide
391
12
Web フィルタリング
SSL スキャン
表 12-30 事前定義されたクライアント証明書
オプション
定義
[件名]、[発行者]、[有効 Web サーバーに送信するために現在使用されているクライアント証明書の情報を提供し
性]、[延長]
ます。
[インポート]
クライアント証明書をインポートするために、[クライアント証明書のインポート]ウィン
ドウを開きます。
インポート後に、クライアント証明書の情報が、[件名]、[発行者]の下、およびその他の
情報フィールドに表示されます。
[エクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書を保管しま
す。
[キーをエクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書のプライベー
ト キーを保管します。
[証明書チェーン]
クライアント証明書とともにインポートされる証明書チェーンを表示します。
SSL スキャナー設定
SSL スキャナー設定は証明書が検証されコンテンツの検査が SSL セキュア Web トラフィックに対して有効に設定
される方法を構成するために使用されます。
SSL スキャナーを有効にする
証明書の検証の構成やコンテンツ検査の有効化のための設定
表 12-31 SSL スキャナーを有効にする
オプション
定義
[SSL スキャナー モ
ジュール]
SSL スキャナー モジュールによって実行される機能を選択します。
• [証明書の検証] — 選択すると、モジュールは、SSL セキュア通信で送信される証明書を
検証します。
• [SSL 検査] — 選択すると、モジュールは SSL セキュア通信で送信される Web オブジ
ェクトのコンテンツを検査します。
[SSL プロトコル バ
ージョン]
選択すると、モジュールは SSL セキュア通信で送信される Web オブジェクトのコンテン
ツを検査します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用さ
れます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リス
ト]
サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
[SSL セッション キ
ャッシュ TTL]
キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を
保持する時間 (秒)を指定値に制限します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証およ
び EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の検
証を行います。
[RFC 5746 を実装し 選択すると、SSL スキャナー モジュールは、指定された基準への準拠に失敗した Web サ
ないサーバーとのハ
ーバーとの通信においても、これらのアクティビティを実行します。
ンドシェイクと再ネ
ゴシエーションを許
可する]
392
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
代わりのハンドシェイクを許可する
代わりのパラメーター値を使う SSL で保護された通信のハンドシェイク設定
表 12-32 代わりのハンドシェイクを許可する
オプション
定義
[ハンドシェイクの失敗 選択すると、SSL で保護された通信で最初のハンドシェイク試行が失敗した後、SSL ス
後、代わりのハンドシェ キャナー モジュールは代わりのパラメーター値を使用します。
イク設定を使用する]
[SSL プロトコル バー
ジョン]
SSL スキャナー モジュールが代替のハンドシェイクを実行する際に従うプロトコルのバ
ージョンを選択します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用
されます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リスト] サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証お
よび EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書
の検証を行います。
CA の SSL クライアント コンテキストの設定
[CA の SSL クライアント コンテキスト] の設定は、Web Gateway アプライアンスのクライアントに証明書と一緒
に証明機関の情報を送信する場合に使用します。
SSL クライアント コンテキスト (証明機関) の定義
証明書と一緒に証明機関の情報を送信する場合の設定
McAfee Web Gateway 7.6.2
Product Guide
393
12
Web フィルタリング
SSL スキャン
表 12-33 SSL クライアント コンテキスト (証明機関) の定義
オプション
定義
(現在の証明書とデ [サブジェクト] の [発行者] と他のフィールド名 SSL セキュア通信を行っているアプライ
フォルトのルート証 アンスのクライアントに現在送信されている証明書の情報が表示されます。
明機関)
この証明書に署名しているルート証明機関 (ルート CA) の情報も表示されます。
初期セットアップ後に、証明書はデフォルトのルート証明機関によって署名されます。 この
証明機関は McAfee です。
McAfee は自社製品の証明書に署名しているので、この証明書を自己署名証明書といいます。
自己署名証明書は、SSL セキュア通信のすべてのパートナーに信頼されているとは限りませ
ん。
Web Gateway で SSL 機能をきめ細かく管理するため、独自のルール証明機関を作成するこ
とをお勧めします。
この証明機関を作成するには、[今すぐ生成] オプションを使用します。
[証明機関]
証明機関に関連するアクティビティの実行オプションが表示されます。
• [今すぐ生成] - 新しい証明機関の作成ウィンドウが開きます。
• [インポート] - 証明機関のインポート ウィンドウが開きます。
このウィンドウでは、証明機関の情報を含むファイルや、証明機関が署名した証明書をイ
ンポートできます。
また、検証プロセスに関連する証明機関チェーンに関する情報を含むファイルを追加する
こともできます。
証明書チェーンの情報を含むファイルは、ファイル システムで新たに作成したフ
ァイルの場合も、すでに保存されているファイルの場合もあります。
この場合、ファイルには次の情報が含まれます。
• アプライアンスがサーバーとしてクライアントに送信した証明書
• 中間の証明機関。証明書に署名した機関の一つ。他の期間はそれぞれ別の証明
機関の検証を行います。
• ルート証明機関。別の証明機関を検証する最初のインスタンスです。
証明書チェーン ファイルをインポートする場合、中間証明機関の情報だけをファ
イルに入れてください。
他の情報はファイルから削除してください。 この操作を行わないと、インポート
に失敗します。
• [エクスポート] - 証明機関ファイルのエクスポート先になる場所をファイル システムで
探し、ファイルをエクスポートします。
• [キーのエクスポート] - キー ファイルのエクスポート先になる場所をファイル システム
で探し、ファイルをエクスポートします。
394
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
表 12-33 SSL クライアント コンテキスト (証明機関) の定義 (続き)
オプション
定義
[証明書チェーンを
送信する]
選択すると、証明書チェーンとこの証明書の検証プロセスに関係する証明機関の情報がアプ
ライアンスからクライアントに送信されます。
この情報を取得するには、証明機関のインポート オプションを使用するときに証明書チェー
ンを入れる必要があります。
アプライアンスは、ここで設定された証明書をサーバーとしてクライアントに送信します。
この証明書はサーバー証明書ともいいます。
サーバー証明書はレベル 0 と見なされます。 証明機関がこの証明書を検証して署名すると、
レベル 1 になります。
さらに別の証明機関が検証すると、レベルが 2 になります。 関係する証明機関が 1 つ増え
ると、レベルが 1 つ上がります。
[証明書チェーン]
証明書チェーンの情報が表示されます。
証明機関のファイルと一緒に証明書チェーンをインポートすると、このフィールドに情報が
表示されます。
[カスタム ドメイン
キーを使用]
選択すると、証明書と一緒に独自に設定したキーが送信されます。
[カスタム ドメイン
キー]
カスタム ドメイン キーを処理する次のオプションが表示されます。
このキーは、Web Gateway アプライアンスのドメイン全体に証明書を送信する場合に使用
します。
• [キーのインポート] - カスタム ドメイン キー ファイルのインポート元になる場所をフ
ァイル システムで選択します。
• [キーのエクスポート] - カスタム ドメイン キー ファイルのエクスポート先になる場所
をファイル システムで選択します。
[ダイジェスト]
ダイジェスト モードの選択リストが表示されます。
[RSA サーバー キー 証明書のキー ファイルのサイズを制限します。
サイズ]
[CA の署名付き証明 証明機関の署名付き証明書の有効期間 (日数) を設定します。
書の有効期間]
[クライアント暗号
化リスト]
クライアント データの復号に使用する Open SSL 記号の文字列を指定します。
[SSL セッション キ キャッシュに SSL セッション パラメーターを保存する期間 (秒) を指定します。
ャッシュ TTL]
[安全でないネゴシ 選択すると、安全に処理が実行できない場合でも、Web Gateway は SSL セキュア通信のパ
エーションを実行す ラメーターと再度ネゴシエーションを行います。
る]
McAfee Web Gateway 7.6.2
Product Guide
395
12
Web フィルタリング
SSL スキャン
表 12-33 SSL クライアント コンテキスト (証明機関) の定義 (続き)
オプション
定義
[テキスト形式の空 選択すると、証明書と一緒にテキスト形式の空のフラグメントがクライアントに送信されま
のフラグメントを送 す。
信する]
[SSL プロトコル バ SSL スキャン モジュールがハンドシェイク処理で使用するプロトコルのバージョンを選択
ージョン]
します。
• [TLS 1.2] - 選択すると、TLS (Transport Layer Security) バージョン 1.2 が使用され
ます。
• [TLS 1.1] - 選択すると、TLS (Transport Layer Security) バージョン 1.1 が使用され
ます。
• [TLS 1.0] - 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用され
ます。
• [SSL 3.0] - 選択すると、SSL バージョン 3.0 が使用されます。
CA 以外の SSL クライアント コンテキストの設定
[CA 以外の SSL クライアント コンテキスト] の設定は、証明機関の情報を付けずに証明書だけを Web Gateway ア
プライアンスのクライアントに送信する場合に使用します。
SSL クライアント コンテキスト (証明機関なし) の定義
証明機関の情報を付けずに証明書を送信する場合の設定
表 12-34 [SSL クライアント コンテキスト (証明機関なし) の定義]
オプション
定義
[ホストまたは IP でサーバー
証明書を選択する]
クライアントに送信された証明書とこれらの証明書を取得したホスト システムの
一覧が表示されます。 ホスト システムは、ホスト名または IP アドレスで識別さ
れます。
証明書は、サーバーとして機能するアプライアンスからクライアントに送信されま
す。 この証明書はサーバー証明書ともいいます。
396
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
表 12-35 ホストまたは IP でサーバー証明書を選択する - リスト項目
オプション
定義
[ホスト]
証明書を取得するホスト システムのホスト名または IP アドレスが表示されます。
[サーバー証明書] アプライアンスがサーバーとしてクライアントに送信している証明書の情報が表示されます。
リストに新しい証明書を追加すると、証明書の生成またはインポートが可能になります。 これ
らの操作のオプションは、[サーバー証明書]で項目を追加するウィンドウに表示されます。
• [生成] - 新しい証明書の作成ウィンドウが開きます。
• [インポート] - 証明書のインポート ウィンドウが開きます。
このウィンドウには、ファイルと一緒に証明書の情報をインポートするオプションも表示され
ます。
また、検証プロセスに関連する証明機関チェーンに関する情報を含むファイルを追加すること
もできます。
証明書チェーンの情報を含むファイルは、ファイル システムで新たに作成したファ
イルの場合も、すでに保存されているファイルの場合もあります。
この場合、ファイルには次の情報が含まれます。
• アプライアンスがサーバーとしてクライアントに送信した証明書
• 中間の証明機関。証明書に署名した機関の一つ。他の期間はそれぞれ別の証明機
関の検証を行います。
• ルート証明機関。別の証明機関を検証する最初のインスタンスです。
証明書チェーン ファイルをインポートする場合、中間証明機関の情報だけをファイ
ルに入れてください。
他の情報はファイルから削除してください。 この操作を行わないと、インポートに
失敗します。
• [エクスポート] - 証明機関ファイルのエクスポート先になる場所をファイル システムで探
し、ファイルをエクスポートします。
• [キーのエクスポート] - キー ファイルのエクスポート先になる場所をファイル システムで
探し、ファイルをエクスポートします。
[HSM]
証明 s の情報を保護するハードウェア セキュリティ モジュールの情報が表示されます。
[証明書チェーン] クライアントに送信された証明書チェーンとこの証明書の検証プロセスに関係する証明機関の
情報が表示されます。
[コメント]
証明書のコメントがテキスト形式で表示されます。
表 12-36 SSL クライアント コンテキスト (証明機関なし) の定義 (続き)
オプション
定義
[クライアント接続にのみ
選択すると、アプリケーションからクライアントの接続で SSL スキャン機能を使
SSL スキャナーの機能を適用 用してトラフィックが処理されます。
する]
[クライアント暗号化リスト]
クライアント データの復号に使用する Open SSL 記号の文字列を指定します。
[SSL セッション キャッシュ
TTL]
キャッシュに SSL セッション パラメーターを保存する期間 (秒) を指定します。
[安全でないネゴシエーション 選択すると、安全に処理が実行できない場合でも、Web Gateway は SSL セキュ
を実行する]
ア通信のパラメーターと再度ネゴシエーションを行います。
McAfee Web Gateway 7.6.2
Product Guide
397
12
Web フィルタリング
SSL スキャン
表 12-36 SSL クライアント コンテキスト (証明機関なし) の定義 (続き) (続き)
オプション
定義
[テキスト形式の空のフラグメ 選択すると、証明書と一緒にテキスト形式の空のフラグメントがクライアントに送
信されます。
ントを送信する]
[SSL プロトコル バージョン] SSL スキャナー モジュールがハンドシェイク処理で使用するプロトコルのバージ
ョンを選択します。
• [TLS 1.2] - 選択すると、TLS (Transport Layer Security) バージョン 1.2
が使用されます。
• [TLS 1.1] - 選択すると、TLS (Transport Layer Security) バージョン 1.1
が使用されます。
• [TLS 1.0] - 選択すると、TLS (Transport Layer Security) バージョン 1.0
が使用されます。
• [SSL 3.0] - 選択すると、SSL バージョン 3.0 が使用されます。
証明書チェーン設定
証明書チェーン設定は、証明書チェーンの構築を処理するモジュールの構成に使用されます。
証明書の検証
証明書チェーンの構築の設定
表 12-37 証明書の検証
オプション
定義
[証明機関のリスト] 証明書チェーンの証明書に署名する証明機関(CAs)のリストを選択するためのリストを提供
します。
以下の表はリスト エントリの要素を説明しています
表 12-38 証明機関のリスト
オプション
定義
[証明機関]
証明機関名を指定します。
[証明書失効リスト] この証明機関に署名された証明書が無効になる際の情報、およびリストにアクセスするために
使用される URL の情報のリストを指定します。
[信用]
選択されている場合、証明機関がアプライアンスで信頼済みです。
[コメント]
証明機関の標準テキスト形式のコメント
SSL スキャナー ルール セット
SSL スキャナー ルール セットは、SSL すきゃ人のためのデフォルト ルール セットです。
デフォルト ルール セット — SSL スキャナー
条件 — Always
サイクル - 要求 (および IM)
398
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
以下のルール セットは、このルール セット内にネストされています。
• 接続呼び出しの処理
• 証明書の検証
• 共通名検証 (プロキシ設定)
• コンテンツの検査
• 共通名検証 (透過型設定)
接続呼び出しの処理
このネストされたルール セットは、SSL セキュア通信の CONNECT 呼び出しを処理し、証明書の検証を有効にしま
す。
ネストされたライブラリ ルール セット — CONNECT 呼び出し処理
条件 — Command.Name equals “CONNECT”
サイクル - 要求 (および IM)
このルールの条件は、要求が接続コマンドを含むアプライアンスで受信された場合、ルールが適用されるよう指定し
ます。CONNECT コマンドは、SSL で保護された接続のオープニング フェーズで送信されます。
ルール セットは、以下のルールを含みます。
クライアント コンテキストの設定
Always –> Continue – Enable SSL Client Context with CA <Default CA>
このルールは、クライアントに送信されたサーバー証明書の使用を有効にします。
イベント設定は、この証明書のデフォルトの発行者として、初期設定後、アプライアンスに実装される McAfee Web
Gateway ルートの証明機関 (CA) を指定します。
Continue アクションは次のルールで処理を続行します。
トンネリング ホスト
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
このルールは、指定されたホワイトリストにある URL を持つホストへのアクセスの要求で SSL スキャンをスキッ
プさせます。
送信先ポートを許可された CONNECT ポートに限定する
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
このルールは、許可された CONNECT ポートのリストにない送信先ポートを使った要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
EDH 以外のサーバー リストにあるホストの場合、EDH がなくても証明書の検証を有効にする
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
このルールは、EDH (Ephemeral Diffie-Hellman) 以外のサーバー リストにあるホストから送信された要求で証
明書の検証を有効にします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
イベント設定は、SSL スキャン モジュールの検証モードで実行、および EDH 以外のホストでデータ暗号化の特定
の暗号文字列を指定しています。
証明書の検証を有効にする
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
McAfee Web Gateway 7.6.2
Product Guide
399
12
Web フィルタリング
SSL スキャン
このルールは証明書の検証を有効にします。
イベント設定は、SSL スキャン モジュールが検証モードで実行することを指定します。
証明書の検証
このネストされたルール セットは、SSL セキュア通信で CERTVERIFY 呼び出しを処理します。ホワイトリストに
登録された証明書に検証をスキップさせ、特定の条件に従って、それ以外をブロックします。
ネストされたライブラリ ルール セット — 証明書の検証
条件 – Command.Name equals “CERTVERIFY*
サイクル - 要求 (および IM)
このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される
よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。
以下のルール セットは、このルール セットでネストされています。
•
共通名検証 (プロキシ設定)
ルール セットは、以下のルールを含みます。
証明書ホワイトリストで見つかった証明書の検証をスキップする
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録された証明書の検証をスキップさせます。
自己署名証明書をブロックする
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
このルールは、自己署名証明書を持つ要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
期限切れのサーバー (7 日間許容) および期限切れ CA 証明書をブロックする
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate
incident>
このルールは、期限切れのサーバーと CA 証明書を使った要求をブロックします
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
長すぎる証明書チェーンをブロックする
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
このルールは、証明書チェーンがパスの長さを超えた場合にブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
破棄された証明書をブロックする
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate
incident>
このルールは、含まれている証明書のうちいずれかが失効した場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
400
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
SSL スキャン
12
未知の証明機関をブロックする
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate
incident>
このルールは、含まれている証明書を発行する証明機関 (CA) がいずれも既知の CA ではない場合、証明書チェー
ンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
信頼しない証明機関をブロックする
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
このルールは、最初に見つかった既知の CA が信用されない場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
共通名検証 (プロキシ設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ
れます。
ネストされたライブラリ ルール セット — 共通名検証 (プロキシ設定)
条件 – Connection.SSL.TransparentCNHandling equals false
サイクル - 要求 (および IM)
このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ
ードで実行されない場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可
します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
McAfee Web Gateway 7.6.2
Product Guide
401
12
Web フィルタリング
SSL スキャン
コンテンツの検査
このネストされたルール セットは CERTVERIFY 呼び出しの処理を実行します。特定の条件に従って、一部の要求で
コンテンツの検証をスキップさせ、その他すべての検査を有効にします。
ネストされたライブラリ ルール セット — コンテンツ検査
条件 – Command.Name equals “CERTVERIFY*
サイクル - 要求 (および IM)
このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される
よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。
ルール セットは、以下のルールを含みます。
SSL 検査ホワイトリストで見つかったホストのコンテンツ検査をスキップする
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection
Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録されたホストに送信された要求でコンテンツの検査をスキップさせます。透
過型モード以外でのみ適用されます。
SSL 検査ホワイトリストで見つかった共通名のコンテンツをスキップする
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL
Inspection Whitelist –> Stop Rule Set
このルールは、証明書にホワイトリストに登録された共通名を持つ要求で、コンテンツの検査をスキップさせます。
透過型モードでのみ適用されます。
このルールは、初期状態では有効になっていません。
クライアント証明書を持つ接続を検査しない
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
このルールは、クライアント証明書の使用が必要な場合、要求に検査をスキップさせます。
このルールは、初期状態では有効になっていません。
コンテンツ検査を有効にする
Always –> Continue – Enable SSL Scanner<Enable content inspection>
このルールはコンテンツ検査を有効にします。
イベント設定は、SSL スキャン モジュールが検査モードで実行することを指定します。
コンテンツの検査をスキップするルールのうちいずれかが適用される場合、ルール セットの処理は停止し、この最
後のルール (検査を有効にする) は処理されません。そうでない場合、コンテンツの検査はこのルールによって有効
になります。
共通名検証 (透過型設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ
れます。透過型モードで送信された要求にのみ適用されています。
明示的プロキシ¥ モードで要求が送信されると、共通名と比較されたホスト名がクライアントが送信した
CONNECT 要求から取り出されます。
CONNECT 要求が送信されない透過型モードとして、干すつ名はクライアントが送信する Web アクセスの要求から
取り出されます。
402
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
ハードウェア セキュリティ モジュール
12
ネストされたライブラリ ルール セット — 共通名検証 (透過型セットアップ)
条件 – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not
equal “CONNECT” AND Command.Name does not equal “CERTVERIFY”
サイクル - 要求 (および IM)
このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ
ードで実行される場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可
します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
ハードウェア セキュリティ モジュール
ハードウェア セキュリティ モジュール (HSM) は、秘密鍵を SSL セキュア通信でサーバーとクライアントに送信
し、セキュリティを強化します。
Keys for SSL-certificates can be public or private. If you are using private keys and do not want to
expose them, you can store them on a Hardware Security Module.
When a certificate is imported and a private key is needed for enabling its use, the key is referenced
by its ID (also known as key name) while remaining protected on the module.
ファイル システム内のファイルに秘密鍵を保存すると、ファイルが簡単に読み取られる可能性がありますが、このよ
うにキーを処理することでセキュリティを強化できます。
McAfee Web Gateway 7.6.2
Product Guide
403
12
Web フィルタリング
ハードウェア セキュリティ モジュール
The functions of a Hardware Security Module are available on Web Gateway in the following formats:
•
Physical HSM — The functions of a Hardware Security Module are provided by a separate
hardware component that is installed on a Web Gateway appliance.
•
Server-based HSM — The functions of a Hardware Security Module are provided on a remote
server.
•
HSM emulation — The functions of a Hardware Security Module are emulated using OpenSSL.
ハードウェア セキュリティ モジュールのインストールとアクセス
ハードウェア セキュリティ モジュールは PCI カードで提供されます。このカードを Web Gateway が実行されて
いるアプライアンスに装着し、必要なドライバーをインストールします。
モジュール カードをインストールしたら、システム コンソールからアプライアンスにログオンすると、モジュール
にアクセスすることができます。 キーの生成やロックの解除など、モジュール上で操作を行うには、コマンドライン
からコマンドを入力します。
ハードウェア セキュリティ モジュールの取り付け方法と操作方法については、モジュール提供元の McAfee パート
ナー (Thales) のマニュアルを参照してください。
ハードウェア セキュリティ モジュールでのキーの処理
証明書の秘密鍵に関連する暗号操作はすべてハードウェア セキュリティ モジュールで実行されます。
キーは、モジュールで生成することも、モジュールにインポートすることもできます。 Web Gateway で利用する
ときには、Web Gateway アプライアンス システムのコンポーネントである HSM エージェントが読み込みます。
キーの読み込みを有効にするには、Web Gateway のユーザー インターフェースで文字列形式のキーをリストに追
加し、キー ID をエージェントに通知する必要があります。
エージェントとの通信は HSM サーバーが処理します。このサーバーは、ハードウェア セキュリティ モジュールを
装着した Web Gateway アプライアンスでセットアップします。 このセットアップは、Web Gateway のユーザー
インターフェースで行います。
秘密鍵を生成する場合、通常、パスワードまたはオペレーター カード システム (OCS) を使用してセキュリティを追
加します。 ただし、このようなオプションを使用しなくてもキーを生成できます。 キーがパスワードまたは OCS
で保護されている場合には、ハードウェア セキュリティ モジュールでキーのロックを解除する必要があります。
証明書にハードウェア セキュリティ モジュールの秘密鍵を使用する場合
Web Gateway のユーザー インターフェースでは、いくつかの設定で証明書のインポート オプションを使用できま
す。 HSM サーバーが構成されている場合には、証明書の秘密鍵をハードウェア セキュリティ モジュールから選択
できます。
証明書のキーを使用可能にするには、リストから選択できる ID でキーを参照する必要があります。
404
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
ハードウェア セキュリティ モジュール
12
ハードウェア セキュリティ モジュールの高度な使用
Web Gateway アプライアンスのハードウェア セキュリティ モジュールは次の方法でも使用できます。
•
ハードウェア セキュリティ モジュールをリモートから使用する - ハードウェア セキュリティ モジュールは、
ネットワーク内でモジュールが装着されていない Web Gateway アプライアンスから使用することもできます。
HSM サーバーは、モジュールが装着されているアプライアンスで設定されています。 モジュールが装着されて
いないアプライアンスをこのサーバーのクライアントとして設定すると、サーバーに接続して秘密鍵を読み込む
ことができます。 この設定は、Web Gateway のユーザー インターフェースで行います。
•
ルート証明書の秘密鍵を生成する - 会社でセキュリティ インフラを構築し、会社全体で使用するルート証明機
関を設定できます。 会社全体のルート証明機関に従属する中間の証明機関として Web Gateway のルート証明
機関を設定できます。
これにより、会社全体のルート証明機関を発行した証明書を Web Gateway の中間証明機関で使用できます。
この証明書の秘密鍵はハードウェア セキュリティ モジュールで生成されます。
詳細については、本書の『セキュリティ インフラの使用』を参照してください。
キー処理における管理者の責任
キー処理のセキュリティを強化するため、管理者で責任を分担することができます。
たとえば、1 人の管理者がハードウェア セキュリティ モジュールでの秘密鍵の生成を担当し、Web Gateway の管
理者が Web Gateway のユーザー インターフェースでキーを使用して証明書を設定します。
Web Gateway の管理者は生成されたキー ID を知っている必要があります。また、キー パスワードの
確認も必要になる場合があります。
キー操作の記録
ハードウェア セキュリティ モジュールに関連するキー操作は Web Gateway で記録され、ユーザー インターフェ
ースのダッシュボードに表示されます ([SSL スキャナー統計] の下の [リモートからの秘密鍵の操作]) に表示され
ます。
キー処理にハードウェア セキュリティ モジュールを使用する
ハードウェア セキュリティ モジュールを使用すると、SSL セキュア通信で使用する証明書の秘密鍵の保護を強化で
きます。 モジュールでキーを生成して保存し、他のアクティビティを実行できます。
以下の手順は、異なる管理者で実行できます。
タスク
1
ハードウェア セキュリティ モジュールを実行するように Web Gateway アプライアンスを準備します。このモ
ジュールは PCI カードとして提供されます。
a
ハードウェア セキュリティ モジュールの PCI カードをアプライアンスに装着します。
b
システム コンソールで、ハードウェア セキュリティ モジュールのドライバーをインストールします。
PCI カードの装着方法については、『McAfee Web Gateway インストール ガイド』を参照してください。
モジュール ドライバーのインストール方法については、モジュールの提供元である McAfee パートナー
(Thales) のドキュメントを参照してください。
McAfee Web Gateway 7.6.2
Product Guide
405
12
Web フィルタリング
ハードウェア セキュリティ モジュール
2
システム コンソールで、ハードウェア セキュリティ モジュールのキーに Security World と Operator Card
Set (オプション) を作成します。 次に、キーを生成するかインポートし、キーの ID を記憶します。
これらの項目の作成方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメント
を参照してください。
3
Web Gateway のユーザー インタフェースで、次のいずれかのオプションを設定します。
•
モジュールのローカル使用
ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバーをセ
ットアップします。
•
4
モジュールのリモート使用
•
ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバー
をセットアップします。 次に、このサーバーのクライアントにモジュールの使用を許可します。
•
リモートから使用できるように、モジュールが装着されていないアプライアンスを HSM クライアントと
して設定します。
システム コンソールで、パスワードまたは Operator Card Set で保護されているハードウェア セキュリティ
モジュールでキーのロックを解除します。
キーのロックを解除する方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメ
ントを参照してください。
証明書をインポートするときに、Web Gateway のユーザー インターフェースでキーを選択できます。
関連トピック:
406 ページの「ハードウェア セキュリティ モジュールのローカル使用を設定する」
407 ページの「ハードウェア セキュリティ モジュールのリモート使用を設定する」
407 ページの「ハードウェア セキュリティ モジュールの秘密鍵を選択する」
ハードウェア セキュリティ モジュールのローカル使用を設定する
ハードウェア セキュリティ モジュールのローカル使用を設定すると、モジュールを取り付けたアプライアンスでの
みモジュールを使用することができます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、モジュールのローカル使用を設定するアプライアンスを選択して [ハードウェア セキ
ュリティ モジュール] をクリックします。
3
[HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。
4
[読み込まれるキー] リストで、読み込むキーの項目を追加します。
各キーの ID を文字列形式で入力します。
5
[変更の保存] をクリックします。
関連トピック:
409 ページの「ハードウェア セキュリティ モジュールの設定」
406
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
ハードウェア セキュリティ モジュール
12
ハードウェア セキュリティ モジュールのリモート使用を設定する
ネットワーク内でハードウェア セキュリティ モジュールが装着されていないアプライアンスでモジュールを使用可
能にするには、モジュールのリモート使用を設定します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、モジュールのリモート使用を設定するアプライアンスを選択して [ハードウェア セキ
ュリティ モジュール] をクリックします。
3
このアプライアンスで HSM サーバーを設定します。
a
[HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。
b
[読み込まれるキー] リストで、読み込むキーの項目を追加します。
各キーの ID を文字列形式で入力します。
4
c
[リモート接続を許可する] をクリックします。
d
[HSM サーバー ポートの定義] リストで、クライアント要求を待機するポートを追加します。
e
[サーバー ID] で、サーバーの証明書を生成またはインポートします。 クライアントの設定時にインポート可
能な場所に証明書をエクスポートします。
HSM クライアントとして設定するアプライアンスごとに次の操作を行います。
a
アプライアンス ツリーで、モジュールが装着されていないアプライアンスを選択し、[ハードウェア セキュリ
ティ モジュール] をクリックします。
b
[HSM クライアント] で、[リモート HSM サーバーの使用] を選択します。
c
[リモート サーバー] リストで、HSM サーバーの項目を追加します。
ホスト名とリスナー ポートを入力して、サーバーの証明書をインポートします。
d
5
[クライアント ID] で、クライアントの証明書を生成またはインポートします。 許可クライアント リストの
設定時にインポート可能な場所に証明書をエクスポートします。
[HSM サーバー] で、HSM クライアントの項目を [許可されているクライアント] リストに追加します。
ホスト名を入力して、クライアント証明書をインポートします。
6
[変更の保存] をクリックします。
ハードウェア セキュリティ モジュールの秘密鍵を選択する
証明書にハードウェア セキュリティ モジュールの秘密鍵を選択するには、リストからキーの ID を選択してキーを
参照します。
ハードウェア セキュリティ モジュールの秘密鍵は、SSL セキュア通信のフィルタリングに関連する設定で証明書を
インポートする場合にも使用できます。 次の項目を設定します。
•
[SSL クライアント証明書の処理]
•
[CA の SSL クライアント コンテキスト]
•
[CA 以外の SSL クライアント コンテキスト]
以下のサンプルでは、[CA の SSL クライアント コンテキスト] で秘密鍵を使用して証明書をインポートする手順を
説明します。
McAfee Web Gateway 7.6.2
Product Guide
407
12
Web フィルタリング
ハードウェア セキュリティ モジュール
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト] を展開して [デフォルトの
CA] を選択します。
3
[SSL クライアント コンテキストの定義] で、[証明機関] の横にある [インポート] をクリックします。
[証明機関のインポート] ウィンドウが開きます。
4
[証明書] の横にある [参照] をクリックし、証明書ファイルを選択してインポートします。
5
[秘密鍵のソース] の横にある [HSM] を選択します。
使用可能な HSM キーの ID を選択できるリストが開きます。
6
キー ID を選択して [インポート] をクリックし、キーの情報と証明書をインポートします。
7
[変更の保存] をクリックします。
セキュリティ インフラの使用
社内に存在するセキュリティ インフラを使用して、Web Gateway の証明機関に証明書を生成できます。 この証明
書の秘密鍵は、ハードウェア セキュリティ モジュールから取得されます。
多くの企業には、SSL セキュア通信で使用する要素 (証明書、キーなど) を提供するセキュリティ インフラが存在し
ています。 通常、このインフラには会社全体で使用するルート証明機関も含まれます。
セキュリティ インフラに公開鍵が含まれている点から見ると、この構造または構造の一部は PKI (Public Key
Infrastructure) と言えます。
Web Gateway のルート証明機関は、会社全体のルート証明機関に従属する中間の証明機関として設定できます。
この構成では、会社全体のルート証明機関が発行する証明書が必要になります。
この証明書を作成するには、システム コンソールから Web Gateway に証明書署名要求を送信します。 この要求に
は、Web Gateway に装着されているハードウェア セキュリティ モジュールの秘密鍵も指定します。
セキュリティ インフラを使用して証明書を作成する
セキュリティ インフラ内で会社全体のルート証明機関が発行した証明書を Web Gateway でルート証明機関の証明
書として使用できます。
タスク
1
ハードウェア セキュリティ モジュールの証明書に秘密鍵を生成し、キー ID を覚えておいてください。
キーの生成方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメントを参照し
てください。
2
証明書署名要求を使用して、Web Gateway でルート証明機関の証明書を生成します。
a
Web Gateway アプライアンスに接続しているシステム コンソールで、ルート管理者としてログオンします。
b
次の openssl コマンドを使用します。 <key ID> には、手順 1 で生成したキーの ID を指定します。
openssl req -engine chil -keyform engine -new -sha256 -key <key ID> -out mwg.csr
コマンドの出力として、証明書を含むファイルが生成されます。 このファイルは、コマンドに指定した名前
(mwg.csr) で生成されます。
3
408
証明書ファイルをファイル システム内に保存します。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
ハードウェア セキュリティ モジュール
12
SSL 通信のフィルタリング設定で Web Gateway のルート証明機関を設定するときに、この証明書をインポートで
きます。
ハードウェア セキュリティ モジュールの設定
ハードウェア セキュリティ モジュールの設定では、ローカルまたはリモートのハードウェア セキュリティ モジュー
ルの証明書キーの処理方法を設定します。
HSM サーバー
現在設定中の Web Gateway アプライアンスのハードウェア セキュリティ モジュールの設定
表 12-39 HSM サーバー
オプション
定義
[ローカル HSM 選択すると、このアプライアンスのハードウェア セキュリティ モジュールがキーの格納と読み
サーバーの開始] 込みを行います。
ネットワーク内の他の Web Gateway アプライアンスは、このモジュールが装着されたサーバー
にクライアントとして接続し、キーを読み込みます。
[読み込まれるキ ハードウェア セキュリティ モジュールに保管され、証明書と一緒に使用されるキーの ID リスト
ー]
が表示されます。
このリストに、Web Gateway で使用する各キーの ID を文字列形式で追加する必要があります。
ハードウェア セキュリティ モジュールでキーが生成またはインポートされると、キー ID が認識
されます。
以下の表では、キー リストの項目について説明します。
表 12-40 読み込まれるキー - リスト項目
オプション
定義
[文字列]
ハードウェア セキュリティ モジュールに保存されているキーの ID を表します。
[コメント]
キーのコメントがテキスト形式で表示されます。
オプション
定義
[ローカル接続を許可
する]
選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、このア
プライアンスで設定されている接続に使用されます。
[リモート接続を許可
する]
選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、ネット
ワーク内の他の Web Gateway アプライアンスで設定されている接続に使用されます。
このオプションを選択する場合には、このアプリアンスの HSM サーバーでリモート接続に
使用するポートを指定する必要があります。
[HSM サーバー ポー
ト定義リスト]
HSM サーバーのポート リストが表示されます。
[許可されているクラ
イアント]
ネットワーク内で HSM サーバーのクライアントとして実行可能で、キーの読み込みにハー
ドウェア セキュリティ モジュールを使用するアプライアンスのリストが表示されます。
以下の表では、HSM サーバー ポートと許可されているクライアントのリスト項目について説明します。
表 12-41 HSM サーバー ポート定義リスト - リスト エントリ
オプション
定義
[リスナー アドレス]
リモート接続の確立で要求を待機している HSM サーバーの IP アドレスとポート番号。
[コメント]
ポートのコメントがテキスト形式で表示されます。
McAfee Web Gateway 7.6.2
Product Guide
409
12
Web フィルタリング
ハードウェア セキュリティ モジュール
表 12-42 許可されているクライアント - リスト項目
オプション 定義
[ホスト]
ネットワーク内で、このアプライアンスに装着されたハードウェア セキュリティ モジュールのキー読
み込みが許可されている Web Gateway アプライアンスのホスト名または IP アドレスが表示されま
す。
[証明書]
HSM サーバーとの接続時にクライアントが送信する証明書が表示されます。
[コメント] 許可されたクライアントのコメントがテキスト形式で表示されます。
サーバー ID
クライアントとの接続で HSM サーバーが送信する証明書の設定
HSM サーバーのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に McAfee ル
ート CA 発行の証明書が発行されます。
この証明書を独自の証明書で置換することをお勧めします。
表 12-43
サーバー ID
オプション
定義
[件名、発行者、有効性、延長、秘密鍵]
現在使用中の証明書に関する情報が表示されます。
[サーバー証明書]
様々なサーバー証明書関連の操作を実行するボタンが表示されます。
• 証明書を生成しています
• 証明書をインポートしています
• 証明書をエクスポートしています
• 証明書キーをエクスポートしています
HSM クライアント
ネットワーク内の別の Web Gateway アプライアンスに装着されているハードウェア セキュリティ モジュールの
使用を設定します
表 12-44 HSM サーバー
オプション
定義
[リモート HSM このアプライアンスは、ネットワーク内の他の Web Gateway アプライアンスに装着されてい
サーバーを使用] るハードウェア セキュリティ モジュールのキーを使用します。
このモジュールは、このアプライアンスがクライアントとして接続するサーバーに存在します。
このオプションを選択するには、サーバーを指定する必要があります。複数のサーバーを指定す
る場合にはリストを使用します。
[リモート サー
バー]
ネットワーク内の他の Web Gateway アプライアンスのリストが表示されます。このアプライ
アンスのハードウェア セキュリティ モジュールには、クライアントとして接続できます。
以下の表では、リモート サーバー リストについて説明します。
410
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
表 12-45 リモート サーバー - リスト項目
オプション 定義
[ホスト]
ネットワーク内に存在し、サーバーでハードウェア セキュリティ モジュールを実行する Web
Gateway アプライアンスのホスト名または IP アドレスが表示されます。
[証明書]
クライアントとの接続にサーバーが送信する証明書。
[コメント] リモート サーバーのコメントがテキスト形式で表示されます。
クライアント ID
HSM サーバーにクライアントとして接続するときに、このアプライアンスが送信する証明書の設定
このクライアントのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に McAfee
ルート CA 発行の証明書が発行されます。
この証明書を独自の証明書で置換することをお勧めします。
表 12-46
サーバー ID
オプション
定義
[件名、発行者、有効性、延長、秘密鍵] 現在使用中の証明書に関する情報が表示されます。
[クライアント証明書]
様々なクライアント証明書関連の操作を実行するボタンが表示されます。
• 証明書を生成しています
• 証明書をインポートしています
• 証明書をエクスポートしています
• 証明書キーをエクスポートしています
Advanced Threat Defense
Web Gateway が Web オブジェクトをスキャンし、ウイルスなどのマルウェアの感染を検査した後で、同じオブジ
ェクトを McAfee Advanced Threat Defense (Advanced Threat Defense) Web セキュリティ製品でスキャン
できます。
®
Advanced Threat Defense は、スキャンにサンドボックスを利用しています。特定の Web オブジェクトの動作を
サンドボックス環境で分析します。スキャン結果がレポートに記録され、Web Gateway に配信されます。
Advanced Threat Defense による追加のスキャンは、オフライン スキャンまたはバックグラウンド スキャンとも
いいます。
McAfee Web Gateway 7.6.2
Product Guide
411
12
Web フィルタリング
Advanced Threat Defense
Advanced Threat Defense の使用を有効にするには、適切なルールを Web Gateway に実装する必要があります。
このようなルールを含むルール セットは、ルール セット ライブラリからインポートできます。
Advanced Threat Defense で Web Gateway の使用を設定する場合、次のものを使用できます。
•
ルールのキー要素 - Advanced Threat Defense 用のライブラリ ルール セットをインポートして、
このセットをルール セット ツリーでクリックすると、追加スキャン プロセスのルールのキー要素を
表示し、設定することができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、追加スキャン プロセス
のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー
ルの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
Options for configuring the use of Advanced Threat Defense
異なるオプションを設定して、Advanced Threat Defense による追加のスキャンを実装できます。
•
追加のスキャン結果に応じて Web オブジェクトを転送する - このオプションでは、Advanced Threat
Defense の追加スキャンの結果に応じて、Web オブジェクトを要求元のユーザーに転送するかどうかを判断し
ます。
Web オブジェクトの安全性が確認されると転送されますが、確認できない場合には転送されません。
•
追加のスキャンを実行する前に Web オブジェクトを転送する - このオプションでは、Advanced Threat
Defense の追加スキャンを実行する前に、Web オブジェクトを要求元のユーザーに転送します。
Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者に警告メッセージを
送信します。
Web オブジェクトがスキャン済みの場合、Advanced Threat Defense が再度スキャンを実行しないように設定す
ることもできます。この場合、最初のスキャン後に生成されたレポートが再度評価されます。
Availability of Advanced Threat Defense
For use with Web Gateway, the Advanced Threat Defense web security software is delivered
pre-installed on the same hardware platform, where it runs as an appliance on a separate server.
製品の複数のインスタンスを異なるサーバーで実行し、Web Gateway をサポートすることができます。製品のイン
スタンスは、固有のハードウェア プラットフォームにインストールする必要があります。
412
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
Advanced Threat Defense を使用する場合のワークフロー
Advanced Threat Defense を使用して Web オブジェクトの追加のスキャンを実行する場合、異なるワークフロー
を設定できます。
追加スキャンの結果に基づく Web オブジェクトの転送
以下の図は、Advanced Threat Defense のスキャン結果に基づいて Web オブジェクトを転送する場合のワークフ
ローを表します。
図 12-1 追加スキャンの結果に基づいて Web オブジェクトを転送する場合
1
ユーザーがネットワーク内のシステム (Web Gateway のクライアント) から Web オブジェクト (ファイルな
ど) に対するアクセス要求を送信します。
2
設定したルールに従って要求がフィルタリングされます。処理を通過すると、Web Gateway が要求を Web サ
ーバーに転送します。
進行状況ページがクライアントに送信されます。要求の処理中であることをユーザーに通知します。
3
Web サーバーが Web Gateway にオブジェクトを送信します。
4
Advanced Threat Defense の使用条件を満たすと、Web Gateway がスキャン対象のオブジェクトを転送しま
す。
スキャン状況に関する情報を取得するため、Web Gateway が Advanced Threat Defense に状況を定期的に照
会します。
5
Advanced Threat Defense がスキャンを完了すると、Web Gateway にオブジェクトのスキャン結果が通知さ
れます。
6
この情報に従って、Web Gateway は、要求されたオブジェクトに対するアクセスをユーザーに許可したり、ブ
ロック ページを送信します。ブロック ページでは、アクセスがブロックされた理由も通知されます。
McAfee Web Gateway 7.6.2
Product Guide
413
12
Web フィルタリング
Advanced Threat Defense
Advanced Threat Defense 追加スキャンの条件
Web Gateway は、Web Gateway のマルウェア対策エンジンでスキャンを実行した後に、Advanced Threat
Defense の機能を使用して Web オブジェクトをスキャンします。
Advanced Threat Defense ライブラリ ルール セットは、この可能性を条件として使用します。デフォルトでは、
60 に達すると条件を満たしたものと見なされます。Web Gateway で Web オブジェクトをスキャンした結果、マ
ルウェアの可能性が 60% 以上になった場合にだけ、オブジェクトが Advanced Threat Defense に送信されます。
Advanced Threat Defense の使用を設定するときに、この値を変更できます。これにより、この製品が Web
Gateway をサポートする頻度を調整することができます。
ルール セット ツリーで、Advanced Threat Defense のルールセットは、Web Gateway の通常のマルウェア対策
機能のルール セット (通常は Gateway Anti-Malware デフォルト ルール セット) の後に配置してください。
Web Gateway と Advanced Threat Defense を併用した場合、マルウェア対策モジュール (またはエンジン) は 2
つの設定で実行されます。1 つは Web Gateway の設定、もう 1 つはサポート製品の設定です。
この 2 つの設定のデフォルト名は、ゲートウェイ マルウェア対策とゲートウェイ ATD です。
この設定の違いで重要なポイントは、ゲートウェイ ATD の設定では Advanced Threat Defense を使用するオプシ
ョンが選択されていますが、他の設定ではオプションが選択されていない点です。
Advanced Threat Defense を使用する場合の設定要素
Advanced Threat Defense による Web オブジェクトの追加スキャンを有効にするには、適切なルールを Web
Gateway に実装する必要があります。このようなルールを含むルール セットは、ルール セット ライブラリからイ
ンポートできます。このルール セットをインポートすると、リストと設定も実装されます。
追加スキャンのルール セット
追加スキャンの結果に応じて Web オブジェクトを転送するルール セットと、追加スキャンの前に Web オブジェク
トを転送し、スキャン後に警告を通知するルール セットがあります。
•
Advanced Threat Defense ライブラリ ルール セット - このルール セットでは、Advanced Threat
Defense による追加スキャンを有効にし、スキャン結果によって Web オブジェクトの転送を判断するワークフ
ローを実装します。
このルール セットをインポートすると、リストと設定も実装されます。
414
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
•
12
ATD - オフライン スキャンを開始するライブラリ ルール セット - このルール セットには、追加スキャンの
結果に応じて Web オブジェクトをユーザーに転送するルール セットと同じ条件が設定されています。
このルール セットは、Web Gateway によるスキャン結果が所定の感染可能性に達し、Web オブジェクトがス
キャン可能オブジェクトのリストにあり、特定のサイズを超えていない場合に適用されます。
このルールセットには、条件で Antimalware.MATD.InitBackgroundScan プロパティを使用するルール
だけが含まれています。このプロパティのデフォルト値は true です。
この場合、現在のトランザクションのデータが記録されます。Web アクセス要求と Web サーバーからの応答に
関するすべてのデータが記録されます。たとえば、クライアントの IP アドレス、認証情報、Web サーバーの
URL、応答メッセージで送信された Web オブジェクトなどが記録されます。
Advanced Threat Defense でのスキャンを開始するため、内部要求が送信されます。この処理が完了すると、
要求された Web オブジェクトがユーザーに転送されます。スキャンは、記録したデータを使用して後で実行され
ます。
Antimalware.MATD.InitBackgroundScan プロパティの値が false の場合、Advanced Threat
Defense のスキャンが開始できず、ルール イベントによってエラー メッセージを表示します。
•
ATD -オフライン スキャンを処理するライブラリ ルール セット - このルール セットでは、条件として
Antimalware.MATD.IsBackgroundScan プロパティが設定されています。この条件のデフォルト値は
true です。
この場合、Advanced Threat Defense が「ATD - オフライン スキャンの開始」ルール セットで記録したデ
ータを使用し、指定された Web オブジェクトをスキャンします。
このルール セットのルールでは、スキャン中のオブジェクトで感染が検出されると、イベントを使用してカウン
ターの値を増やします。また、別のイベントを使用して、Web オブジェクトの感染を通知するメッセージを作成
し、管理者に送信します。最後に、処理サイクルを停止します。
追加スキャンが使用するリストと設定
Advanced Threat Defense ライブラリ ルール セットには、Web Gateway での Advanced Threat Defense
の使用を有効にするルールと、スキャン結果に応じてユーザーに Web オブジェクトを転送するルールが含まれてい
ます。
このルール セットをインポートすると、リストと設定も実装されます。
•
Advanced Threat Defense サポート タイプ リスト - このリストは、ライブラリ ルール セットの条件で使
用されます。このリストにあるメディア タイプの Web オブジェクトだけが Advanced Threat Defense に渡
され、スキャンされます。
デフォルトでは、複数のメディア タイプがリストに記述されています。リストにメディア タイプを追加したり、
リストから削除することもできます。
•
ゲートウェイ ATD の設定 - Web Gateway のマルウェア対策モジュール (またはエンジン) の設定です。ウ
イルスとマルウェアのフィルタリングや Advanced Threat Defense の実行時に使用されます。
McAfee Web Gateway 7.6.2
Product Guide
415
12
Web フィルタリング
Advanced Threat Defense
この設定には、次の設定を行うオプションが含まれています。
•
Advanced Threat Defense が実行されているサーバーと Web Gateway との通信
•
ファイルなどの Web オブジェクトを不正なオブジェクトと分類する重大度
Advanced Threat Defense がオブジェクトをスキャンすると、スキャン結果に 0 から 5 (最大) の重大度が
設定されます。
たとえば、重大度の値を 3 に設定すると、スキャン結果が 3 以上のオブジェクトが不正なオブジェクトと見
なされます。
オブジェクトが不正と見なされると、Antimalware.Infected プロパティが true に設定されます。このプロ
パティを条件で使用するルールはこの Web オブジェクトをブロックし、アクセスを要求したユーザーに送信
しません。
既存の Advanced Threat Defense スキャン レポートの使用
Web オブジェクトのスキャン後に Advanced Threat Defense が生成したレポートを Web Gateway で使用する
と、このオブジェクトを評価し、アクセスを処理することができます。
既存のレポートを使用すると、Web Gateway は Advanced Threat Defense で新しいスキャンをトリガーしませ
ん。複数のレポートが存在する場合、最新のレポートが評価に使用されます。Web Gateway 内部でハッシュ値が計
算され、Web オブジェクトの識別を行います。これにより、同じレポートが使用できます。
Web Gateway の既存のスキャン レポートを使用するには、Antimalware.ATD.GetReport プロパティでルー
ルを実装する必要があります。このブール値プロパティの値が true の場合、特定の Web オブジェクトが
Advanced Threat Defense のスキャンで検出され、このスキャンのレポートが取得されています。
このレポートは他のルールでも使用できます。たとえば、Antimalware.Infected プロパティのルールで使用す
ると、オブジェクトの感染を確認できます。
既存のスキャン レポートのオプション
既存のスキャン レポートを使用して Web オブジェクトへのアクセスを処理する場合、いくつかのオプションを使用
できます。
•
スキャン レポートで感染していないことを確認した場合にファイルを許可する - ファイルを手動で Advanced
Threat Defense にアップロードし、スキャンとレポートの生成を行います。レポートが存在し、ファイルが感
染していないことが確認されると、Web Gateway はファイルのダウンロードを許可します。
Web オブジェクトにスキャン レポートが存在しない場合には、適切なルールで Antimalware.ATD.GetReport
プロパティを使用できます。これらのルールでは、スキャン レポートが取得されていないため、このプロパティの値
は false になります。
416
•
スキャン レポートが使用不能な場合にファイルを許可し、このファイルをオフラインでスキャンする - ダウン
ロードを要求したファイルにスキャン レポートが存在しない場合、ユーザーにファイルのダウンロードが許可さ
れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ
ーク管理者に転送されます。
•
スキャン レポートが使用不能な場合にファイルをブロックし、このファイルをオフラインでスキャンする - ダ
ウンロードを要求したファイルにスキャン レポートが存在しない場合、ファイルに対するアクセスがブロックさ
れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ
ーク管理者に転送されます。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
既存のスキャン レポートを使用する場合のサンプル ファイル
デフォルトのルール セット システムまたはルール セット ライブラリには、既存の Advanced Threat Defense ス
キャン レポートの使用に必要なルール セットは事前に定義されていません。ただし、独自のルールとルール セット
を作成できます。
次のサンプル ルールは、ファイルを手動で Advanced Threat Defense にアップロードします。Advanced Threat
Defense が生成したレポートでファイルが感染していないことが確認されると、ファイルのダウンロードが許可され
ます。
ルール セットの名前は「既存の Advanced Threat Defense スキャン レポートを使用する」のようにします。
メディア タイプの条件は、Advanced Threat Defense ライブラリ ルール セットと同じ条件にし、すべてのプ
ロセス サイクルに適用する必要があります。
ルール セットには、次のルールが含まれている必要があります。
•
Antimalware.ATD.GetReport プロパティを使用して既存のスキャン レポートを取得するルール
•
このレポートを使用してファイルを比較し、レポートでファイルの感染が確認された場合にアクセスをブロック
するルール
レポートを取得するルールは次のようになります。
名前
スキャン済みのファイルを許可する
条件
Antimalware.ATD.GetReport
equals false
アクション
–> Block
<BlockedByMATD>
イベント
– Statistics.Counter.Increment"
(BlockedByMATD",1)<Default>
このルールは、レポートが存在しない場合にファイルへのアクセスをブロックします。この場合は、次のルールは処
理されません。このルールはレポートを評価します。次のようになります。
名前
感染ファイルをブロックする
条件
Antimalware.Infected
<Gateway ATD> equals true
アクション
–> Block
<BlockedByMATD>
イベント
– Statistics.Counter.Increment
("BlockedByMATD",1)<Default>
両方のルールにより、Advanced Threat Defense 機能の使用時にファイルがブロックされた回数がカウンターに記
録されます。
実行中の Advanced Threat Defense スキャン結果の使用
Advanced Threat Defense がスキャンを実行している場合、この実行結果を開始済みの要求の処理だけでなく、同
じ Web オブジェクトに対する他のアクセス要求にも使用できます。
同じスキャン結果を複数の要求の処理で使用するには、スキャンの実行中に Web Gateway が要求を受信する必要
があります。Web Gateway 内部でハッシュ値が計算され、Web オブジェクトの識別を行います。これにより、受
信した要求が同じオブジェクトに対するものかどうかを判断します。
同じオブジェクトに対する複数のアクセス要求に同じスキャン結果を使用するには、マルウェア対策 (またはエンジ
ン) のゲートウェイ ATD 設定で、オプションを有効にする必要があります。このオプションの名前は、[同じサンプ
ルを分析する場合に実行中のタスクを再利用する] になります。
デフォルトのルール セットまたはルール セット ライブラリに、同じオブジェクトに対する複数の要求に同じスキャ
ン結果を使用するためのルール セットは事前に定義されていません。ただし、独自のルールとルール セットを作成
できます。
McAfee Web Gateway 7.6.2
Product Guide
417
12
Web フィルタリング
Advanced Threat Defense
Advanced Threat Defense でスキャンするオブジェクト サイズの制限
The size of objects that are additionally scanned by Advanced Threat Defense must be checked for
compliance with the size limits that exist for this product.
There are some restrictions for Advanced Threat Defense regarding the size of web objects that can be
scanned. The general size limit is 125 MB, which means that web objects of any type must not exceed
this limit.
Other size limits exist for particular types of web objects. This is mainly due to the fact that
sandboxing is performed on Advanced Threat Defense, which only allows, for example, a size of 10 MB
for executable files.
Impact on the user experience
Web Gateway and Advanced Threat Defense communicate with each other over a REST API, which
accepts files up to the general size limit by default. An end user who sent, for example, a request for
downloading a 30 MB file is therefore first led to believe that this size is allowed.
When the sandboxing functions start operating, however, the file is rejected as too large. The end user
receives a block message from Web Gateway, and the Advanced Threat Defense administrator sees an
error message.
Configuring size limits on Advanced Threat Defense
We recommend setting all file size limits on Advanced Threat Defense to the same value. File size
limits can be set there using the set filesizes command.
We also recommend implementing this value on Web Gateway, for example, by creating a rule that
only forwards files for scanning to Advanced Threat Defense if they do not exceed the size limit.
For more information about default size limits on Advanced Threat Defense and the methods of
changing them, see the 『McAfee Advanced Threat Defense Product Guide』.
Web Gateway でのサイズ制限の設定
On Web Gateway, you can configure a rule that blocks files if they exceed a particular size limit. By
inserting this rule in a rule set for handling Advanced Threat Defense scanning activities, you can
make sure that only files with suitable sizes are passed on to Advanced Threat Defense.
If you have imported the library rule sets for Advanced Threat Defense, you can insert the size limiting
rule there. Some of these rule sets contain a rule for uploading web objects to Advanced Threat
Defense.
By inserting the size limiting rule before this rule, files that exceed the size limit are blocked and the
rule for uploading to Advanced Threat Defense is not executed.
サイズ制限の設定ルール
The following sample rule assumes that files must not exceed a size limit of 10 MB if they are to be
scanned by Advanced Threat Defense. It blocks files that exceed this limit.
[名前]
[Limit file size for scanning by Advanced Threat Defense]
[条件]
[Body.Size greater than 10000000)]
418
McAfee Web Gateway 7.6.2
[アクション]
–>
[Block<ATD size limit>]
Product Guide
Web フィルタリング
Advanced Threat Defense
12
To let the size check only apply to particular file types, suitable parts must be added to the rule
criteria. For example, if you only want to cover executable files, you can add a criteria part that uses
the [MediaType.IsExecutable] property.
To let the user who sent a request involving an over-sized object to the web know that and why this
request was blocked, you can configure appropriate settings for the block action. In the sample rule,
these settings are named [ATD size limit].
Advanced Threat Defense の使用を設定する
Web Gateway がスキャンした Web オブジェクトを Advanced Threat Defense でもスキャンするように設定で
きます。Advanced Threat Defense が Web オブジェクトに生成したスキャン レポートを Web Gateway で評
価し、このオブジェクトに対するアクセスを制御することもできます。
Web オブジェクトの既存のスキャン レポートを評価した場合、Web Gateway は、このオブジェクトに対して
Advanced Threat Defense による追加スキャンを実行しません。
タスク
•
419 ページの「Advanced Threat Defense によるスキャンを設定する」
Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するよ
うに設定できます。
•
420 ページの「既存の Advanced Threat Defense スキャン レポートの使用を設定する」
Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の
Advanced Threat Defense スキャン レポートを使用できます。
Advanced Threat Defense によるスキャンを設定する
Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するように設定でき
ます。
タスク
1
Advanced Threat Defense を設定して、ネットワークに統合します。
詳細については、『McAfee Advanced Threat Defense 製品ガイド』を参照してください。
2
Web Gateway のユーザー インターフェースで、次の操作を行います。
a
ルール セット ライブラリからいずれかのスキャン ワークフローのルール セットをインポートします。
これらのルール セットは、Gateway Anti-Malware ルール セット グループにあります。
•
Advanced Threat Defense - 追加スキャンの結果に応じて Web オブジェクトを転送します。
ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セットを
置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。
•
ATD - ファイルをすぐに使用可能にするオフライン スキャン - 追加スキャンの前に Web オブジェク
トを転送します。
McAfee Web Gateway 7.6.2
Product Guide
419
12
Web フィルタリング
Advanced Threat Defense
このルール セットをインポートすると、次の 2 つのルール セットがルール セット ツリーに表示されま
す。
•
ATD - オフライン スキャンの開始 - 追加スキャンを開始します。
ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セッ
トを置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。
•
ATD - オフライン スキャンの処理 - 開始後に追加スキャンを処理します。
ルール セット ツリーで、グローバルまたは共通の処理を実行するルール セットと特定のフィルタリン
グを実行するルール セットの間にこのルール セットを配置します。
たとえば、デフォルトのルール セット ツリーでは、このルール セットを 共通ルール ルール セット
と メディア タイプ フィルタリング ルール セットの間に置きます。
b
Web Gateway で Advanced Threat Defense のスキャンをモニタリングするには、ルール セット ライブ
ラリーから「ADT スキャン ログ」ルール セットと「ATD エラー時のブロック」ルール セットをインポー
トし、既存のログ ハンドラー ルール セットとエラー ハンドラー ルール セットにそれぞれ追加します。
c
必要に応じて、サポート メディア タイプのリストにメディア タイプを追加したり、リストからメディア タ
イプを削除します。ライブラリ ルール セットのいずれかをインポートすると、このリストの名前が
「Advanced Threat Defense サポート タイプ」になります。
ルール セットをインポートすると、ルール セットのキー要素ビューでリストを操作できます。
d
Web Gateway のスキャンを設定します。
デフォルトでは、これらの設定の名前は Gateway Anti-Malware になります。
ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。
e
Advanced Threat Defense のスキャンを設定します。
ライブラリ ルール セットのいずれかをインポートすると、これらの設定の名前が ゲートウェイ ATD になり
ます。
ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。
f
変更を保存します。
既存の Advanced Threat Defense スキャン レポートの使用を設定する
Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の Advanced Threat
Defense スキャン レポートを使用できます。
既存のスキャン レポートを使用する場合、いくつかのオプションがあります。以下の説明は、次のことが前提となっ
ています。
•
Advanced Threat Defense に手動でアップロードしてスキャンした Web オブジェクトにスキャン レポート
が生成されている。
•
レポートで Web オブジェクトが感染していないことが確認された場合に Web Gateway がアクセスを許可し、
レポートが存在しない場合にはアクセスをブロックする。
次の手順に従います。
420
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
タスク
1
既存の Advanced Threat Defense スキャン レポートを処理するルールを含むルール セットを作成します。
2
このルール セットで、次のルールを作成します。
3
4
•
ファイルのスキャン レポートを取得し、レポートが存在していない場合にファイルへのアクセスをブロック
するルール
•
スキャン レポートを評価し、レポートで感染が報告されている場合にファイルをブロックするルール
マルウェア対策モジュールのゲートウェイ ATD を設定します。
a
[前の検出結果を再利用...] が選択されていることを確認します。
b
(オプション) [最大検出期間] で、古いレポートを除外する時間制限を変更します。デフォルトの制限は 30
分です。
変更を保存します。
Advanced Threat Defense のキー要素を設定する
Advanced Threat Defense の追加スキャンでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要
なフィルタリング プロセスを適用します。
タスク
1
ルール セット ライブラリから [Advanced Threat Defense] または [ATD - ファイルをすぐに使用可能にす
るオフライン スキャン] ルール セットをインポートします。
2
ルール セット ツリーで、インポートしたルール セットを選択します。
スキャン プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
関連トピック:
421 ページの「Advanced Threat Defense を使用する場合のキー要素」
Advanced Threat Defense を使用する場合のキー要素
Advanced Threat Defense で Web オブジェクトの追加スキャンを実行するルールのキー要素は、このプロセスで
重要な部分を処理します。
追加スキャン用に実装されたルール セットのルールには異なるキー要素を設定できます。
•
•
Advanced Threat Defense - このルール セットを実装すると、以下のキー要素グループを設定できます。
•
次のサポート メディア タイプで Advanced Threat Defense を有効にする
•
Gateway Anti-Malware の設定
•
Gateway Advanced Threat Defense の設定
ATD - オフライン スキャンの開始 - このルール セットを実装すると、以下のキー要素グループを設定できま
す。
•
次のサポート メディア タイプで Advanced Threat Defense を有効にする
•
Gateway Anti-Malware の設定
McAfee Web Gateway 7.6.2
Product Guide
421
12
Web フィルタリング
Advanced Threat Defense
•
ATD - オフライン スキャンの処理 - このルール セットを実装すると、以下のキー要素グループを設定できま
す。
•
Gateway Advanced Threat Defense の設定
以下では、これらのルール セットのキー要素について説明します。
次のサポート メディア タイプで Advanced Threat Defense を有効にする
Advanced Threat Defense の追加スキャンの対象になる Web オブジェクトを選択する場合のキー要素
表 12-47 次のサポート メディア タイプで Advanced Threat Defense を有効にする
オプション
定義
[挿入するメディア タイ [編集] をクリックすると、ウィンドウが開き、ルールが使用する Advanced Threat
プ]
Defense のサポート メディア タイプ リストを編集できます。
他の条件も満たした場合、このリストのメディア タイプに該当する Web オブジェクト
だけが Advanced Threat Defense でスキャンされます。
リストに項目を追加したり、項目の変更や削除を実行できます。
Gateway Anti-Malware の設定
Advanced Threat Defense の追加スキャンの前に実行するマルウェア対策モジュールのスキャンを設定する場合
のキー要素
表 12-48 Gateway Anti-Malware の設定
オプション 定義
[設定]
[編集] をクリックすると、ウィンドウが開き、Web Gateway で使用可能なモジュール コンポーネン
トと併用される場合のマルウェア対策モジュールの設定を編集できます。
このスキャンは、Advanced Threat Defense のスキャンよりも前に実行されます。このスキャン結
果に応じて、Advanced Threat Defense による追加スキャンが実行されます。
Gateway Advanced Threat Defense の設定
Advanced Threat Defense の追加スキャンを設定する場合のキー要素
表 12-49 次のエージェントとホストでのスキャン回避
オプション 定義
[設定]
[編集] をクリックすると、ウィンドウが開き、Advanced Threat Defense でスキャンが実行される
場合の Web Gateway マルウェア対策モジュールの設定を編集できます。
Advanced Threat Defense の使用に必要な設定を行う
Web オブジェクトのスキャンに Advanced Threat Defense を使用するように、Web Gateway のマルウェア対策
モジュール (またはエンジン) を設定できます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [マルウェア対策] を展開し、Advanced Threat Defense の設定を選択し
ます。
Advanced Threat Defense ライブラリ ルール セットをインポートすると、これらの設定の名前が「ゲートウ
ェイ ATD」になります。
422
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
3
必要に応じて、これらの項目を設定します。
4
[変更の保存] をクリックします。
12
関連トピック:
424 ページの「Gateway ATD settings」
Advanced Threat Defense の使用状況のモニタリング
Web Gateway と一緒に使用する Advanced Threat Defense のスキャン活動は、いくつかの方法でモニタリング
することができます。
モニタリングは、Web Gateway と McAfee Content Security Reporter で実行できます。
Web Gateway での Advanced Threat Defense の使用状況のモニタリング
Web Gateway でルール セットのルールを実装すると、Advanced Threat Defense が実行するスキャン ジョブの
情報を記録し、ジョブ実行時に発生したエラーを処理できます。
また、ユーザー インターフェースのダッシュボードで Advanced Threat Defense のアクティビティを確認できま
す。
•
ログ ハンドラー - ルール セット ライブラリのロギング グループから「ATD スキャン ログ」ルール セットを
インポートします。
このルール セットに含まれるログ ルールは、Advanced Threat Defense から渡された Web オブジェクトに
Web Gateway が実行したスキャン ジョブに関する情報を記録します。
次のような情報を記録します。
•
スキャン結果の重大度
•
Advanced Threat Defense が実行されているサーバー
•
スキャン ジョブのタスク ID
•
スキャン ジョブのハッシュ値
このルール セットは、適切なプロパティを使用して、この情報を提供するログ エントリを作成します。
•
エラー ハンドラー - ルール セット ライブラリのエラー処理グループから「ATD エラー時にブロック」ルール
セットをインポートします。
このセットのブロック ルールは、Advanced Threat Defense がスキャン ジョブを実行しているときに発生し
たエラーを処理します。
このルールは、適切なエラー ID を条件として使用します。エラー ID の範囲は 14010 から 14012 までです。
「マルウェア対策エンジン エラーでのブロック」ルール セットのルールは、14002 から 14050 までのエラーに
対応します。したがって、
「ATD エラー時のブロック」ルール セットは、このマルウェア対策ルール セットの前
に配置する必要があります。
それ以外の場合に、
「ATD エラー時のブロック」ルール セットのブロック ルールは処理されません。マルウェア
対策エラーに関連するテキストを含む一般的なブロック メッセージがユーザーに送信されます。
McAfee Web Gateway 7.6.2
Product Guide
423
12
Web フィルタリング
Advanced Threat Defense
•
マルウェア対策プロパティ - Advanced Threat Defense のモニタリングで使用可能なプロパティがいくつか
あります。これらのプロパティの名前は Antimalware.MATD で始まります (例:
Antimalware.MATD.Server、Antimalware.MATD.Report)。
これらのプロパティは、「ATD スキャン ログ」ルール セットのログ ルールで使用されます。
Advanced Threat Defense がスキャン ジョブを実行すると、ジョブの結果が Antimalware.MATD.Report
プロパティの値に保存されます。このレポートは、JavaScript Object Notation (JSON) オブジェクトのデータ
構造を表す文字列として提供されます。
Antimalware.MATD.Report プロパティと一緒に JSON プロパティを使用すると、レポート情報を抽出でき
ます。
•
ダッシュボード - ダッシュボードのグラフと表に、特定の期間中に生成されたデータが表示されます。
•
[エグゼクティブ サマリー]:Advanced Threat Defense のスキャン結果によってブロックされた Web オ
ブジェクトの要求数
•
[マルウェア統計]:スキャンを実行するために Advanced Threat Defense に渡された Web オブジェクト
の数、スキャン結果によってブロックされた要求の数、スキャン時間
Content Security Reporter での Advanced Threat Defense の使用状況のモニタリング
®
Web Gateway と併用している場合、McAfee Content Security Reporter を使用すると、Advanced Threat
Defense のスキャン アクティビティのデータを収集できます。
•
データを収集するには、Web Gateway と Advanced Threat Defense の両方をログ ソースとして設定してく
ださい。
•
データを表示するには、Advanced Threat Defense が稼動するサーバーを登録します。 これにより、ダッシュ
ボード モニターでデータを確認できます。
詳細については、『McAfee Content Security Reporter 製品ガイド』を参照してください。
Gateway ATD settings
The [Gateway ATD] settings are used for configuring the use of Advanced Threat Defense for scanning
web objects that have been passed on to it from Web Gateway.
スキャン エンジンと動作を選択する
スキャン エンジンと感染を検出した場合の動作を選択します。
表 12-50 スキャン エンジンを選択する
オプション
定義
[Full McAfee coverage: The recommended When selected, the McAfee Gateway Anti-Malware engine
high-performance configuration]
is active.
このオプションはデフォルトで選択されています。
[Layered coverage: Full McAfee coverage
plus specific Avira engine features —
minor performance impact]
When selected, the McAfee Gateway Anti-Malware engine
and, for some web objects, also the third-party Avira
engine are active.
[Duplicate coverage: Full McAfee
coverage and Avira engine — less
performance and more false positives]
When selected, the McAfee Gateway Anti-Malware engine
and the third-party Avira engine are active.
[Avira only: Only uses Avira engine — not 選択すると、Avira エンジンのみがアクティブになります。
recommended ]
424
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
表 12-50 スキャン エンジンを選択する (続き)
オプション
定義
[McAfee Advanced Threat Defense only:
Send files to an MATD appliance for deep
analysis through sandboxing]
選択すると、Advanced Threat Defense のスキャンだけがアク
ティブになります。
This option is by default selected.
[エンジンがウイルスを検出した直後にウイル
ス スキャンを停止する]
選択すると、ウイルスまたはマルウェアに感染した項目を検出す
るとすぐに Web オブジェクトのスキャンを停止します。
MATD のセットアップ
Common part of the settings for configuring the use of Advanced Threat Defense
表 12-51 MATD のセットアップ
オプション
定義
[User name]
Specifies the user name that Web Gateway submits when trying to connect
to Advanced Threat Defense.
[Password]
Specifies the password that Web Gateway submits when trying to connect to
Advanced Threat Defense.
[設定] をクリックすると、パスワードの設定ウィンドウが開きます。
[Server list]
Advanced Threat Defense が実行されているサーバーのリストです。
[List of certificate
authorities]
ドロップダウン リストから既知の証明機関のリストを選択できます。
[Severity threshold to
indicate a malicious
file]
Advanced Threat Defense によるスキャン時に Web オブジェクト (ファイルなど)
で検出された不正な特徴を示す重大度のしきい値が表示されます。
Web Gateway と Advanced Threat Defense との通信が HTTPS プロトコルの SSL
セキュア モードで行われる場合に、この証明機関が参照されます。
If this threshold is reached, the object is classified as malicious and the value
of the [Antimalware.Infected] property is set to true.
スライダーを動かすと、しきい値を 0 から 5 (最大) までの間で設定できます。
[Reuse previous
detection, McAfee
Web Gateway will
retrieve latest report
from MATD based on
the hash of the file]
選択すると、Advanced Threat Defense による前回のスキャン時に設定された重大度
によって、Web オブジェクトが不正なオブジェクトかどうか判断されます。
[Maximum detection
age]
Sets the maximum time (in minutes) that a severity grade for a web object
can be used to classify the object as malicious or not.
このオプションを選択すると、次のオプションが使用可能になります。
The allowed time range is 1 to 999999 minutes.
デフォルトの最大時間は 30 分です。
[同じサンプルを分析す
る場合に実行中のタスク
を再利用する]
同じ Web オブジェクトを分析している場合、実行中のタスクが評価に使用されます。
[クライアント IP を
Advanced Threat Defense が実行されているサーバーに、Web オブジェクトのダウン
MATD サーバーに送信す ロード要求を送信したクライアントの IP アドレスが送信されます。
る]
以下の表では、サーバー リストの項目について説明します。
McAfee Web Gateway 7.6.2
Product Guide
425
12
Web フィルタリング
Advanced Threat Defense
表 12-52 サーバー リスト - リスト項目
オプション
定義
[文字列]
Advanced Threat Defense が実行されているサーバーの名前を指定します。
[コメント]
サーバーのコメントがテキスト形式で表示されます。
ネットワーク設定
Settings for configuring the connection to the server that Advanced Threat Defense runs on
表 12-53 ネットワーク設定
オプション
定義
[接続タイムアウ
ト]
接続の待機時間 (秒) が表示されます。この時間が経過すると、サーバーとの接続が終了しま
す。
デフォルトの時間は 5 秒です。
[スキャン タイム
アウト]
Advanced Threat Defense が Web オブジェクトをスキャンできる時間 (分と秒) が表示さ
れます。
この時間が経過すると、Web Gateway がエラーとして記録します。
[分] - タイムアウトまでの時間 (分) を指定します。
[秒] - タイムアウトまでの時間 (秒) を指定します。
デフォルトは 10 分です。
[ポーリング間隔]
Web オブジェクトのスキャン状況に関する情報を Advanced Threat Defense から取得する
間隔 (秒) が表示されます。
デフォルトの時間は 20 秒です。
McAfee Advanced Threat Defense ルール セット
[McAfee Advanced Threat Defense] ルール セットは、Web オブジェクトのフィルタリング時に Web Gateway
と Advanced Threat Defense の併用を有効にするライブラリ ルール セットです。
ライブラリ ルール セット - McAfee Advanced Threat Defense
条件 - Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals
60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported
Types
サイクル - 応答、埋め込みオブジェクト
ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。
•
Web Gateway のマルウェア対策エンジンの前のスキャン結果で、不正な Web オブジェクトの可能性が 60%
以上になっている場合。
•
オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合
このルール セットには、以下のルールが含まれます。
進行状況ページを有効にする
Always –> Continue – Enable Progress Page<Default>
このルールは、Web オブジェクトがクライアントにダウンロードされるときに進行状況をページに表示するイベン
トを有効にします。
426
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Advanced Threat Defense
12
可能性の高いメディア タイプだけを MATD に送信する
MediaType.EnsuredTypes at least one in list McAfee Advanced Threat Defense Exception
Types AND Antimalware.Proactive.Probability<Gateway Anti-Malware> less than 70 –>
Stop Rule Set
このルールには 2 つの条件が含まれています。これにより、Advanced Threat Defense で詳細なスキャンを行う
Web オブジェクトの範囲を限定しています。
条件の最初の部分では MediaType.EnsuredTypes プロパティが使用されています。これにより、処理対象の
オブジェクトがリストにあるメディア タイプに該当するかどうかを確認しています。 このリストは McAfee が管
理します。
また、Antimalware.Proactive.Probability プロパティにより、不正なオブジェクトの可能性が特定の値を下
回っているかどうかを確認しています。
両方の条件を満たすと (オブジェクトがリスト内のメディア タイプに該当し、マルウェアの可能性が設定値を下回
っている場合)、ルールが適用されます。
ルール セットの処理が停止し、ルール セットにある次のルールは処理されません。オブジェクトは Advanced
Threat Defense に転送されません。
ファイルを ATD にアップロードしてスキャン結果を待機する
Antimalware.Infected<Gateway ATD> –> Block<Virus Found> –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス
やマルウェアに感染しているかどうかを確認します。
この検査で必要なスキャンがゲートウェイ ATD の設定で実行されます。このスキャンは Advanced Threat
Defense によって実行されます。
オブジェクトで感染が見つかると、要求側のクライアントへのオブジェクトの転送を中止し、オブジェクトへのア
クセスを要求したユーザーにブロック メッセージを表示します。
このブロック アクションは統計カウンターで記録されます。
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ル
ール セット
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セットは、Web オブジェクトの
フィルタリング時に Web Gateway と Advanced Threat Defense の併用を有効にするライブラリ ルール セット
です。
このルール セットを実装すると、Advanced Threat Defense のスキャンを実行する前に要求元のユーザーに Web
オブジェクトが転送されます。ユーザーは、このオブジェクトをすぐに使用することができます。
スキャンの結果、Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者にメ
ッセージが送信されます。
このように Advanced Threat Defense を利用するスキャンをオフライン スキャンまたはバックグラウンド スキ
ャンといいます。
このルール セットをインポートすると、次の 2 つのルール セットが実装され、ルール セット ツリーに表示されま
す。
•
ATD - オフライン スキャンの開始
•
ATD - オフライン スキャンの処理
「ATD - ファイルをすぐに使用可能にするオフライン スキャン」という名前のルール セットは実装されません。
McAfee Web Gateway 7.6.2
Product Guide
427
12
Web フィルタリング
Advanced Threat Defense
ATD - オフライン スキャンの開始
このルール セットは、Advanced Threat Defense による追加スキャンを開始します。
ライブラリ ルール セット - ATD - オフライン スキャンの開始
条件 – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals
60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported
Types AND Body.Size less than 30000000
サイクル - 応答、埋め込みオブジェクト
ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。
•
Web Gateway の前のスキャン結果で、不正な Web オブジェクトの可能性が 60% 以上になっている場合。
•
オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合
•
Web オブジェクトが特定のサイズを超えていない場合
このルール セットには、以下のルールが含まれます。
ファイルをすぐに使用可能にするオフライン スキャン
Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed>
このルールが処理されると、Web Gateway に送信された Web オブジェクト要求に関連するすべてのデータが記
録されます。Web サーバーからの応答も記録されます。応答には、要求された Web オブジェクト (ファイルなど)
が含まれます。Web オブジェクトを含む応答は Web Gateway に保存されます。
Advanced Threat Defense でのスキャンを開始するため、Web Gateway で内部要求が作成されます。Web
Gateway は、内部要求に対する応答を待機し、要求が受け入れられ、スキャンが実行されるかどうかを確認しま
す。
Web Gateway の待機時間は、Antimalware.MATD.InitBackgroundScan プロパティのパラメーターに秒
単位で設定します。デフォルトは 5 秒です。この時間を変更数 r には、プロパティのパラメーターを編集します。
設定した時間内に内部応答に対する応答がない場合、プロパティが false に設定され、この条件に従ってルールが
適用されます。管理者にメッセージが送信され、Advanced Threat Defense の追加スキャンが実行できなかった
ことが通知されます。
時間内に応答を受信した場合、Web オブジェクトがユーザーに転送されます。
次のルール セットによって追加のスキャン処理が実行されます。
ライブラリ ルール セット - ATD - オフライン スキャンの処理
条件 – Antimalware.MATD.IsBackgroundScan equals true
サイクル - 応答、埋め込みオブジェクト
ルール セットの条件では、Antimalware.MATD.IsBackgroundScan の値が true の場合にルール セットが
適用されることを指定します。
前のルール セットのルールによって Advanced Threat Defense の追加スキャンが正常に開始した場合、true が設
定されます。この場合、Advanced Threat Defense がルールによって記録されているデータを使用して、要求され
た Web オブジェクトをスキャンします。
このルール セットには、以下のルールが含まれます。
ファイルを ATD にアップロードしてスキャン結果を待機する
Antimalware.Infected<Gateway ATD> equals true –> Continue –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
428
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
12
このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス
やマルウェアに感染しているかどうかを確認します。この検査で必要なスキャンがゲートウェイ ATD の設定で実
行されます。このスキャンは Advanced Threat Defense によって実行されます。
保存済みの Web オブジェクトが Web Gateway から Advanced Threat Defense に転送されます。
スキャンの結果、Web オブジェクトで感染が検出されると、統計カウンターに感染が記録されます。
ファイルをすぐに使用可能にするオフライン スキャン
Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set
User-Defined.MessageText =
"Client.IP:"
+ IP.ToString(Client.IP)
+ "Requested URL:"
+ URL
+ "Virus name:"
+ ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, ","
Email.Send ("Administrator@", "MATD offline scan detected a virus",
User-Defined.MessageText)<Default>
このルールが処理されると、Antimalware.Infected プロパティの値が true かどうか確認されます。
true の場合、Advanced Threat Defense が実行したスキャンでウイルスなどのマルウェア感染が検出されていま
す。
警告メッセージが生成され、Web オブジェクトへのアクセスを要求したユーザーのネットワーク管理者に送信され
ます。このメッセージには、前のルール セットのルールで記録された要求に関する情報が含まれます。
サイクルの停止
常時 –> Stop Cycle
このルールは処理サイクルを終了します。このルールは、先行するルールが処理された後に実行されます。
Data Loss Prevention
Data loss prevention (DLP) は、機密情報がネットワークから流出しないようにします。防御のプロセスでは、こ
のコンテンツを検出し、Web へ流出するトラフィックを適宜にブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する Data loss prevention ルール
•
data loss prevention のエントリを記入したデフォルトの分類およびディクショナリ
•
機密情報の検索を処理するルールによって呼び出される Data loss prevention モジュール
また、data loss prevention ルールを使用して、ネットワークへ流入しないように不適切なコンテンツを保持でき
ます。しかし、これはパフォーマンスへ影響を与える可能性があります。
data loss prevention プロセスは、要求または応答とともに送信される本文に含まれるテキスト、または、URL パ
ラメーターまたはヘッダーなど、要求または応答に含まれるその他テキストにも適用できます。
フィルタリング プロセスに対して、ICAP サーバーを使用する DLP ソリューションと共にアプライアンスを実行中
の場合、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確認するためにルール セットを施行で
きます。
McAfee Web Gateway 7.6.2
Product Guide
429
12
Web フィルタリング
Data Loss Prevention
Data loss prevention ルール
Data loss prevention は、アプライアンスのデフォルトによって実行されませんが、ライブラリから Data Loss
Prevention ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
data loss prevention ルールは、たとえばテキストが機密コンテンツを含む本文として送信される要求などをブロ
ックします。要求本文を提供するのが「true」かどうか検索するため、ルールは本文を検査するモジュールを呼び出
します。何が機密と見なされるか知るには、構成されたものに従って、システム リストのモジュールがデフォルトの
分類、またはディクショナリ エントリを参照します。
要求または応答が処理されたとき、本文が Body.Text プロパティの値として保管されます。本文が保管され、検査
される前に、抽出する必要があります。コンポジット オープナー モジュールはオープニング ジョブを実行します。
共通ルール ルール セットのルール セットにおけるルールは、デフォルトでオープナーを有効にします。
要求本文は、たとえば、Web へのアップロードが要求されるテキスト ファイルに存在する可能性があります。ルー
ル条件の適合した本文関連プロパティの値は、適用するルールおよびブロックの実行に「true」になります。
以下のルールは、この方法で DLP.Classification.BodyText.Matched を使用します。要求が本文に機密コンテ
ンツを含む場合、これは、これは data loss prevention モジュールによって検出されます。プロパティの値は true
に設定され、要求がブロックされます。
名前
SOX 情報でファイルをブロックする
条件
DLP.Classification.BodyText.Matched<SOX> equals true
アクション
–> Block<DLP.Classification.Block>
このルールが処理されるとき、data loss protection モジュールはその設定によって、企業の責任に対応する SOX
(サーベンス オクスリー法) 規制に関して機密コンテンツを検索する必要があることを知っています。
イベントをルールに追加し、data loss prevention の情報をログ記録するか、このルールによってブロックされた
要求が発生する頻度をカウントするカウンターをインクリメントできます。
デフォルトの分類およびディクショナリ エントリ
デフォルトの分類およびディクショナリ エントリは、data loss prevention で使用され、ネットワークからの流出
を防ぐ必要がある機密コンテンツを指定します。
システム リストとディクショナリの項目を使用して不適切なコンテンツ (差別的な表現や不快な表現など) を指定
し、ネットワークへの配信を防ぐことができます。このような方法で不適切なコンテンツを指定すると、要求に対す
る応答で Web サーバーから送信されたコンテンツをルールでブロックすることができます。
data loss prevention のライブラリ ルール セットは、応答サイクルの本文を処理するためにネストされたルール
セットを含みます。
430
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
12
デフォルトの分類およびディクショナリ エントリは以下の方法で異なります。
•
デフォルトの分類 — たとえば、クレジット カード番号、社会保険番号、医療診断データなど、異なる種類の機
密または不適切なコンテンツを検出するための情報を提供します。
デフォルトの分類は、システム リストのフォルダーおよびサブフォルダーに含まれており、アプライアンス シス
テムによって更新されます。リスト ツリーの [システム リスト] ブランチの [DLP 分類]の下で、システム リス
トを表示できますが、編集または削除はできません。
分類を処理するモジュールの設定を編集する場合、これらのリストのフォルダーから適合したサブフォルダーを
選択し、ネットワーク内の data loss prevention の分類とともにリストを作成できます。
•
ディクショナリ エントリ — たとえば、ネットワークから流出させるべきではないコンテンツを示唆する人物の
名前やキーワードなど、機密または不適切なコンテンツを指定します。
ディクショナリは、このリストを処理するモジュールの設定の一部として作成されます。
ディクショナリを作成し、機密または不適切なコンテンツに対してエントリを記入することは、システム リスト
のデフォルト分類を使用して何が可能かを超えて、data loss prevention プロセスの構成を意味します。この方
法でネットワークの要件に対してプロセスを合わせることができます。
Data Loss Prevention モジュール
data loss prevention モジュールのジョブ (エンジンとも呼ばれる) は、要求および応答の本文、および要求および
応答とともに送信される他のテキストで、機密または不適切なコンテンツを検出するためのものです。
アーカイブ ドキュメント、POST 要求の本文、およびその他など、複合オブジェクトが要求または応答とともに送信
される場合、data loss prevention プロセスにも含まれます。このようなオブジェクトを分析するため、data loss
prevention ルールは、埋め込みオブジェクト サイクルでも処理されます。
検出された data loss prevention モジュールによって、ルール条件の本文関連プロパティは、true または false
に設定されます。そのため、Web トラフィックは最終的にブロックまたは許可されます。
関連コンテンツを検出するためのリストの使用で異なる、2 つのモジュールがあります。
•
Data Loss Prevention (分類) — data loss prevention のためにシステム リストのデフォルトの分類を使
用します。
•
Data Loss Prevention (ディクショナリ) — data loss prevention に対して提供する機密および不適切な
コンテンツに、エントリとともにディクショナリを使用します。
モジュールの設定を構成するとき、検索するべきコンテンツを指定します。コンテンツを指定するデフォルトの分類
およびディクショナリは、設定パラメーターの間にあります。
data loss prevention の検索方法
ネットワークからの流出や流入をふせぐべきコンテンツの検索には異なる方法があります。
•
検索は、機密又は不適切として指定されるコンテンツの一部を含む、要求または応答本文を提供するか否かの検
索を目的にできます。
•
検索は URL パラメーターまたはヘッダーコンテンツの一部で開始し、構成されたものに従って、機密または不適
切かどうかを検索できます。
最初の方法として、サンプル ルールで既に表示された DLP.Classification.BodyText.Matched プロパティを
使用できます。
2 つ目に、DLP.Classification.AnyText.Matched プロパティを使用できます。このプロパティは、システム
リストまたはディクショナリにあるため確認されるコンテンツの一部のため、文字列のパラメーターを取得します。
McAfee Web Gateway 7.6.2
Product Guide
431
12
Web フィルタリング
Data Loss Prevention
作業しているものによって、システムリストと DLP.Dictionaries.BodyText.Matched、ディクショナリを備え
た DLP.Dictionaries.AnyText.Matched とともに、すでに述べた 2 つを使用できます。
Data Loss Prevention のログ記録
追加プロパティが、data loss prevention プロセスの結果をログ記録するために提供されます。ルールのイベント
を使用するなど、このデータをログ記録できます。
DLP.Classification.BodyText.Matched の値が、処理された要求または応答の本文に対して true の場合、以
下が関連ログ記録プロパティに適用されます。
•
DLP.Classification.BodyText.MatchedTerms は、本文から一致する用語のリストを含みます。
•
DLP.Classification.BodyText.MatchedClassifications は、一致する分類のリストを含みます。
DLP.Dictionary.BodyText.Matched の値が true の場合、DLP.Dictionary.BodyText.MatchedTerms
は一致するすべての用語のリストを含みます。
同じく、一致する用語と分類は、提供されたテキスト文字列の一致を検索する検索方法のため、ログ記録できます。
DLP.Classification.AnyText.Matched の値が true の場合:
•
DLP.Classification.AnyText.MatchedTerms は、本文以外のテキストで見つかった一致する用語のリス
トを含みます。
•
DLP.Classification.AnyText.MatchedClassifications は、本文以外のテキストで見つかった一致する分
類のリストを含みます。
一致がディクショナリにある場合、DLP.Dictionary.AnyText.Matched が true であり、
DLP.Dictionary.AnyText.MatchedTerms は一致する用語のリストを含みます。
data loss prevention 結果の情報は、ダッシュボードにも表示されます。
医療データの消失の防止
以下は、米国病院のネットワークから医療データの流出を防ぐことを保証する、data loss prevention の一例です。
医療データの消失を防ぐデフォルトの分類は、HIPAA (医療保険の携行性と責任に関する法律) フォルダーに含まれ
ています。このデフォルト情報に加えて、病院に勤務する医師の名前がディクショナリに入力され、ネットワークか
らデータが流出しないことを保証します。
この例で、data loss prevention を構成するために完了する必要があるアクティビティは以下です。
432
•
デフォルトの HIPAA 分類を含む Data Loss Prevention (分類) モジュールの設定を構成する
•
ディクショナリのエントリとして医師の名前を含む、Data Loss Prevention (ディクショナリ) モジュールの設
定を構成する
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
•
12
コンポジット オープナーを有効にするルールが有効になっていることを確認する
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
•
構成された設定に従って、コンテンツを確認するルールを作成する
ルールは、病院ネットワークから Web までデータをアップロードする要求のための、要求サイクルで適用される
ルール セットに含まれる必要があります。
ルール セットは、data loss prevention または自身で作成するルール セットの、デフォルトのルール セットの
ネストされたルール セットになる可能性があります。
この例として、ルールは要求本文に含まれたテキストのみを確認します。以下のようになります。
名前
HIPAA データと医師の名前の Prevent loss
条件
アクション
DLP.Classification.BodyText.Matched<HIPAA> equals
true AND
DLP.Dictionary.BodyText.Matched<Doctors'Names>
equals true
–
>
Block<DLP.Classification.Block>
Data Loss Prevention の構成
data loss prevention を構成して、ネットワークから流出しないように機密コンテンツを保持できます。不適切な
コンテンツが流入しないようにするためにも使用できます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから Data Loss Prevention ルール セットをインポートします。
2
ルールを確認し、必要に応じて変更します。
たとえば、以下のことが実行可能です。
•
デフォルトの分類を使用して data loss prevention の設定を構成する。
•
ディクショナリ エントリを使用して data loss prevention の設定を構成する。
•
その他の設定パラメーターを変更する。
•
独自のルールを作成する。
ライブラリ ルール セットを使用する代わりに、data loss prevention の独自のルール セットも作成できます。
3
Composite Opener が有効になっていることを確認したため、リクエストおよび応答を送信した本文を検査でき
ます。
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
4
ICAP で data loss prevention を実行する場合、ライブラリから他のルール セットをインポートし、必要に応
じてルールを変更できます。
5
変更を保存します。
McAfee Web Gateway 7.6.2
Product Guide
433
12
Web フィルタリング
Data Loss Prevention
デフォルトの分類を使用して Data Loss Prevention を構成する
システム リストからデフォルトの分類選択することで、data loss prevention を構成し、分類処理のための data
loss prevention モジュールの設定に含まれているリストに入力できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(分類)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント]フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[DLP 分類]のツールバーで、[編集]アイコンをクリックします。
[編集]ウィンドウが、デフォルト分類のサブフォルダーを含むフォルダーのツリー構造とともに開きます。
5
たとえば [SOX コンプライアンス]などのフォルダーを展開し、[コンプライアンス レポート]などのサブフォル
ダーを選択します。次に、[OK]をクリックします。
また、フォルダーのいくつかのサブフォルダーを一度に選択、異なるサブフォルダーからフォルダーを選択、ま
たは個別サブフォルダーすべてとともに完全なフォルダーを選択できます。
[編集]ウィンドウが閉じ、サブフォルダーが[DLP 分類]インライン リストに表示されます。
6
[変更の保存]をクリックします。
ディクショナリ エントリを使用して data loss prevention を構成する
data loss prevention のディクショナリにエントリとして、機密または不適切なコンテンツを指定するテキストと
ワイルドカード式を入力できます。
ライブラリ Data Loss Prevention ルール セットをインポートした後、機密または不適切なコンテンツを指定した
エントリが入力されたディクショナリの使用は、まだ実行されません。適切な設定を作成し、実行して、ディクショ
ナリにエントリを入力する必要があります。
タスク
434
•
435 ページの「ディクショナリの設定の作成」
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作
成する必要があります。
•
435 ページの「辞書のエントリーの入力」
辞書の設定を作成した後で、辞書のエントリーを入力できます。
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
12
ディクショナリの設定の作成
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作成する必要が
あります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(ディクショナリ)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
これで、ディクショナリにエントリを入力できます。
辞書のエントリーの入力
辞書の設定を作成した後で、辞書のエントリーを入力できます。
タスク
1
辞書エントリーを使用してデータ喪失防止のために作成した設定の中で、[辞書]インライン リストのツールバー
の[追加]アイコンをクリックします。
[DLP 辞書エントリーの追加]ウィンドウが開きます。
2
[検索するデータのタイプ]の下で、[テキスト]または[ワイルドカード式]を選択します。
3
[テキストまたはワイルドカード式]フィールドにテキスト文字列またはワイルドカード式を入力します。
4
[オプション] エントリーの追加情報を指定:
•
•
テキスト文字列を入力している場合、以下のオプションの 1 つまたはそれらの組み合わせを選択してくださ
い。
•
[大文字と小文字を区別]
•
[単語の先頭]
•
[単語の末尾]
ワイルドカード式を入力している場合は、[大文字小文字を区別]を選択するか、必要に応じてその選択を解除
します。
5 [オプション][コメント]フィールドで、エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[DLP 辞書エントリーの追加]ウィンドウが閉じて、辞書に新しいエントリーが表示されます。
エントリーを追加するには、ステップ 1 から 6 を繰り返します。
7
[設定の追加]で[OK]をクリックします。
このウィンドウは閉じ、新しい設定が[データ喪失防止(辞書)]の下の設定ツリーに表示されます。
McAfee Web Gateway 7.6.2
Product Guide
435
12
Web フィルタリング
Data Loss Prevention
Data Loss Prevention(分類)の設定
Data Loss Prevention(分類)設定は、機密またじゃ不適切なコンテンツを指定する分類 リストのエントリの構成
に使用されます。
DLP 分類パラメーター
機密または不適切なコンテンツを検索する場合、分類リストの使用を構成する設定
表 12-54 DLP 分類パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は選択したすべての分類に対して実行されます。ただし、以下の方法で構成することができ
ます。
• 最小 — 特定の分類で機密または不適切なコンテンツのインスタンスが検出された場合、または
インスタンスを検出できなかった場合に、検索を停止します。検索は次の分類に対して続行さ
れます。
これは、分類がすべて処理されるまで続行されます。
• 最大 — 検索では、特定の分類に対して機密または不適切なコンテンツのインスタンスをすべて
検索しようとします。1 つの分類に対して検索が完了したら、次で続行されます。
これは、分類がすべて処理されるまで続行されます。
[DLP 分類]
リスト ツリーの[DLP 分類]で提供されるシステム リストの分類リストでエントリを選択するた
めのリストを提供します。
次の表では、DLP 分類リストのエントリを説明しています。
表 12-55 DLP 分類パラメーター – リスト エントリ
オプション
定義
[DLP 分類]
機密または不適切なコンテンツの検出についての情報を提供するエントリを提供します。
[コメント]
エントリの平文テキストのコメントを提供します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 12-56 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention(ディクショナリ)の設定
Data Loss Prevention(ディクショナリ)設定は、機密または不適切なコンテンツを指定するテキストおよびワイ
ルドカード式の構成に使用されます。
DLP ディクショナリ パラメーター
密または不適切なコンテンツを指定するテキストおよびワイルドカード式の構成の設定
436
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
12
表 12-57 DLP ディクショナリ パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は作成したすべてのディクショナリのエントリに対して実行されます。ただし、以下の方法
で構成することができます。
• 最小 — 特定のディクショナリのエントリで機密または不適切なコンテンツのインスタンスが
検出された場合、またはインスタンスを検出できなかった場合に、検索を停止します。検索は
次のエントリに対して続行されます。
これは、エントリがすべて処理されるまで続行されます。
• 最大 — 検索では、特定のディクショナリのエントリに対して機密または不適切なコンテンツ
のインスタンスをすべて検索しようとします。1 つのエントリに対して検索が完了したら、次
で続行されます。
これは、エントリがすべて処理されるまで続行されます。
[ディクショナ
リ]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列およびワイルドカード式
のリストを提供します。
次の表では、[ディクショナリ] リストのエントリを説明しています。
表 12-58 ディクショナリ – リスト エントリ
オプション
定義
[テキストまたはワイルドカード
式]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列および
ワイルドカード式を指定します。
[コメント]
テキスト文字列またはワイルドカード式の平文テキスト形式のコメントを提供
します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 12-59 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Dictionary.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention ルール セット
Data Loss Prevention (DLP) ルール セットは、ネットワークからの機密コンテンツの流出や不適切なコンテンツ
の流入を防ぐライブラリ ルール セットです。
デフォルト ルール セット – Data Loss Prevention (DLP)
条件 — Always
サイクル – Requests (and IM), responses, embedded objects
McAfee Web Gateway 7.6.2
Product Guide
437
12
Web フィルタリング
Data Loss Prevention
以下のルール セットは、このルール セット内にネストされています。
•
要求サイクルの DLP
•
応答サイクルの DLP
このルール セットは、デフォルトでは有効になっていません。
要求サイクルの DLP
このネストされたルール セットは、機密情報が含まれていることが確認された場合、ネットワークのクライアントか
ら Web サーバーへ送信される要求をブロックします。たとえば、機密コンテンツを含むファイルの Web へのアッ
プロード要求をブロックします。
ネストされたライブラリ ルール セット - 要求サイクルの DLP
条件 – Cycle.TopName equals "Request"
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、要求がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
HIPAA 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <HIPAA> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
テキストは、、HIPAA ヘルスケア規制に従って、機密コンテンツであるとみなされます。関連情報の死湯は、モジ
ュール設定の一部として構成され、プロパティ名の後に指定されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
Payment Card Industry 情報によるファイルのブロック
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
テキストは、、ペイメント カードへ適用される規制に従って、機密コンテンツであるとみなされます。クレジット
カード番号は、たとえば、これらの規制のもとでコンテンツとなる可能性があります。テキスト内に機密コンテン
ツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
SOX 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
438
McAfee Web Gateway 7.6.2
Product Guide
Web フィルタリング
Data Loss Prevention
12
株式公開企業の説明責任が規定されている SOX (Sarbanes-Oxley) 法により、機密コンテンツが定義されていま
す。たとえば、この法律では取締役会の議事録は機密コンテンツになります。機密コンテンツは、HIPAA 関連のル
ールと同じ方法で検出されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
DLP 応答サイクル
このネストされたルール セットは、差別的または攻撃的な言葉など、不適切なコンテンツを含んでいることがわかっ
た場合、Web サーバーからアプライアンスで受け取った応答をブロックします。
ネストされたライブラリ ルール セット – DLP 応答サイクル
条件 – Cycle.TopName equals "Response"
サイクル - 応答、埋め込みオブジェクト
ルール セット条件は、応答がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
有効な使用
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されている応答の本文を確認します。このテキストは、たとえば、ダウンロード要求に応答
するファイルに存在する可能性があります。
ルールによって、応答に不適切なコンテンツが含まれるかどうか検査するモジュールが呼び出され、分類リストか
ら適切な情報を使用します。これらのリストの使用は、モジュールの設定でプロパティ名の後に指定します。
応答本文のテキストに不適切なコンテンツが含まれている場合、応答はブロックされます。ブロック アクションの
設定は、応答が転送されるユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
ICAP サーバーを使用した Data Loss Prevention
フィルタリング プロセスを処理する ICAP サーバーで Data Loss Prevention を実施すると、アプライアンスと
ICAP サーバーの間のデータのスムーズなフローを確保するために、設定を構成し、ルール セットを施行することが
できます。
Data Loss Prevention のために、nDLP と呼ばれるソリューションを使用できます。このソリューションの中で、
ユーザーがネットワークから Web にアップロードするデータは、Data Loss Prevention のためにフィルタリング
されます。フィルタリングは ICAP サーバーで実行されます。データ フローは、以下のとおりです。
•
ユーザーのクライアント システムから送信されたデータは、アプライアンスに転送されます。
•
アプライアンスは、ユーザー データで REQMOD リクエストを ICAP サーバーに送信する ICAP クライアントを
備えています。
•
リクエストは ICAP プロトコルに従ってそれらを変換することでサーバーでフィルタリングされ、リクエストの
宛先となる Web サーバーに渡されます。
ライブラリから ICAP による Data Loss Prevention ルール セットをインポートした後で、アプライアンス上で
施行されるルールは ICAP サーバーへのリクエストの送信を制御します。
McAfee Web Gateway 7.6.2
Product Guide
439
12
Web フィルタリング
Data Loss Prevention
これらのルールに従って、リクエストは以下のような場合は転送されません。
•
リクエストの本文にデータがなく、リクエストに URL パラメーターが含まれない。
•
リクエストの本文が指定されたサイズ(デフォルト: 50 MB)を超えている。
ルール セットと共に、構成する必要がある設定がインポートされます。これらには、アプライアンスがリクエストを
転送できる ICAP サーバーのリストが含まれます。
また、特定の ICAP サーバーが同時に処理できるよりも多くの接続をリクエスト送信のために開かないように、アプ
ライアンスの ICAP クライアントを構成することもできます。
data loss prevention の ICAP サーバー リストの作成
フィルタリング データの ICAP サーバーを使用する、data loss prevention の nDLP を実行する場合、これらの設
定のリストを構成する必要があります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ICAP クライアント]を選択し、[ReqMod] 設定をクリックします。
3
必要に応じて、これらの設定で指定された ICAP サーバー リストを構成します。
4
[変更の保存]をクリックします。
ICAP クライアントの設定
ICAP クライアントの設定は、アプライアンスの ICAP クライアントと ICAP サーバーの間で REQMOD モードの通
信を構成するために使用されます。
ICAP サービス
アプライアンスの ICAP クライアントがリクエストを送信する ICAP サーバーの設定
表 12-60 スキャン エンジンの選択
オプション
定義
[ICAP サーバーのリスト] ICAP 通信で使用するサーバーのリストが表示されます。
ICAP クライアントからの要求は、選択したリストのサーバーにラウンドロビン モード
で送信されます。 このため、このリストは 60 秒間隔でチェックされます。
次の表では、サーバー リストの ICAP サーバーのエントリーを説明しています。
表 12-61 ICAP サーバーのリストのエントリー
オプション
定義
[URI]
ICAP サーバーの URI が表示されます。
形式:ICAP://<IP アドレス>:<ポート番号>
[最大同時接続数制限を保持] 選択すると、アプライアンスの ICAP クライアントは要求送信時に、ICAP サーバー
が処理可能な数以上の接続を開かないようになります。
[コメント]
440
McAfee Web Gateway 7.6.2
ICAP サーバーの平文コメントを提供します。
Product Guide
Web フィルタリング
Data Loss Prevention
12
ICAP ルール セットの Data Loss Prevention
ICAP ルール セットの Data Loss Prevention は、data loss prevention のソリューションで、アプライアンスと
ICAP サーバー間のデータ フローを構成するライブラリ ルール セットです。
ライブラリ ルール セット – ICAP の Data Loss Prevention
条件 — 条件 — URL.Host は “ ”と等しくありません
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、アプライアンスにリクエストで送信される URL のホスト名を見つけることができるときにル
ール セットが適用されることを指定します。
このルール セットは、以下のルールを含みます。
情報をもたないリクエストをスキップする
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule
Set
このルールは、リクエストに空の本文があるかどうかをチェックする Body.Size プロパティを使用します。また、
ListOfString.IsEmpty プロパティを使用して、リクエストが URL パラメーターをもつかどうかチェックしま
す。
この条件の 2 つの部分の 1 つが一致する場合、ルール セットの処理が停止し、リクエストが ICAP サーバーに転
送されません。
50 MB を超える本文をスキップする
Body.Size greater than 52428800 –> Stop Rule Set
ルールは Body.Size プロパティを使用して、リクエストの本文が 50 MB を超えないかどうかを確認します。50
MB を超える場合、ルール セットの処理が停止し、リクエストは ICAP サーバー転送されません。
ルール セットの条件で、要求本文の上限サイズがバイト数で指定されています。
ReqMod サーバーのコール
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
ルール セットの最初の 2 つのルールに従ってリクエストがフィルタリングを通過するときに、ICAP サーバーに転
送されます。それが行われると、ICAP.ReqMod.Satisfaction プロパティが true になります。
ルールはこれがリクエストであるかどうか、現在のサイクルの処理を最終的に停止するかどうかをチェックします。
McAfee Web Gateway 7.6.2
Product Guide
441
12
Web フィルタリング
Data Loss Prevention
442
McAfee Web Gateway 7.6.2
Product Guide
13
サポート機能
Web Gateway also provides functions, such as web caching or progress indication that do not
themselves filter web objects, but support the filtering process in different ways.
目次
Default and library functions supporting web filtering
Web キャッシング
進行状況の表示
帯域幅スロットル
ネクスト ホップ プロキシ
Default and library functions supporting web filtering
Some of the functions that support web filtering are implemented by rule sets of the default rule set
systems. Rule sets for other functions can be imported from the library.
The default rule sets for supporting functions are all embedded in the [Common Rules] rule set. Rule
sets for web caching, progress indication, file opening, and other functions can be found here.
The library provides rule sets for bandwith throttling and the use of next-hop proxies for web access.
Web キャッシング
Web キャッシュは、アプライアンスに置かれ、クライアント リクエストへの応答をスピードアップするために、Web
オブジェクトを保管するためのものです。
アプライアンスの Web キャッシュの使用は、ルール セット内のルールで管理されます。
Web キャッシュ ルール セットがアプライアンスで実装されているかどうかを確認するには、[ポリシー]トップレベ
ル メニューの[ルール セット]タブのルール セットのシステムを見直してください。
何も実装されていない場合、Web キャッシュ ライブラリ ルール セットをインポートできます。このルール セット
をインポートした後で、ネットワークに合わせて[ルール セット]タブでそれを見直し、変更することができます。代
わりに、固有のルールでルール セットを作成することもできます。
Web キャッシュ ルール セットは、一般的に、キャッシュからオブジェクトを読み取ったり、それに書き込むルール
を含みます。
さらに、読み取りまたは書き込みからオブジェクトを除外するバイパス ルールも設定できます。
McAfee Web Gateway 7.6.2
Product Guide
443
13
サポート機能
Web キャッシング
Web キャッシュの有効化の検証
Web キャッシュが有効化されているかどうかを検証することができます。
タスク
1
[構成][アプライアンス]を選択します。
2
アプライアンス ツリーで、Web キャッシュの有効化を検証するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[Web キャッシュ]セクションにスクロール ダウンして、[キャッシュを有効にする]が選択されているかどうかを
確認します。必要な場合、このオプションを有効にします。
4
必要な場合、[変更を保存]をクリックします。
Web キャッシュ ルール セット
Web キャッシュ ルール セットは、Web キャッシュのためのライブラリ ルール セットです。
ライブラリ ルール セット - Web キャッシュ
条件 — Always
サイクル — Requests (and IM) and responses
以下のルール セットは、このルール セット内にネストされています。
•
キャッシュからの読み取り
•
キャッシュへの書き込み
キャッシュからの読み取り
このネストされたルール セットは、キャッシュからの Web オブジェクトの読み取りを有効にし、バイパス リスト
の URL についてはそれを禁じます。
ネストされたライブラリ ルール セット - キャッシュからの読み取り
条件 — Always
サイクル - リクエスト(および IM)
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
444
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
Web キャッシング
13
キャッシュへの書き込み
このネストされたルール セットは、キャッシュへの Web オブジェクトの書き込みを有効にし、大きなオブジェクト
のみならず、特定のバイパス リストの URL とメディア タイプに対して禁じられます。
ネストされたライブラリ ルール セット - キャッシュへの書き込み
条件 — Always
サイクル — Responses
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
McAfee Web Gateway 7.6.2
Product Guide
445
13
サポート機能
進行状況の表示
進行状況の表示
オブジェクトのダウンロードの進行状況を Web オブジェクトのダウンロードを開始したユーザーに示すプロセスで
す。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する進行状況表示ルール
•
進行状況の表示の様々な方法を扱うために、ルールによりコールされる進行状況表示モジュール
進行状況表示ルール
進行状況表示を制御するルールは、1 つのルール セットに含まれます。さまざまなルールが、進行状況表示のさまざ
まな方法の使用を制御します。適宜、これらの方法を扱うためのさまざまなモジュールをコールします。
アプライアンスでは、進行状況表示に 2 つの方法が利用可能です。ダウンロードに適した方法がどちらであるかは、
ユーザーがダウンロード リクエストを送信するブラウザーによります。
•
進行状況ページ — Mozilla ブラウザー。
この方法の下で、進行状況バーのある 1 つのページがダウンロードを開始するユーザーに示され、ダウンロード
の完了に対して別のページが示されます。
•
データ トリックル — ほかのすべてのブラウザーの場合
この方法の下で、Web オブジェクトがチャンクで、特定の転送率でユーザーに送信されます。
進行状況表示は、デフォルトのルール セット システムでは実施されません。ライブラリ ルール セットは、これらの
機能を提供します。その名前は、進行状況の表示です。
このルール セットを施行し、ルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
進行状況表示モジュール
2 つの進行状況表示モジュール(エンジンとも呼ばれる)は、以下のようなさまざまな方法の進行状況表示を扱うた
めに使用できます。
•
進行状況ページ モジュール — 進行状況ページ方法の場合
•
データ トリックル モジュール — データ トリックル方法の場合
これらの方法を扱う方法を変更するために、これらのモジュールの設定を構成できます。
進行状況ページ方法に使用される 2 ページを構成するためのテンプレートが提供されます。ユーザー メッセージの
テンプレートと同じ方法で設定できます。
進行状況の表示の構成
進行状況の表示を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
446
1
ライブラリから進行状況の表示ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
進行状況の表示
13
たとえば、以下の操作を実行できます。
•
•
3
進行状況ページ モジュールの設定を構成します:
•
進行状況ページに特定の言語を選択します
•
進行状況ページのテキストを変更します
•
ダウンロード後にページが利用可能な時間のタイムアウトなど、ダウンロード ページのタイムアウトを指
定します。
データ トリックル モジュールの設定を構成します:
•
トリックル プロセスにおける最初のチャンクのサイズ
•
転送レート
変更を保存します。
進行状況の表示モジュールの構成
進行状況の表示モジュールを構成し、Web オブジェクトをダウンロードする進行情報がユーザーに表示される方法
を変更できます。
進行状況の表示に 2 つの異なるモジュールがあります。進行状況ページおよびデータ トリックル モジュール。
タスク
1
[ポリシー][ルール セット]を選択します。
2
ルール セット ツリーで、進行状況の表示のためにルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これは進行状況の表示です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
構成するものにしたがって、進行状況ページ モジュールを呼び出す、またはデータ トリックル モジュールを呼
び出すルールを検索します。
ライブラリ ルール セットで、ルール進行状況ページを有効にする および データ トリックルを有効にするがあり
ます。
5
適切なルールのルール イベントで、設定名をクリックします。
[設定の編集]ウィンドウが開きます。進行状況ページまたはデータ トリックル モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
449 ページの「データ トリックル設定」
453 ページの「進行状況の表示(ルール セット)
」
McAfee Web Gateway 7.6.2
Product Guide
447
13
サポート機能
進行状況の表示
進行状況ページ設定
進行状況ページ設定は、Web オブジェクトをダウンロードしているときに、ユーザーに示される進行状況ページを
設定するために使用されます。
進行状況ページ パラメーター
進行状況ページの設定
表 13-1 進行状況ページ パラメーター
オプション
定義
[テンプレート]
進行状況ページで使用されるテンプレートの設定を提供します。
[タイムアウト]
進行状況ページに関連するタイムアウトの設定を提供します。
テンプレート
進行状況ページで使用されるテンプレートの設定
表 13-2 テンプレート
オプション
定義
[言語]
進行状況ページの言語を選択する設定を提供します。
• [オート (ブラウザー)]— 選択すると、ブロックされた要求が送信されたブラウザーの言語でメッ
セージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示されます。
• [‘Message.Language’ プロパティの値] — 選択すると、 Message.Language プロパティの値
である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[コレクショ
ン]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための [テンプレート コレクションの追加] ウ
インドウを開きます。
• [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。
[進行状況バ
テンプレートを選択するリストを提供します。
ー ページのテ
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
ンプレート
名]
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
[ダウンロー
ド終了ページ
のテンプレー
ト名]
テンプレートを選択するリストを提供します。
[ダウンロー
ド取り消しペ
ージのテンプ
レート名]
テンプレートを選択するリストを提供します。
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
タイムアウト
進行状況ページに関連するタイムアウトの設定
448
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
進行状況の表示
13
表 13-3 テンプレート
オプション
定義
[進行状況ページへのリダイレクト遅延] 進行状況ページが表示されるまでの経過時間 (秒単位) を指定値に制限し
ます。
[ダウンロード前のファイルの使用期間] ダウンロードの前にファイルが使用不能になるまでの経過時間 (分) を制
限します。
[ダウンロード後のファイルの使用期間] ダウンロードの後にファイルが使用不能になるまでの経過時間 (分) を制
限します。
データ トリックル設定
データ トリックル設定は、ユーザーが Web オブジェクトのダウンロードを開始したときに、適用されるデータ ト
リックル プロセスの構成に使用されます。
データ トリックル パラメーター
データ トリックル モードで転送される Web オブジェクトの一部の設定
表 13-4 データ トリックル パラメーター
オプション
定義
[最初のチャンクのサイ
ズ]
データ トリックル方法を使用して転送される Web オブジェクトの最初のチャンクの
サイズ(バイト単位)を指定します。
[転送レート]
5 秒ごとに転送される Web オブジェクト部分を指定します。
転送レートは、転送されるすべてのボリュームの 1000 分の 1 にここで設定した値を
掛けたものになります。
Best practice: Working with progress indication methods
To provide progress indication for a user who requested a file upload or download, you can work with
suitable progress indication methods according to your working environment.
The following methods are available:
•
Progress pages — Progress pages keep the user informed about downloading and scanning times
and provide a link for obtaining the completely processed file.
We recommend using progress pages as the default method. Apply other methods only if progress
pages are not eligible, for example, when the web browser used for downloading is not
Mozilla-compatible.
When the default [Progress Indication] rule set is implemented, use of progress indication methods
follows this recommendation.
•
Data trickling — Data trickling informs the user about the estimated overall processing time
without indicating the portion that is required for anti-malware scanning.
This method can, however, be used for any kind of download regardless of the web browser type.
•
FTP upload timeout prevention — This method can only be used for uploading files when Web
Gateway is configured to run as an FTP proxy.
The upload is not performed using a web browser, but requires a standalone FTP client, which can
be implemented, for example, using Filezilla.
McAfee Web Gateway 7.6.2
Product Guide
449
13
サポート機能
進行状況の表示
Working with progress pages
You can use progress pages with web browsers that are Mozilla-compatible. Taking packet captures
allows you to track the progress indication workflow and detect issues.
Mozilla-compatible browsers
Progress pages only work for web browsers that announce their compatibility with Mozilla in the
User-Agent headers of HTTP requests. This includes, for example, Mozilla Firefox, Microsoft Internet
Explorer, Google Chrome, and Safari, but not Opera.
A packet capture of an HTTP request created, for example, using Wireshark, shows whether your
browser is Mozilla-compatible. The capture contains a line about the User-Agent, such as the
following:
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR
1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR
3.5.30729)
This line shows that your browser is Microsoft Internet Explorer (MSIE) and that it is indeed
Mozilla-compatible. For other browsers, the User-Agent lines might look as follows.
Firefox:
User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:23.0) Gecko/20100101 Firefox/23.0
Chrome:
User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/
29.0.1547.57 Safari/537.36
Safari:
User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/
5.1.7 Safari/534.57.2
Opera:
User-Agent: Opera/9.80 (Windows NT 5.2) Presto/2.12.388 Version/12.15
The line shows that this browser is not Mozilla-compatible.
Workflow for progress pages
When progress pages are enabled on Web Gateway, a page showing the download and scanning
progress is provided, as well as a page that announces download completion and offers a link for
obtaining the fully downloaded file.
450
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
進行状況の表示
13
By creating packet captures with, for example, Wireshark, you can track the workflow as needed to
detect issues. In the following example, three devices with the following IP addresses appear in the
workflow:
•
A client of Web Gateway: 10.10.80.1
•
Web Gateway: 10.10.80.57
•
A web server: 10.10.80.200
The workflow includes the following main steps.
1
A client sends a request for downloading a large file from a web server.
<message number and timestamp> 10.10.80.1 3365 10.10.80.57 9090 HTTP 596 GET http://
10.10.80.200/big_archive.zip
2
Web Gateway redirects the client to the progress page, sending the following HTTP status: 307
Moved Temporarily.
The redirection specifies a location with the same IP address as in the request that was originally
sent by the client, but with the subdirectory information changed to enable redirection to the
progress page.
Location: http://10.10.80.200/mwg-internal/de5fs23hu73ds/progress?id=kw0Rd85RXX
3
The client opens a new TCP connection to Web Gateway, sends a request for the location that it
was redirected to, and starts downloading the progress page.
The download begins with a message that contains the following request.
GET http://10.10.80.200/mwg-internal/de5fs23hu73ds/progress?id=29qNbsp9oR HTTP/1.1
Due to the mwg-internal subdirectory information in the request, Web Gateway knows that the
requested page is locally available. It provides this page to the client, rather than querying the web
server that is identified by the IP address in the request.
4
After downloading the progress page, the client requests an update from Web Gateway every five
seconds, for example, as follows.
GET http://10.10.80.200/mwg-internal/de5fs23hu73ds/progress?id=29qNbsp9oR&a=1&13771061
54955 HTTP/1.1
5
Web Gateway responds according to the progress made, sending the following HTTP status: 200
OK. With this status, line-based text data is sent to indicate the progress.
The text data includes five values with particular meanings.
•
For example, in the following response, the text data indicates that Web Gateway has started
downloading the requested file.
16.3 MB; 204.5 MB; 7; 0; 0
McAfee Web Gateway 7.6.2
Product Guide
451
13
サポート機能
進行状況の表示
The meaning of each value in this response is as follows.
•
1 – Amount of data downloaded so far from web server
•
2 – Total amount of data to be downloaded
•
3 – Percentage of download completion
•
4 – Anti-malware scanning complete? (0 = No, 1 = Yes)
•
5 – Time (in seconds) consumed so far by anti-malware scanning
So, here the text data indicates that Web Gateway has already downloaded 16.3 MB from a file
that is 204.5 MB large, which amounts to 7 percent, and that anti-malware scanning has not
started yet.
•
In this response, the text data indicates that Web Gateway has downloaded the file and started
anti-malware scanning, which is not yet complete.
204.5 MB; 204.5 MB; 100; 0; 153
•
In this response, the text data finally indicates that Web Gateway has completed anti-malware
scanning.
204.5 MB; 204.5 MB; 100; 1; 4512
The web browser now presents the user with a link for downloading the requested file to the client.
Workflow for data trickling
When data trickling is enabled, Web Gateway downloads a requested file and sends tiny pieces of it to
the requesting client.
This keeps the connection alive while Web Gateway downloads the whole file and scans it for
infections. This means that while the scanning process is going on, the data moves at a very slow
rate.
If Web Gateway detected an infection after the file had been completely downloaded, only a small
amount of the file would have been passed on. So the client would not have received enough
malicious data to let any harm be caused.
In more detail, the workflow for data trickling is as follows.
1
Web Gateway sends an initial chunk, which is 4,096 bytes long, followed by 1 byte for every 1,000
that are downloaded, as long as the file is scanned for infections.
As estimations of the download time are provided by the web browser, which is not aware of any
Web Gateway activities, estimated download times look extremely long to the user at the
beginning.
For example, about 58 hours are estimated for downloading a 204 MB file, as shown in the
following lines within the web browser.
big_archive.zip from 10.10.80.200
Estimated time left 58 hr 10 min (4.80 KB of 204 MB copied)
Download to: C:\Documents and Settings\big_archive.zip
2
452
When Web Gateway has finished anti-malware scanning and found no infections, it sends the
remaining portion of the file to the client at full network speed.
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
進行状況の表示
13
Workflow for FTP upload timeout prevention
When FTP upload timeout prevention is enabled, Web Gateway sends progress indication messages to
the FTP client that sent a file for uploading to an FTP server.
The messages are sent every five seconds. This keeps the TCP connection alive and gives Web
Gateway time to scan the file for infections.
The messages can be viewed on the FTP server using, for example, the Filezilla tool that was also used
to install the FTP client.
In more detail, the workflow for FTP upload timeout prevention is as follows.
1
Web Gateway uploads a file from the client and starts anti-malware scanning. While the scanning is
in progress, Web Gateway sends a progress indication message to the client every five seconds.
Response: 150 File status OK; about to open data connection.
Response: 226-data processing in progress
Response: 226-data processing in progress
...
When the file has been uploaded to Web Gateway, this is indicated by a completion message.
C:\Documents and Settings ...
-->
/home admin small_archive.zip
876,241
Normal
Transferring
00:00:00 elapsed
-:-:-left
100%
876,241 bytes
The file is not yet visible, however, on the FTP server.
2
After Web Gateway has finished anti-malware scanning and found no infection, it uploads the file to
the FTP server and sends a status message to the FTP client.
...
Response: 226-data processing in progress
Response: 226-data processing in progress
Response: 226 File receive OK
Status: File transfer successful, transferred 876,241 bytes in 26 seconds
The file is now visible on the FTP server.
進行状況の表示(ルール セット)
進行状況の表示ルール セットは、ユーザーの Web オブジェクトのダウンロードの進行状況を示すライブラリ ルー
ル セットです。
ライブラリ ルール セット — 進行状況の表示
条件 - MediaType.FromHeader does not equal text/html
サイクル — Requests (and IM), responses, embedded objects
ユーザーが送信した要求に対する応答で Web から戻されたメディアがテキスト形式または HTML 形式でない場合
に、このルール セットが適用されます。
このルール セットは、以下のルールを含みます。
McAfee Web Gateway 7.6.2
Product Guide
453
13
サポート機能
帯域幅スロットル
進行状況ページを有効にする
Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable
Progress Page <Default>
このルールは、Mozilla ブラウザーの進行状況ページを有効にします。イベント設定は、進行状況ページの外観(た
とえば、使用する言語など)を指定します。
FTP アップロードのタイムアウト防止
URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable
FTP Upload Progress Indication
FTP プロトコルで Web にアップロードするファイルがクライアントから送信されると、このルールにより、FTP
アップロードの進行状況表示機能が有効になります。
アップロードの実行中、アップロードの進行状況を表すメッセージがクライアントに送信されます。これにより、
アップロードに時間がかかる場合にクライアントでのタイムアウトの発生を防ぎます。
アップロードするファイルに対してウイルスやマルウェアのスキャンが実行されると、この問題が発生する可能性
があります。
データ トリックルを有効にする
Always –> Stop Rule Set – Enable Data Trickling<Default>
このルールは、Mozilla 以外のすべてのブラウザーのデータ トリックルを有効にします。イベント設定は、トリッ
クルに使用されるチャンクおよびブロックサイズを指定します。
帯域幅スロットル
You can limit the speed for uploading and downloading data to the appliance in a process also known
as bandwidth throttling.
特定のタスクが個別にオブジェクトを Web にアップロードするか、Web から大きいダウンロードをリクエストす
る、その他のユーザーによる影響の完了が必要なネットワーク パフォーマンス状況を避けるなど、帯域幅スロットル
を使用できます。
Two methods of bandwidth throttling are available on Web Gateway.
•
Basic bandwidth throttling — Using this method you can limit the speed of data transfer from a
client to a Web Gateway appliance and from the appliance to a web server.
•
Bandwidth throttling using classes — Using this method you can limit the speed of data
transfer from a client to a Web Gateway appliance and from the appliance back to the client, as
well as from an appliance to a web server and from the web server back to the appliance.
When using this method, you configure bandwidth throttling classes that cover different ranges of
transferring speed.
You can also limit the speed of data transfer performed for traffic that does not use the proxy
functions of Web Gateway, which means that the rules for your web security policy are not
applicable.
This traffic originates, for example, when Web Gateway log files are uploaded to an external server
or data is downloaded from an external server to update information required for performing
filtering functions on Web Gateway.
454
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
帯域幅スロットル
13
Basic bandwidth throttling
Basic bandwidth throttling limits the transferring speed when user upload objects to the web or
download them.
Events in bandwidth throttling rules
Two events are available for use in rules that control bandwidth throttling:
•
Throttle.Client — Limits the speed of data transfer from a client to the appliance
This is the case when a client sends a request for uploading an object to a web server and the
request is intercepted on the appliance together with the object.
•
Throttle.Server — Limits the speed of data transfer from a web server to the appliance
In this case, there has been a client request to download an object from a web server, and after
this request has been filtered on the appliance and forwarded, the web server sends the object in
response.
Bandwidth throttling rule for uploads
The following is an example of a rule that can execute bandwidth throttling rule for uploads.
Limit upload speed for hosts on throttling list
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
The rule uses the Throttle.Client event to limit the speed with which uploads are performed to 10
Kbps if the web server that the data should be uploaded to is on a particular list.
In the criteria of the rule, the URL.Host property is used to retrieve the host name of the web server
that is specified in the uploading request.
If the Upload Throttling List contains this name, the criteria is matched and the rule applies. The
throttling event is then executed.
The Continue action lets rule processing continue with the next rule.
Bandwidth throttling rule for downloads
The following is an example of a rule that can execute bandwidth throttling rule for downloads.
Limit download speed for media types on throttling list
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue –
Throttle.Server (1000)
The rule uses the Throttle.Server event to limit the speed with which downloads are performed to
1000 Kbps if the web object that should be downloaded belongs to a media type on a particular list.
In the criteria of the rule, the MediaType.EnsuredTypes property is used to detect the media type of
the web object that the web server sends. An object can also be found to belong to more than one
type.
If any of these types is on the Media Type Throttling List, the criteria is matched and the rule applies.
The throttling event is then executed.
The Continue action lets rule processing continue with the next rule.
McAfee Web Gateway 7.6.2
Product Guide
455
13
サポート機能
帯域幅スロットル
Bandwidth throttling rules and rule sets
We recommend that you create an overall rule set for bandwidth throttling rules and embed two rule
sets in it, one for throttling uploads and another for throttling downloads. You can then let the
embedded upload rule set apply for the request cycle and the embedded download rule set for the
response cycle.
Within each embedded rule set, you can have multiple throttling rules that apply to different kinds of
web objects.
The overall rule set for bandwidth throttling should be placed at the beginning of your rule set system.
If this is not done, rules in other rule sets can start unthrottled downloads of web objects before your
throttling rules are executed.
For example, a rule for virus and malware filtering could trigger the download of a web object that has
been sent by a web server in response to a user request. The web object then needs to be completely
downloaded to the appliance to see whether it is infected.
If your bandwidth throttling rule set is placed and processed after the rule set with the virus and
malware filtering rule, bandwidth throttling is not applied to that download.
帯域幅スロットルの構成
帯域幅スロットルを実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
帯域幅スロットル ルールで使用することで、Web オブジェクトのリストを作成します。
たとえば、以下を作成できます。
•
転送速度はホストのリストは、オブジェクトがアップロードされるときに制限されます。
•
これらの 1 つに属するオブジェクトがダウンロードされるとき、転送速度が制限されるメディア タイプのリ
スト
2
帯域幅スロットルのルール セットを作成します。
3
このルール セット内で、帯域幅スロットルのルールを作成します。
たとえば、以下を作成できます。
4
•
オブジェクトが特定のホストにアップロードされるとき、転送速度の制限のルール。
•
特定のメディア タイプに属するオブジェクトがダウンロードされるときの転送速度を制限するルール。
必要に応じて、これらのルールを設計します。
たとえば、以下の操作を実行できます。
5
456
•
Web へのオブジェクトのアップロードのために帯域幅スロットルを有効にする Throttle.Client イベント
の特定の転送速度を構成します。
•
Web からのオブジェクトのダウンロードのために帯域幅スロットルを有効にする Throttle.Server イベン
トの特定の転送速度を構成します。
変更を保存します。
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
帯域幅スロットル
13
Bandwidth throttling using classes
Bandwidth throttling can be performed on Web Gateway using classes, which cover ranges of data
transferring speed.
A bandwidth class can, for example, cover the speed range between 1 and 1000 Kbps, while another
class covers 1001 to 2000 Kpbs. Using an event in a rule, you can configure that particular web
objects are uploaded or downloaded with the speed of either of these two classes or any other class
that you have created.
You can also group classes and subordinate them to parent classes, assigning different priorities to the
classes in a group.
Bandwidth throttling using classes can be configured for all directions that web traffic flows into. The
speed of downloads requested by clients of Web Gateway can be throttled, as well as the speed of
uploads.
This throttling method can be used for throttling transferring speed, but also for ensuring a minimum
speed when web objects are uploaded or downloaded. In most cases, however, its main purpose will
be limiting the speed of voluminous downloads from the web.
Bandwidth throttling using classes can also be applied to traffic that is not using the proxy functions of
Web Gateway.
Events in rules for bandwidth throttling using classes
The following events are available for use in rules that control bandwidth throttling using classes:
•
Bandwidth.FromClient — Limits the speed of data transfer from a client to the appliance
•
Bandwidth.ToServer — Limits the speed of data transfer from the appliance to a web server
•
Bandwidth.FromServer — Limits the speed of data transfer from a web server to an appliance
•
Bandwidth.ToClient — Limits the speed of data transfer from the appliance to a client
When these events are used in rules, they take the name of a bandwidth class as a parameter. This
way traffic can be throttled in any direction according to the limits that are configured for the
respective class.
Bandwidth throttling rule for downloads
The following is an example of a bandwidth throttling rule. It applies bandwidth throttling using
classes to downloads of large files from the web.
[Name]
[Limit transferring speed for large downloads]
[Criteria]
[Body.Size greater than 10000000" ]
[Action]
–> [Continue]
[Event]
[Bandwidth.FromServer ("Large") ]
The rule uses the [Bandwidth.FromServer] event to limit the speed at which downloads from a web
server are performed.
If the size of a web object that is sent as the body of a response from the server exceeds 10 MB, the
transferring speed is limited to a particular speed range. This speed range is the range that you
configured for the bandwidth class named [Large], for example, between 1 and 1000 Kbps.
McAfee Web Gateway 7.6.2
Product Guide
457
13
サポート機能
帯域幅スロットル
Configure bandwidth throttling using classes
To configure bandwidth throttling using classes, create bandwidth classes and suitable rules that use
these classes.
タスク
1
Select [Configuration] 、 [Appliances].
2
On the appliances tree, select the appliance that you want configure bandwidth throttling on, then
click [Bandwidth Control].
The [Bandwidth Control] settings appear in the configuration pane.
3
Under [Bandwidth Control], make sure that [Enable Bandwidth Control] is selected.
Make sure that any other bandwidth throttling functions on Web Gateway are disabled.
4
5
Under [Bandwidth Classes], configure the classes that you want to use for bandwidth throttling.
a
In the [Bandwidth classes] list, add entries for bandwidth classes.
b
In the [Interface names] list, add entries for the network interfaces on Web Gateway that
bandwidth throttling using classes are performed on.
Create suitable rules that use the bandwidth throttling events and classes to limit the transferring
speed of data in incoming and outgoing web traffic on Web Gateway.
When creating a rule, make sure that you only reference classes at the lowest hierarchy level, as
only the speed limits configured for these classes are applied to data transfers.
関連トピック:
458 ページの「Bandwidth Control settings」
Configuring bandwidth throttling for non-proxy traffic
You can apply bandwidth throttling to limit the speed of data transfer that is not using the proxy
functions of Web Gateway.
This kind of traffic originates, for example, when Web Gateway log files are uploaded to an external
server or data is downloaded from an external server to update information required for performing
filtering functions on Web Gateway.
As the usual web security rules are not applicable to this traffic, specific rules, which are static, must
be configured here for bandwidth throttling.
関連トピック:
458 ページの「Bandwidth Control settings」
Bandwidth Control settings
The [Bandwidth Control] settings are used for configuring bandwidth throttling using classes.
Bandwidth Control
Setting for enabling bandwidth throttling using classes
表 13-5
458
Bandwidth Control
Option
Definition
[Enable Bandwidth Control ]
When selected, bandwidth throttling using classes can be performed.
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
帯域幅スロットル
13
Bandwidth Classes
Settings for configuring the classes used in bandwidth throttling
表 13-6
Bandwidth Classes
Option
Definition
[Bandwidth classes] Provides a list of bandwidth classes.
[Interface names]
Provides a list of the interfaces that bandwidth throttling using classes is
performed on.
The following tables describe the entries in the [Bandwidth classes] and [Interface names] lists.
表 13-7
Bandwidth classes – List entry
Option
Definition
[Active ]
When selected, the bandwidth class is in use.
[Class name]
Specifies the name of the bandwidth class.
[Parent class]
Specifies the name of the bandwidth class that is the parent of this bandwidth
class.
The speed limits for a parent class are never applied to data transfers. Only the
limits for any of the child classes at the lowest hierarchy level, which are
themselves not parent classes, are applied.
[Priority]
Sets the priority that the bandwidth class takes compared to other classes on
the same hierarchy level.
Values for this priority can be integers ranging from 0 to 99. 0 is the highest
priority.
[Minimum
bandwidth]
Sets the lower limit of the speed (in Kbps) that data falling in this bandwidth
class is transferred with.
Make sure that the sum of the minimum transferring speeds configured for the
child classes of a parent class does not exceed the maximum transferring speed
configured for the parent class.
[Maximum
bandwidth]
Sets the upper limit of the speed (in Kbps) that data falling in this bandwidth
class is transferred with.
[Comment]
Provides a plain-text comment on the bandwidth class.
表 13-8 Interface names – List entry
Option
Definition
[Device ]
Specifies the name of an interface.
[Comment]
Provides a plain-text comment on the interface.
Static Filtering Rules
Settings for configuring bandwidth throttling using classes when data transfer that is not performed
using the proxy functions of Web Gateway.
表 13-9 Static Filtering Rules
Option
Definition
[Bandwidth filters]
Provides a list of static rules for bandwidth throttling using classes.
The following table describes an entry in the [Bandwidth filters] list.
McAfee Web Gateway 7.6.2
Product Guide
459
13
サポート機能
ネクスト ホップ プロキシ
表 13-10
Bandwidth filters – List entry
Option
Definition
[Active ]
When selected, the bandwidth class that is configured in this rule is in use.
[Class name] Specifies the name of the bandwidth class.
This name must be the name of a class that has been configured before for throttling
the bandwidth of traffic using the proxy functions of Web Gateway.
[Parent class] Specifies the name of the bandwidth class that is the parent of this bandwidth class.
The speed limits for a parent class are never applied to data transfers. Only the limits
for any of the child classes at the lowest hierarchy level, which are themselves not
parent classes, are applied.
[Device]
Specifies the network interface on Web Gateway that bandwidth throttling is
performed on.
If the same network interface is configured for a static bandwidth rule and a
bandwidth rule for proxy traffic, the static bandwidth rule configuration takes priority.
This means that the transferring speed limits of the class that is configured for the
static bandwidth rule are applied to traffic going on over that network interface. The
speed limits of the class in the bandwidth rule for proxy traffic are not applied.
[Match]
Selects whether bandwidth throttling is applied to upstream or downstream traffic.
[Value]
Specifies the IP address and port for data that is uploaded or downloaded.
You can specify both an IP address and a port or either of them alone.
• IP address and port — Traffic that has this IP address and port as source or
destination (depending on the value configured under [Match]) is throttled.
• IP address — Traffic that has this IP address as source or destination (depending
on the value configured under [Match]) is throttled regardless of any port.
• Port — Traffic that has this port as source or destination (depending on the value
configured under [Match]) is throttled regardless of the IP address.
The port must be specified as follows:
0.0.0.0:<port number>
[Comment]
Provides a plain-text comment on a static filtering rule.
ネクスト ホップ プロキシ
アプライアンスのクライアントから受信した要求を宛先に転送する場合に、ネクスト ホップ プロキシを使用するこ
ともできます。
ネクスト ホップ プロキシを実装すると、対応するルール セットのルールがモジュール (エンジンともいう) を使用
して、要求転送リストに入力されたネクスト ホップ プロキシを呼び出します。
たとえば、内部のネクスト ホップ プロキシを使用して、内部の送信先に対する要求を転送することができます。内
部の送信先 IP アドレスは、転送ルールが適用されるリストに入力されます。この他に、ルールが使用する内部ネク
スト ホップ プロキシのリストがあります。
ネクスト ホップ プロキシを使用するルールのルール セットは、初期設定の後でアプライアンスに実装されていませ
ん。ライブラリからルール セットをインポートし、必要に応じて変更するか、独自のルール セットを作成できます。
460
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
ネクスト ホップ プロキシ ルール セットをインポートすると、ネクスト ホップ プロキシとして使用可能なサーバー
のリストもインポートされます。このリストは初期状態では空です。ユーザーが値を設定する必要があります。複数
のリストを作成すると、状況に応じてルーティングを行うことができます。
ネクスト ホップ プロキシ モジュールの設定がライブラリ ルール セットと一緒にインポートされます。これらの設
定を行うと、モジュールが特定のネクスト ホップ プロキシ リストを使用し、ネクスト ホップ プロキシの呼び出し
モード (ラウンドロビンまたはフェールオーバー) を決定します。
ネクスト ホップ プロキシ モード
ルーティング要求にネクスト ホップ プロキシとして複数のサーバーが使用可能な場合、ネクスト ホップ プロキシ
モジュールはラウンドロビン、フェールオーバーまたは持続性モードでサーバーを呼び出します。
ネクスト ホップ プロキシのラウンドロビン モード
ラウンドロビン モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールはリストを参照し、前
回呼び出したプロキシの次にあるネクスト ホップ プロキシを呼び出します。
次の要求は同じ方法で処理されるため、リスト上のすべてのサーバーが最終的にネクスト ホップ プロキシとして使
用されます。
次の図に、ラウンドロビン モードのネクスト ホップ プロキシ構成を示します。
図 13-1 ラウンドロビン モードのネクスト ホップ プロキシ
ラウンドロビン モードの設定は、ネクスト ホップ プロキシの設定で行います。
関連トピック:
471 ページの「ネクスト ホップ プロキシの設定」
ネクスト ホップ プロキシのフェールオーバー モード
フェールオーバー モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールは、リストの先頭に
あるネクスト ホップ プロキシを呼び出します。
ネクスト ホップ プロキシが応答しない場合、設定されている再試行回数に達するまで、呼び出しが繰り返し実行さ
れます。 この場合、リスト内で次にあるネクスト ホップ プロキシが呼び出されます。 最初のプロキシと同じ方法で
呼び出しが実行され、応答がないと、リストで 3 番目にあるネクスト ホップ プロキシに接続が試行されます。
この処理は、応答するネクスト ホップ プロキシが見つかるまで継続します。リスト内のネクスト ホップ プロキシが
すべての応答不能の場合、処理が停止します。
McAfee Web Gateway 7.6.2
Product Guide
461
13
サポート機能
ネクスト ホップ プロキシ
次の図に、フェールオーバー モードのネクスト ホップ プロキシ構成を示します。
図 13-2 フェールオーバー モードのネクスト ホップ プロキシ
フェールオーバー モードの設定は、ネクスト ホップ プロキシの設定で行います。
関連トピック:
471 ページの「ネクスト ホップ プロキシの設定」
ネクスト ホップ プロキシの持続性
ネクスト ホップ プロキシは持続性モードで選択できます。 このモードでは、Web Gateway の同じクライアントか
ら受信した要求が同じネクスト ホップ プロキシに転送されます。
ネクスト ホップ プロキシの持続性モードで処理される要求部分は、Web Gateway のプロパティの値として設定さ
れます。 ルールのイベントがこの値をプロパティに設定します。
ネクスト ホップ プロキシの持続性を有効にするプロパティは [NextHopProxy.StickinessAttribute] です。 同じ
クライアントからの要求を同じネクスト ホップ プロキシに転送するには、このプロパティの値にクライアントの IP
アドレスを使用します。
ルールを作成するだけでなく、ネクスト ホップ プロキシを処理する設定でオプションとして持続性を選択する必要
があります。 また、ネクスト ホップ プロキシの持続性モードを適用する期間も設定する必要があります。
ネクスト ホップ プロキシの持続性を設定するルール
以下のサンプル ルールは、[NextHopProxy.StickinessAttribute] プロパティに [Client.IP] プロパティの値を設定
し、同じクライアント IP アドレスの要求を同じネクスト ホップ プロキシに転送します。
[名前]
[ネクスト ホップ プロキシの持続性属性を
設定する]
[条件]
[Always ]
[アクション] [イベント]
–> [Continue]
[Set NextHopProxy.StickinessAttribute =
IP.ToString(Client.IP)]
このルールは、イベントを使用して [NextHopProxy.StickinessAttribute] プロパティを設定します。 このプロパ
ティは文字列タイプのため、[NextHopProxy.StickinessAttribute] プロパティの設定に使用する前に、[Client.IP]
プロパティの値を文字列に変換する必要があります。
462
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
関連トピック:
471 ページの「ネクスト ホップ プロキシの設定」
464 ページの「ネクスト ホップ プロキシの持続性を設定する」
ネクスト ホップ プロキシの構成
ネクスト ホップ プロキシの使用を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ネクスト ホップ プロキシ ルール セットで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
ネクスト ホップ プロキシ モジュールの設定を構成します
変更を保存します。
ネクスト ホップ プロキシをリストに追加する
ネクスト ホップ プロキシをリストに追加するには、次の手順に従います。
タスク
1
[設定の編集] ウィンドウで、ネクスト ホップ プロキシ モジュールを設定します。
2
[ネクスト ホップ プロキシ サーバー] で、[ネクスト ホップ プロキシ サーバー リスト] からネクスト ホップ プ
ロキシのリストを選択し、[編集] をクリックします。
[リストの編集 (ネクスト ホップ プロキシ サーバー)] ウィンドウが開きます。
3
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ネクスト ホップ プロキシの追加] ウィンドウが開きます。
4
必要に応じて、ネクスト ホップ プロキシを設定します。
5
開いているすべてのウィンドウで [OK] をクリックします。
6
[変更の保存] をクリックします。
選択したリストにネクスト ホップ プロキシが追加されます。
関連トピック:
472 ページの「ネクスト ホップ プロキシ設定を追加する」
McAfee Web Gateway 7.6.2
Product Guide
463
13
サポート機能
ネクスト ホップ プロキシ
ネクスト ホップ プロキシ モジュールの構成
ネクスト ホップ プロキシ モジュールを構成し、ネクスト ホップ プロキシが Web へ要求を転送するために使用す
る方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ネクスト ホップ プロキシのルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これはネクスト ホップ プロキシです。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ネクスト ホップ プロキシ モジュールを呼び出すルールを検索します。
ライブラリ ルール セットで、これはルール内部ホストに内部プロキシを使用するです。
5
ルール イベントで、設定名をクリックします。
ライブラリ ルール セットでは、この名前は 内部プロキシです。
[設定の編集]ウィンドウが開きます。これはネクスト ホップ プロキシ モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
473 ページの「ネクスト ホップ プロキシ ルール セット」
ネクスト ホップ プロキシの持続性を設定する
ネクスト ホップ プロキシの持続性を設定するには、[ネクスト ホップ プロキシ] の設定でこのモードを選択し、ネ
クスト ホップ プロキシを処理するルール セットに持続性を追加します。
タスク
1
2
464
ネクスト ホップ プロキシの持続性モードを選択します。
a
[ポリシー] 、 [設定] の順に選択します。
b
設定ツリーの [エンジン] ブランチで [ネクスト ホップ プロキシ] を展開し、必要な設定を選択してネクスト
ホップ プロキシの持続性を設定します。
c
[ネクスト ホップ プロキシ サーバー] で [持続性] を選択します。
d
必要に応じて、[持続性の最小時間] で持続性モードの適用期間を変更します。
ネクスト ホップ プロキシの持続性にルールを追加します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
ネクスト ホップ プロキシを処理するルール セット ([ネクスト ホップ プロキシ] ライブラリ ルール セット
など) を開きます。
c
同じプロキシに転送される要求を識別する値を [NextHopProxy.Stickiness.Attribute] プロパティに設定す
るルールを追加します。
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
3
13
[変更の保存] をクリックします。
設定した期間、追加ルールの一部に一致する要求が同じネクスト ホップ プロキシに転送されます。
関連トピック:
471 ページの「ネクスト ホップ プロキシの設定」
462 ページの「ネクスト ホップ プロキシの持続性」
SOCKS トラフィックのネクスト ホップ プロキシ
SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、ネクスト ホップ プロキシを設定できます。
このプロトコルでは、Web トラフィックは埋め込みプロトコルにも従います。このプロトコルは Web Gateway で
検出されます。埋め込みプロトコルが HTTP または HTTPS の場合、設定したルールに従って Web トラフィックを
フィルタリングできます。
Web トラフィックの転送にはバージョン 4 と 5 の SOCKS プロトコルを使用できます。ネクスト ホップ プロキ
シをセットアップするときに、使用する SOCKS バージョンを設定できます。デフォルトでは、受信トラフィックの
バージョンが転送時に使用されます。
SOCKS トラフィックのネクスト ホップ プロキシを設定する
SOCKS トラフィックのネクスト ホップ プロキシを設定するには、Web Gateway を SOCKS プロキシとして実行
し、ネクスト ホップ プロキシを有効にしてトラフィックをフィルタリングするルール セットを実装します。
タスク
•
465 ページの「SOCKS プロキシを有効にする」
Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。
•
466 ページの「SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する」
SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール
セットの条件を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加しま
す。
•
466 ページの「SOCKS プロキシ ルール セットを設定する」
SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な
SOCKS プロキシ ルール セットを設定します。
SOCKS プロキシを有効にする
Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、SOCKS プロキシとして実行する Web Gateway アプライアンスを選択し、[プロキ
シ] をクリックします。
3
[SOCKS プロキシ] まで下にダウンロードし、[SOCKS プロキシを有効にする] を選択します。
4
[変更の保存] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
465
13
サポート機能
ネクスト ホップ プロキシ
SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する
SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール セットの条件
を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加します。
タスク
1
ライブラリから ネクスト ホップ プロキシ ライブラリ ルール セットをインポートします。
2
ルール セット ツリーでルール セットを上に移動し、ユーザー認証用のルール (たとえば、明示的プロキシに認証
と許可 ルール セット) の直後に使用されるようにします。
3
ルール セットの条件として Always を Connection.Protocol equals "SOCKS" に置換します。
4
ネクスト ホップ プロキシを有効にするルールを追加します。
a
特定の要求にルールを適用するルール条件を設定します。
たとえば、ルール条件に Client.IP matches in list Client IP を使用して、特定のリストに含まれる IP
アドレスのクライアントからの要求にだけルールを適用するようにします。
b
ルール アクションに Continue を設定します。
c
ルール イベントに Enable Next Hop Proxy を設定します。
d
ルール イベントを設定します。
•
ネクスト ホップ プロキシのリストにネクスト ホップ プロキシを追加します。
ネクスト ホップ プロキシを追加するときに、必要に応じて SOCKS パラメーターを指定します。
•
5
必要に応じて、残りのオプションを設定します。
[変更の保存] をクリックします。
ネクスト ホップ プロキシを設定するたびに異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに複
数のルールを追加できます。
関連トピック:
473 ページの「ネクスト ホップ プロキシ ルール セット」
463 ページの「ネクスト ホップ プロキシをリストに追加する」
472 ページの「ネクスト ホップ プロキシ設定を追加する」
467 ページの「SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール」
SOCKS プロキシ ルール セットを設定する
SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な SOCKS プロ
キシ ルール セットを設定します。
タスク
1
ライブラリから SOCKS プロキシ ルール セットをインポートします。
このルール セットは共通ルールの下にあります。
2
ルール セット ツリーで、このルール セットをネクスト ホップ プロキシ ルール セットの直後に移動します。
3
SOCKS プロキシ ルール セットでネストされているプロトコル検出ルール セットで、プロトコル ディテクター
モジュールの設定をクリックします。
これらの設定のデフォルト名は「デフォルト」です。
[設定の編集] ウィンドウが開きます。
466
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
4
[プロトコル ディテクター オプション] で、[埋め込みデータの受信後にネクスト ホップ プロキシーを決める]
を選択します。
5
[OK] をクリックして、ウィンドウを閉じます。
6
[変更の保存] をクリックします。
SOCKS プロキシ ルール セットの詳細については、「プロキシ」を参照してください。
関連トピック:
473 ページの「Protocol Detector settings」
SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール
ネクスト ホップ プロキシの設定で異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに様々な複数
のルールを追加できます。
以下のルールを使用すると、特定のリストに IP アドレスが登録されている Web Gateway クライアントから受信し
た要求にネクスト ホップ プロキシを使用できます。
名前
リストにあるクライアントから受信した場合に SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
Client.IP matches in list Client IPs –> Continue
Enable Next Hop Proxy<SOCKS Next Hop
Proxy>
このルールは Client.IP プロパティを使用し、要求を送信したクライアントの IP アドレスがリストににあるかどう
かを確認します。
存在する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTP の場合にネクスト ホップ プロキシが有効に
します。
名前
HTTP プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
ProtocolDetector.DetectedProtocol<Default> equals –> Continue
"HTTP"
Enable Next Hop
Proxy<Embedded
Protocol HTTP Next Hop
Proxy>
このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP
がどうか確認します。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ
ップ プロキシーを決める] も有効にする必要があります。
次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTPS の場合にネクスト ホップ プロキシが有効
にします。
McAfee Web Gateway 7.6.2
Product Guide
467
13
サポート機能
ネクスト ホップ プロキシ
名前
HTTPS プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
ProtocolDetector.DetectedProtocol<Default> equals –> Continue
"HTTPS"
Enable Next Hop
Proxy<Embedded
Protocol HTTPS Next Hop
Proxy>
このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP
がどうか確認します。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ
ップ プロキシーを決める] も有効にする必要があります。
次のルールは、SOCKS プロトコルに任意のプロトコルが埋め込まれている場合にネクスト ホップ プロキシが有効
にします。
名前
任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
Connection.Protocol.Parent equals "
SOCKS"
アクション
–> Continue
Enable Next Hop Proxy<Embedded
Protocol Next Hop Proxy>
このルールは、Connection.Protocol.Parent プロパティを使用して、Web への SOCKS トラフィックの転送
要求で SOCKS プロトコルが親プロトコルとして設定されているかどうかを確認します。SOCKS が親プロトコル
の場合、埋め込みプロトコルが存在しています。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
次のルールは前のルールに非常によくに似ています。SOCKS プロトコルのトラフィックや、SOCKS プロトコルに
埋め込まれていない HTTP プロトコルのトラフィックでネクスト ホップ プロキシを有効にします。
名前
任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
Connection.Protocol.Parent equals "
SOCKS" OR Connection.Protocol equals
"HTTP"
アクション
–> Continue
Enable Next Hop Proxy<Embedded
Protocol Next Hop Proxy>
関連トピック:
473 ページの「Protocol Detector settings」
468
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティン
グ
ネクスト ホップ プロキシの設定を見直すと、通信の遅延や可用性に関する問題を解決できます。
ネクスト ホップ プロキシの問題が発生すると、ダッシュボードにアラートが表示されます。 ネクスト ホップ プロ
キシの設定を見直し、適切な設定を行うことで、これらの問題を解決し、URL フィルタリングのクラウド検索や他の
フィルタリング情報の定期的な更新が可能になります。
ネクスト ホップ プロキシのアラート
ネクスト ホップ プロキシの問題が発生すると、次のようなアラートがダッシュボードに表示されます。
•
[ネクスト ホップ プロキシ 10.44.44.44 が 10 秒間停止しています]
接続を試みたネクスト ホップ プロキシが 10 秒間停止していることを Web Gateway が検出したときに、次の
再試行まで待機するように設定されていると、このアラートが表示されます。
設定した回数を試行しても成功しない場合、すぐに待機時間が開始します。
•
[ネクスト ホップ プロキシ 10.44.44.44 との接続に失敗しました]
接続を試みたネクスト ホップ プロキシが停止していることを Web Gateway が検出したときに、待機時間が設
定されていないと (0 秒に設定されている)、このアラートが表示されます。 設定した回数を試行しても成功しな
いと、Web Gateway は次の再試行をすぐに実行します。
ネクスト ホップ プロキシの接続再試行の設定
ネクスト ホップ プロキシの接続が遅くなった場合には、接続再試行の設定を見直してください。この設定は、[ネク
スト ホップ プロキシ] で設定できます。
ここでは、接続試行の失敗後に Web Gateway が実行する再試行回数、設定した再試行回数を失敗して次の再試行
を実行するまでの待機時間を設定します。
再試行回数は少なく設定し (たとえば 3)、待機時間は設定しないことを推奨します。
このように設定すると、アラートの表示を抑止し、接続再試行の遅延を防ぐことができます。
遅延の回避も重要です。Web Gateway でネクスト ホップ プロキシが誤って停止と認識される場合もあります。こ
の場合、次の再試行まで待機時間が発生します。
URL フィルタリングのネクスト ホップ プロキシ
URL フィルタリングの遅延やエラーは、ネクスト ホップ プロキシの設定に起因する場合があります。
デフォルトの URL フィルタリングでは、特定の URL のカテゴリが Web Gateway アプライアンスのローカル デー
タベースで見つからない場合、URL のカテゴリが McAfee Global Threat Intelligence McAfee Global Threat
Intelligence のクラウド サーバーで検索されます。
[URL フィルター] の設定で、これらのサーバーに接続するようにネクスト ホップ プロキシを設定できます。 ネク
スト ホップ プロキシが設定されていない場合や設定に誤りがある場合、クラウド検索に失敗するか、処理速度が低
下します。
更新のネクスト ホップ プロキシ
マルウェア対策フィルタリング、URL フィルタリングなどの更新を定期的に配信する更新サーバーとの接続にもネク
スト ホップ プロキシを使用できます。 更新用のネクスト ホップ プロキシは、[集中管理] で設定します。
McAfee Web Gateway 7.6.2
Product Guide
469
13
サポート機能
ネクスト ホップ プロキシ
関連トピック:
470 ページの「ネクスト ホップ プロキシの接続再試行の設定を確認する」
470 ページの「URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認する」
471 ページの「更新に使用するネクスト ホップ プロキシの設定を確認する」
ネクスト ホップ プロキシの接続再試行の設定を確認する
ネクスト ホップ プロキシの接続再試行の設定を確認して、接続問題のトラブルシューティングを行います。
接続再試行が正しく設定されていないと、接続で遅延が発生する場合があります。
タスク
1
ネクスト ホップ プロキシの接続再試行の設定に移動します。
a
[ポリシー] 、 [設定] の順に選択します。
b
設定ツリーで [ネクスト ホップ プロキシ] を展開し、確認する設定をクリックします。
設定ペインに設定が表示されます。
c
[ネクスト ホップ プロキシ サーバー] で、ネクスト ホップ プロキシ サーバーのリストを選択し、[編集] を
クリックします。
[リストの編集 (ネクスト ホップ プロキシ)] ウィンドウが開きます。
d
[リスト コンテンツ] リストでネクスト ホップ プロキシを選択して、[編集] をクリックします。
[ネクスト ホップ プロキシの編集] ウィンドウが開きます。
2
[ネクスト ホップ プロキシの定義] で、次の設定を行います。
a
[再試行回数] を 3 に設定します。
b
[最後に失敗した後の待機時間] を 10 (秒) に設定します。
完了したら、開いているウィンドウをすべて閉じます。
3
[変更の保存] をクリックします。
関連トピック:
469 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」
URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認する
URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認して、接続問題のトラブルシューティングを
行います。
ネクスト ホップ プロキシは、URL フィルタリングで McAfee Global Threat Intelligence のクラウド サーバーに
接続する場合にも使用できます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーで [URL フィルター] を展開し、確認する設定をクリックします。
設定ペインに設定が表示されます。
3
470
[詳細設定] までスクロールし、[プロキシ設定] で 1 つ以上のネクスト ホップ プロキシが正しく設定されている
ことを確認します。
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
4
必要に応じて設定を修正します。 ネクスト ホップ プロキシが設定されていない場合には、1 つまたは複数のプ
ロキシの設定を追加します。
5
設定を変更または追加した場合には、[変更の保存] をクリックします。
関連トピック:
469 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」
更新に使用するネクスト ホップ プロキシの設定を確認する
更新に使用するネクスト ホップ プロキシの設定を確認して、接続問題のトラブルシューティングを行います。
ネクスト ホップ プロキシは、様々な更新サーバーとの接続に使用できます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、設定を確認するアプライアンスを選択して [集中管理] をクリックします。
3
[エンジンの自動更新] までスクロールし、次の条件を満たしているかどうか確認します。
•
[更新プロキシを有効にする] が選択されている。
•
[更新プロキシ] で 1 つ以上のネクスト ホップ プロキシが正しく設定されている。
4
必要に応じて設定を修正します。 ネクスト ホップ プロキシが設定されていない場合には、1 つまたは複数のプ
ロキシの設定を追加します。
5
設定を変更または追加した場合には、[変更の保存] をクリックします。
関連トピック:
469 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」
ネクスト ホップ プロキシの設定
ネクスト ホップ プロキシの設定は、Web へのアプライアンスで受信した要求を転送するために、ネクスト ホップ
プロキシを構成するために使用されます。
ネクスト ホップ プロキシ サーバー
ネクスト ホップ プロキシの設定
表 13-11 ネクスト ホップ プロキシ サーバー
オプション
定義
[ネクスト ホップ ネクスト ホップ プロキシ サーバー リストのリストを提供します。
プロキシ サーバ
ーのリスト]
[ラウンドロビン] これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最後に使用され
たネクスト ホップ プロキシに続くネクスト ホップ プロキシを使用します。
リストの末尾に達すると、リストの最初のネクスト ホップ プロキシが再度選択されます。
[フェールオーバ
ー]
これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最初にある最初
のネクスト ホップ プロキシを試します。
最初のネクスト ホップ プロキシが応答しなかった場合、設定されている再試行の最大値に達す
るまで再試行されます。その後、リスト上 2 番目のネクスト ホップ プロキシが試行され、同様
に、サーバーが応答するかすべて使用不可であると確認されるまで繰り返されます。
McAfee Web Gateway 7.6.2
Product Guide
471
13
サポート機能
ネクスト ホップ プロキシ
表 13-11 ネクスト ホップ プロキシ サーバー (続き)
オプション
定義
[持続性]
選択すると、ネクスト ホップ プロキシ モジュールは一定の期間同じネクスト ホップ プロキシ
を使用します。この期間は変更できます。
[持続性の最小時
間]
要求の転送で同じネクスト ホップ プロキシを使用する期間 (秒) を設定します。
デフォルトの期間は 300 秒です。
[プロキシ スタイ 選択すると、要求された Web サーバーにネクスト ホップ プロキシを使用してプロキシ スタイ
ル要求]
ルの要求が転送されます。
このオプションはデフォルトで選択されています。
ネクスト ホップ プロキシ設定を追加する
ネクスト ホップ プロキシ設定は、リストに追加されたネクスト ホップ プロキシを設定するときに使用します。
ネクスト ホップ プロキシの定義
ネクスト ホップ プロキシの設定
表 13-12 ネクスト ホップ プロキシの定義
オプション
定義
[識別子]
ネクスト ホップ プロキシの説明を入力します。
[プロキシ アドレス]
ネクスト ホップ プロキシが存在するホストをホスト名で指定するか、IP アドレスとポート
番号で指定します。
[ホスト ]
ホストの名前または IP アドレスを指定します。
[ポート]
Web トラフィックの転送要求を待機するホストのポート番号を指定します。
[プロキシ認証]
ネクスト ホップ プロキシの認証プロセスをユーザー名で指定し、パスワードを設定します。
[ユーザー]
ネクスト ホップ プロキシの認証を行うユーザーの名前を指定します。
[パスワード]
ネクスト ホップ プロキシの認証を行うユーザーのパスワードを設定します。
[接続動作]
ネクスト ホップ プロキシの動作を一連のパラメーターで指定します。
[再送の数]
最初の試行に失敗した後で実行可能な試行回数を指定します。
デフォルトの再送回数は 1 です。
[最後に失敗した後の
待機時間]
ネクスト ホップ プロキシに対する試行がすべて失敗したときに、次のネクスト ホップ プ
ロキシを試行するまでの待機時間を秒単位で指定します。
デフォルトの時間は 10 秒です。
[固定接続を使用]
選択すると、ネクスト ホップ プロキシは Web トラフィックの転送に固定接続を使用しま
す。
SOCKS 固有のバラメーター
SOCKS プロトコルでのネクスト ホップ プロキシの設定
472
McAfee Web Gateway 7.6.2
Product Guide
サポート機能
ネクスト ホップ プロキシ
13
表 13-13 ネクスト ホップ プロキシの定義
オプション
定義
[ネクスト ホップ プロキシで ネクスト ホップ プロキシが SOCKS プロトコルで Web トラフィックを転送する
使用する SOCKS のバージョ 場合のプロトコルのバージョンを指定します。
ン]
[SOCKS 受信接続と同じ]
選択すると、ネクスト ホップ プロキシが受信トラフィックの場合と同じ SOCKS
プロトコルのバージョンを使用します。
デフォルトでは、この設定が選択されています。
[SOCKS v4]
選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 4 を使用
します。
[SOCKS v5]
選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 5 を使用
します。
Protocol Detector settings
[プロトコル ディテクター] の設定は、SOCKS プロトコルでのトラフィック関連のアクティビティを処理するモジ
ュール (エンジン) の設定に使用します。
プロトコル ディテクターのオプション
Setting for the [Protocol Detector] module
表 13-14 プロトコル ディテクターのオプション
オプション
定義
[Determine next-hop proxy after When selected, the [Protocol Detector] module enables a next-hop
receiving embedded data]
proxy for forwarding SOCKS traffic under the HTTP or HTTPS
protocol when this traffic is received on Web Gateway and it is
detected that this traffic also follows one of these two protocols.
デフォルトでは、このオプションは選択されていません。
ネクスト ホップ プロキシ ルール セット
ネクスト ホップ プロキシ ルール セットは、ネクスト ホップ プロキシを使用して適切な宛先に要求を転送するライ
ブラリ ルール セットです。
ライブラリ ルール セット — ネクスト ホップ プロキシ
条件 — Always
サイクル - 要求 (IM)
ルール セットには、以下のルールが含まれます。
宛先に応じてプロキシを使用する
URL.Destination.IP is in range list Next Hop Proxy IP Range List OR
URL.Destination.IP is in list Next Hop Proxy IP List –> 続行 — ネクスト ホップ プロキシを有効にす
る <内部プロキシ >
このルールは、URL.Destination.IP プロパティを使用して、URL に対応する IP アドレスがリストの範囲内か
どうか、あるいはリストに直接入力されたアドレスかどうかを確認します。条件を満たしている場合、イベントを
使用して内部ネクスト ホップ プロキシ経由でこれらの URL への要求を転送します。
イベント設定はネクスト ホップ プロキシ リストおよびプロキシを呼び出すモードを含む設定を指定します。
McAfee Web Gateway 7.6.2
Product Guide
473
13
サポート機能
ネクスト ホップ プロキシ
474
McAfee Web Gateway 7.6.2
Product Guide
14
ユーザー メッセージ
フィルタリング ルールが Web アクセスのリクエストをブロックし、他の方法で影響がある場合、ユーザーにメッセ
ージが送信されます。
このプロセスを管理するとき、主に以下の項目を処理します。
•
メッセージ — Web アクセスのリクエストがブロック、リダイレクトされるか、認証がひつようであるかを通知
するメッセージがユーザーに送信されます。
•
アクション設定 — ユーザーに対するメッセージは、メッセージで説明されているアクションに対する設定の一部
です。
•
テンプレート — ユーザーへのメッセージはテンプレートに基づいており、そのテンプレートはテンプレート エ
ディターにより編集できます。
デフォルト設定はアプライアンスの初期セットアップごにユーザー メッセージとそのテンプレートに適用されます。
それらは確認して、必要に応じて変更できます。
目次
ユーザーへのメッセージの送信
ユーザー メッセージのテキストを編集する
認証設定
ブロック設定
リダイレクト設定
テンプレート タブ
テンプレート エディター
ユーザーへのメッセージの送信
影響を与えるフィルタリング ルールのアクションに関して通知するメッセージがユーザーに送信されます。
ユーザー メッセージは別のタイプに属し、テンプレートに基づいています。
メッセージの種類
メッセージがユーザーに通知するアクションに応じて、異なる種類のユーザー メッセージがあります。
•
認証メッセージ - URL にアクセスするには、認証が必要であることをユーザーに知らせます。
•
ブロック メッセージ- 要求されたオブジェクトでウイルスが検出されたためなど、種々の理由でリクエストがブ
ロックされたことを通知します。
•
リダイレクト メッセージ- 要求されたオブジェクトにアクセスするためには、別の URL にリダイレクトするこ
とが必要であることをユーザーに通知します。
McAfee Web Gateway 7.6.2
Product Guide
475
14
ユーザー メッセージ
ユーザーへのメッセージの送信
メッセージ テンプレート
メッセージはテンプレートをもとにユーザーに送信されます。メッセージの表示形式を変更するには、これらのテン
プレートを採用する必要があります。アクションの設定の下でこれを行うことができます。
メッセージ テンプレートには、変数をもつ標準のテキストが含まれています。変数は、与えられた状況で必要に応じ
た値が入力されます。
メッセージ テンプレートに使用されるすべての変数はルールで使用されるプロパティでもあります。たとえば、
URL は、メッセージ テキストおよび、URL をフィルターから除外するルールに使用されるプロパティにある変数で
す。
特定のテンプレートに関連して、次のようにさまざまなバージョンが存在します。
•
言語 - 英語とその他の言語
•
ファイル形式 - html または txt
メッセージ テンプレートの編集時に次の操作を行うことができます。
•
メッセージの言語を選択する
•
ログ記録を目的としてブロック理由を指定する
([ブロック]アクションのテンプレートの場合の
み)
•
メッセージ テキストを編集する
•
リダイレクトする URL を記入する([リダイレク
ト]アクションのテンプレートの場合のみ)
•
テンプレートの変数を置き換える
メッセージ テキストと変数
以下のテキストと変更は、オブジェクトのウイルス感染のためにブロックされた要求されたオブジェクトにアクセス
するときに、ユーザーに送信されるブロックメッセージに含むことができます。
•
標準テキスト — 転送フィイルにはウイルスが含まれていたためブロックされました。
•
変数 — 次の通りです。
•
URL — ユーザーがファイルにアクセスすることをリクエストした URL。
URL を表示するために使用する変数は $URL$ です。
•
ウイルス名 — ファイルのブロックをトリガーする検出されたウイルスの名前。
ウイルス名を表示するために使用する変数は $List.OfString.ByName(String)$ です。
メッセージ テンプレートを編集する際、プロパティのリストから変数を選択して挿入できます。メッセージ
テンプレートで変数として機能するために、これらは文字列に変換されます(すでに文字列でない場合)。
この理由から、 たとえば、 NumberToString(String) プロパティなど、その他のデータ タイプを文字列に
変換するジョブを持つプロパティである“string converter” プロパティをここで選択するのは意味がありま
せん。
476
McAfee Web Gateway 7.6.2
Product Guide
ユーザー メッセージ
ユーザー メッセージのテキストを編集する
14
テンプレート エディター
テンプレート エディターは、ユーザー メッセージのテンプレートを編集するユーザー インターフェースのコンポー
ネントです。 アクセス方法はいくつかあります。
•
[ポリシー] 最上位メニューで選択します。
•
アクションの設定を選択します。
•
[ポリシー] 、 [設定] の順に選択します。
または
•
ルール セットのルールで、ルール ビューを有効にして [詳細を表示] を選択します。
テンプレート コレクションまたは個々のテンプレートの設定で [編集] をクリックします。
ユーザー メッセージのテキストを編集する
ネットワークの要件に対応させるために、ユーザー メッセージのテキストを編集できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ユーザーが編集するユーザー メッセージをもつアクションを含むルールのルール セットを選択します。
たとえば、[Gateway Antimalware]ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示] が有効になっていることを確認します。
4
適切なルールで、ユーザー メッセージをもつアクションの設定をクリックします。
たとえば、[ウイルスが検出された場合はブロックする]というルールで、ブロック アクションの[検出されたウイ
ルス]設定をクリックします。 settings of the Block action.
[設定の編集]ウィンドウが開きます。
5
[テンプレート名]フィールドの隣の[追加]をクリックします。
[テンプレート エディター]が開きます。
6
テンプレート ツリーで、[検出されたウイルス]などの該当するアクション テンプレート フォルダーーを展開し
ます。
使用可能な言語バージョンのテンプレートが表示されます。
7
たとえば、英語を表す[en]など、言語バージョンを拡張してください。
使用可能な言語バージョンのメッセージ形式が表示されます。
McAfee Web Gateway 7.6.2
Product Guide
477
14
ユーザー メッセージ
認証設定
8
形式 (例: [html]) を選択します。
選択した形式でテンプレートのコンテンツが設定ペインに表示されます。 ここには、ユーザー メッセージのテキ
ストが表示されます。
たとえば、英語の[検出されたウイルス]テンプレートの HTML 形式でこのテキストは、最初は以下のように示さ
れます。
The transferred file contained a virus and was therefore blocked.(転送されたフィイルにはウイ
ルスが含まれていたためブロックされました。)
9
必要に応じてこのテキストを編集します。
10 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
11 [変更の保存] をクリックします。
関連トピック:
481 ページの「テンプレート エディター」
認証設定
認証設定は、アクションを伴うフィルタリング ルールが適用されるとき、認証アクションを実行する方法に構成に使
用されます。
失敗したログインのメッセージ テンプレート
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 14-1 失敗したログインのメッセージ テンプレート
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウ
ザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ
れます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロ
パティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクシ テンプレート コレクションを選択するリストを提供します。
ョン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
478
McAfee Web Gateway 7.6.2
Product Guide
ユーザー メッセージ
ブロック設定
14
表 14-1 失敗したログインのメッセージ テンプレート (続き)
オプション
定義
[McAfee Web
ブロック理由を識別する数値を提供します。
Reporter ブロック理由
ID]
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
関連トピック:
666 ページの「ブロック理由 ID のリスト」
ブロック設定
ブロック設定では、フィルタリング ルール適用時のブロック アクションの実行方法を設定します。
言語およびテンプレート設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 14-2 言語およびテンプレート設定
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート (ブラウザー)] - 選択すると、ブロックされた要求が送信されたブラウザーの言語
でメッセージが表示されます。
• [強制] — 選択すると、ここで表示されたリストから選択した言語でメッセージが表示され
ます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロパテ
ィの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレ
クション]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの追
加]ウインドウを開きます。
• [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
[McAfee Web
Reporter ブロック
理由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理
由]
プレーン テキストのブロック理由を説明します。
関連トピック:
666 ページの「ブロック理由 ID のリスト」
McAfee Web Gateway 7.6.2
Product Guide
479
14
ユーザー メッセージ
リダイレクト設定
リダイレクト設定
リダイレクト設定は、そのアクションのフィルタリング ルールが適用されるとき、リダイレクト アクションが実行
される方法を構成するために使用されます。
リダイレクト設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 14-3 リダイレクト設定
オプション
定義
[Redirect.URL]
選択されると、リダイレクトに使用される URL は Redirect.URL プロパティに指定
された値となります。
このプロパティは適切なルールで使用できます。
[ユーザー定義 URL]
選択すると、リダイレクトする URL を指定する必要があります。
[リダイレクト URL]
URL をリダイレクトする URL を指定します。
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブ
ラウザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表
示されます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プ
ロパティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクショ テンプレート コレクションを選択するリストを提供します。
ン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクショ
ンの追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集し
ます。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web Reporter
ブロック理由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
関連トピック:
666 ページの「ブロック理由 ID のリスト」
480
McAfee Web Gateway 7.6.2
Product Guide
ユーザー メッセージ
テンプレート タブ
14
テンプレート タブ
[テンプレート] タブでは、Web Gateway ユーザーに表示するメッセージのテンプレートを設定します。
図 14-1 [テンプレート] タブ
このタブには、[ポリシー] トップレベル メニューからアクセスします。
タブのコンテンツが [テンプレート エディター] にも表示されます。 設定ツリーからアクションの設定を選択し、
[言語とテンプレートの設定] でテンプレートまたはテンプレート コレクションの [編集] をクリックすると、このエ
ディターが開きます。
関連トピック:
481 ページの「テンプレート エディター」
テンプレート エディター
[テンプレート エディター] は、ネットワーク ユーザーに送信するメッセージのテンプレートを編集するユーザー イ
ンターフェースのコンポーネントです。 このエディターでは、SSO アプリケーションの Launchpad とログオン ペ
ージのテンプレートや、外部 ID プロバイダーとの SAML 通信に使用するテンプレートもカスタマイズできます。
テンプレート
既存のテンプレートがツリー構造で表示されます。
以下の表では、[テンプレート] オプションについて説明します。
McAfee Web Gateway 7.6.2
Product Guide
481
14
ユーザー メッセージ
テンプレート エディター
表 14-4 テンプレート
オプション
定義
テンプレート グ テンプレートはグループ別に表示されます。このグループをテンプレート コレクションといい
ループ
ます。 各コレクションは、ツリー構造の最上位フォルダーに保存されます。
デフォルトでは、次のテンプレート コレクションが使用できます。
• [デフォルト スキーマ] - ユーザー メッセージを作成するカスタマイズ可能なテンプレート
です。
• [シングル サインオン スキーマ] - 外部の ID プロバイダーと送受信する SAML 認証の要求
(SAMLRequest.html) と応答 (SAMLRedirectToAuth.html) 用のテンプレートです。
• [SAML 要求スキーマ] - アプリケーションの Launchpad とログオン ページをカスタマイズ
するテンプレートです。
[テンプレート]
1 つのテンプレートに、言語と形式の異なるバージョンを作成できます。
特定のテンプレートのすべての言語バージョンと形式は、同じテンプレート名 (例:
[Anti-Malware Engine Overload]) のサブフォルダーに保存されます。
テンプレート フォルダー内に言語別のサブフォルダーが作成されます。 言語フォルダーに個々
のテンプレートが異なる形式で保存できます。
使用可能な形式は HTML と .txt です。
たとえば、[Anti-Malware Engine Overload] フォルダーには次のものが保存されます。
• [en] - テンプレートの英語版があるサブフォルダー
• [html] - HTML 形式のテンプレート
• [txt] - .txt 形式のテンプレート
デフォルトでは、各テンプレートに HTML 形式の英語バージョンが用意されていますが、大半の
テンプレートは .txt 形式でも使用できます。
テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツが
表示されます。
[展開] アイコン テンプレート ツリーで折りたたまれているすべての項目を展開します
482
McAfee Web Gateway 7.6.2
Product Guide
ユーザー メッセージ
テンプレート エディター
14
表 14-4 テンプレート (続き)
オプション
定義
[折りたたみ] ア 展開されているすべての項目を折りたたみます。
イコン
コレクション、
テンプレート、
言語バージョン
または形式を右
クリックしま
す。
メニューが開き、次のオプションが表示されます。 選択できるオプションは、右クリックした項
目によって変わります。
• [テンプレート コレクションの追加] - コレクション フォルダーを追加できるウィンドウが
開きます。
• [テンプレートの追加] - テンプレート フォルダーを追加できるウィンドウが開きます。
新しいテンプレート フォルダーには、フォルダーの追加時に選択した言語用のフォルダーが作
成され、選択した形式で空のテンプレートが作成されます。
• [インデックス ファイルの追加] - 特定のテンプレート フォルダーに属さない言語フォルダ
ーを追加します。
このフォルダーは、コレクション フォルダーのすぐ下に作成されます。 ここには、選択した
形式で空のテンプレートが作成されます。
• [コンテンツ ファイルの追加] - 特定のテンプレート フォルダー内に言語フォルダーを追加
します。
この新しいフォルダーには、選択した形式で空のテンプレートが作成されます。
• [テンプレート ファイルのインポート] - テンプレートをインポートできるウィンドウが開き
ます。
• [テンプレート ファイルのエクスポート] - テンプレートをエクスポートできるウィンドウが
開きます。
• [複製] - コンテンツを含むテンプレート フォルダーまたはコレクションのコピーを別名で挿
入します。
• [変更 ] - 言語バージョンを変更するウィンドウが開きます。
• [名前の変更] - テンプレート フォルダーの名前を変更できるウィンドウが開きます。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
ファイル システム
既存のテンプレート、テンプレートに関連するイメージなどのファイルがツリー構造で表示されます。
以下の表では、[ファイル システム] オプションについて説明します。
McAfee Web Gateway 7.6.2
Product Guide
483
14
ユーザー メッセージ
テンプレート エディター
表 14-5 ファイル システム
オプション
定義
テンプレート グル テンプレートは、グループに分類されています。 各グループは、ツリー構造の最上位フォルダ
ープ
ーに保存されます。
デフォルトで次のテンプレート グループを使用できます。
• [SAML]
• [デフォルト]
• [singleSignOn]
テンプレート、画
像、他の関連ファ
イル
各グループ フォルダーで、テンプレートは言語フォルダー内に英字順に保存されます。画像フ
ァイルは別のフォルダーに保存されます。
その他の関連ファイルは、言語フォルダーと画像フォルダー以外のグループ フォルダーに保存
されます。
たとえば、[default] グループ フォルダーには次のものが保存されます。
• [en] - 既存のテンプレートの英語バージョンが入るサブフォルダー
テンプレートが HTML と .txt の両方の形式で存在する場合には、これらのテンプレートが
順番に保存されます。
• [img] - 既存の画像ファイルがあるサブフォルダー
• インデックスやスタイル シートなどの関連ファイル
テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツ
が表示されます。
[追加]
次のメニューを開きます。
• [新しいファイル] - ファイルを追加するウィンドウが開きます。
• [新しいディレクトリ] - ディレクトリを追加するウィンドウが開きます。
• [既存のファイルまたはディレクトリ] - ローカルのファイル マネージャーが開きます。こ
こで、ファイルまたはフォルダーを選択して追加できます。
[編集]
次のメニューを開きます。
• [名前の変更] - 項目名の変更を行うウィンドウが開きます。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
[切り取り ]
選択した項目をコピーおよび削除します。
[コピー]
選択した項目をコピーします。
[貼り付け]
切り取った項目またはコピーした項目を貼り付けます。
[展開] アイコン
ファイル システム ツリーで折りたたまれているすべての項目を展開します。
[折りたたみ] アイ 展開されているすべての項目を折りたたみます。
コン
項目を右クリックすると、メニューが表示され、展開と折りたたみを除く前述のオプションを選択できま
す。 項目に使用できないオプションはグレー表示になります。
HTML エディター
[テンプレート] または [ファイル システム] ペインで選択されているテンプレートのコンテンツを表示します。
484
McAfee Web Gateway 7.6.2
Product Guide
ユーザー メッセージ
テンプレート エディター
14
以下の表では、[HTML エディター] オプションについて説明します。
表 14-6 HTML エディター
オプション
定義
[追加]
次のメニューを開きます。
• [リソース参照] - リソースのパスを入力します。たとえば、テンプレートに挿入する画像など
のグラフィック要素のパスを入力します。
• [プロパティ] - テンプレートで変数として使用されるプロパティ (例: $URL$) の追加ウィ
ンドウが開きます。
[編集]
次のメニューを開きます。
• [切り取り] — テンプレート コンテンツ
の選択した部分をコピーおよび削除しま
す。
• [削除] — 選択した部分を削除します。
• [コピー] —選択した部分をコピーしま
す。
• [すべて選択] — テンプレート コンテン
ツ全体を選択します。
• [貼り付け] — コピーした部分を貼り付
けます。
[ソースを表示]
トグル ボタンでテンプレートの HTML ソース コードを表示します。
言語ドロップダ プレビューの言語を選択します。
ウン リスト
[プレビュー]
テンプレートのプレビューを表示します。
ビューワ
選択した画像ファイルに含まれる画像が表示されます。
ファイル システム ツリーで画像ファイルを選択すると、[HTML エディター] ではなく、[ビューアー] が使用できま
す。
以下の表では、[ビューアー] オプションについて説明します。
表 14-7 ビューワ
オプション
定義
[ズーム拡大]
画像を拡大します。
[ズーム縮小]
画像を縮小します。
[ウィンドウに合わせる]
画像を [ビューアー] ペインの幅に合わせます。
[元のサイズ]
元のサイズに戻して画像を表示します。
McAfee Web Gateway 7.6.2
Product Guide
485
14
ユーザー メッセージ
テンプレート エディター
486
McAfee Web Gateway 7.6.2
Product Guide
15
クラウド シングル サインオン
Web Gateway のサービスであるクラウド シングル サインオン (SSO) を使用すると、組織内のエンドユーザーは、
認証情報を 1 回入力するだけで、クラウド上の複数のサービスとアプリケーションにアクセスできます。 SSO サー
ビスは、シングル サインオン モジュールによって実装されています。
In the context of cloud single sign-on, unless otherwise noted, the following terms are used as
described here:
•
The term Service Provider refers to the organization that provides the cloud service or
application.
•
クラウド サービスとクラウド アプリケーションは同じ意味で使用しています。
•
ユーザーとは、組織内でクラウド サービスとアプリケーションにアクセスするエンドユーザーを意味します。 ユ
ーザーは、Web Gateway の Launchpad を使用して認証情報を送信し、アプリケーションを起動してアカウン
トの管理を行います。
•
ユーザー インターフェースは、管理者が SSO サービスを設定する Web Gateway のユーザー インターフェー
スを意味します。
•
カスタム コネクターとは、テンプレートで設定されたクラウド コネクターを意味します。 Web Gateway では、
様々なコネクター テンプレートが用意されています。 一部のテンプレートは事前に値が設定されています (す
べての設定が定義されているとは限りません)。 他のテンプレートの場合、クラウド コネクターの設定をすべて
行う必要があります。
目次
クラウド シングル サインオンの設置方法
Considerations when exporting and importing the SSO rule set
プロキシ モードと非プロキシ モードでの SSO プロセス
対応する認証方法
サポートされるクラウド サービスの SSO カタログ
SSO コネクター リスト
HTTP クラウド アプリケーションへの SSO サービスの提供
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
外部 ID プロバイダーを使用する SAML 認証
.NET と Java Web アプリケーションへの SSO サービスの提供
エンドユーザーによるアプリケーション Launchpad の使用
アプリケーション Launchpad のカスタマイズ
クラウド サービスのブックマークの作成
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング
シングル サインオン ルール セットのサマリー
クラウド シングル サインオン設定のキー要素
シングル サインオン ルール セットのリファレンス
シングル サインオンのリストと設定
SSO ロギングの概要
SSO 問題の解決
McAfee Web Gateway 7.6.2
Product Guide
487
15
クラウド シングル サインオン
クラウド シングル サインオンの設置方法
クラウド シングル サインオンの設置方法
クラウド サービスとアプリケーションに対する SSO アクセスを設定するには、次の作業を行います。
SSO タスクを実行するには、ルール セット ライブラリからシングル サインオン ルール セットをインポートする必
要があります。 すべての作業で、このルール セットのキー要素ビューに表示されたデフォルト ルール、設定、リス
トを使用できます。 ルール セットを構成するルールを確認して固有のルール、設定、リストを作成するには、キー
要素ビューのロックを解除します。
Configuring single sign-on to some cloud services and applications requires configuration on the Service
Provider side. Create an account in the Service Provider interface and complete the configuration steps
there.
タスク
1
ユーザーの認証方法を設定します。
2
ルール セット ライブラリからシングル サインオン ルール セットをインポートし、ルールを設定します。
シングル サインオン ルール セットは、クラウド サービス ルール セット グループにあります。 キー要素ビュー
でルールを設定できます。また、[ビューのロック解除] をクリックして詳細を表示し、独自のルールを作成できま
す。
3
シングル サインオン モジュールのシングル サインオンを設定します。これにより、シングル サインオン ルール
セットの SSO プロパティとイベントから値とパラメーターが取得されます。 このモジュールでは、Default と
いう名前のデフォルトの設定が用意されています。 SSO ルールで、これらの設定を必要とするプロパティとイベ
ントは、<Default> という評価でこれらの情報を参照します。 デフォルトの設定を変更したり、新しい設定を
作成できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォルト] の
順に選択します。
4
SAML と IceToken クラウド サービスにシングル サインオンを行う場合には、X.509 証明書と秘密鍵のペアを
設定します。
これらの設定を検索するには、 [ポリシー] 、 [設定] 、 [エンジン] の順に選択し、[SSO 証明書] または [SSO
秘密鍵] を選択します。
5
SSO リストを使用すると、テンプレートからカスタム クラウド コネクターを設定できます。また、ユーザーが
アクセスを許可されているクラウド サーバーのコネクター リストも設定できます。
•
[SSO ホストとサービス ID の関連付け] - (オプション) 覚えやすい名前 (ホスト名) と設定済みのカスタ
ム コネクターのサービス ID を関連付けます。
このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択し
ます。
•
[SSO コネクター] - ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。 SSO
サービスに付属のデフォルト リストにコネクターを追加したり、独自のリストを作成して設定することもで
きます。
SSO サービス リストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター] の
順に選択します。
•
[SSO カタログ] - 事前定義のコネクターとテンプレートから設定されたカスタム テンプレートを表示でき
ます。 テンプレートから新しいコネクターを設定して、カスタム コネクター リストに表示できます。
カタログを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] の順に選択します。
488
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
Considerations when exporting and importing the SSO rule set
6
15
すべての Launchpad 通信を HTTPS プロトコルで保護することをお勧めします。 保護するには、SSL 保護通信
の証明書を処理する CA 以外の SSL クライアント コンテキスト モジュールで使用される Launchpad の証明書
を設定します。
キー要素ビューで Launchpad の証明書を検索するには、SSL スキャナーの設定を検索して [編集] をクリックし
ます。
7
Web Gateway とクラウド サービス間の接続を HTTPS プロトコルで保護するには、SSL スキャナー モジュー
ルを設定します。 プロキシ モードの場合、この手順は必須です。
8
クラウド サービスへの SSO で OTP 認証を行う場合には、OTP 認証を有効にして OTP サーバーの設定を行い、
OTP の配布方法を選択します。OTP 認証を行うサービスのコネクター リストを設定します。
この設定を検索するには、キー要素ビューで OTP の使用 (ワンタイム パスワード) を確認します。
9
汎用のアクセス ログではなく、SSO アクセス ログに SSO 要求を記録するには、SSO ロギングを有効にしま
す。 デバッグ目的で詳細ロギングを有効にするには、SSO 追跡ロギングを有効にします。
これらの設定にアクセスするには、[ポリシー] 、 [ルール セット] 、 [ログ ハンドラー] の順に選択し、[ルール
セット ライブラリ] の [ロギング] ルール セット グループから [SSO ログ] ルール セットをインポートします。
10 変更を保存します。
Considerations when exporting and importing the SSO rule set
The SSO rule set export and import does not include the SSO credentials required for accessing HTTP
cloud applications or the Service IDs of custom connectors.
SSO credentials (HTTP applications)
The SSO rule set is stored in the policy database. Importing the rule set updates the SSO policy. When
you export or import the SSO rule set, the following information is included:
•
All configured cloud connectors
•
All configured connector lists
•
All configured X.509 certificates and private key pairs
SSO credentials, which are required for accessing HTTP cloud applications and services, are stored in a
separate database and are not part of the SSO policy. These credentials are not included in the export
or import and must be re-created after the SSO rule set is imported.
When you back up the appliance configuration, you can include the SSO credentials in the backup. In
this case, restoring the backup also restores the credentials.
Service IDs (Custom connectors)
The Single Sign On module assigns numeric Service IDs to custom connectors at the time they are
created from templates. These Service IDs are not included in the export of the SSO rule set. When
the rule set is imported later, new Service IDs are assigned to the custom connectors.
After importing the SSO rule set, you must update any Service IDs that are used to reference custom
connectors, as follows:
McAfee Web Gateway 7.6.2
Product Guide
489
15
クラウド シングル サインオン
プロキシ モードと非プロキシ モードでの SSO プロセス
•
In the [SSO Host to Service ID Mapping] list, update the [Key] values to match the new Service
IDs.
•
Some Service Providers, such as Gmail, include the Service ID in the SSO configuration. For these
Service Providers, log on to your account and update the Service ID.
Failure to update the Service IDs after importing the SSO rule set can break custom connectors and
links to cloud services and applications.
関連トピック:
662 ページの「アプライアンスの構成をバックアップまたは復元する」
プロキシ モードと非プロキシ モードでの SSO プロセス
SSO プロセスの手順は、ユーザーの認証情報がクラウド アプリケーションに直接送信されるのか (非プロキシ モー
ド)、Web Gateway 経由で送信されるのか (プロキシ モードまたはインライン モード) によって異なります。
Web Gateway はプロキシ モードまたは非プロキシ モードでユーザーの認証を行い、Launchpad を表示します。
Launchpad には、ユーザーがアクセス可能なクラウド アプリケーションのアイコンが表示されます。 ユーザーから
見ると、どちらのモードでも SSO プロセスは同じです。
1
ユーザーが Web Gateway クライアントの Web ブラウザーを使用して Launchpad を要求します。
2
ユーザーが認証されると、Web Gateway が Launchpad を送信します。
3
アプリケーションを開始するには、Launchpad にあるアプリケーションのアイコンをクリックします。
4
Web Gateway がユーザーにログオン フォームを送信します。
5
初めてアクセスを要求する場合、ユーザーは認証情報を入力するように指示されます。入力した情報が Web
Gateway に送信されます。 2 回目以降は、ユーザーが Web Gateway に送信した認証情報がログイン フォー
ムに自動的に挿入されます。
6
認証情報が有効な場合、クラウド アプリケーションに対する SSO アクセスがユーザーに許可されます。
プロキシ モード
プロキシ モードの場合、Web Gateway がユーザーの認証情報をクラウド アプリケーションに転送します。
図 15-1 プロキシ モードでのシングル サインオン
プロキシ モードでシングル サインオンを実行すると、Web Gateway は非プロキシ モードでは使用できない機能を
提供します。
490
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
対応する認証方法
15
•
動的なクラウド アプリケーション - Web Gateway は、ログオン ページに JavaScript を追加してログオン ペ
ージ情報を動的に提供する HTTP クラウド アプリケーション (DropBox など) に対応しています。 JavaScript
がページのフィールドに情報を入力します。
•
暗号化されたパスワード - パスワードは暗号化され、クライアント コンピューターに表示されません。
非プロキシ モード
非プロキシ モードの場合、ユーザーのブラウザーが認証情報をクラウド アプリケーションに転送します。
図 15-2 非プロキシ モードでのシングル サインオン
非プロキシ モードでシングル サインオンを実行する場合、Web Gateway は Web サーバーとして機能します。
DNS と SSO の設定を行うときに、ホスト名の代わりに Web Gateway アプライアンスの IP アドレスを使用する必
要があります。
対応する認証方法
一般に、それぞれのクラウド サービスまたはアプリケーションは、1 つの認証方法でエンド ユーザーのログオンを
処理します。
Web Gateway は、HTTP または SAML 2.0 認証を使用するクラウド アプリケーションに SSO サービスを提供し
ます。 Web Gateway は、IceToken というカスタム トークンによる専用の認証方法を使用するクラウド アプリ
ケーションにも SSO サービスを提供します。
クラウド コネクター
Web Gateway は、個別のクラウド コネクターを使用して、多くの HTTP と SAML 2.0 クラウド アプリケーショ
ンに対応しています。 Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、
識別情報と SSO サービスを提供します。 Web Gateway には、完全に設定された事前定義のクラウド コネクター
が用意されています。 クラウド コネクターのテンプレートは部分的に設定されています。使用する前に設定の一部
を変更する必要があります。
McAfee Web Gateway 7.6.2
Product Guide
491
15
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
SSO データソース
Web Gateway がエンドユーザーの認証情報または情報を取得するデータソースは、シングル サイオンが HTTP サ
ービスか SAML サービスかによって異なります。
•
HTTP サービス - Web Gateway は統合された認証情報ストアを使用します。このストアは、HTTP サービス
が必要とするユーザー名やパスワードなどの認証情報を格納するセキュアなデータベースです。 HTTP サービス
にアクセスするユーザーは、このデータベースで認証を受ける必要があります。
•
SAML サービス - Web Gateway は外部のデータソースから識別情報を取得し、ユーザーの身元を証明する
SAML アサーションを生成します。
関連トピック:
511 ページの「SAML シングル サインオンで使用する外部データソースの設定」
サポートされるクラウド サービスの SSO カタログ
SSO カタログは、Web Gateway がサポートするすべてのクラウド サービスとクラウド コネクターから構成されま
す。
コネクターには、設定済みのコネクター (事前定義のコネクター) と、自由に設定できるテンプレート (カスタム コ
ネクター) があります。 カタログには、管理者がテンプレートから設定したコネクターも含まれます。 組織のエン
ドユーザーは、ワンタイム認証の後で数百のクラウド アプリケーションとサービスにアクセスできます。
Web Gateway は、クラウド コネクターを使用してクラウド サービスまたはアプリケーションに接続し、識別情報
と SSO サービスを提供します。 設定済みのコネクターはファイルに保存されます。次のような情報が記録されま
す。
•
クラウド サービスに関する情報 (名前、カテゴリなど)
•
SSO プロセスに必要な URL
•
ログオン フォームを含むページ
•
Launchpad の生成に必要なデータ
SSO カタログの表示
SSO カタログは、ユーザー インターフェースに表示するだけでなく、PDF 形式でダウンロード可能なできるテクニ
カル ノートでも確認できます。
ユーザー インターフェース
ユーザー インターフェースには、SSO カタログの最新情報が表示されます。 カタログを構成する事前定義のコネク
ター、コネクター テンプレート、管理者がテンプレートで設定したカスタム コネクターがすべて表示されます。
カタログは、システム リストとして実装されます。 他のシステム リストと同様に、Web Gateway の新しいリリー
スが公開されると、更新されます。 変更は更新サーバーから配信され、ユーザー インターフェースに表示されます。
新しいコネクターが追加され、可能であれば、壊れたコネクターが修正されます。 サポート対象外になったコネクタ
ーは強調表示され、説明が付きます。
システム リストは、以下のサブリストから構成されます。 ユーザー インターフェースにサブリストを表示するに
は、[ポリシー] 、 [リスト] の順に選択します。 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に
展開します。
492
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
15
•
[事前定義のコネクター] - Web Gateway で事前に設定されたコネクターです。カタログで選択するだけで使
用できます。
•
[カスタム コネクター] - 組み込みのテンプレートを使用して設定したコネクターです。 カタログに追加して選
択する前にコネクターを設定する必要があります。
ユーザー インターフェースでは、事前定義のコネクターとコネクター テンプレートが対応のクラウド アプリケーシ
ョンとサービスの名前順に表示されます。 コネクター テンプレートで設定されたカスタム コネクターは、指定した
名前順に表示されます。
カスタム コネクターの設定に使用するコネクター テンプレートを表示するには、[ポリシー] 、 [リスト] の順に選
択します。 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開します。 [カスタム コネクター]
を選択して、[追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスで [テンプレート] ドロ
ップダウン リストを開きます。 汎用のコネクター テンプレートがリストの先頭に表示されます。
カスタム コネクターには、テンプレートから設定したすべてのコネクターが含まれます。 汎用のテンプレート (汎用
HTTP や汎用 SAML 2.0 など) から設定したコネクターもカスタム コネクターです。
テクニカル ノート
テクニカル ノートは、Web Gateway の次のメジャー リリースまでの SSO カタログのスナップショットになりま
す。 SSO カタログがリリースされるたびに更新されるわけではありません。
テクニカル ノートには、すべての事前定義コネクターとコネクター テンプレートが記述されています。 各サービス
が使用する認証方法が記載されています。また、サービスの状態も記述されている場合もあります。 たとえば、コネ
クターがサポート対象外になったり、名前が変更された場合、この状態が記述されます。
カスタム コネクターは、管理者がコネクター テンプレートで設定するまで存在しないため、テクニカル ノートには
記載されません。
ユーザー インターフェースの SSO カタログ
事前定義のコネクターとカスタム コネクターが表記式で表示されます。 表に同じ情報が表示されていても、リスト
の種類によって詳細が異なります。
事前定義のコネクターの値は、シングル サインオン モジュールが設定しています。これらの値は変更できません。 カ
スタム コネクターの値は管理者が設定します。これらの値は変更できます。
列ヘッ
ダー
説明
[アイコ クラウド アプリケーションまたはサービスを表すロゴが表示されます。 カスタム コネクターを設定す
ン]
る場合、カスタム イメージを指定できます。
[名前]
事前定義のコネクターまたはカスタム コネクターのインスタンスを識別する固有の名前。
• [事前定義のコネクター] - クラウド アプリケーションまたはサービスの名前が表示されます。スペ
ースが含まれる場合もあります
例: Air Canada
• [カスタム コネクター] - コネクター インスタンスに設定した名前が表示されます。
1 つのコネクター テンプレートから複数のコネクター インスタンスを設定できます。 たとえば、ユーザ
ー グループごとに 1 つのコネクター インスタンスを設定し、次のように各インスタンスに別の名前を割
り当てることができます。
• Google カレンダー - IT
• Google カレンダー - 営業
McAfee Web Gateway 7.6.2
Product Guide
493
15
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
列ヘッ
ダー
説明
[説明]
(カスタム コネクター) コネクター インスタンスの説明を入力できます。
[カテゴ クラウド サービスまたはアプリケーションが提供するサービスの種類を指定します。 カスタム コネク
リ]
ターを設定する場合、デフォルトのカテゴリを変更したり、新しいカテゴリを作成できます。
例: コラボレーション、マーケティング、ソーシャル
[サービ • [事前定義のコネクター] - SSO カタログにある事前定義のコネクターの名前が表示されます。 通
ス ID]
常、サービス ID は名前と同じですが、スペースは削除されます。
例: AirCanada
• [カスタム コネクター] - SSO カタログにあるカスタム コネクターの番号が表示されます。 この番
号は、シングル サインオン モジュールが設定します。この番号は変更できません。
[タイ
プ]
クラウド アプリケーションまたはサービスがエンド ユーザーの認証に使用するメソッドが表示されま
す。 アプリケーションとサービスは、HTTP アプリケーション、SAML サービスのように、タイプで参照
される場合があります。 この値は、シングル サインオン モジュールが設定します。
サービスとしての SSO カタログ
SSO カタログはクラウド サービスです。 このため、Web Gateway の新しいリリースが公開されると、更新されま
す。
SSO カタログは、サービスとしてのコネクター カタログ (CCaaS) ともいいます。
サービス プロバイダーがクラウド サービスへの接続に必要な設定を変更したり、クラウド サービスの提供を停止す
る場合があります。 これらの変更を行うと、コネクターとの接続が一時的または完全に切断されます。また、SSO
カタログの変更が必要になります。 この変更 (新しいコネクターと修正済みのコネクターを含む) は更新サーバーに
よって配信されます。
カタログが更新されると、Web Gateway ユーザー インターフェースに更新メッセージが表示されます。 解決策が
ないために切断されたコネクターは非対応になり、ユーザー インターフェースで次のようにフラグが付きます。
•
•
SSO カタログ
•
コネクター - 非対応のサービスに対する事前定義のコネクターとカスタム コネクターがカタログで選択可
能になります。 ただし、これらのコネクターには黄色い三角形の印が付き、[非対応]であることを示すメッセ
ージが表示されます。
•
テンプレート - 非対応のサービスに対するカスタム コネクターのテンプレートがカタログで選択可能にな
り、設定できるようになります。 ただし、これらのコネクターには黄色い三角形の印が付き、[非対応]である
ことを示すメッセージが表示されます。
SSO コネクター リスト - エンド ユーザーにアクセスを許可するクラウド サービスの SSO コネクター リス
トを設定できます。 コネクター リストでは、非対応のコネクターが黄色で強調表示されます。 コネクター リス
トで、非対応のコネクターが黄色で表示され、[非対応]であることを示すメッセージが表示されます。
コネクター テンプレート (汎用と個別)
汎用のクラウド コネクター テンプレートは、指定した認証方法を使用するクラウド アプリケーションをサポートし
ます。 汎用のテンプレートは個別のコネクター テンプレートよりも柔軟ですが、設定する項目は多くなります。
個別のコネクター テンプレート
個別のクラウド コネクター テンプレートは、特定のクラウド アプリケーションとの接続を設定する場合に利用でき
ます。たとえば、Salesforce コネクター テンプレートを使用すると、クラウドの Salesforce アプリケーションへ
のカスタム接続を設定できます。
494
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
15
テンプレートは設定可能です。Salesforce などの 1 つのクラウド アプリケーションに複数のカスタム コネクター
を作成できます。カスタム コネクターを識別できるように、コネクターに固有の名前を割り当てます。
汎用のコネクター テンプレート
汎用のクラウド コネクター テンプレートを使用すると、指定した認証方法を使用するクラウド アプリケーションと
の接続を設定できます。 たとえば、汎用 HTTP コネクター テンプレートを使用すると、HTTP 認証でユーザーのロ
グオンを処理しているクラウド アプリケーションとの接続を設定できます。 汎用テンプレートを使用すると、SSO
カタログにないクラウド アプリケーションへのコネクターを設定できます。
Web Gateway では、次の認証方法に汎用のクラウド コネクター テンプレートを用意しています。
•
汎用 HTTP コネクター - Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場
合、このテンプレートを選択します。
•
汎用 SAML2 コネクター - Web Gateway が個別のコネクターで対応していない SAML 2.0 サービスに接続
する場合、このテンプレートを選択します。
•
汎用 IceToken コネクター - Web Gateway で対応していない認証方法を使用するサービスに接続する場合、
このテンプレートを選択します。
関連トピック:
499 ページの「HTTP クラウド コネクターを設定する」
499 ページの「汎用 HTTP クラウド コネクターを設定する」
506 ページの「SAML2 クラウド コネクターを設定する」
507 ページの「汎用 SAML2 クラウド コネクターを設定する」
527 ページの「汎用 IceToken クラウド コネクターを設定する」
テンプレートを使用してカスタム クラウド コネクターを設定する
テンプレートを使用してクラウド サービスのコネクターを設定すると、組織内のユーザーは 1 回認証を受けるだけ
でサービスにアクセスできるようになります。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
以下のフィールドに値を入力して設定します。
•
[名前] - クラウド コネクター インスタンスを一意に識別できる名前を指定します。
•
[説明] - (オプション) クラウド コネクター インスタンスの説明を入力します。
•
[テンプレート] - ドロップダウン リストで、SSO アクセスを設定するクラウド サービスのテンプレートを
選択します。
テンプレート固有の設定が表示されます。
•
[カテゴリ] - クラウド サービスまたはアプリケーションが提供するサービスの種類を指定します。テンプ
レートを選択した場合、デフォルトの値が自動的に読み込まれます。[選択] をクリックして、この値を変更で
きます。
•
[参照] - 作成するクラウド コネクターのログを追加または変更できます。
McAfee Web Gateway 7.6.2
Product Guide
495
15
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
5
テンプレート固有の設定を行います。
6
[OK] をクリックします。
新たに設定したクラウド コネクターが SSO カタログに追加されます。 カタログ内のコネクターを表示するには、
[カスタム コネクター] を選択します。
カスタム クラウド コネクターを削除する
SSO コネクター リストにない場合、SSO カタログからカスタム クラウド コネクターを削除できます。 カスタム
クラウド コネクターは、テンプレートで設定されたコネクターです。
SSO カタログからカスタム クラウド コネクターを削除すると、このコネクターに入力されたすべてのエンドユーザー
の認証情報が削除されます。 同じ設定でコネクターを再度作成しても、コネクターの削除時に削除されたユーザー認
証情報は復元されません。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
削除するカスタム クラウド コネクターを選択して、[削除] アイコンをクリックします。
[削除の確認] ダイアログ ボックスが開きます。
4
削除するには、[はい] をクリックします。
SSO カタログからカスタム クラウド コネクターが削除されます。
最新の SSO 更新に関する情報を検索する
シングル サインオン機能の利用中に、使用しているソフトウェアとカタログのバージョン確認が必要になる場合があ
ります。 ユーザー インターフェースで、SSO 機能またはエンジンのバージョン番号と最新の更新ファイルの日時を
確認できます。
•
[McAfee Single Sign On] - この更新には、SSO ソフトウェアに対する変更 (SSO ルールの変更など) が含ま
れます。
•
[McAfee SSO コネクター カタログ] - この更新には、Web Gateway がコネクターでサポートするクラウド
アプリケーションとサービスのリストに対する変更が含まれます。
SSO の更新を受信していない場合には、有効なライセンスがあるかどうか確認してください。
タスク
496
1
[ダッシュボード] 、 [グラフおよび表] 、 [システム サマリー] の順に選択します。
2
SSO 更新の最新バージョン番号を確認するには: [更新状況] 表の [機能] 列で、次の行を探します。
•
[McAfee Single Sign On]
•
[McAfee SSO コネクター カタログ]
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SSO コネクター リスト
3
4
15
SSO 更新の最新バージョンの日時を確認するには: [最終更新日] 表の [エンジン] 列で、次の行を探します。
•
[McAfee Single Sign On]
•
[McAfee SSO コネクター カタログ]
ビューを更新して最新のデータを表示するには、[更新状況] 表と [最終更新日] 表の右上隅にある更新アイコンを
クリックします。
SSO コネクター リスト
Web Gateway は、SSO コネクター リストを使用して、クラウド サービスとアプリケーションに対するアクセスを
制御します。
SSO コネクター リストを使用したクラウド アクセスの設定
クラウド サービスとアプリケーションに対するアクセスはクラウド コネクターのリストで設定します。各コネクタ
ーは、SSO カタログの対応サービスに対応しています。
一部の SSO コネクター リストはすぐにアクセスできます。 他のリストは、アクセスする前に OTP 認証が必要にな
る場合があります。 ユーザーは、Web Gateway ポリシーによってリストに関連付けられます。
コネクター リストにコネクターを追加すると、カタログでコネクターを確認し、選択することができます。 SSO カ
タログでは、クラウド コネクターが次の 2 つのグループに分類されています。
•
[事前定義のコネクター] - Web Gateway で事前に設定されたコネクターです。カタログで選択するだけで使
用できます。
•
[カスタム コネクター] - 組み込みのテンプレートを使用して設定したコネクターです。 カタログに追加して選
択する前にコネクターを設定する必要があります。
汎用コネクターは、カスタム コネクターの特別なタイプです。
クラウド サービスへのアクセス設定は、次の手順で行います。
1
(カスタム コネクター) ユーザーがアクセスするクラウド サービスのクラウド コネクターを設定します。 コネ
クターが SSO カタログに追加されます。
2
SSO カタログから事前定義またはカスタムのクラウド コネクターを選択し、SSO コネクター リストに追加しま
す。
クラウド コネクターを SSO コネクター リストに追加する
クラウド サービスへのアクセスを制御するには、SSO カタログで対応するクラウド コネクターを選択して SSO コ
ネクター リストに追加します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[カスタム リスト] 、 [SSO コネクター] の順に展開して、変更するリストをクリックしま
す。
3
[編集] 記号をクリックします。
ダイアログ ボックスが開き、フォルダーが表示されます。指定したカテゴリのコネクターが各フォルダーに入っ
ています。
例: 旅行と交通
McAfee Web Gateway 7.6.2
Product Guide
497
15
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
4
コネクターをリストに追加するには、カテゴリまたは個々のコネクターを選択し、[OK] をクリックします。
必要なコネクターが存在しない場合には、[新規作成] をクリックして作成できます。
5
[変更の保存] をクリックします。
HTTP クラウド アプリケーションへの SSO サービスの提供
Web Gateway は、HTTP 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。事前定義
のクラウド コネクターまたは個別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処
理します。
Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、識別情報と SSO サー
ビスを提供します。 Web Gateway では、汎用の HTTP コネクター テンプレートも用意しています。この汎用テン
プレートは、SSO カタログに未登録で HTTP を使用するクラウド アプリケーションに設定できます。
HTTP アプリケーションのコネクターを設定する前に、SSO カタログでアプリケーションを検索します。 事前定義
の HTTP コネクターは、カタログで選択するだけで使用できます。 必要なコネクターが事前定義コネクター リスト
またはカスタム コネクター リストにない場合には、テンプレートを使用してコネクターを作成できます。
大半のコネクター テンプレートは、特定のクラウド アプリケーション用に部分的に設定されています。 HTTP アプ
リケーションにテンプレートが存在しない場合には、汎用 HTTP コネクター テンプレートを選択します。 汎用
HTTP テンプレートを使用すると、Web Gateway に事前定義コネクターやコネクター テンプレートが存在しない
HTTP アプリケーションのコネクターを設定できます。
Web Gateway は、ログオン ページに JavaScript を追加してログオン ページ情報を動的に提供する動的 HTTP ア
プリケーション (DropBox など) のシングル サインオンに対応しています。 ログオン ページを変更する前に、SSO
プロセスをプロキシ モードで実行する必要があります。 プロキシ モードの場合、Web Gateway は実際のパスワー
ドをトークンで置換し、クライアント コンピューターに表示されないようにします。
動的でない HTTP アプリケーションのシングル サインオンは、プロキシ モードまたは非プロキシ モードで実装でき
ます。
HTTP クラウド アプリケーションの SSO 認証情報モデル
HTTP クラウド サービスとアプリケーションの SSO 認証情報モデルは、クラウド サービスまたはアプリケーション
ンに複数のアカウントを持っているユーザーをサポートしています。 また、複数のエンドユーザーが同じ認証情報で
1 つ以上のクラウド サービスまたはアプリケーションにアクセスできる共有アカウントもサポートしています。
大半の SSO プロパティとイベントに以下の認証情報が渡されます。
•
領域 - 現在のユーザーが認証されているドメインの名前。認証ドメインは、LDAP や Active Directory などの
識別ストアや認証サービスになります。
•
ユーザー ID - 現在のユーザーを識別する ID。 デフォルトでは、Authentication.UserName プロパティと同
じ値になります。 別の認証情報とユーザー ID を関連付けて、デフォルトの値を変更することもできます。
•
サービス ID - クラウド サービスまたはアプリケーションの ID。
•
アカウント ID - クラウド サービスまたはアプリケーションの個々のアカウントまたは共有アカウントの ID。
個々のユーザーは領域または認証ドメインに編成されています。認証ドメインのユーザーは、アクセスが許可されて
いるクラウド サービスまたはアプリケーションのリストと関連付けられています。各ユーザーは、それぞれのクラウ
ド サービスまたはアプリケーションに 1 つ以上のアカウントを持つことができます。アカウントは、個別アカウン
トまたは共有アカウントになります。
498
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
15
HTTP クラウド コネクターを設定する
テンプレートを使用して、HTTP サービスまたはアプリケーションに接続するコネクターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのクラウド コネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストで、HTTP サービスに対応するテンプレートを選択します。
6
[アプリケーション ドメイン名] フィールドに、HTTP サービスまたはアプリケーションのインスタンスのドメイ
ン名を指定します。
例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ドメインの名前
になります。
7
[OK] をクリックします。
新たに設定した HTTP コネクターが [SSO カタログ] の [カスタム コネクター ] リストに追加されます。
汎用 HTTP クラウド コネクターを設定する
Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場合、汎用の HTTP クラウド コネ
クターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストから [汎用 HTTP コネクター] を選択します。
6
動的な HTTP クラウド サービスにコネクターを設定するには、[動的サービス] を選択します。
7
ドロップダウン リストで、フォームの送信方法を表す HTTP メソッドを選択します。
8
[https://] フィールドに、フォームの送信元が URL 形式で表示されます。
9
フォームで送信された属性ごとに、1 つのフォーム フィールドを設定します。
10 ソースが認証情報ストアになっているフォーム フィールドに、1 つの Launchpad フィールドを設定します。
McAfee Web Gateway 7.6.2
Product Guide
499
15
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
11 (オプション) 1 つ以上のログオン ページを設定します。
動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウドサービスによっては、
複数のログオン ページが必要になる場合があります。
12 (オプション) ログオン ページのフィールドを設定します。
ログオン フィールドの設定が必要になるのは、フォーム フィールドと異なる場合だけです。
13 汎用の HTTP コネクターを設定するには、[新しいサインオン要求] をクリックします。
14 HTTP コネクターの設定を保存するには、[OK] をクリックします。
[SSO カタログ] 、 [カスタム コネクター] の順に移動すると、新たに設定した汎用 HTTP コネクターがリストに追
加されています。
汎用 HTTP コネクターの設定
汎用 HTTP コネクター テンプレートを使用して HTTP サービスまたはアプリケーションのコネクターを設定するに
は、以下の表にある設定に値を指定します。HTTP サービスですべての設定が必要になるわけではありません。動的
HTTP サービスなど、一部のサービスと状況では、より詳しい設定が必要になる場合があります。
表 15-1
汎用 HTTP コネクターの設定
オプション
定義
[サインオン要求]
[動的サービス]
動的 HTTP クラウド サービスまたはアプリケーションのコネクターを指定します。
[POST]
HTTP メソッドを選択します。
• [POST] - (デフォルト) 選択したコンテンツ タイプのフォームが生成され、HTTP 要求の
本体で送信されます。
• [GET] - すべての情報が URL 文字列で送信されます。
[コンテンツ タイ
プ]
(POST) フォーム データのエンコーディングを指定します。次のオプションを選択します。
• [application/x-www-form-urlencoded] - (デフォルト) 大半の場合、このオプションを
使用します。
• [multipart/form-data] - 大量のフォーム データを送信する場合に使用します。
[https://]
フォーム データの送信先である サービス プロバイダーの URL を指定します。
ログオン フォームのデータを保護するため、HTTPS プロトコルの使用を強くお勧めします。
[正規表現 (オプシ
ョン)]
サービス プロバイダー URL の検出で使用する正規表現を指定します。 たとえば、https://
www.mycompany.com/login.* という正規表現を使用すると、次の URL を検出できます。
• https://www.mycompany.com/login
• https://www.mycompany.com/login?session=abc
動的 HTTP クラウド サービスに対する POST トランザクションを検出する場合にも使用で
きます。
500
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
表 15-1
15
汎用 HTTP コネクターの設定 (続き)
オプション
定義
[フォーム フィール ID プロバイダーのソース (SSO サービス) とサービス プロバイダーのターゲット (クラウ
ド]
ド サービスまたはアプリケーション) の属性名を関連付けます。 フォームで送信される属性
ごとに 1 つのフォーム フィールドを設定します。
1 つ以上のフォーム フィールドが必要です。
• [設定] (パラメーター) - フォームで送信される属性の名前を指定します。 この値は、ク
ラウド サービスまたはアプリケーションが予期する属性名になります。
• [宛先] (ソース) - 属性値のソースを指定します。 次のいずれかを選択します。
• [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定し
ます。
• [認証情報ストア] - Web Gateway に統合されている認証情報ストアに属性が指定さ
れます。 [属性]フィールドに属性の名前を指定します。 クラウド サービスまたはアプ
リケーションの属性名と異なる名前も使用できます。
ID プロバイダーからソース プロバイダーに関連付けられる属性には、ユーザー名とパス
ワードが含まれます。 ユーザーを一意に識別する属性は、IdP ソースから SP ターゲッ
トに関連付けてください。
• [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用
するクライアント コンピューターに送信されます。 クライアント コンピューターからサ
ーバーにフォームが送信されると、トークン値が実際の値に置換されます。
ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。
[ログイン ページ]
(オプション) ユーザーがクラウド サービスまたはアプリケーションにログオンするページ
を指定します。
• [https://] - ログオン ページの URL を指定します。
• [正規表現 (オプション)] — ログオン ページ URL の検出で使用する正規表現を指定しま
す。
ユーザーがログオン ページにリダイレクトするときに動的 HTTP クラウド サービスが
URL に行った変更を検出する場合にも使用できます。
• [フォーム ロケーターの JavaScript (オプション)] - JavaScript を使用するページに複
数のフォームが存在する場合に、ログオン ページ内でのフォームの位置を指定します。
• [送信アクションの JavasSript (オプション)] — JavaScript を使用した別のフォーム送
信アクションを指定します。
動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウド
サービスによっては、複数のログオン ページが必要になる場合があります。 たとえば、モバ
イル ブラウザーとデスクトップ ブラウザーに別々のログオン ページを作成します。
McAfee Web Gateway 7.6.2
Product Guide
501
15
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
表 15-1
汎用 HTTP コネクターの設定 (続き)
オプション
定義
[ログイン フィール (オプション) ログオン ページのフィールド名を指定します。 ログオン フィールド名の設定
ド]
が必要になるのは、フォーム フィールド名と異なる場合だけです。 この場合、ソースの設定
は同じになります。 ログオン ページの名前に合わせてパラメーター フィールドの名前だけ
が変更されます。
• [設定] (パラメーター) - ログオン ページのフィールド名を指定します。
• [宛先] (ソース) - 属性値のソースを指定します。 フォーム フィールドとログオン フィ
ールドのソース設定は同じです。 次のいずれかを選択します。
• [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定し
ます。
• [認証情報ストア] - Web Gateway に統合されている認証情報ストアに属性が指定さ
れます。 [認証情報ストア フィールド名]に属性の名前を指定します。 クラウド サービ
スまたはアプリケーションの属性名と異なる名前も使用できます。
• [要素ロケーターの JavaScript (オプション)] - フォーム フィールドが固有でない場合、
JavaScript を使用する対応フォーム フィールドの場所を指定します。
• [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用
するクライアント コンピューターに送信されます。 クライアント コンピューターからサ
ーバーにフォームが送信されると、トークン値が実際の値に置換されます。
ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。
[サインオン要求の
追加]
クリックすると、同じ HTTP サービスまたはアプリケーションの SSO 要求に別の値を設定
できます。
[Launchpad のフィールド]
[Launchpad のフ
ィールド]
HTTP サービスに対する自分の認証情報の管理をユーザーに許可するには、Launchpad のフ
ィールドを指定します。 ソースが認証情報ストアになっているフォーム フィールドに、1 つ
の Launchpad フィールドを設定します。
• Launchpad で生成する入力フィールドのタイプをドロップダウン リストから選択しま
す。
• [電子メール] - 有効な電子メールのフォームに含まれるテキストがフィールドに表示
されます。
• [数字] - 数字で構成されるテキストがフィールドに表示されます。
• [パスワード] - フィールドの入力時にテキストがマスキングされます。
• [テキスト] - フィールドにテキストが表示されます。
• [プロンプト] - フィールドに表示するプロンプトを指定します。
• [検証用の正規表現 (オプション)] - ユーザーが入力したテキストの検証に使用する正規
表現を指定します。
502
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
15
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
Web Gateway は、SAML 2.0 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。個
別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処理します。
Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションまたはサービスに接続し、識別
情報と SSO サービスを提供します。 Web Gateway では、クラウド サービスとアプリケーション用にコネクター
テンプレートが用意されています。 Web Gateway には、汎用の SAML2 コネクター テンプレートも用意されてい
ます。 この汎用テンプレートは、SSO カタログに未登録で SAML 2.0 を使用するクラウド サービスまたはアプリ
ケーションに設定できます。
SAML 2.0 クラウド アプリケーションのシングル サインオンを設定するには、SAML 2.0 アプリケーションの管理者
アカウントと Web Gateway ユーザー インターフェースの設定を行う必要があります。
SAML シングル サインオンの開始方法
SAML SSO プロセスは、ID プロバイダー (IdP) またはサービス プロバイダー (SP) によって開始されます。
ID プロバイダーは、エンドユーザーを認証するサービスです。 サービス プロバイダーは、エンドユーザーがアクセ
スする SAML クラウド サービスまたはアプリケーションです。 以下の SAML シングル サインオンの例では、Web
Gateway が ID プロバイダー役割を実行しています。
ユーザーがクラウドの SAML アプリケーションへのアクセスを要求すると、SSO プロセスが開始します。 Web
Gateway がユーザーを認証し、ユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクト
します。 メッセージのリダイレクトは自動的に実行されます。ユーザーが背景で実行されている認証プロセスを意
識することはありません。
IdP が開始する SAML シングル サインオン
Web Gateway は、次のように SSO プロセスを実行します。
1
Web Gateway がユーザーを認証します。
2
Web Gateway がユーザーに Launchpad を表示します。ここには、ユーザーがアクセスできる SAML アプリケ
ーションのアイコンが表示されます。 ユーザーが Launchpad のアイコンを選択して、Web Gateway (ID プロ
バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。
3
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
4
SAML アプリケーションがユーザーにアクセス権を付与します。
図 15-3 IdP が開始する SAML シングル サインオン
McAfee Web Gateway 7.6.2
Product Guide
503
15
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
SP が開始する SAML シングル サインオン
クラウド上の SML アプリケーションは、次のように SSO プロセスを実行します。
1
ユーザーが SAML アプリケーション (サービス プロバイダー) に直接アクセスを要求します。
2
SAML アプリケーションがユーザーの要求をユーザーのブラウザーを介して Web Gateway (ID プロバイダー)
にリダイレクトします。
3
Web Gateway がユーザーを認証します。
4
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
5
SAML アプリケーションがユーザーにアクセス権を付与します。
図 15-4 SP が開始する SAML シングル サインオン
SP だけで開始するピュア SAML シングル サインオン
すべての SAML アプリケーションが IdP 開始と SP 開始の両方のシングル サインオンに対応しているわけではあ
りません。 一部の SAML アプリケーションは片方の SSO しか対応していません。 SP 開始のシングル サインオン
だけに対応している SAML アプリケーションは、SP 開始のピュア シングル サインオンを実行します。
504
1
Web Gateway がユーザーを認証します。
2
Web Gateway がユーザーに Launchpad を表示します。ここには、ユーザーがアクセスできる SAML アプリケ
ーションのアイコンが表示されます。 ユーザーが Launchpad のアイコンを選択して、Web Gateway (ID プロ
バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。
3
この SAML アプリケーションは SP 開始のシングル サインオンにのみ対応しているので、Web Gateway はユ
ーザーの要求をユーザーのブラウザーを介してアプリケーションにリダイレクトします。 ユーザーの認証は実行
されていないため、SAML アプリケーションがユーザーを Web Gateway にリダイレクトして、認証を要求しま
す。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
15
4
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
5
SAML アプリケーションがユーザーにアクセス権を付与します。
図 15-5 SP だけで開始するピュア SAML シングル サインオン
SAML シングル サインオンの集中管理
SAML シングル サインオンでは、X.509 証明書と秘密鍵が必要になります。
X.509 証明書と秘密鍵を合わせて X.509 証明書キー ペアとも言います。X.509 証明書には、キー ペアと署名から
構成される公開鍵が含まれています。証明書には自己署名または証明機関の署名が付いています。
秘密鍵は、送信する SAML アサーションと要求に署名する場合に使用されます。また、X.509 証明書は受信した署
名の検証に使用されます。秘密鍵で SAML アサーションまたは要求に署名する側が署名を検証する側に X.509 証
明書を提供します。
SAML サービスやアプリケーションによって証明書の要件が異なります。以下では、一般的なシナリオで説明しま
す。
McAfee Web Gateway 7.6.2
Product Guide
505
15
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 15-2 証明書管理
SSO プ
ロセス
証明書の管理手順
SSO の手順
IdP 開
1 Web Gateway のインターフェースで、管理者が秘密鍵 1 Web Gateway が秘密鍵を使用して、エ
始/SP 開
と証明書のペアを生成またはインポートし、サービス プ
ンドユーザーの身元を保証する署名付
始の SSO
きの SAML アサーションを作成します。
ロバイダーが使用する証明書をエクスポートします。
2 サービス プロバイダーのインターフェースで、管理者が 2 サービス プロバイダーが証明書を使用
秘密鍵に対応する証明書をアップロードします。
して署名を検証します。
SP 開始
の SSO
1 サービス プロバイダーのインターフェースで、管理者が 1 サービス プロバイダーが秘密鍵を使用
秘密鍵に対応する証明書をダウンロードします。
して、署名付きの SAML SSO 要求を作
成します。
2 Web Gateway のインターフェースで、管理者がサービ
2 Web Gateway が証明書を使用して署
ス プロバイダーの証明書をインポートします。
名を検証します。
SAML2 クラウド コネクターを設定する
テンプレートを使用して、SAML 2.0 サービスまたはアプリケーションに接続するコネクターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストで、SAML 2.0 サービスに対応するテンプレートを選択します。
6
SAML 設定の値を入力します。
7
[OK] をクリックします。
新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
SAML2 コネクターの設定
SAML 2.0 サービスまたはアプリケーションのコネクターを設定するには、以下の表にある設定に値を指定します。
SAML アプリケーションですべての設定が必要になるわけではありません。
Web Gateway は ID プロバイダーです。
表 15-3
SAML2 コネクターの設定
オプション
定義
[アプリケーシ クラウド サービスまたはアプリケーションのインスタンスのドメイン名を指定します。
ョン ドメイン 例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ド
名]
メインの名前になります。
[SAML アサー ユーザーの身元を証明する SAML アサーションを発行した SSO サービス (IdP) の URL を指定
ション発行者 します。
(IdP)]
506
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 15-3
15
SAML2 コネクターの設定 (続き)
オプション
定義
[アサーション クラウド サービスまたはアプリケーション (SP) が使用するアサーション コンシューマー サー
コンシューマ ビス (ACS) の URL を指定します。ACS は、SSO サービス (IdP) が生成した SAML アサーショ
ー サービスの ンを使用します。
URL (SP)]
この値は、サービス プロバイダーから取得できます。
[SAML SSO
要求作成 URL
(SP)]
シングル サインオンを SP が開始する場合に必要なクラウド サービスまたはアプリケーション
(SP) の URL を指定します。
[SAML サブジ SAML アサーションのサブジェクトとして使用する属性の名前を指定します。 SAML サブジェク
ェクト属性名] トは、ユーザーを一意に識別します。 この値は、クラウド サービスまたはアプリケーションが予
期する属性名になります。
他の属性名
(オプション) SAML サブジェクト以外に、他の属性の名前/値ペアを ID プロバイダーからサービ
ス プロバイダーに渡すことができます。 たとえば、メール アドレス、姓名などを渡すことができ
ます。
[秘密鍵
(IdP)]
SSO サービス (IdP) が SAML アサーション、要求、応答に署名するときに使用する秘密鍵に対応
する X.509 証明書をドロップダウン リストから選択します。 サービス プロバイダーが証明書を
使用して署名を検証します。
[秘密鍵 (SP)] クラウド サービスまたはアプリケーション (SP) が SAML アサーション、要求、応答に署名する
ときに使用する秘密鍵に対応する X.509 証明書をドロップダウン リストから選択します。 ID
プロバイダーが証明書を使用して署名を検証します。
[名前 ID フォ
ーマット]
クラウド サービスまたはアプリケーションが予期するサブジェクト属性のフォーマットを指定し
ます。 この属性は、ユーザーを一意に識別します。
[名前の修飾子 名前空間でクラウド サービスまたはアプリケーション (SP) を一意に識別する文字列を指定しま
(SP)]
す。
[認証コンテキ クラウド サービスまたはアプリケーション (SP) が使用する認証コンテキスト クラス参照に対応
スト クラス参 する URI を指定します。 この URI は、OASIS SAML 標準の一部です。
照]
例: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
[ライフタイム SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定します。有効期
(秒)]
間が終了すると、SAML アサーションは無効になります。
[クロック ス
キュー (秒)]
2 つのクロックの時間差を指定します。この値は、SAML アサーションの有効期間を計算するとき
に使用します。
汎用 SAML2 クラウド コネクターを設定する
Web Gateway が個別のコネクター テンプレートで対応していない SAML2 サービスに接続する場合、汎用の
SAML2 クラウド コネクターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストから [汎用 SAML2 コネクター] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
507
15
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
6
汎用 SAML2 の設定に値を入力します。
7
[OK] をクリックします。
新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
汎用 SAML2 コネクターの設定
汎用 SAML2 コネクター テンプレートを使用して SAML2 サービスまたはアプリケーションのコネクターを設定す
るには、以下の表にある設定に値を指定します。
メタデータは、サービス プロバイダーから提供された SAML の設定から構成されます。 汎用の SAML2 コネクター
を設定する場合、メタデータを手動で入力することも、URL を使用してメタデータを自動的にダウンロードすること
もできます。
表 15-4 SAML 認証情報のマッピング
オプション
定義
[サブジェク SAML サブジェクトは、クラウド サービスまたはアプリケーションへのアクセスを要求するユーザ
ト]
ーを一意に識別します。 SAML サブジェクトは、ソースと値のペアとして指定されます。 ドロップ
ダウン リストからソースを選択します。
• [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力
します。
• [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに
属性の名前を入力します。
属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。
[属性]
(オプション) SAML アサーションで SAML サブジェクトと一緒に名前と値のペアとしてサービス
プロバイダーに渡される 1 つ以上のユーザー属性をしています。
[設定] - ([パラメーター]) SAML アサーションで送信される属性名を指定します。 この値は、サー
ビス プロバイダーが必要とする属性名です。
[宛先] - ([ソース]) SAML アサーションで属性名と一緒に送信される属性値を指定します。 属性
値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。
• [定数] - SAML アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に
指定します。
• [認証タイプ] - SAML アサーションで送信する値を [認証タイプ] フィールドで入力した属性の
値に設定する場合に指定します。
標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックしま
す。
表 15-5 メタデーター - メタデータを自動的にダウンロードする
オプション
定義
[メタデータの URL] SAML メタデータを XML 形式でダウンロードする URL を指定します。
この形式は、SAML メタデータの仕様に準拠する必要があります。
[エンティティ ID]
508
サービス プロバイダーを一意に識別します。 この値は、SAML メタデータ ファイルの先頭
にあるタグ内の entityID 属性で指定されます。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
15
表 15-6 メタデータ - メタデータを手動で指定する
オプション
定義
[アサーション コンシュー [ACS URL] - SAML アサーションが送信され、使用されるサービスの URL を指定し
マー サービ (ACS)] (オ
ます。
プション)
[IdP が開始する SSO]
(オプション)
[有効] - 選択すると、ID プロバイダーが開始するシングル サインオンを有効にしま
す。 サービス プロバイダーが IdP 開始のシングル サインオンに対応している必要が
あります。
[リレー状態] - シングル サインオンに成功した場合に表示されるクラウド サービス
またはアプリケーションのページを指定します。
[SP が開始する SSO] (オ [有効] - 選択すると、サービス プロバイダーが開始するシングル サインオンを有効
プション)
にします。 サービス プロバイダーが SP 開始のシングル サインオンに対応している
必要があります。
[SP 発行者] - SAML 認証要求を受信してシングル サインオンを開始するサービス
プロバイダーの名前を指定します。
[SSO URL] - (SP だけで開始するピュア SSO) SP 開始の SSO がサポートされて
いる場合に Web Gateway が SAML 認証要求をリダイレクトするサービス プロバイ
ダーの URL を指定します。
[署名] - (オプション) サービス プロバイダーが SAML 認証要求に署名する場合に使
用する秘密鍵の X.509 証明書を指定します。 Web Gateway が証明書を使用して署
名を検証します。
[署名] ドロップダウン リストから証明書を選択するには、次の操作を行う必要があり
ます。
1 サービス プロバイダーのインターフェースで証明書をダウンロードしま
す。
2 Web Gateway のインターフェースで証明書をインポートします。
表 15-7 メタデータ - SAML アサーション
オプション 定義
[署名キー] Web Gateway が SAML アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロップ
ダウン リストから選択します。
ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア
をインポートする必要があります。
[発行者]
SAML アサーションの発行者として Web Gateway の名前を指定します。
McAfee Web Gateway 7.6.2
Product Guide
509
15
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 15-8 詳細
オプシ
ョン
定義
[件名]
[名前 ID の形式] - SAML アサーションで送信するサブジェクトの形式を表すオプションをドロップダ
ウン リストから選択します。
例: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
詳細については、OASIS SAML 2.0 の仕様 (『Assertions and Protocols for the OASIS Security
Assertion Markup Language (SAML) V2.0』) を参照してください。
1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/
saml-core-2.0-os.pdf をクリックします。
2 開いた文書で、『Name Identifier Format Identifiers』セクションを参照します。
[認証
ステー
トメン
ト]
[認証方法] - SAML アサーションで送信するサブジェクトの認証方法を表す認証コンテキスト クラスを
ドロップダウン リストから選択します。
例: urn:oasis:names:tc:SAML:2.0:ac:classes:Password
詳細については、OASIS SAML 2.0 の仕様 (『Authentication Context for the OASIS Security
Assertion Markup Language (SAML) V2.0』) を参照してください。
1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/
saml-authn-context-2.0-os.pdf をクリックします。
2 開いた文書で、『Schemas』セクションを参照します。
[タイ
ムスタ
ンプ]
[形式] - 日時スタンプの形式を選択するには、設定ボタンをクリックします。 オプションは次のとおり
です。
• [yyyy-MM-dd'T'HH:mm:ss'Z' (デフォルト)]
• [yyyy-MM-dd'T'HH:mm:ss.SSS'Z' (ミリ秒を含む)]
510
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
15
表 15-8 詳細 (続き)
オプシ
ョン
定義
[条件]
[対象] - (オプション) 1 つまたは複数の SAML アサーション コンシューマーに対象を制限できます。
対象を指定するには:
1 [追加] アイコンをクリックします。
2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、サービ
ス プロバイダーから取得できます。
[クロック スキュー (秒)] - サーバーの時計の時差を表す値を指定します。たとえば、ID プロバイダーの
サーバーとサービス プロバイダーのサーバーの時間差を指定します。 この値は、SAML アサーションの
有効期間を計算するときに使用します。
デフォルト値: 20
[ライフタイム (秒)] - SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定
します。 有効期間が終了すると、SAML アサーションは無効になります。 この設定を使用すると、リプ
ライ攻撃を防ぐことができます。
デフォルト値: 60
[署名]
[方法] - ドロップダウン リストから署名方法を選択します。
• [応答全体に署名] - Web Gateway が SAML 応答全体に署名する場合に指定します。
• [アサーションに署名] - Web Gateway が SAML 応答の SAML アサーションだけに署名する場合に
指定します。
[署名の生成方法] - 署名の生成に使用するアルゴリズムをドロップダウン リストから選択します。
• [rsaWithSha1]
• [rsaWithSha256]
SAML シングル サインオンで使用する外部データソースの設定
HTTP サービスに対するシングル サインオンの認証情報は Web Gateway に統合された認証情報ストアに保存され
ますが、SAML の認証情報は、LDAP サーバー、データベース、Web サービスなどの外部のデータソースから取得
します。 いくつかの外部データソースが外部リスト機能で設定されています。
識別情報は、ユーザー属性の名前と値のペアで外部データソースから取得されます。名前は、クラウド コネクターの
作成時に設定した属性名と一致する必要があります。
SAML シングル サインオンの LDAP 認証設定
SAML シングル サインオンでデータソースとして 1 つ上の LDAP サーバーを使用するように、認証モジュールを設
定できます。 1 つのサーバーが使用不能になると、認証モジュールは別のサーバーへのフェールオーバーをサポート
します。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [認証] の順に選択します。 [設定]ツリーの上
にある 追加 アイコンをクリックします。
表 15-9 SAML シングル サインオンの LDAP 認証設定
オプション
定義
[名前]
認証モジュールの設定名を指定します。
例:SAML SSO の LDAP
[認証方法]
McAfee Web Gateway 7.6.2
ドロップダウン リストから [LDAP] を選択します。
Product Guide
511
15
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 15-9 SAML シングル サインオンの LDAP 認証設定 (続き)
オプション
定義
[LDAP サーバーの接続先] 1 つ以上の LDAP サーバーを追加して、サーバーの URI を指定します。
形式: [ldap[s]://]server[:port]
[証明機関のリスト]
(安全な LDAP 接続プロトコル) ドロップダウン リストから証明機関を選択します。
[認証情報]
LDAP サーバーとの接続で必要になるユーザー名を指定します。
[パスワード]
LDAP サーバーとの接続で必要になるパスワードを指定します。
[ユーザー オブジェクトの ユーザーを検索する LDAP ツリー項目の識別名を指定します。
基本識別名]
形式: attribute=value{, attribute=value}
[ユーザー名を DN にマッ
ピングする]
選択すると、フィルター式を設定できます。
[ユーザー オブジェクトを 項目またはユーザーのフィルタリングに使用する LDAP 式を指定します。%u はユー
検索するための表現をフ
ザー名を表すプレースホルダーです。
ィルタリングする]
Active Directory の例: (samaccountname=%u)
OpenLDAP の例: (cn=%u)
形式: (attribute operator value) | (operator filter1 filter2)
[ユーザー属性の取得]
選択すると、ユーザー属性を設定できます。
[取得するユーザー属性]
以下の属性はすべての SAML コネクターで必要となります。 取得するユーザー属性
のリストに追加します。
• mail - 電子メール アドレスを指定します。
• cn - (commonName) 名前と苗字を指定します。
• gn - (givenName) 名前を指定します。
• sn - (surname) 苗字を指定します。
SAML シングル サインオンでデータソースに Web サービスを使用する
外部リストを設定すると、SAML シングル サイオンのデータを JSON 対応の Web サービスから取得できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ
ーの上にある [追加] アイコンをクリックします。
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO の Web サービス
[データ ソース タイプ]
ドロップダウン リストから [Web サービス] を選択します。
[データ タイプ]
ドロップダウン リストから [JSON] を選択します。
[Web サービスの URL]
Web サービスの URL を指定します。
例:https://webservice.com:5984/users/${0}
users には、ユーザー情報を含むテーブルを指定します。
${0} は、Web サービスに渡すユーザー ID です。
512
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
15
SAML シングル サインオンでデータソースにデータベースを使用する
外部リストを設定すると、SAML シングル サイオンのデータをデータベースから取得できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ
ーの上にある [追加] アイコンをクリックします。
以下に、SQLite3 データベースを使用する場合の設定を示します。
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO のデータベース
[データ ソース タイプ]
ドロップダウン リストから [データベース] を選択します。
[SQL クエリー]
データベースからデータを取得する SQL クエリーを指定します。
select firstname as gn, lastname as sn, email as mail from
users where uid = '${0}';
${0} は、データベースに渡すユーザー ID です。
データベースの属性名は、SAML コネクターに設定した名前に対応しています。
[データベースのタイプ]
ドロップダウン リストから [SQLite3] を選択します。
[SQLite3 データベースのフ
ァイル パス]
SQLite3 データベースのパスを指定します。
SAML シングル サインオンでデータソースに LDAP サーバーを使用する
外部リストを設定すると、SAML シングル サイオンのデータを LDAP サーバーから取得できます。 これらの設定を
使用すると、データソースとして 1 つの LDAP サーバーを設定できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ
ーの上にある [追加] アイコンをクリックします。
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO の LDAP サーバー
[データ ソース タイプ]
ドロップダウン リストから [LDAP] を選択します。
[LDAP サーバーの URL]
LDAP サーバーの URL を指定します。
形式: ldap[s]://server[:port]
[ユーザー名]
LDAP サーバーとの接続で必要になるユーザー名を指定します。
[LDAP パスワード]
LDAP サーバーとの接続で必要になるパスワードを指定します。
[検索 DN]
ユーザーを検索する LDAP ツリー項目の識別名を指定します。
[検索範囲]
ドロップダウン リストから [サブツリー] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
513
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
オプション
定義
[検索フィルター]
項目のフィルタリングとユーザーの検索に使用する LDAP 式を指定します。
例:(uid=${0})
${0} は、データベースに渡すユーザー ID です。
[属性]
SAML コネクターが必要とする属性をすべて指定します。
[取得する追加の LDAP 属性 (JSON
タイプの場合のみ)]
• mail - 電子メール アドレスを指定します。
• cn - (commonName) 名前と苗字を指定します。
• gn - (givenName) 名前を指定します。
• sn - (surname) 苗字を指定します。
外部 ID プロバイダーを使用する SAML 認証
信頼済みの外部 ID プロバイダーを使用した認証を可能にするため、Web Gateway は SAML サービス プロバイダ
ー役割を実行します。
SAML 認証は、ID プロバイダーとサービス プロバイダー間で個人情報が共有される方法を表しています。
この SAML では、組織が信頼し、Web Gateway の外側に存在する外部 ID プロバイダーがデータベースまたは認
証サービスとして機能しています。 Web Gateway は、外部 ID プロバイダーに SAML 認証要求を送信します。 ID
プロバイダーは任意の認証方法でユーザーを認証し、SAML 認証応答の SAML アサーションで識別情報を戻します。
Web Gateway は、ID 情報を SAML アサーションから抽出し、Cookie を設定します。これは、ユーザーがクラウ
ド アプリケーションの認証を行うときに使用されます。
内部的に、Web Gateway は外部 ID プロバイダーを使用して認証サーバーとプロキシ経由で SAML 認証を実装し
ます。これにより、認証サーバーにない SAML 機能が提供されます。
クラウドでサービスを提供するアプリケーションはサービス プロバイダーともいいます。 この場合、クラウドで提供
されるサービスではなく、SAML 認証プロセスのプレーヤーに ID プロバイダーとサービス プロバイダーの役割が割
り当てられます。
514
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
15
外部 ID プロバイダーを使用する SAML 認証プロセス
認証サーバーは、外部 ID プロバイダーが送信する応答の SAML アサーションを使用して、認証済みのユーザーに
Cookie を設定します。
ユーザーが Web Gateway 経由でクラウド上のアプリケーションへのアクセスを要求すると、SAML 認証プロセス
が開始します。 このプロセスは、ユーザーのブラウザー経由で送信される HTTP リダイレクト (GET) と POST メ
ッセージから構成されます (破線)。 また、ユーザーが送受信するメッセージからも構成されます (実線)。 ユーザー
のブラウザー経由で別の SAML パーティに送信されるメッセージは自動的に生成されます。 ユーザーが背景で実行
される認証プロセスを意識することはありません。
Web Gateway は、HTTP POST メソッドを使用して ID プロバイダーに SAML 認証要求を送信し、SAML 認証応答
を受信します。
図 15-6 外部 ID プロバイダーを使用する SAML 認証プロセス
1
ユーザーが Web Gateway 経由でクラウド上のアプリケーションに対するアクセス権を要求します。
2
Web Gateway がユーザーを認識できない場合、プロキシがユーザーのブラウザー経由で要求をリダイレクトし、
認証サーバーに送信します。
3
認証サーバーがユーザーのブラウザー経由で SAML 認証要求を ID プロバイダーに送信します。 ID プロバイダ
ーがユーザーを認証し、SAML 認証応答を認証サーバーに戻します。この処理もユーザーのブラウザー経由で実
行されます。
認証サーバーの URL が静的な場合、プロキシは認証応答を傍受して動的 URL を再構成し、認証サーバーに応答を
リダイレクトします。
4
認証サーバーは、応答の SAML アサーションを使用して Cookie を設定します。Cookie を持つ認証済みユーザ
ーをプロキシ経由でクラウド上のアプリケーションにリダイレクトします。
5
プロキシが Cookie を持つユーザーをユーザーのブラウザー経由でクラウド上のアプリケーションにリダイレク
トします。
6
アプリケーションがユーザーにアクセス権を付与します。
McAfee Web Gateway 7.6.2
Product Guide
515
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
Web Gateway が静的 ACS URL を使用する方法
Web Gateway は、RelayState パラメーターで動的 ACS URL を保存することで、動的 URL を使用できない ID
プロバイダーにも対応しています。
RelayState パラメーター
アサーション コンシューマー サービスを提供する認証サーバーの URL は動的です。 すべての ID プロバイダーが
パラメーターを含む動的 URL に対応しているとは限りません。 Web Gateway は、RelayState パラメーターで認
証要求を作成するときに動的 ACS URL の値を保存することで、このような ID プロバイダーにも対応しています。
RelayState パラメーターは自動的に設定されます。 ユーザー側で設定を行う必要はありません。
認証サーバーが RelayState パラメーターと認証要求を POST 形式で ID プロバイダーに送信します。 ID プロバ
イダーが RelayState パラメーターと認証応答を POST 形式で戻すときに、RelayState パラメーターの値は変更さ
れません。
応答の ACS URL が静的な場合、プロキシは応答を傍受すると、静的 ACS URL と RelayState 値から動的 ACS
URL をリストアします。 プロキシは、リストアされた ACS URL を使用して SAML 認証応答を認証サーバーにリダ
イレクトします。
静的 ACS URL の設定
外部 ID プロバイダーが動的 URL に対応している場合、認証サーバーは ID プロバイダーに動的値を自動的に送信
し、応答で受信した ACS URL を検証します。 Web Gateway インターフェースで設定を行う必要はありません。
外部の ID プロバイダーが動的 URL に対応していない場合、Web Gateway インターフェースの次の 2 箇所に静的
ACS URL を設定する必要があります。 設定値が一致している必要があります。
•
ID プロバイダーに SAML 要求 で送信される静的 ACS URL 値 - この値は 修正された ACS URL を準備する
ルールに設定されています。
•
ID プロバイダーからの SAML 応答 で予期される静的 ACS URL 値 - この値は、SAML 応答 設定で定義され
ています。
ID プロバイダーからの応答で予期される ACS URL 値も ID プロバイダーで設定する必要があります。
設定タスクの概要
サービス プロバイダー役割を使用して Web Gateway で SAML 認証を設定するには、以下のタスクを実行します。
1
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルール セット
をインポートします。
このルール セットは、認証 ルール セット グループにあります。
2
静的 ACS URL を設定します。
外部の ID プロバイダーが動的 URL に対応していない場合には、このタスクが必要になります。
3
SAML 認証要求を設定します。
Web Gateway は、SAML 認証要求に署名しません。X.509 証明書も提供しません。
4
516
SAML 認証応答を設定します。 ID プロバイダーが SAML 認証応答とアサーションの署名に使用する X.509 証
明書をインポートします。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
15
5
認証サーバーが外部の ID プロバイダーから受信した認証応答を認識できるように、ID プロバイダーのサービス
URL を SAML IdP ホワイトリストに追加してください。
6
Authentication.UserName プロパティと Authentication.UserGroups プロパティに関連付ける SAML 属性
を設定します。
7
Web Gateway ユーザー インターフェースで設定した要件を満たす SAML 認証応答を生成するには、外部 ID
プロバイダーを手動で設定します。
静的 ACS URL を設定する
外部の ID プロバイダーが動的 URL に対応していない場合には、静的 ACS URL を設定します。
開始する前に
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー
ル セットをインポートする必要があります。
タスク
1
[ポリシー] 、 [ルール セット]の順に選択します。
2
[SAML バックエンドと修正済みの ACS URL を含む Cookie 認証] 、[認証サーバーで Cookie 認証]の順に展開
し、[認証サーバー要求] を選択します。
3
[修正された ACS URL を準備する] ルールを選択して、[編集] をクリックします。
[ルールの編集] ダイアログ ボックスが開きます。
4
[イベント] でイベントを選択して、[編集] をクリックします。
[プロパティ設定の編集] ダイアログ ボックスが開き、[User-Defined.SAMLUrlRewrite] プロパティが選択され
ます。
5
["- enter your URL here -"] を選択して、[編集] をクリックします。
6
[文字列の入力] ダイアログ ボックスで静的 URL を入力して、[OK] をクリックします。
7
[ルールの編集] ダイアログ ボックスを終了するには、[完了] をクリックします。
認証サーバー要求 ルール セット ビューに、更新された静的 ACS URL が表示されます。
SAML 認証要求を設定する
認証サーバーが外部の ID プロバイダーに送信する SAML 認証要求を設定します。
開始する前に
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー
ル セットをインポートする必要があります。
タスク
1
[ポリシー] 、 [設定]の順に選択します。
2
[エンジン] 、 [SAML 要求]の順に展開し、[SAML 要求] を選択します。
設定を行う [認証要求] ウィンドウが開きます。
McAfee Web Gateway 7.6.2
Product Guide
517
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
3
[認証要求] 設定に値を入力します。
4
[変更の保存] をクリックします。
SAML 認証要求の設定
サーバー プロバイダー (Web Gateway) の固有の名前と外部 ID プロバイダーの URL を指定します。
表 15-10
SAML 認証要求
オプション 定義
[EntityID] SAML 認証要求を送信するサービス プロバイダーの固有の名前を指定します (Web Gateway)。
[IdP URL]
認証要求が送信される外部 ID プロバイダーの URL を指定します。
SAML 認証応答を設定する
認証サーバーが外部の ID プロバイダーから受信する SAML 認証応答を設定します。 認証サーバーは、SAML 認証
応答の有効性を確認するため、設定済みの値と応答に含まれる値を比較します。
開始する前に
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー
ル セットをインポートする必要があります。
タスク
1
[ポリシー] 、 [設定]の順に選択します。
2
[エンジン] 、 [応答]の順に展開し、[SAML 応答] を選択します。
設定を行う [認証応答] ウィンドウが開きます。
3
[認証応答] 設定に値を入力します。
4
[変更の保存] をクリックします。
SAML 認証応答の設定
SAML 認証応答では、ID プロバイダーで設定した値を指定します。
表 15-11
SAML 認証応答
オプション
定義
[応答に署名が必要]
選択すると、SAML 応答で署名が必要になります。
[アサーションに署名
が必要]
選択すると、SAML アサーションで署名が必要になります。
[インポート]
クリックすると、外部 ID プロバイダーが提供する X.509 証明書を検索してインポートで
きます。 証明書ファイルがインポートされると、証明書の値が [認証応答] ウィンドウに
表示されます。
[EntityID]
SAML 認証応答を送信する外部 ID プロバイダーの固有の名前を指定します。
この値と応答の <saml2:Issuer> 要素が一致する必要があります。
518
[応答がすでに有効に
なっている]
選択した場合、現在のローカル時間が応答の <saml2:Conditions> 要素にある
notBefore 属性値以上になっている必要があります。
[負の時間差]
(応答がすでに有効になっている) 指定した値だけ、応答の notBefore 属性の設定を延長
します。
[正の時間差]
指定した値だけ、応答の notAfter 属性の設定を延長します。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
表 15-11
15
SAML 認証応答 (続き)
オプション
定義
[対象を応答に設定す
る]
応答に <saml2:Audience> 要素を追加する必要があります。
[対象が事前定義の値
に一致する]
応答の <saml2:Audience> 要素の値が、設定の [対象 URI] または [ACS URL] フィー
ルドに指定された値に一致する必要があります。
[対象 URI]
(対象が事前定義の値に一致する) 対象 (認証サーバー) の URI を指定します。
[宛先]
外部 ID プロバイダーが応答を送信するアドレスの URI を指定します。
[ACS URL]
認証サーバーが提供するアサーション コンシューマー サービスの URL を指定します (認
証サーバーが応答で SAML アサーションを使用します)。
外部 ID プロバイダーが動的 URL に対応していない場合には、静的 ACS URL を設定しま
す。 それ以外の場合は、この設定はブランクのままにします。 設定する場合、この値は、
修正された ACS URL を準備する ルールで設定した ACS URL 値に一致させる必要があ
ります。
以下のいずれかの形式で静的 ACS URL を設定します。
• 任意の Web Gateway URL
• プロキシが認証サーバーとして認識する形式の URL。次の形式で指定します。
http[s]://<proxy>:<port>/mwg-internal/<internal-path-id>/plugin?
target=Auth&reason=Auth&setCookie=true
<proxy> と <port> は、プロキシの IP アドレスとポート番号です。
<internal-path-id> は 内部パス ID です。
内部パス ID を検索するには、[設定] 、 [プロキシ] 、 [詳細設定] の順に選択します。
外部の IdP URL を SAML IdP ホワイトリストに追加する
認証サーバーが外部の ID プロバイダーから受信した認証応答を認識できるように、ID プロバイダーの URL を
SAML IdP ホワイトリストに追加してください。
開始する前に
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー
ル セットをインポートする必要があります。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[カスタム リスト] 、 [ワイルドカードの式]の順に展開し、[SAML IdP ホワイトリスト] を選択します。
3
[追加] をクリックします。
[ワイルドカード式の追加] ダイアログ ボックスが開きます。
4
[ワイルドカード式] フィールドに、外部 ID プロバイダーの URL を照合する式を指定します。
5
[OK] をクリックします。
一致する式が [SAML IdP ホワイトリスト] に追加されます。
McAfee Web Gateway 7.6.2
Product Guide
519
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
SAML 属性マッピングを設定する
Authentication.UserName プロパティと Authentication.UserGroups プロパティに関連付ける SAML 属性の名
前を設定します。
開始する前に
ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー
ル セットをインポートする必要があります。
タスク
1
[ポリシー] 、 [ルール セット]の順に選択します。
2
[SAML バックエンドと修正済みの ACS URL を含む Cookie 認証] 、[認証サーバーで Cookie 認証]の順に展開
し、[認証サーバー要求] を選択します。
3
[ユーザー名とグループを設定する] ルールを選択して [編集] をクリックします。
[ルールの編集] ダイアログ ボックスが開きます。
4
[イベント] でイベントを選択して、[編集] をクリックします。
[プロパティ設定の編集] ダイアログ ボックスが開き、[Authentication.UserName] プロパティまたは
[Authentication.UserGroups] プロパティが選択されます。
5
["Map.GetStringValue" プロパティのパラメーター] ダイアログ ボックスに移動します。
6
次のオプションを選択します
•
[Authentication.UserName] - [2. キー (文字列) 値: "userId"] を選択します。 ユーザー名プロパティ
に関連付ける SAML 属性の名前を [userID] に設定します。
•
[Authentication.UserGroups] - [2. キー (文字列) 値: "userGroup"] を選択します。 ユーザー グルー
プ プロパティに関連付ける SAML 属性の名前を [userGroup] に設定します。
7
変更を保存するには、[OK] をクリックします。
8
[ルールの編集] ダイアログ ボックスを終了するには、[完了] をクリックします。
認証サーバー要求 ルール セット ビューに、関連付けた SAML 属性の名前が表示されます。
SAML 認証応答の検証
外部 ID プロバイダーが送信した SAML 認証応答を検証するときに、認証サーバーが応答の値と Web Gateway イ
ンターフェースで設定した値を比較します。
Web Gateway ユーザー インターフェースで設定した要件を満たす SAML 認証応答を生成するには、外部 ID プロバ
イダーを手動で設定する必要があります。
次の要件を満たす SAML 認証応答が有効と見なされます。
520
•
応答に有効な XML 文字列が含まれている必要があります。
•
応答に 1 つ以上の SAML アサーションが含まれている必要があります。
•
応答の <saml2p:StatusCode> 要素の値が Success になっている必要があります。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
•
15
設定する場合、応答とアサーションの署名が有効でなければなりません。
•
[応答に署名が必要] - この設定を SAML 認証応答設定で選択すると、認証サーバーは応答に有効な署名が付
いているかどうか確認します。
•
[アサーションに署名が必要] - この設定を SAML 認証応答設定で選択すると、認証サーバーはアサーション
に有効な署名が付いているかどうか確認します。
•
応答の <saml2:Issuer> 要素は、SAML 認証応答設定の EntityID に一致している必要があります。
•
応答の <saml2:Conditions> 要素に notBefore 属性と notAfter 属性が含まれている必要があります。
•
次のように、現在のローカル時間が指定した範囲内にある必要があります。
•
•
•
[応答がすでに有効になっている] - 選択する場合、現在のローカル時間が notBefore 値以上になっている
必要があります。
•
[負の時間差] - 現在のローカル時間が、SAML 認証応答設定で指定した負の時間差を notBefore から引い
た値以上でなければなりません。
•
[正の時間差] - 現在のローカル時間が、SAML 認証応答設定で指定した正の時間差に notAfter を加えた値
以上でなければなりません。
設定する場合、応答に対象要素を追加し、次のように事前定義の値を設定してください。
•
[対象を応答に設定する] - SAML 認証応答設定を選択した場合、応答に <saml2:Audience> を追加する必
要があります。
•
[対象が事前定義の値に一致する] - SAML 認証応答プロセスを選択する場合、<saml2:Audience> 要素の
値を設定の 対象 URI または ACS URL フィールドと比較する必要があります。
<saml2p:Response> 応答要素にある 宛先属性の値が SAML 認証応答設定に指定した ACS URL 設定と一致
している必要があります。
SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 - ルール
セット
外部 ID プロバイダーを使用する SAML 認証をサポートするため、Web Gateway はサービス プロバイダー役割を
使用します。 このルール セットのルールは、この SAML のシナリオに対応しています。
ライブラリ ルール セット - SAML バックエンドと修正済みの ACS URL を含む Cookie 認証
条件 - Always
サイクル - 要求 (IM)
このルール セットには、次のネストされたルール セットが含まれています。
•
SAML バックエンドと修正済みの ACS URL を含む Cookie 認証
•
IdP が修正済みの ACS URL を使用する場合に SAML アサーションを傍受する
•
HTTP(S) プロキシでの Cookie 認証
•
•
認証されたクライアントの Cookie を設定する
•
認証サーバーでクライアントを認証する
認証サーバーでの Cookie 認証
•
認証サーバー要求
このルール セットには以下のルールが含まれます。
McAfee Web Gateway 7.6.2
Product Guide
521
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
クライアント コンテキストの設定
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Enable SSL Client Context without CA <Default Without CA>
このルールは、Web Gateway に付属のデフォルトの証明書またはユーザーがインポートした証明書を使用して、す
べての HTTP 通信を SSL プロトコルで保護します。 SSL 証明書を設定するには、[<CA を使用しないデフォルト
>] をクリックします。
IdP が修正済みの ACS URL を使用する場合に SAML アサーションを傍受する
プロキシは、静的 ACS URL を含む SAML 認証応答を傍受します。 SAML 応答を処理し、SAML アサーションを認
証サーバーにリダイレクトします。このサーバーがアサーション コンシューマー サービスを提供します。
ネストされたライブラリ ルール セット - IdP が修正済みの ACS URL を使用する場合に SAML アサーション
を傍受する
条件 - Command.Name equals "POST" AND URL.Path is in list SAMLAuthResponseList
サイクル - 要求 (IM)
修正済みの ACS URL のリストを設定するには、[SAMLAuthResponseList] をクリックします。
このルール セットには以下のルールが含まれます。
SAML 受信応答を処理する
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set Authentication.Token = Request.POSTForm.Get ("SAMLResponse")
Set Authentication.SAML.RelayState = Request.POSTForm.Get ("RelayState")
プロキシは、外部 ID プロバイダーが送信した POST から SAML 応答と RelayState パラメーターを取得します。
応答を Authentication.Token プロパティに保存し、RelayState を Authentication.SAML.RelayState プロパテ
ィに保存します。 ID プロバイダーが動的 URL に対応していない場合、プロキシは RelayState に戻された URL を
使用し、動的認証サーバーの URL をリストアします。
SAML アサーションを認証サーバーにリダイレクトする
ルール要素
定義
[条件]
Always
[アクション]
Block <SAMLRedirectToAuth>
[イベント]
HTTP.SetStatus (200)
動的認証サーバーの URL を復元すると、プロキシは SAML アサーション (Authentication.Token プロパティに保
存) を認証サーバーにリダイレクトし、HTTP ステータス コードを 200 (OK) に設定します。 ロギング目的でカス
タム設定を行うには、[<SAMLRedirectToAuth>] をクリックします。
522
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
15
HTTP(S) プロキシでの Cookie 認証
外部 ID プロバイダーを使用した SAML 認証の場合、プロキシーは有効な Cookie がない要求を認証サーバーにリダ
イレクトします。 認証サーバーは、SAML アサーションを使用してユーザーの ID を Cookie に格納します。
ネストされたライブラリ ルール セット - HTTP(S) プロキシでの Cookie 認証
条件 -
Authentication.IsServerRequest equals false AND (
Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "HTTPS") AND
Command.Name does not equal "CONNECT" AND
Command.Name does not equal "CERTVERIFY"
サイクル - 要求 (IM)
このルール セットには、次のネストされたルール セットが含まれています。
•
認証されたクライアントの Cookie を設定する
•
認証サーバーでクライアントを認証する
認証されたクライアントの Cookie を設定する
認証サーバーは、SAML アサーションを使用してユーザーの識別情報を Cookie に保存すると、Cookie を持つユー
ザーをプロキシ経由で要求されたアプリケーションにリダイレクトします。
ネストされたライブラリ ルール セット - 認証済みクライアントの Cookie の設定
条件 - Authentication.IsLandingOnServer equals true
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
Internet Explorer でサードパーティの Cookie を許可する P3P ヘッダー
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Header.Block.Add ("P3P", "CP="NOI CUR OUR STP STA"")
P3P 文字列は、P3P (Privacy Preferences Project) プラットフォームで必要になります。 この文字列は、エンド
ユーザーのブラウザーのプライバシー設定に一致させる必要があります。 この表のように P3P 文字列が更新され
ず、ブラウザーが Internet Explorer の場合、処理が失敗します。
Cookie を設定し、要求された URL にクライアントをリダイレクトする
ルール要素
定義
[条件]
Always
[アクション]
Redirect <Redirect Back From Authentication Server>
[イベント]
なし
認証サーバーは、Cookie を持つ認証済みユーザーをプロキシ経由で要求されたアプリケーションにリダイレクトし
ます。 ロギング目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリッ
クします。
McAfee Web Gateway 7.6.2
Product Guide
523
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
認証サーバーでクライアントを認証する
プロキシを使用すると、URL が SAML IdP ホワイトリストに登録されている外部 ID プロバイダーからの要求を許
可し、要求に含まれる Cookie の有効性を確認できます。 存在しない場合、プロキシは認証サーバーに要求をリダイ
レクトします。
ネストされたライブラリのルール セット - 認証サーバーでクライアントを認証する
条件 - Always
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
IDP 要求の許可
ルール要素
定義
[条件]
URL.Domain matches in list SAML IdP Whitelist
[アクション]
Stop Rule Set
[イベント]
なし
要求を送信した外部 ID プロバイダーの URL が SAML IdP ホワイトリストの URL に一致するかどうかプロキシが
検査します。
ホワイトリストに URL を追加するには、[SAML IdP ホワイトリスト] をクリックします。
有効な Cookie のないクライアントを認証サーバーにリダイレクトする
ルール要素
定義
[条件]
Authentication.Authenticate <Local Cookie Authentication Server> equals false
[アクション]
Authenticate <Default>
[イベント]
なし
外部 ID プロバイダーからの要求に有効な Cookie が含まれていない場合、プロキシが認証サーバーに要求をリダイ
レクトします。 別の認証方法を設定する場合には、[<Local Cookie Authentication Server>] をクリックします。
ロギング目的でカスタム設定を行うには、[<Default>] をクリックします。
認証サーバーでの Cookie 認証
このルール セットは、認証サーバー要求 ルール セットのコンテナーです。
ネストされたライブラリ ルール セット - 認証サーバーでの Cookie 認証
条件 - Always
サイクル - 要求 (IM)
このルール セットには、ネストされたルール セット (認証サーバー要求) が含まれています。
524
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
15
認証サーバー要求
このルール セットのルールは、外部 ID プロバイダーで SAML 認証を管理している場合に認証サーバーに適用され
ます。 認証サーバーは、SAML 認証応答を処理しますが、このルール セットに Cookie を設定しません。 Cookie
認証は、HTTP(S) プロキシで Cookie 認証 ルール セットのルールで処理されます。
ネストされたライブラリ ルール セット - 認証サーバー要求
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
有効な Cookie を持つクライアントをリダイレクトする
ルール要素
定義
[条件]
Authentication.Authenticate <Authentication Server - Cookie Check> equals true
[アクション]
Redirect <Redirect Back From Authentication Server>
[イベント]
なし
認証サーバーは、有効な Cookie を持つユーザーをプロキシにリダイレクトします。 認証サーバーが使用する
Cookie の確認方法を変更するには、[<Authentication Server - Cookie Check>] をクリックします。 ロギング
目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリックします。
修正された ACS URL を準備する
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set User-Defined.SAMLUrlRewrite = URL.Protocol + "://" + URL.Host + "- enter your
URL here -"
このルールを使用すると、動的 URL に対応していない外部 ID プロバイダーに静的 ACS URL を設定できます。 設
定する場合、この値は、[SAML 応答] で設定した ACS URL 値に一致させる必要があります。
POST SAML 認証要求
ルール要素
定義
[条件]
Command.Name does not match POST
[アクション]
Block <SAML request>
[イベント]
Set Authentication.SAML.RelayState = URL
Set Authentication.Token = Authentication.SAML.CreateAuthnRequest
(User-Defined.SAMLUrlRewrite)<SAML Request>
HTTP.SetStatus (200)
認証サーバーが RelayState パラメーターと SAML 要求を POST で外部 ID プロバイダーに送信します。
RelayState パラメーターには、要求作成時の認証サーバー URL の値が格納されます。 要求が、Web Gateway イ
ンターフェースで設定された値で作成されます。 認証サーバーが HTTP ステータス コードを 200 (OK) に設定し
ます。 SAML 認証要求の設定を変更するには、このイベントの [<SAML Request>] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
525
15
クラウド シングル サインオン
外部 ID プロバイダーを使用する SAML 認証
SAML 認証応答を処理する
ルール要素
定義
[条件]
Command.Name equals "POST"
[アクション]
Continue
[イベント]
Set Authentication.Token = Request.POSTForm.Get ("SAMLResponse")
Set Authentication.IsAuthenticated =
Authentication.SAML.ParseAuthnResponse ("POST",
User-Defined.SAMLUrlRewrite,
Authentication.Token) <SAML Response>
このルールは、POST で外部 ID プロバイダーからの SAML 応答を取得し、その値を Authentication.Token プロ
パティに格納します。 応答を解析し、応答が有効であれば TRUE を戻します。有効でない場合には、FALSE を戻し
ます。 SAML 認証応答設定を変更するには、[<SAML Response>] をクリックします。
無効な SAML 応答をブロックする
ルール要素
定義
[条件]
Command.Name equals "POST" AND Authentication.IsAuthenticated equals false
[アクション]
Block <Authorized Only>
[イベント]
なし
SAML 応答の解析後、このルールが Authentication.IsAuthenticated プロパティの値を検査します。 プロパティ
が false の場合、SAML 応答は無効です。応答の処理はブロックされます。 ロギング目的でカスタム設定を行うに
は、[<Authorized Only>] をクリックします。
ユーザー名とグループを設定する
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set Authentication.UserName = Map.GetStringValue (Authentication.SAML.Attributes,
"userId")
Set Authentication.UserGroups = String.ToStringList (Map.GetStringValue
(Authentication.SAML.Attributes, "userGroup"), ", ", "")
このルールは、SAML の "userId" 属性を Authentication.UserName プロパティに関連付け、 "userGroup" 属性
を Authentication.UserGroups プロパティに関連付けます。 認証プロパティに関連付ける SAML 属性を変更す
るには、ルール エディターを使用します。
空のユーザー名をブロックする
ルール要素
定義
[条件]
Authentication.UserName equals ""
[アクション]
Block <Authorized Only>
[イベント]
なし
ユーザー名プロパティが空の場合、このルールが応答の処理をブロックします。 ロギング目的でカスタム設定を行う
には、[<Authorized Only>] をクリックします。
526
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
.NET と Java Web アプリケーションへの SSO サービスの提供
15
Internet Explorer でサードパーティの Cookie を許可する P3P ヘッダー
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Header.Block.Add ("P3P", "CP="NOI CUR OUR STP STA"")
P3P 文字列は、P3P (Privacy Preferences Project) プラットフォームで必要になります。 この文字列は、エンド
ユーザーのブラウザーのプライバシー設定に一致させる必要があります。 この表のように P3P 文字列が更新され
ず、ブラウザーが Internet Explorer の場合、処理が失敗します。
認証されたクライアントをプロキシにリダイレクトする
ルール要素
定義
[条件]
Always
[アクション]
Redirect <Redirect Back From Authentication Server>
[イベント]
なし
ルール セットの最後のルールに応じて、認証サーバーが認証済みユーザーをプロキシーにリダイレクトします。 ロ
ギング目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリックします。
.NET と Java Web アプリケーションへの SSO サービスの提供
シングル サインオン ルール セットと汎用の IceToken クラウド コネクター テンプレートを使用すると、.NET ま
たは Java Web アプリケーションにシングル サインオンを設定できます。 このオプションは、Web Gateway の事
前定義のコネクターまたはコネクター テンプレートで Web アプリケーションがサポートされていない場合に使用
します。
Web Gateway は、IceToken 認証を使用してシングル サインオンを実行します。この方法は、SAML 認証でシング
ル サインオンを実装する場合と同じです。 この 2 つの認証方法でシングル サインオンを実行する場合の相違点は
次のとおりです。
•
いずれの場合も、ID プロバイダーがアサーションでユーザー情報をサービス プロバイダーに送信します。 アサ
ーションのユーザー情報の形式は、使用する認証方法によって異なります。
•
SAML 認証よりも IceToken 認証を使用したシングル サインオンのほうが簡単に設定できます。
汎用 IceToken クラウド コネクターを設定する
.NET または Java Web アプリケーションへのシングル サインオンを設定するには、汎用の IceToken クラウド コ
ネクター テンプレートを使用します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
McAfee Web Gateway 7.6.2
Product Guide
527
15
クラウド シングル サインオン
.NET と Java Web アプリケーションへの SSO サービスの提供
5
[テンプレート] ドロップダウン リストから [汎用 IceToken コネクター] を選択します。
6
汎用 IceToken の設定に値を入力します。
7
[OK] をクリックします。
新たに設定した IceToken コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
汎用 IceToken コネクターの設定
汎用 IceToken コネクター テンプレートを使用して .NET または Java アプリケーションにコネクターを接続する
には、以下の表にある設定に値を指定します。
表 15-12 認証情報
オプショ
ン
定義
[サブジェ IceToken サブジェクトは、.NET または Java Web アプリケーションへのアクセスを要求するユーザ
クト]
ーを一意に識別します。 IceToken サブジェクトは、ソースと値のペアとして指定されます。 ドロップ
ダウン リストからソースを選択します。
• [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力し
ます。
• [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに属
性の名前を入力します。
属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。
[属性]
(オプション) IceToken アサーションで IceToken サブジェクトと一緒に名前と値のペアとしてサービ
ス プロバイダーに渡される 1 つ以上のユーザー属性をしています。
[設定] - ([パラメーター]) IceToken アサーションで送信される属性名を指定します。 この値は、サ
ービス プロバイダーが必要とする属性名です。
[宛先] - ([ソース]) IceToken アサーションで属性名と一緒に送信される属性値を指定します。 属性
値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。
• [定数] - IceToken アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に
指定します。
• [認証結果] - IceToken アサーションで送信する値を [認証結果] フィールドで入力した属性の値に
設定する場合に指定します。
標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックします。
表 15-13 アサーション コンシューマー サービ (ACS)
オプション
定義
[ACS URL]
IceToken アサーションが送信され、使用されるサービスの URL を指定します。
[ACS バインド]
IceToken アサーションの送信に使用する HTTP メソッドを指定します。
• [POST] - HTTP POST メソッドを指定します。
• [リダイレクト] - HTTP GET メソッドを指定します。
528
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
エンドユーザーによるアプリケーション Launchpad の使用
15
表 15-14 IceToken アサーション
オプション 定義
[署名キー] Web Gateway が IceToken アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロ
ップダウン リストから選択します。
ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア
をインポートする必要があります。
[発行者]
IceToken アサーションの発行者として Web Gateway の名前を指定します。
表 15-15 条件
オプション
定義
[対象]
(オプション) 1 つまたは複数の IceToken アサーション コンシューマーに対象を制限できます。
対象を指定するには:
1 [追加] アイコンをクリックします。
2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、
サービス プロバイダーから取得できます。
[クロック ス
キュー (秒)]
異なるサーバーの 2 つのクロックの時間差を指定します。 この値は、IceToken アサーションの有
効期間を計算するときに使用します。
デフォルト値: 20
[ライフタイ
ム (秒)]
IceToken アサーションの有効期間を計算するときに使用するライフタイム値を指定します。 有効
期間が終了すると、IceToken アサーションは無効になります。 この設定を使用すると、リプライ
攻撃を防ぐことができます。
デフォルト値: 60
エンドユーザーによるアプリケーション Launchpad の使用
Launchpad を使用すると、アプリケーションを起動したり、アプリケーションのアカウントを選択または管理でき
ます。
全体のワークフロー
ユーザーの側から見ると、Launchpad のワークフローは次のようになります。
1
管理者から提供された Launchpad の URL を使用して Launchpad を開きます。
2
Launchpad が開き、ログオン フォームが表示されます。ここに認証情報を入力します。
3
認証に成功すると、ユーザーにアクセスが許可されているアプリケーションのアイコンが Launchpad に表示さ
れます。 アプリケーションを実行するため、ユーザーが該当するアイコンをクリックします。
表示されるアプリケーションがフィルタリングされます。 たとえば、非プロキシ モードの動的 HTTP アプリケーショ
ンや非対応のアプリケーション、ユーザーが許可されていないアプリケーションは表示されません。
Launchpad を開く
管理者から提供された Launchpad の URL を使用して、Web Gateway クライアントの Web ブラウザーで
Launchpad を開きます。
Web ブラウザーで JavaScript を有効にする必要があります。
McAfee Web Gateway 7.6.2
Product Guide
529
15
クラウド シングル サインオン
エンドユーザーによるアプリケーション Launchpad の使用
Launchpad の URL には、シングル サインオン で設定した管理ホストの名前が含まれている必要があります。 た
とえば、ホスト名が sso.mwginternal.com の場合、Launchpad の URL には次のいずれかの値が含まれます。
•
https://sso.mwginternal.com
•
https://sso.mwginternal.com/launchpad
クラウド アプリケーションの選択
左パネルにクラウド アプリケーションのアイコンが表示されます。 ユーザーがアイコンをクリックすると、右ペイ
ンにアプリケーションのアカウント情報が表示されます。 アカウント情報が表示されない場合、いくつかの原因が考
えられます。
•
HTTP アプリケーション - HTTP アプリケーションに初めてアクセスした場合、ユーザーが [アカウントの追
加] をクリックして認証情報を入力する必要があります。 追加したアカウントを編集または削除することもでき
ます。
•
SAML アプリケーション - SAML ユーザー情報が外部ソースから取得されるため、アカウント情報が表示また
は要求されません。
左または右パネルのアプリケーション リンクをクリックすると、SAML アプリケーションと HTTP アプリケーショ
ンにシングル サインオンを開始できます。
ユーザーがアプリケーションい複数のアカウントを持っている場合、左パネルにアプリケーションのアイコンが複数
回表示されます。 それぞれのアイコンにアカウントのユーザー名が表示されます。 特定のアプリケーション アカ
ウントを開く場合には、アプリケーションとアカウントのペアに対応するアイコンをダブルクリックします。
Launchpad オプション
Launchpad には、クラウド アプリケーションを選択するオプションが用意されています。また、アプリケーション
のアカウントを操作したり、他のアプリケーションを表示することもできます。 以下の表は、これらのオプションに
ついて説明します。
表 15-16 Launchpad オプション
オプション
定義
アプリケーションのロゴ
クラウド アプリケーションを選択できます。
[アプリケーションの検索] 文字列を入力して、表示するクラウド アプリケーションを名前でフィルタリングでき
ます。
表示モード
ドロップダウン リストから表示モードを選択します。
• [アイコン] - 行内にアプリケーション アイコンが表示されます。
• [リスト] - アプリケーションのアイコンがリスト形式で表示されます。アプリケ
ーションのカテゴリも表示されます。
アプリケーションのソート クラウド アプリケーションのソート方法をドロップダウン リストから選択します。
• [名前別] - 名前でソートされたクラウド アプリケーションが表示されます。
• [カテゴリ別] - カテゴリと名前でソートされたクラウド アプリケーションが表示
されます。
[名前]
ユーザーが選択したクラウド アプリケーションのアイコンと名前が表示されます。
次のアカウント情報は、HTTP アプリケーションでのみ使用できます。 SAML ユーザー情報は外部ソースから取得され
ます。
530
[アカウント]
ユーザーが選択したクラウド アプリケーション アカウントのメール アドレスが表示
されます。
[アカウントの編集]
選択したクラウド アプリケーションのアカウントを編集できます。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
アプリケーション Launchpad のカスタマイズ
15
表 15-16 Launchpad オプション (続き)
オプション
定義
[アカウントの追加]
クラウド アプリケーションにアカウントを追加できます。
[Web Gateway ユーザー] クラウド アプリケーションを選択したユーザーの名前が表示されます。
[カテゴリ]
ユーザーが選択したクラウド アプリケーションのカテゴリが表示されます。
[説明]
ユーザーが選択したクラウド アプリケーション アカウントの説明が表示されます。
[アカウントの削除]
選択したクラウド アプリケーションのアカウントを削除できます。
アプリケーション Launchpad のカスタマイズ
Web Gateway のインターフェースで、組織の名前と説明を指定したり、文字表示をカスタマイズできます。また、
組織や製品のロゴ画像をインポートできます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイ
ズできます。
テンプレート エディターを開く
Launchpad をカスタマイズするには、シングル サインオン スキーマというファイルとテンプレートのコレクション
を編集します。 テンプレート エディターでコレクションを開くには、[シングル サインオン] のデフォルトの設定に
移動し、[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択します。
あるいは、[テンプレート] タブでテンプレートに直接アクセスすることもできます。
/dat フォルダーのファイルと /files フォルダーのファイル
Launchpad を生成するときにシングル サインオン モジュールが使用するファイルは、アプライアンスがインストー
ルされ、SSO プロセスが実行されているサーバーの次のフォルダーにあります。
•
/dat - このフォルダーのファイルは、アプライアンスが管理するシステム ファイルです。 更新サーバーから
更新が取得されるたびに上書きされます。
•
/files - このフォルダーとサブフォルダー (/img など) のファイルはカスタマイズできます。これらのファイ
ルは更新サーバーに上書きされません。
Launchpad.html ファイルを編集する
Launchpad.html ファイルには組織の名前と説明を指定できます。また、スタイル シートの名前とロゴを含む画像
ファイルも指定できます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイズできます。
たとえば、IT 組織へのメッセージやリンクをサイドバーに追加できます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。
[シングル サインオン] の設定が開きます。
3
[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし
ます。
[テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。
McAfee Web Gateway 7.6.2
Product Guide
531
15
クラウド シングル サインオン
アプリケーション Launchpad のカスタマイズ
4
[シングル サインオン スキーマ] 、 [Launchpad] 、 [en] の順に展開し、[html] を選択します。
[HTML エディター] が開きます。
5
6
エディターで次の操作を行います。
a
Your Company Name を組織の名前で置換します。
b
Your Company Description を組織の説明で置換します。
c
(オプション) customLaunchpad.css をカスタム .css ファイルの名前で置換します。
d
sample_logo.png を組織のロゴを含む画像ファイルの名前で置換します。
e
productCompLogo.png を製品のロゴを含む画像ファイルの名前で置換します。
ヘッダーをカスタマイズするには、<div id="header"></div> 要素にコンテンツを追加します。
空の場合でも "header" 要素を削除しないでください。
7
フッターをカスタマイズするには、<div id="footer"></div> 要素にコンテンツを追加します。
空の場合でも "footer" 要素を削除しないでください。
8
サイドバーをカスタマイズするには:
a
次のように、<div id="aside"></div> 要素を launchpad.html ファイルに追加します。
<div id="main"> <div id="aside"> : : </div> $SSO.GetDatFile(“launchpadMain.html”)$
</div>
b
<div id="aside"></div> 要素にコンテンツを追加します。
例:
<div id="aside"> <img src="/files/img/your_logo.png"> <hr> $first line of
SSO.GetDatFile(“version.txt”)$ <hr> MWG: $MWG.Version$<br>$MWG.BuildNumber
</div>
この例では、指定したロゴ、更新サーバーから取得した最新の更新のバージョン番号、アプライアンスのバー
ジョンとビルド番号がサイドバーに表示されます。
9
[テンプレート エディター] を閉じるには、[OK] をクリックします。
10 [変更の保存] をクリックします。
Launchpad のスタイル シートを編集する
アプライアンスには Launchpad のデフォルト スタイル シートが用意されています。このシートを使用すると、組
織名や説明の表示方法を変更できます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイズでき
ます。
たとえば、Launchpad の背景に表示する画像を指定できます。 画像ファイルは、/files/img または /dat フォルダ
ーにあります。
カスタム スタイル シートをインポートすることもできます。
532
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
アプリケーション Launchpad のカスタマイズ
15
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。
[シングル サインオン] の設定が開きます。
3
[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし
ます。
[テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。
4
[ファイル システム] 領域で [singleSignOn] を展開し、[customLaunchpad.css] を選択します。
[エディター] が開きます。
5
エディターで、Launchpad で組織名と説明の表示に使用するフォントの色、サイズ、ファミリーを指定します。
例:
/* Organization Name */
#mainDesc
{ color:RGB(51,51,51); font-size: 12pt; font-family:verdana;
} /* Organization Description */
#subDesc
{ color:RGB(102,102,102); font-size: 9pt; font-family:verdana;
}
6
エディターで、Launchpad の背景に表示する画像を指定します。
次の例では、Launchpad を囲む枠がいっぱいになるまで背景にロゴを表示します。
body { width: 100%;
} #main {
// In one of the following lines, replace <image_file> with the filename
// of the background image and remove the comment tag from that line: // background:
url("/files/img/<image_file>") repeat; // background: url("/dat/<image_file>") repeat;
padding: 0px;
} #aside { display: inline-block; width: 100px; align-self: flex-start;
}
7
[テンプレート エディター] を閉じるには、[OK] をクリックします。
8
[変更の保存] をクリックします。
カスタム Launchpad のスタイル シートをインポートする
ユーザー インターフェースで、Launchpad のスタイル シートをインポートできます。 エクスポートして編集した
スタイル シートまたは独自に作成したスタイル シートをインポートできます。
独自のスタイル シートを使用する場合には、.css ファイルを /files ディレクトリに置き、Launchpad.html で .css
ファイルの名前を変更してください。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。
[シングル サインオン] の設定が開きます。
McAfee Web Gateway 7.6.2
Product Guide
533
15
クラウド シングル サインオン
クラウド サービスのブックマークの作成
3
[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし
ます。
[テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。
4
[ファイル システム] 領域で [singleSignOn] を選択します。
5
[追加] ドロップダウン リストから [既存のファイルまたはディレクトリ] を選択し、スタイル シート ファイル
を選択して [開く] をクリックします。
[ファイル システム] の [singleSignOn] の下にスタイル ファイル シートが追加されます。
6
[テンプレート エディター] を閉じるには、[OK] をクリックします。
7
[変更の保存] をクリックします。
Launchpad でカスタム ロゴを表示する
アプリケーションの Launchpad で組織または製品のロゴを表示するには、カスタム ロゴの画像ファイルをインポー
トします。
画像ファイルを /files/img または /dat フォルダーに置き、Launchpad.html で画像ファイルの名前と場所 (必要な
場合) を変更してください。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。
[シングル サインオン] の設定が開きます。
3
[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし
ます。
[テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。
4
[ファイル システム] 領域で [singleSignOn] を展開し、[img] を選択します。
5
[追加] ドロップダウン リストから [既存のファイルまたはディレクトリ] を選択し、ロゴを含むファイルを選択
して [開く] をクリックします。
[ファイル システム] の [img] の下に画像ファイルが追加されます。
6
[テンプレート エディター] を閉じるには、[OK] をクリックします。
7
[変更の保存] をクリックします。
クラウド サービスのブックマークの作成
組織のユーザーがアクセスするクラウド サービスやアプリケーションにブックマークを作成できます。
ブックマークを作成するには、次の形式でリンクを記述します。
https://sso.mwginternal.com/login?service=<S>
<S> は、SSO カタログのサービス ID です。
534
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング
15
ユーザーがサービスのリンクをクリックすると、SSO モジュールがログオン ページ用の HTML テンプレートを送信
します。 HTML テンプレートの JavaScript がユーザーのアカウント情報を取得し、サービスに渡します。 ユーザ
ーが持っているアカウントの数に応じて、次のいずれかのアクションが実行されます。
•
ユーザーがサービスのアカウントを持っていない場合 - Launchpad に移動し、アカウントの作成オプションが
表示されます。 アカウントの作成後、SSO プロセスに従ってサービスにログオンできます。
•
ユーザーがサービスに 1 つのアカウントを持っている場合 - アカウントの作成後、SSO プロセスに従ってサー
ビスにログオンできます。
•
ユーザーがサービスに複数のアカウントを持っている場合 - Launchpad に移動し、アカウントの選択オプショ
ンが表示されます。 アカウントの選択後、SSO プロセスに従ってサービスにログオンできます。
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング
ユーザー インターフェースのダッシュボードでは、統計情報を表示して、クラウド アプリケーションとサービスに
対するログオン数を確認できます。
[ダッシュボード] 、 [グラフおよび表] 、 [シングル サインオン統計] の順に選択します。次の情報が表示されます。
•
[すべてのログイン] - クラウドアプリケーションとサービスに対して、指定した期間内に発生したログオンの総
数が表示されます。
•
[サービスごとのログイン] - 指定した期間内に発生したログオンの数がクラウド アプリケーションまたはサー
ビス別に表示されます。
•
[サービスごとのログイン] - 指定したクラウド アプリケーションまたはサービスの数が、アクセス数の多いも
のから順に表示されます。また、各サービスがアクセスされた回数も表示されます。
•
[禁止されたログイン数] - クラウド アプリケーションとサービスに対して指定した期間内に実行され、無効な
トークンが原因で拒否されたログオンの数が表示されます。
シングル サインオン ルール セットのサマリー
シングル サインオンを設定し、管理するには、シングル サインオン ルール セット、関連リストと設定を使用しま
す。
シングル サインオン ルール セットにはデフォルトの値が設定されています。この値をそのまま使用することも、変
更することができます。 ルール セットを初めてインポートして選択すると、ロックされたビューでデフォルトの設
定が表示されます。 シングル サインオンの設定と管理は、ロックされたビューで行います。
ルール セットの詳細にアクセスするには、ビューのロックを解除します。 ビューのロックを解除してこの操作を行
った場合、操作を元に戻すことはできません。 ロックされたビューに戻すには、ルール セットを削除して再度イン
ポートする必要があります。
デフォルト設定のロックを解除して表示すると、ネストされたルール セットが表示されます。これらのルール セッ
トは次の順番に処理されます。 特に断りのない限り、すべてのルール セットがデフォルトで有効になっています。
1
[サービスの選択] - このルール セットのルールは内部マップにサービスを追加します。このマップにより、現
在のユーザーが要求されたクラウド サービスにアクセス可能かどうかが判断されます。 サービスはデフォルト
のリストから追加されます。
2
[SSO 管理] - このルール セットには、シングル サインオンを管理するルール セットがネストされています。
3
[SSO の実行] - このルール セットには、ログオン フォームを処理するルールが含まれています。
SSO 管理 ルール セットには次のルール セットがネストされています。 これらは、表示された順番に処理されます。
McAfee Web Gateway 7.6.2
Product Guide
535
15
クラウド シングル サインオン
クラウド シングル サインオン設定のキー要素
1
[HTTPS 処理] - このルール セットのルールは、HTTPS プロトコルを使用して Launchpad との通信をすべて
保護します。
2
[Launchpad] - このルール セットのルールは、シングル サインオン モジュールの設定を使用して、アプリケ
ーションの Launchpad とログオン ページを生成します。
3
[OTP 認証] - このルール セットのルールは、2 番目の認証方法として OTP 認証を施行します。 このルール セ
ットは、デフォルトで無効になっています。
4
[ログイン アクションの取得] - このルール セットは、ユーザーが要求しているサービスのコネクターに関する
情報を取得します。 HTTP サービスの場合、ルール セットの処理が停止します。 他のサービスの場合、要求さ
れたサービスに対するユーザーのアクセス権を確認します。
5
[共通タスク処理] - このルール セットは、シングル サインオン モジュールの設定を使用して、共通の SSO タ
スクを処理します。 また、存在しない SSO リソースに対するアクセスをブロックするルールも含まれています。
ログイン アクション取得 ルール セットには次のルールが含まれています。 これらは、表示された順番に処理されま
す。
1
[オンプレミスでのデータの取得] - このルール セットのルールは、外部の LDAP データソースから SAML シン
グル サインオンのユーザー情報を取得します。 このルール セットは、Web Gateway がオンプレミスにインス
トールされ、実行されている場合にのみ適用されます。
2
[クラウドでの属性の取得] - このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユー
ザー名から作成します。 これは、Web Gateway がクラウド上にインストールされ、実行されている場合にのみ
適用されます。
3
[SAML SSO の実行] - このルール セットは、要求された SAML サービスでのシングル サインオンの完了に必
要な情報を含む応答を生成します。
4
[IceToken SSO の実行] - このルール セットは、Web Gateway が提供するカスタム IceToken を使用して、
要求されたサービスでのシングル サインオンの完了に必要な情報を含む応答を生成します。
クラウド シングル サインオン設定のキー要素
シングル サインオン ルール セットのキー要素ビューを使用すると、よく使用する SSO 設定を変更できます。
SSO の設定
SSO 設定により、シングル サインオン モジュールを設定できます。 SSL スキャナーの設定により、Launchpad と
SSO のすべての通信が HTTPS プロトコルで保護されます。 シングル サインオンがプロキシ モードで実装されて
いる場合には、SSL スキャナー モジュールも有効にする必要があります。
表 15-17 SSO の設定
オプション
定義
[SSO の設定]
[編集] をクリックすると、シングル サインオン モジュールが使用するデフォルトの
SSO 設定が表示されます。
[SSL スキャナーの設定] [編集] をクリックすると、証明書の設定が表示されます。これにより、Launchpad と
SSO の通信を保護することができます。
SSO サービス
この設定により、ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。
536
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
クラウド シングル サインオン設定のキー要素
15
表 15-18 SSO サービス
オプション
定義
[認証ユーザーのサ [編集] をクリックすると、デフォルトの SSO サービス リストが開きます。個々のユーザーに
ービス]
アクセスが許可されているサービスのコネクターが表示されます。 このリストにコネクター
を追加したり、リストからコネクターを削除できます。
[共有 SSO サービ [編集] をクリックすると、共有 SSO サービスのリストが開きます。アカウントを共有するユ
ス]
ーザーにアクセスが許可されているサービスのコネクターが表示されます。 このリストにコ
ネクターを追加したり、リストからコネクターを削除できます。
簡易ログインのホスト名
この設定を使用すると、サービス ID として使用するホスト名を設定できます。
表 15-19 ホスト名の関連付け
オプション
定義
[ホスト名の関連
付け]
[編集] をクリックすると、[SSO ホストとサービス ID の関連付け] リストが開きます。ここ
で、ホスト名とサービス ID の関連付けを行います。 関連付けを設定すると、ユーザーはブラ
ウザーのアドレス バーに次のいずれかの簡易 URL を入力して、クラウド サービスにアクセス
できます。
• http://<ホスト名>
• https://<ホスト名>
SAML と IceToken SSO のサポート
これらの設定を使用すると、SAML または IceToken 認証を使用するクラウド サービスとアプリケーションへのシ
ングル サインオンに LDAP データの取得方法を設定できます。
表 15-20 SAML と IceToken SSO のサポート
オプション
定義
[SAML と IceToken
SAML または IceToken 認証を使用するサービスとアプリケーションに対するシングル
SSO サポートを有効に サインオンを有効にします。
する]
[追加属性の取得]
LDAP データの取得方法を選択します。
• [LDAP] - 認証モジュールを使用して、1 つ以上の LDAP サーバーからデータを取得し
ます。
複数の LDAP サーバーを設定している場合、認証モジュールがフェールバックに対応し
ています。
• [外部リストとしての LDAP] - 外部リスト モジュールを使用して、1 つの LDAP サー
バーからデータを取得します。
[LDAP の設定]
[編集] をクリックすると、認証モジュールの設定が表示されます。ここで、データソース
として 1 つ以上の LDAP サーバーを設定できます。
[外部リスト設定として [編集] をクリックすると、外部リスト モジュールの設定が表示されます。ここで、デー
の LDAP]
タソースとして 1 つの LDAP サーバーを設定できます。
OTP の使用 (ワンタイム パスワード)
この設定により、OTP 認証を設定できます。
McAfee Web Gateway 7.6.2
Product Guide
537
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
表 15-21 OTP (ワンタイム パスワード) の使用
オプション
定義
[サービスへのアクセス 選択すると、シングル サインオン時に基本的な認証方法以外にワンタイム パスワードの
に OTP が必要]
入力が必要になります。
[OTP サーバーの設定]
[編集] をクリックすると、OTP の設定が開きます。
[OTP の配布方法]
オプションを選択して、ワンタイム パスワードの配布方法を指定します。
• [生成された OTP (Pledge)] - Pledge (デスクトップ コンピューターまたは携帯端
末の OTP クライアント) がワンタイム パスワードを生成します。
• [配布された OTP] - OTP サーバーがワンタイム パスワードを生成し、電子メールま
たは SMS を配布します。
[OTP を必要とするサ
ービス]
[編集] をクリックすると、[OTP で保護された SSO サービス] リストが表示されます。
ここで、サービスをリストに追加できます。
シングル サインオン ルール セットのリファレンス
シングル サインオン ルール セットにあるネストされたルール セットを使用すると、組織内のエンドユーザーにクラ
ウド サービスとアプリケーションに対する SSO アクセスを設定できます。
ライブラリ ルール セット - シングル サインオン
条件 - Always
サイクル - 要求 (IM)、応答
シングル サインオン ルール セットには次のルールが含まれています。
•
•
サービスの選択
SSO 管理
•
HTTPS 処理
•
Launchpad
•
OTP 認証
•
ログイン アクションの取得
•
•
•
オンプレミスでの属性の取得
•
クラウドでの属性の取得
•
SAML SSO の実行
•
IceToken SSO の実行
共通タスク処理
SSO の実行
SSO 管理ルール セットにネストされているルール セットは、SSO.IsManagementRequest プロパティが true を
戻したときに実行されます。 このプロパティは、内部または外部の SSO 要求が次の場合に true に設定されます。
•
内部 SSO 要求 - SSO.Action プロパティが内部 SSO 要求アクションに対応する文字列を戻した場合。
•
外部 SSO 要求 - 外部 SSO 要求が Web Gateway の SSO サービス URL に送信された場合。
ログイン アクションの取得ルール セットにネストされたルール セットは、ユーザー情報を取得し、SAML クラウド
サービスまたはアプリケーションにシングル サインオンを実行します。
538
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
サービス選択ルール セット
このルール セットのルールは、クラウド サービスのリストを取得します。このリストに従って、認証ユーザーまた
は共有アカウントのユーザーにアクセスが許可されます。 他の SSO 操作のモジュールでは、このリストだけでな
く、このルール セットのルールを使用して設定した情報も使用できます。
ネストされたライブラリ ルール セット - サービスの選択
条件 - Always
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
デフォルトの SSO サービスを追加する (個々のアカウント)
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
String.IsEmpty(Authentication.UserName) equals false
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
Authentication.UserName,
Default SSO Services, {
"label":"Individual",
"permit-usage":"yes",
"permit-management":"yes"
})<Default>
ユーザーが認証されると、シングル サインオン モジュールがクラウド サービスのリストを取得します。このリスト
に基づいて、ユーザーにアクセスが許可されます。
シングル サインオン モジュールが次のプロパティと設定でイベントを実行します。
•
["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。
•
[Authentication.UserName] - 認証ユーザーの名前。
•
[デフォルトの SSO サービス] - 認証ユーザーにアクセスが許可されているサービスのリスト。
•
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
•
["label"] - アカウントのタイプ (個別または共有)
•
["permit-usage"] - リストのサービスに対する認証済みユーザーのアクセスを許可または拒否します。あ
るいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定します。
•
["permit-management"] - 認証済みユーザーによるアカウント管理機能へのアクセスを許可または拒否
します。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定し
ます。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
McAfee Web Gateway 7.6.2
Product Guide
539
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
OTP で保護された SSO サービスの追加 (個々のアカウント、OTP 認証後の使用)
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
String.IsEmpty(Authentication.UserName) equals false
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
Authentication.UserName,
OTP Secured SSO Services, {
"label":"Individual",
"permit-usage":"otp",
"permit-management":"otp"
})<Default>
ユーザーが認証されると、シングル サインオン モジュールがクラウド サービスのリストを取得します。
Launchpad に入力されたワンタイム パスワードで再度認証を実行した後で、OTP で保護されたサービスに対するア
クセスまたは管理を認証済みユーザーに許可します。
モジュールが次のプロパティと設定でイベントを実行します。
•
["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。
•
[Authentication.UserName] - 認証ユーザーの名前。
•
[OTP で保護された SSO サービス] - ワンタイム パスワードで再度認証を受けた後に認証ユーザーにアクセス
が許可されるサービスのリスト。
•
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
•
["label"] - アカウントのタイプ (個別または共有)
•
["permit-usage"] - リストのサービスに対する認証済みユーザーのアクセスで、OTP 認証を要求します。
値: "otp"
•
["permit-management"] - 認証済みユーザーによるアカウント管理機能に対するで、OTP 認証を要求しま
す。 値: "otp"
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
共有の SSO サービスを追加する (共有アカウント)
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
"sharedAccounts",
Shared SSO Services, {
"label":"Shared",
"permit-usage":"yes",
"permit-management":"yes"
})<Default>
540
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
シングル サインオン モジュールがクラウド サービスのリストを取得します。このリストに従って、共有アカウント
の認証ユーザーにアクセスが許可されます。
•
["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。
•
["sharedAccounts"] - 共有アカウント。
•
[共有 SSO サービス] - 共有アカウントの認証ユーザーにアクセスを許可するサービスのリスト。
•
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
•
["label"] - アカウントのタイプ (個別または共有)
•
["permit-usage"] - リストのサービスに対する共有アカウント ユーザーのアクセスを許可または拒否しま
す。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定しま
す。
•
["permit-management"] - 共有アカウントのユーザーによるアカウント管理機能へのアクセスを許可ま
たは拒否します。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp"
を指定します。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
覚えやすいホスト名でのシングル サインオンの処理
ルール要素
定義
[条件]
Map.HasKey (SSO Host to Service ID mapping, URL.Host) equals true
[アクション] Redirect
[イベント]
Set Redirect.URL = "http://" + SSO.ManagementHost<Default> + "/login?service=" +
Map.GetStringValue (SSO Host to Service ID mapping, URL.Host)
SSO ホストとサービス ID のマッピングに、要求されたサービスのホスト名が含まれている場合、そのサービスに設
定された URL に要求がリダイレクトされます。
シングル サインオン モジュールが指定された文字列、以下のプロパティと設定からリダイレクト URL を作成しま
す。
•
[SSO.ManagementHost] - Web Gateway 提供の SSO サービスのホスト名。
•
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
•
[Map.GetStringValue (SSO Host to Service ID Mapping, URL.Host)] - SSO ホストとサービス ID のマ
ップで要求されたサービスのホスト名を検索し、サービスのサービス ID を戻します。
HTTPS 処理ルール セット
このルール セットは、HTTPS プロトコルで実行されるエンドユーザーと Launchpad 間の SSO 通信を保護します。
ネストされたライブラリ ルール セット - HTTPS の処理
条件 - Always
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
McAfee Web Gateway 7.6.2
Product Guide
541
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
SSL を有効にする
ルール要素
定義
[条件]
Command.Name equals "CONNECT"
[アクション]
Stop Cycle
[イベント]
Enable SSL Client Context without CA <Launchpad certificate>
Enable SSL Scanner <Enable Content Inspection>
SSO 接続が必要な場合、このルールは要求サイクルを停止します。 シングル サインオン モジュールが SSL 証明書
を提供し、コンテンツ検査を有効にします。
モジュールが次の設定でイベントを実行します。
•
[<Launchpad certificate>] - SSL 証明書と設定を指定します。 デフォルトの証明書を使用することも、イン
ポートして使用することもできます。
•
[<Enable Content Inspection>] - SSL スキャナー モジュールによるコンテンツ検査を有効にするように設
定を行います。
SSL を施行する
ルール要素
定義
[条件]
Connection.Protocol equals "HTTP"
[アクション]
Redirect<Default>
[イベント]
Set URL.Protocol = "https"
Set Redirect.URL = URL
接続プロトコルが HTTP の場合、シングル サインオン モジュールが SSO プロトコルを "https" に設定し、SSO 要
求を指定の URL にリダイレクトします。
ルールが次の設定でリダイレクト アクションを実行します。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
Launchpad ルール セット
このルール セットは、必要な情報をすべて使用して Launchpad またはログオン ページを生成します。
ネストされたライブラリ ルール セット - Launchpad
条件 - Always
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
Launchpad の作成
ルール要素
定義
[条件]
URL.Path equals "/" OR URL.Path equals "/launchpad"
[アクション]
Block<SSO Launchpad>
[イベント]
HTTP.SetStatus (200)
要求された URL が SSO サービスまたは Launchpad を指定している場合、このルールが次の設定を使用して
Launchpad を生成します。
542
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
[<SSO Launchpad>] - Launchpad の生成に使用する言語とテンプレートの設定を指定します。
Launchpad の設定は変更しないことをお勧めします。
シングル サインオン モジュールは HTTP ステータス コードを 200 (OK) に設定します。
ログイン ページを自動的に作成する
ルール要素
定義
[条件]
URL.Path equals "/login"
[アクション]
Block<SSO Login Page>
[イベント]
HTTP.SetStatus (200)
要求された URL が SSO ログオン ページを指定している場合、このルールが次の設定を使用して、JavaScript を含
むログオン ページを生成します。
[<SSO Login Page>] - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。
ログオン ページの設定は変更しないことをお勧めします。
シングル サインオン モジュールは HTTP ステータス コードを 200 (OK) に設定します。
ログイン ページを自動的に作成する (一部のサービスで利用可能)
ルール要素
定義
[条件]
URL.Path matches regex(/login-.+)
[アクション]
Block<SSO Login Page>
[イベント]
Set URL.Parameters = List.OfString.Append
(URL.Parameters, String.Concat
("service=", String.SubString
(URL.Path, 7, -1)))
Set URL.Path = "/login"
HTTP.SetStatus (200)
このルールは、要求された URL がデフォルトの形式ではなく、/login-<Service ID> という形式で SSO ログオン
ページを指定している場合に適用されます。SSO サービスが予期する形式は /login?service=<Service ID> で
す。 このルールは、次の設定を使用してログオン ページを生成します。
[<SSO Login Page>] - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。
ログオン ページの設定は変更しないことをお勧めします。
シングル サインオン モジュールは、要求された URL をデフォルトの形式で再構築し、HTTP ステータス コードを
200 (OK) に設定します。
シングル サインオンを SP で開始した場合、一部の SAML サービスは IdP URL でクエリー パラメーターを使用でき
ません。
McAfee Web Gateway 7.6.2
Product Guide
543
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
OTP 認証ルール セット
このルール セットを有効にすると、クラウド サービスとアプリケーションにアクセスするエンド ユーザーの 2 番目
の認証方法として OTP 認証を施行できます。
ネストされたライブラリ ルール セット — OTP 認証
条件 - SSO.OtpRequired<Default> equals true
サイクル - 要求 (IM)
このルール セットのルールは、SSO アクションで OTP 認証が必要な場合に実行されます。
OTP コンテキストの準備
ルール要素
定義
[条件]
URL.HasParameter ("requestOTP") equals true OR
URL.HasParameter ("pledgeOTP") equals true
[アクション]
Continue
[イベント]
Authentication.SendOTP<OTP>
認証ユーザーからワンタイム パスワードが要求されると、シングル サインオン モジュールがユーザーにパスワード
を送信します。 OTP 要求の種類は次のとおりです。
•
["requestOTP"] - ユーザーが McAfee OTP サーバーを介してワンタイム パスワードを要求します。
•
["pledgeOTP"] - ユーザーが Pledge を介してワンタイム パスワードを要求します。Pledge は、コンピュータ
ーまたは携帯端末のローカルで実行される OTP クライアントです。
モジュールが次の設定でイベントを実行します。
<OTP> - OTP 認証の設定
OTP コンテキストを戻す
ルール要素
定義
[条件]
URL.HasParameter ("requestOTP") equals true
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (JSON.ToString
(JSON.StoreByName (JSON.CreateObject,
"otp-context", JSON.FromString
(Authentication.OTP.Context<OTP>))))
HTTP.SetStatus (403)
認証ユーザーからワンタイム パスワードが要求されると、このルールが要求サイクルを停止します。 シングル サイ
ンオン モジュールが OTP コンテキストを含む応答を JSON オブジェクトとして生成します。 McAfee OTP サー
バーがワンタイム パスワードに応答すると、OTP コンテキストはヘッダー フィールドで提供されます。
モジュールが次の設定でイベントを実行します。
<OTP> - OTP 認証の設定。
モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
544
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
配布された OTP の検証
ルール要素
定義
[条件]
Authentication.Authenticate<OTP> equals false
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse
("{"authentication-required":"delivered-otp"}")
HTTP.SetStatus (403)
OTP 認証に失敗すると、このルールが要求サイクルを停止します。 シングル サインオン モジュールが認証結果と方
法を含む応答を生成します。 この方法 (配布された OTP) は、McAfee OTP サーバーからワンタイム パスワードが
配布されたことを意味します。
モジュールが次の設定でイベントを実行します。
<OTP> - OTP 認証の設定。
モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
ワンタイム パスワードが McAfee OTP サーバーから配布される場合には、このルールを有効にします。
Pledge で生成された OTP の検証
ルール要素
定義
[条件]
Authentication.Authenticate<OTP> equals false
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse
("{"authentication-required":"generated-otp"}")
HTTP.SetStatus (403)
OTP 認証に失敗すると、このルールが要求サイクルを停止します。 シングル サインオン モジュールが認証結果と方
法を含む応答を生成します。 この方法 (生成された OTP) は、Pledge OTP クライアントがワンタイム パスワード
を生成したことを意味します。
モジュールが次の設定でイベントを実行します。
<OTP> - OTP 認証の設定。
モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
ワンタイム パスワードが Pledge OTP クライアントで生成される場合には、このルールを有効にします。
ログイン アクション取得ルール セット
このルール セットは、要求されたクラウド サービスまたはアプリケーションのコネクターに関する情報を取得しま
す。 HTTP クラウド コネクターの場合、ルール セットを処理した後に停止します。 他のクラウド コネクターの場
合、要求されたクラウド サービスまたはアプリケーションに対するユーザーのアクセス権を確認します。
ネストされたライブラリ ルール セット - ログイン アクションの取得
条件 - SSO.Action<Default> equals "GetLoginAction"
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
McAfee Web Gateway 7.6.2
Product Guide
545
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
コネクター情報の取得
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.sso-conn-info = SSO.GetConnectorInfo
(String.ToSSOConnector (URL.GetParameter ("service")))
シングル サインオン モジュールが、ユーザーから要求されたサービスのコネクターに関する情報を取得し、
[sso-conn-info] というローカル変数に JSON オブジェクトとして保存します。次の情報が取得されます。
•
名前 (文字列) - クラウド コネクターのユーザー定義の名前。
•
サービス ID (文字列) - クラウド サービスまたはアプリケーションの ID。
•
タイプ (文字列) - クラウド サービスが使用する認証方法。
値: HTTP、SAML2
•
インライン (ブール値) - true の場合、クラウド コネクターはプロキシ モードまたはインライン モードでのシ
ングル サインオンを必要とする動的 HTTP クラウド サービスをサポートしています。
•
廃止 (ブール値) - true の場合、クラウド コネクターはサポートされていません。
フォーム ベース ログインのルール セットを停止する
ルール要素
定義
[条件]
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
equals "http"
[アクション]
Stop Rule Set
[イベント]
なし
クラウド コネクター タイプが HTTP の場合、このルールはログイン アクション取得ルール セットを停止します。
ユーザーのアクセス権限の検証
ルール要素
定義
[条件]
SSO.UserHasAccessToService (URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
"usage")<Default> equals false
[アクション]
Block<SSO: User Has No Access To Service>
[イベント]
なし
このルールは、"service" と "usage" パラメーターを検証し、要求されたサービスまたはアプリケーションに対する
アクセス権がユーザーに付与されているかどうか確認します。 "service" パラメーターが空か、"usage" パラメータ
ーが "no" に設定されている場合、要求されたサービスに対するアクセスをブロックします。
このルールは次の設定で実行されます。
546
•
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
•
[<SSO: User Has No Access To Service>] - ユーザーに表示するブロック メッセージに使用する言語とテ
ンプレートの設定を指定します。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
「オンプレミスでの属性の取得」ルール セット
このルール セットのルールは、外部の LDAP データソースから SAML シングル サインオンのユーザー情報を取得し
ます。 このルール セットはデフォルトで無効になっています。インストールされた Web Gateway がオンプレミ
スで実行され、SSO タイプが SAML2 の場合にのみ、このルール セットが適用されます。
ネストされたライブラリ ルール セット - オンプレミスでの属性の取得
条件 - InTheCloud equals false AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info,
"type")) does not equal "HTTP"
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
LDAP からの追加属性の取得
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set Authentication.RawUserName = Authentication.UserName
Set User-Defined.sso-user-data = Authentication.GetUserGroupsJSON<LDAP
Authentication>
シングル サインオン モジュールが、認証フィルターを使用して外部の LDAP データ ソースからユーザー情報を取得
します。 [sso-user-data] というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザー情報は、
name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用されます。
このイベントは次の設定で実行されます。
[<LDAP Authentication>] - 外部 LDAP データソースに設定した認証モジュールを指定します。
外部リストによる LDAP からの追加属性の取得
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set User-Defined.sso-user-data = ExtLists.JSON (Authentication.UserName, "",
"")<LDAP Source>
シングル サインオン モジュールが、外部リスト モジュールを使用して外部の LDAP データ ソースからユーザー情
報を取得します。 [sso-user-data] というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザ
ー情報は、name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用さ
れます。
このイベントは次の設定で実行されます。
[<LDAP Source>] - 外部 LDAP データソースに設定した外部リスト モジュールを指定します。
McAfee Web Gateway 7.6.2
Product Guide
547
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
クラウドでの属性の取得ルール セット
このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユーザー名から作成します。 これはデ
フォルトで無効になっています。インストールされた Web Gateway がクラウドで実行され、SSO タイプが
SAML2 の場合にのみ、このルール セットが適用されます。
ネストされたライブラリ ルール セット - クラウドでの属性の取得
条件 - InTheCloud equals true AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info,
"type")) does not equal "HTTP"
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
ユーザー名からユーザー データを取得する
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
Authentication.UserName matches *@* AND
JSON.Size (User-Defined.sso-user-data) equals 0
[アクション]
Continue
[イベント]
Set User-Defined.sso-user-data =
JSON.StoreByName
(User-Defined.sso-user-data, "mail",
JSON.FromString (Authentication.UserName))
このルールは、ユーザーが認証済みの場合にのみ適用されます。ユーザー名は電子メール アドレス、
[sso-user-data] 変数は空です。 このルールは、name-value ペア属性を mail で保存します。ユーザーの電子メ
ール アドレスは JSON オブジェクトとして [sso-user-data] 変数に保存されます。
SAML SSO 実行ルール セット
このルール セットは、要求された SAML サービスまたはアプリケーションでのシングル サインオンの完了に必要な
情報を含む応答を生成します。
ネストされたライブラリ ルール セット - SAML SSO の実行
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには以下のルールが含まれます。
ログイン アクションの取得 (SAML)
ルール要素
定義
[条件]
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
matches saml*
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetSAMLLoginAction
(URL.GetParameter ("service"),
User-Defined.sso-user-data)<Default>)
548
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
15
クラウド コネクター タイプが SAML2 の場合、このルールは要求サイクルを停止します。 シングル サインオン モ
ジュールが、要求された SAML サービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー
情報を含む応答を生成します。
このイベントは次の設定で実行されます。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
IceToken SSO 実行ルール セット
このルール セットは、要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要な情報を
含む応答を生成します。
ネストされたライブラリ ルール セット - IceToken SSO の実行
条件 - Always
サイクル - 要求 (および IM)
このルール セットには以下のルールが含まれます。
ログイン アクションの取得 (IceToken)
ルール要素
[条件]
定義
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
equals "icetoken"
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetIceTokenLoginAction
(URL.GetParameter ("service"),
User-Defined.sso-user-data)<Default>)
クラウド コネクター タイプが IceToken の場合、このルールは要求サイクルを停止します。 シングル サインオン
モジュールが、要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー情報を
含む応答を生成します。
このイベントは次の設定で実行されます。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
共通タスク処理ルール セット
このルール セットでは、共通の SSO タスクを処理し、存在しない SSO リソースへのアクセスをブロックします。
ネストされたライブラリ ルール セット - 管理要求ブロック
条件 - Always
サイクル - 要求 (IM)
このルール セットには以下のルールが含まれます。
共通タスク処理
ルール要素
定義
[条件]
SSO.ProcessTask<Default> equals true
[アクション]
Stop Cycle
[イベント]
なし
McAfee Web Gateway 7.6.2
Product Guide
549
15
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
このルールは、共通の SSO タスク (認証情報の管理など) を処理します。
無効な管理要求または未処理の管理要求のブロック
ルール要素
定義
[条件]
Always
[アクション]
Block<File Not Found>
[イベント]
HTTP.SetStatus (404)
このルールは、要求されたリソースが存在せず、以下の設定で実行されている場合に、リソースに対するアクセスを
ブロックします。
[<File Not Found>] - エンドユーザーに表示するブロック メッセージに使用する言語とテンプレートの設定を指
定します。
シングル サインオン モジュールは HTTP ステータス コードを 404 (Not Found) に設定します。
SSO 実行ルール セット
このルール セットを使用すると、シングル サインオンがプロキシ (インライン) モードで実装されている場合に、エ
ンドユーザーが HTTP クラウド サーバーまたはアプリケーションにログオンンできます。
ネストされたライブラリ ルール セット - SSO の実行
条件 - Always
サイクル - 要求 (IM)、応答
このルール セットには以下のルールが含まれます。
ログイン フォームの処理
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
SSO.ProcessFormLogin<Default>
[シングル サインオン] モジュールがログオン フォームを処理します。ユーザーは、このフォームを使用してプロキ
シ (インライン) モードの HTTP クラウド サービスまたはアプリケーションにアクセスします。 イベントの処理
は、ログオン プロセスの手順によって異なります。
•
ユーザーがログオン フォームを要求したとき - ログオン ページに JavaScript が追加されます。これにより、
動的 HTTP クラウド サービスへのシングル サインオンが可能になります。また、実際のパスワードがパスワー
ド トークンに置換されます。
•
ユーザーがログオン フォームを送信したとき - パスワード トークンが実際のパスワードに置換されます。
SSO モジュールが次の設定でこのイベントを実行します。
[<Default>] - Web Gateway 提供の SSO サービスに接続する設定。
550
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオンのリストと設定
15
シングル サインオンのリストと設定
シングル サインオン モジュールは、設定に従ってシングル サインオン ルール セットのルールで使用されている
SSO プロパティとイベントから値とパラメーターを取得します。 モジュールが使用する設定の一部はリストとして
設定されます。
シングル サインオン リスト
シングル サインオン モジュールが使用する設定の一部はリストとして設定されます。
SSO ホストとサービス ID の関連付け
このリストを使用すると、覚えやすい名前 (ホスト名) と設定済みのコネクターのサービス ID を関連付けることが
できます。 ユーザーが Web ブラウザーのアドレス フィールドにホスト名を入力します。 シングル サインオン モ
ジュールがマップでホスト名を検索し、サービス ID を取得します。 ホスト名とサービス ID はキー/値ペアとして
保存されます。
モジュールがカスタム コネクターに割り当てたサービス ID が数値の場合、この機能は非常に便利です。
このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択します。
表 15-22
SSO ホストとサービス ID の関連付け
オプション 定義
[キー]
設定済みのコネクターに分かりやすい名前を指定します。
例:MyConnector
[値]
設定済みのコネクターのサービス ID を指定します。 サービス ID は SSO カタログで検索できます。
SSO サービス
シングル サインオン モジュールのデフォルトのリストを使用すると、ユーザーにアクセスを許可するクラウド サー
ビスを設定できます。 独自のアクセス制御リストを作成して設定することもできます。
これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター] の順に選択し
ます。
表 15-23 SSO サービス
リスト名
定義
[デフォルトの SSO サービ
ス]
ユーザーにアクセスを許可するクラウド サービスのコネクターが記述されたデフォ
ルトのリストです。
[OTP で保護された SSO サ
ービス]
基本的な認証方法以外に OTP 認証を必要とするクラウド サービスのコネクターが
記述されたリストです。
[共有 SSO サービス]
アカウントを共有しているユーザーにアクセスを許可するクラウド サービスのコネ
クターが記述されたリストです。
SSO カタログ
[SSO カタログ] では、事前定義のクラウド コネクターとカスタム クラウド コネクターの情報を確認できます。 テ
ンプレートから新しいコネクターを設定して、カスタム コネクターのリストに表示できます。
これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] 、 [SSO カタログ] の順に選択しま
す。
McAfee Web Gateway 7.6.2
Product Guide
551
15
クラウド シングル サインオン
シングル サインオンのリストと設定
表 15-24 SSO カタログ
オプショ
ン
定義
[アイコ
ン]
デフォルトのアイコンは、コネクターが設定されているクラウド サービスまたはアプリケーションのロ
ゴです。カスタム コネクターの場合、デフォルトのアイコンを任意の画像で置換できます。
[名前]
事前定義コネクターまたはカスタム コネクターの名前です。
• 事前定義のコネクター - モジュールが割り当てた名前です。サービス ID と同じです。
• カスタム コネクター - コネクター インスタンスを設定した管理者によって割り当てられた名前で
す。
[説明]
(オプション) コネクター インスタンスの説明。
[カテゴ
リ]
クラウド サービスまたはアプリケーションがユーザーに提供するサービスの種類。 デフォルトの値を
変更したり、複数のカテゴリを設定できます。
例: ビジネス インテリジェンス、コンテンツ管理、セキュリティ
[サービス 各コネクターを一意に識別する ID。
ID]
• [事前定義のコネクター ]- ID はクラウド サービスまたはアプリケーションの名前になります。
例: [ABIresearch]
• [カスタム コネクター] - ID はモジュールが割り当てた番号になります。
例:229
[タイプ]
コネクターが設定されているクラウド サービスまたはアプリケーションが使用する認証方法。
値: [HTTP]、[SAML2]
シングル サインオンの設定
シングル サインオン モジュールは、設定に従ってシングル サインオン ルール セットのルールで使用されている
SSO プロパティとイベントから値とパラメーターを取得します。
デフォルトの SSO 設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォ
ルト] の順に選択します。
シングル サイン オン
Web Gateway 提供の SSO サービスとの接続に必要な設定を指定します。
552
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
シングル サインオンのリストと設定
15
表 15-25 シングル サインオン
オプショ 定義
ン
[管理ホ
スト]
Web Gateway がインストールされ、SSO プロセスが実行されるサーバーの URL を指定します。 SSO
要求は、この URL で解決されます。 Web Gateway は、この URL で受信した要求を SSO 要求として
認識します。 SSO 要求を受信すると、[SSO.IsManagementRequest] プロパティが true に設定され
ます。
デフォルト値: sso.mwginternal.com
非プロキシ モードの場合、この設定は Web Gateway アプライアンスの IP アドレスとして使用されま
す。 プロキシ モードと非プロキシ モードの要求を処理するには、2 つのルール セットを使用し、それぞ
れのルール セットで異なる管理ホストを設定します。
[言語]
次のオプションを選択します
• [自動 (ブラウザー)] - Launchpad とログオン ページにテキストを表示するときに、ブラウザーの言
語設定が使用されます。
• [強制:] - Launchpad とログオン ページにテキストを表示するときに使用する言語をドロップダウ
ン リストから選択します。
[コレク
ション]
ドロップダウン リストからテンプレート コレクションを選択して、[編集] をクリックします。 テンプ
レート エディターが開きます。
• デフォルト スキーマ - ユーザー メッセージを作成するカスタマイズ可能なテンプレートです。
• SAML 要求スキーマ - 外部の ID プロバイダーと送受信する SAML 認証の要求
(SAMLRequest.html) と応答 (SAMLRedirectToAuth.html) 用のテンプレートです。
• シングル サインオン スキーマ - アプリケーションの Launchpad とログオン ページをカスタマイ
ズするテンプレートです。
これらの設定は、[テンプレート] タブでも実行できます。
ログイン フォーム
プロキシ モードを有効にして、秘密鍵を PEM 形式でインポートまたはエクスポートします。
表 15-26 ログイン フォーム
オプション
定義
[MWG をインラインで実行する (必
須: SSL スキャン有効)]
選択すると、Web Gateway はプロキシ (またはインライン) モードで SSO
プロセスを処理します。
[SSO トークンの署名に使用する秘
密鍵]
SSO プロセスで生成された SAML アサーションの署名に使用する秘密鍵
を PEM ファイル形式でインポートできます。秘密鍵は、PEM ファイル形式
でエクスポートできます。
詳細設定
SSO プロセスの P3P 文字列とデバッグ ロギング レベルを設定します。
McAfee Web Gateway 7.6.2
Product Guide
553
15
クラウド シングル サインオン
シングル サインオンのリストと設定
表 15-27 詳細設定
オプション
定義
[SSO トークン
Cookie の設定に使用
する P3P 文字列]
P3P (Privacy Preferences Project) プラットフォームで必要な設定文字列を指定しま
す。 この値は、エンドユーザーのブラウザーのプライバシー設定に一致させる必要があり
ます。 通常、デフォルト値 (CP="NOI CUR OUR STP STA") を使用します。
Internet Explorer の場合、このデフォルト値を変更する必要があります。 P3P 文字列を
正しく設定しないと、SSO プロセスに失敗します。
[ログ レベル (必須:
SSO デバッグ ログ
ルール セット)]
ドロップダウン リストからログ レベルを選択します。
• [無効] - ロギングが無効になっています。
• [エラー] - エラー メッセージだけがログに記録されます。
• [アクセス] - エラー メッセージと情報メッセージが SSO アクセス ログ ファイルに記
録されます。
• [完全] - すべてのメッセージが SSO アクセス ログ ファイルに記録されます。
SSO ロギングを有効にするには、[ルール セット ライブラリ] の [ロギング] ルール セッ
ト グループから [SSO ログ] ルール セットをインポートします。
ログ レベルを [完全] に設定した場合には、[追跡ログ] ルール セットが有効になっている
ことを確認してください。
SSO 証明書と秘密鍵の設定
SAML のシングル サインオンでは、SAML アサーションと要求に署名し、SAML 署名を検証するため、X.509 の証
明書と秘密鍵が必要です。
SSO 証明書
SSO プロセスは、SAML サービス プロバイダーが提供した X.509 証明書を使用して、SP 要求を検証します。X.
509 証明書は、[SSO 証明書] でインポートできます。
この設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 証明書] の順に選択します。
表 15-28
SSO 証明書
オプション
定義
[名前]
ユーザー インターフェースで区別できるように、インポートする X.509 証明書に固有の名前を指
定します。
[インポート]
このオプションをクリックすると、インポートする X.509 証明書を検索して選択できます。
[SSO 証明書] 証明書をインポートすると、次の証明書データが表示されます。
• [サブジェクト] - X.509 証明書を含む項目の識別名が表示されます。 この値は、サービス プロ
バイダーに対応しています。
• [発行者] - 証明書に署名した証明機関 (CA) の識別名が表示されます。 サブジェクトと発行者
が同じ場合、証明書は自己署名になります。
• [有効性] - 証明書の有効期間。
• [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。
554
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SSO ロギングの概要
15
SSO 秘密鍵
SSO プロセスは、エンドユーザーの身元を証明する SAML アサーションに秘密鍵で署名します。 SAML サービス
プロバイダーは、対応する X.509 証明書を使用して署名を検証します。 SAML SSO プロセスを実行するには、X.
509 証明書と秘密鍵の 1 つ以上のペアを生成またはインポートする必要があります。 キー ペアを生成またはイン
ポートすると、証明書と秘密鍵が Web Gateway ユーザー インターフェースのドロップダウン リストで選択可能に
なります。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 秘密鍵] の順に選択します。
表 15-29 SSO 秘密鍵
オプショ
ン
定義
[名前]
ユーザー インターフェースで区別できるように、生成またはインポートする X.509 証明書と秘密鍵に
固有の名前を指定します。
[生成]
このオプションをクリックすると、X.509 証明書と秘密鍵のペアが生成されます。 以下のフィールド
により、秘密鍵で指定された証明書のサブジェクトが一意に識別されます。 証明書サブジェクトは、
証明書または組織の情報を保存する項目です。 設定を行うときに、組織の値を入力します。
• [コモン ネーム (必須)]
• [州]
• [組織 (必須)]
• [国/地域]
• [組織単位]
• [電子メール アドレス]
• [ローカリティ (必須)]
[有効期間] - 証明書の有効期間。年単位で指定します。 [コメント] - (オプション) 証明書データ
にコメントを追加できます。
[インポー
ト]
このオプションをクリックすると、X.509 証明書と秘密鍵のペアをインポートできます。このオプシ
ョンは、すでに X.509 証明書ファイルと秘密鍵のペアがあり、ユーザー インターフェースにインポー
トする場合に使用します。
[秘密鍵と
証明書]
X.509 証明書と秘密鍵のペアを生成またはインポートすると、次のデータが表示されます。
• [サブジェクト] - X.509 証明書を含む項目の識別名が表示されます。 この値は、Web Gateway
に対応しています。
• [発行者] - 証明書に署名した証明機関 (CA) の識別名が表示されます。 サブジェクトと発行者が
同じ場合、証明書は自己署名になります。
• [有効性] - 証明書の有効期間。
• [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。
• [秘密鍵] - 秘密鍵が存在するかどうかを表します。
[エクスポ
ート]
このオプションをクリックすると、X.509 証明書をエクスポートできます。SAML サービス プロバイ
ダーは、このファイルを使用して署名付きの SAML アサーションと要求を検証します。
[キーのエ
クスポー
ト]
このオプションをクリックすると、秘密鍵をエクスポートできます。
SSO ロギングの概要
SSO ログ ルール セットは、SSO アクセス ログを生成します。また、プロキシが SSO.LogAttributes プロパティ
に保存する SSO 要求の情報から SSO 追跡ログを生成することもできます。
SSO プロキシは、内部と外部の SSO 要求の情報を SSO.LogAttributes プロパティに保存します。 SSO ロギング
が有効な場合:
McAfee Web Gateway 7.6.2
Product Guide
555
15
クラウド シングル サインオン
SSO ロギングの概要
•
内部要求が汎用のアクセス ログではなく、SSO アクセス ログに記録されます。
•
Web Gateway の外部から送信される外部要求は、汎用のアクセス ログに記録されます。
SSO ロギングを有効にするには、[ルール セット ライブラリ] の [ロギング] ルール セット グループから [SSO ロ
グ] ルール セットをインポートします。 [SSO ログ] ルール セットには次のルール セットがネストされています。
•
[アクセス ログ] - エラー メッセージと情報メッセージを SSO アクセス ログ ファイルに記録します。
•
[追跡ログ] - すべてのメッセージを SSO 追跡ログ ファイルに記録します。
•
[ロギング停止] - [SSO ログ] ルール セット サイクルを停止します。
追跡ログはアクセス ログよりも詳細で、SSO 機能のデバッグに使用するログです。
SSO ロギングを有効にするには、次の操作を行います。
1
[SSO ログ] ルール セットを [ログ ハンドラー] ルール セット ツリーに追加します。
2
[ログ ハンドラー] ツリーで、[デフォルト] ロギング ルールの上に [SSO ログ] ルール セットを移動します。
これにより、汎用アクセス ログではなく SSO アクセス ログに SSO 要求が記録され、ロギング サイクルが停止
します。
3
(オプション) SSO 追跡ロギングを有効にします。
SSO ロギングを有効にする
SSO ロギングを有効にすると、SSO 要求が汎用のアクセス ログではなく、SSO アクセス ログに記録されます。
SSO 追跡ロギングも有効にできます。
追跡ロギングを有効にする場合には、ログ レベルを 完全 に設定してください。 ログ レベルの設定を確認するには、
[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォルト] 、 [詳細設定] の順に選択します。
タスク
1
[ポリシー] 、 [ルール セット] 、 [ログ ハンドラー] 、 [デフォルト] の順に選択します。
2
[追加] ドロップダウン リストから [ライブラリのルール セット] を選択します。
[ルール セット ライブラリから追加] ダイアログ ボックスが表示されます。
3
[ロギング] を展開して [SSO ログ] を選択します。
4
ルール セットのインポートで競合が発生した場合には、[競合の自動解決] をクリックし、以下のいずれかのオプ
ションをクリックして [OK] をクリックします。
•
[既存のオブジェクトを参照する]
•
[推奨をコピーして名前を変更する]
[SSO ログ] ルール セットが [ログ ハンドラー] ツリーに追加されます。
556
5
[ログ ハンドラー] ツリーで、[デフォルト] ルール セットの上に [SSO ログ] ルール セットを移動します。
6
(オプション) 詳細ロギングを有効にするには:
a
[ログ ハンドラー] ツリーで [SSO ログ] を展開し、[追跡ログ] ルール セットを選択します。
b
設定ウィンドウで [有効] チェックボックスを選択します。
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SSO ロギングの概要
15
SSO ログ ルール セットのリファレンス
SSO.Client や SSO.Proxy などの SSO コンポーネントが要求を送信すると、SSO ログ ルール セットが有効にな
ります。
SSO ログ ルール セット
ライブラリ ルール セット - SSO ログ
条件 - JSON.AsString (JSON.GetByName (SSO.LogAttributes, "origin")) matches SSO.*
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
SSO.LogAttributes プロパティは、以下の表で説明する SSO 要求属性を格納する JSON オブジェクトです。 SSO
ログ ルール セットは、SSO アクセス ログを生成します。また、JSON オブジェクトの属性から SSO 追跡ログを生
成することもできます。
表 15-30 SSO.LogAttributes プロパティ
SSO 要求ログ
属性
定義
[action]
SSO 要求の応答で実行された内部アクションの名前を指定します。 例:
• LoadLaunchpad
• GetServices
• StartHTMLLogin、StartSAMLLogin、StartIceTokenLogin
• AddCredentials、UpdateCredentials、DeleteCredentials
[config]
SSO 要求の応答で実行された内部アクションで使用された文字列の名前を指定します。
[message]
SSO 要求の内容を記述します。
[origin]
プロキシが SSO.LogAttributes プロパティにコピーする値のソースを指定します。 ソースは、
次のいずれかの SSO コンポーネントにします。
• [SSO.Client] - プロキシは、クライアント (ブラウザー) から提供された値を検査せずにプロ
パティにコピーします。
• [SSO.Proxy] - プロキシは、クライアント (ブラウザー) から提供された値を検査してからこ
のプロパティにコピーします。
SSO.Client 値は、開発者が SSO の機能をテストまたはデバッグするときに使用します。これら
の属性は SSO 追跡ログにも記録されます。 セキュリティ上の理由から、プロキシが検査する値
は 1 つだけです (SSO.Proxy 値)。この値は SSO アクセス ログにも記録されます。
[レベル]
ログ レベルを指定します。 ログ レベルが 4 以下の SSO 要求だけが SSO アクセス ログに記
録されます。 ログ レベルが 4 を超える SSO 要求は、SSO 追跡ログに記録されます。このログ
には詳細な情報が記録されます。
ログ レベルは次のとおりです。
• [無効] (0) - ロギングが無効になっています。
• [エラー] (1, 2) - エラー メッセージだけがログに記録されます。
• [情報] (3、4) - エラー メッセージと情報メッセージが SSO アクセス ログ ファイルに記録
されます。
• [完全] (5、6) - すべてのメッセージが SSO アクセス ログ ファイルに記録されます。
McAfee Web Gateway 7.6.2
Product Guide
557
15
クラウド シングル サインオン
SSO ロギングの概要
表 15-30 SSO.LogAttributes プロパティ (続き)
SSO 要求ログ
属性
定義
[サービス]
SSO 要求のクラウド サービスの名前を指定します。
[外部]
Web Gateway が Web サーバー役割を実行するか、Web サービスが Web Gateway の外部に
あるかどうかを指定します。 この属性値は次のとおりです。
• [FALSE] - Web Gateway が SSO 要求の宛先で、SSO 応答を作成します。 この場合、Web
Gateway は Web サーバーの役割を実行します。 たとえば、ユーザーが Launchpad にアク
セスすると、Web Gateway は Web サーバー役割を実行します。
• [TRUE] - SSO 要求は外部の Web サーバーに送信され、このサーバーが SSO 応答を作成し
ます。 この場合、Web Gateway は Web サーバーの役割を実行しません。
SSO アクセス ログ ルール セット
[アクセス ログ] ルール セットの条件に一致すると、このルール セットのルールがログ エントリを SSO アクセス
ログ ファイルに書き込みます。 各 SSO ログ エントリは 1 つの SSO 要求に対応します。 条件を満たすには、要求
を作成した SSO コンポーネントがプロキシで、要求のログ レベルが 4 以下でなければなりません。
ネストされたライブラリ ルール セット - アクセス ログ
条件 - JSON.AsString (JSON.GetByName (SSO.LogAttributes, "origin")) matches SSO.Proxy* AND
JSON.AsNumber (JSON.GetByName (SSO.LogAttributes, "level")) less than or equals 4
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには以下のルールが含まれます。
558
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SSO ロギングの概要
15
sso_access.log を書き込む
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.logLine = DateTime.ToWebReporterString
+ " ""
+ Authentication.UserName
+ "" "
+ String.ReplaceIfEquals (IP.ToString (Client.IP), "", "-")
+""
+ String.ReplaceIfEquals (Number.ToString (Response.StatusCode), "", "-")
+ " ""
+ Request.Header.FirstLine
+ "" "
+ """
+ JSON.AsString (JSON.GetByName (SSO.LogAttributes, "action"))
+ "" ""
+ JSON.AsString (JSON.GetByName (SSO.LogAttributes, "service"))
+ "" ""
+ JSON.AsString (JSON.GetByName (SSO.LogAttributes, "message"))
+ """
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<SSO Access Log>
このルールは、SSO アクセス ログ エントリを作成し、SSO アクセス ログ ファイルに書き込みます。 このルール
は、以下の情報を文字列形式で取得して文字列を連結し、ログ エントリを作成します。
•
Web Reporter 形式の日時スタンプ
•
SSO 要求ヘッダーの先頭行
•
ユーザー名
•
SSO 要求の種類 (アクション)
•
クライアント IP アドレス (存在する場合)
•
SSO 要求のクラウド サービスの名前 (サービス)
•
応答のステータス コード (存在する場合)
•
SSO 要求の説明 (メッセージ)
ファイル システムのログ設定を開いて変更するには、[<SSO Access Log>] をクリックします。
SSO 追跡ログ ルール セット
追跡ログ ルール セットのルールは、SSO 追跡ログ エントリを作成し、SSO 追跡ログ ファイルに書き込みます。
追跡ログはアクセス ログよりも詳細で、SSO 機能のデバッグに使用するログです。
追跡ログ ルール セットは、デフォルトで無効になっています。 追跡ロギングを有効にする場合には、ログ レベルを
完全 に設定してください。 ログ レベルの設定を確認するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サ
インオン] 、 [デフォルト] 、 [詳細設定] の順に選択します。
ネストされたライブラリ ルール セット - 追跡ログ
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
McAfee Web Gateway 7.6.2
Product Guide
559
15
クラウド シングル サインオン
SSO ロギングの概要
このルール セットには以下のルールが含まれます。
Web Reporter タイムスタンプ
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.logLine = DateTime.ToWebReporterString
このルールは、Web Reporter 形式の日時タイムスタンプに等しい SSO 追跡ログ エントリを設定します。
すべての SSO 属性を追加する
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.logLine = User-Defined.logLine
+ " '"
+ JSON.ToString (SSO.LogAttributes)
+ "'"
このルールは、SSO ログ属性を既存の SSO 追跡ログ エントリに文字列形式で追加します。
外部への要求の先頭行を追加する
ルール要素
定義
[条件]
JSON.AsBool (JSON.GetByName (SSO.LogAttributes, "outward")) equals true
[アクション]
Continue
[イベント]
Set User-Defined.logLine = User-Defined.logLine
+ " '"
+ Request.Header.FirstLine
+ "'"
このルールは、SSO 要求が外部の Web サーバーで処理される場合、要求ヘッダーの先頭行を SSO 追跡ログ エン
トリに追加します。
先頭行を追加する
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.logLine = User-Defined.logLine
+ " '"
+ Request.Header.FirstLine
+ "'"
このルールは、デフォルトで無効になっています。 有効にすると、SSO 要求ヘッダーの先頭行が SSO 追跡 ログ エ
ントリに追加され、外部要求と内部要求で使用されます。
560
McAfee Web Gateway 7.6.2
Product Guide
クラウド シングル サインオン
SSO 問題の解決
15
sso_trace.log を作成する
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<SSO Trace Log>
このルールは、SSO 追跡ログ エントリを SSO 追跡ログ ファイルに書き込みます。 ファイル システムのログ設定
を開いて変更するには、[<SSO Trace Log>] をクリックします。
SSO ロギング停止ルール セット
SSO ロギング停止 ルール セットは、SSO 内部要求が SSO アクセス ログに記録されてから汎用アクセス ログに記
録される前にロギング サイクルを停止します。
ネストされたライブラリ ルール セット - ロギング停止
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには 1 つのルールが含まれます。
SSO 内部要求の追加ロギングを回避する
ルール要素
定義
[条件]
JSON.AsBool (JSON.GetByName (SSO.LogAttributes, "outward")) equals false
[アクション]
Stop Cycle
[イベント]
なし
SSO 要求が Web Gateway の内部で処理されると、このルールにより、[SSO ログ] ルール セットの現在のサイク
ルが停止します。 このアクションにより、SSO 内部要求が汎用のアクセス ログに記録されなくなります。
このルールを有効にするには、[ログ ハンドラー] ツリーで [デフォルト] ロギング ルール セットの上に [SSO ログ]
ルール セットを追加する必要があります。
SSO 問題の解決
SSO の問題とその解決方法については、以下の表を参照してください。
表 15-31
SSO 問題の解決
問題
解決策
認証情報ストアが、要求された認証情 エラー ログで認証情報ストア エラー (34050-34090) を確認してくださ
報を戻しません。
い。
エンド ユーザーは選択したクラウド
サービスにログオンできません。
サービスのコネクターが壊れている可能性があります。 SSO カタログの
サポート チームに連絡してください。
エンド ユーザーがクラウド サービス シングル サインオン ルール セット内のルールの順序を確認してください。
の認証情報を更新できません。
SSO コネクターにサービスを追加するサービス選択ルール セットは、フォ
ームの認証情報を管理するルール セットより前にある必要があります。
McAfee Web Gateway 7.6.2
Product Guide
561
15
クラウド シングル サインオン
SSO 問題の解決
表 15-31
SSO 問題の解決 (続き)
問題
解決策
SAML シングル サインオンに失敗し
ます。
SAML SSO エラーで考えられる原因は次のとおりです。
• 一部のユーザー情報が入力されていない - 一部のクラウド アプリケー
ションが特別なユーザー属性を必要としています。 不足しているユーザ
ー属性を調べるには、エラー ログで SSO エラー (34000-34999) を確
認してください。
• シングル サインオンが正しく設定されていない - Web Gateway ユー
ザー インターフェースと SAML アプリケーションの管理者アカウント
でシングル サインオンが正しく設定されているかどうか確認してくださ
い。
SAML メタデータの自動ダウンロー
このエラーで考えらえる原因は次のとおりです
ドが設定されているときにダウンロ
• 信頼された証明書のない HTTPS URL からメタデータをダウンロードし
ードに失敗すると、エラーが戻され、
ている。
要求されたサービスが存在しないこ
とが通知されます。
• SAML メタデータの署名が間違っている。
• SAML メタデータ ファイルに署名がない。
このエラーの詳細については、/opt/mcfc/log/mcfc.log ファイルを確認
してください。
After importing the SSO rule set,
one or more custom connectors
or links to cloud services and
applications are broken.
When the rule set is imported, new Service IDs are assigned to
the custom connectors. Update any Service IDs that are used to
reference custom connectors.
関連トピック:
489 ページの「Considerations when exporting and importing the SSO rule set」
562
McAfee Web Gateway 7.6.2
Product Guide
16
クラウド ストレージの暗号化
ネットワークのユーザーがクラウド ストレージ サービスを介してクラウド上のデータを使用する場合、Web
Gateway はデータの暗号化機能と復号機能を提供します。
•
クラウド ストレージの暗号化 - ユーザーがクラウド ストレージ サービスにデータをアップロードするときに、
データを暗号化します。
•
クラウド ストレージの復号 - ユーザーがクラウド すとれーじサービスから暗号化データをダウンロードすると
きに、データを復号し、ユーザーが操作できるようにします。
Web Gateway のルール セット ライブラリから適切なルール セットを使用すると、クラウド ストレージの暗号化
と復号を設定できます。
目次
クラウド ストレージ データの暗号化と復号
クラウド ストレージ データの暗号化と復号を設定する
データの暗号化と暗号化解除を設定する
クラウド ストレージ暗号化の設定
クラウド ストレージ暗号化サポートの設定
クラウド ストレージ データを手動で復号する
クラウド ストレージ暗号化ルール セット
クラウド ストレージ データの暗号化と復号
ユーザーがクラウド ストレージ サービスにアップロードするデータを暗号化すると、ネットワークのユーザーがク
ラウド上で行う操作のセキュリティを強化することができます。データをダウンロードすると、ユーザーが操作でき
るように暗号化が解除されます。
Web Gateway のクラウド ストレージ暗号化モジュール (クラウド ストレージ暗号化フィルターまたはエンジン)
がメタデータを含むデータの暗号化と復号の両方を処理します。暗号化と復号は自動的に行われます。
暗号化と復号は、要求サイクルと応答サイクルで処理されるトップ レベル データに実行されます。要求または応答
に埋め込まれているデータと、埋め込みオブジェクト サイクルで処理されるデータは暗号化も復号も行われません。
このモジュールは、標準的なアルゴリズムでデータの暗号化と復号を行います。使用するアルゴリズムは以下のいず
れかです。
•
AES-128
•
AES-192
•
AES-256
このアルゴリズムは暗号ともいいます。
暗号化プロセスまたは復号プロセスでは、パラメーターとしてパスワードを設定する必要があります。
McAfee Web Gateway 7.6.2
Product Guide
563
16
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号
このモジュールは、プロセスを実行するためにサービス記述ファイルを使用します。このファイルは、クラウド スト
レージ サービスごとに存在します。
このファイルには、異なるデータ形式の処理方法、アップロードまたはダウンロード要求で使用可能なメソッド (PUT
または POST)、要求で送信される URL が記述されています。この URL により、データのアップロードまたはダウ
ンロードを行う場所が識別されます。
新しいバージョンの Web Gateway をインストールすると、サービス記述ファイルが更新されます。更新サーバーか
ら新しいバージョンの記述ファイルをダウンロードすることはできません。
データの暗号化と復号は、以下のクラウド ストレージ サービスに実行されます。
•
Box
•
Dropbox
•
Google Drive
•
Microsoft SkyDrive
Box クラウド ストレージ サービスで暗号化と復号がサポートされるのは、Web ブラウザーまたはネイティブの
Box クライアントでデータのアップロードとダウンロードを行う場合です。Dropbox、Google Drive、Sky Drive
の場合、Web ブラウザーでアップロードまたはダウンロードを実行するときに暗号化や復号が行われます。
暗号化と復号の設定
暗号化プロセスと復号プロセスを設定するには、Web Gateway で適切なルールを実装する必要があります。これら
のルールは、ライブラリからインポート可能なクラウド ストレージ暗号化ルール セットに含まれています。
ライブラリ ルール セットのルールでクラウド ストレージ暗号化モジュールを制御し、暗号化プロセスと復号プロセ
スにデフォルトのパスワードを設定します。ルール セットには、プロセスを記録するオプションのルールも含まれて
います。
暗号化モジュールを制御するルールは、設定済みのストレージ サービスにデータをアップロードする要求を Web
Gateway で受信した場合に適用されます。同様に、これらのサービスからデータをダウンロードする要求を受信す
ると、復号モジュールを呼び出すルールが適用されます。
いずれかのルールが適用されると、モジュールが暗号化または復号を実行します。
復号は、ルール処理モジュール (ルール エンジン) が関連するルールの適用を確認するとすぐに実行されますが、暗
号化は、後続のルール (埋め込みオブジェクト サイクルで処理されるルールも含む) がすべて処理されるまで実行さ
れません。
これにより、他のルールは、アップロード要求またはダウンロード要求と一緒に送信されたデータを暗号化されてい
ない形式で処理することができます。
ライブラリ ルール セットをインポートすると、モジュールの設定が実装されます。この設定では次の項目を指定す
る必要があります。
564
•
暗号化と復号に使用するアルゴリズム (暗号)
•
サポートされるクラウド ストレージ サービス
McAfee Web Gateway 7.6.2
Product Guide
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号
16
データ トリックルと復号
データの転送モードとしてデータ トリックルを実装すると、クラウド ストレージ サービスからダウンロードされた
暗号化ファイルの復号に失敗する場合があります。したがって、これらの機能を次のように設定してください。
•
ルール セット ツリーで、データ トリックルの実装に使用したルール セットの直前または直後に、クラウド スト
レージ暗号化ルール セットを配置してください。
これにより、復号とデータ トリックルの間に他のルール セットのルールが処理されなくなり、復号エラーが発生
しなくなります。
データ トリックルを有効にするルールは、進行状況表示ルール セットに含まれています。これは、デフォルト ル
ール セットの共通ルール セットに組み込まれています。
次の操作を行うと、データ トリックルによる復号の失敗を確実に防ぐことができます。
•
データ トリックル ルールの条件にある Always を CloudEncryption.IsDecryptionSupported
equals false に置換します。
これにより、ダウンロード データの復号中にデータ トリックルが開始しません。ただし、このような条件を設定
すると、データ トリックル プロセスのパフォーマンスが低下します。
クラウド ストレージ サービスからダウンロードされたファイルが壊れていて開くことができない場合、復号エラーが
報告されません。このため、復号とデータ トリックルで矛盾が生じます。
複数の暗号化データ
クラウド ストレージ サービスへのデータのアップロード要求を受信したときに、異なる設定を使用してデータの暗
号化を複数回行うことができます。
それぞれの暗号化にルールを設定する必要があります。たとえば、1 つのルールにユーザー グループのパスワードを
指定して特定のアルゴリズムで暗号化を実行し、次のルールにユーザーのパスワードを指定して別のアルゴリズムで
暗号化を実行することができます。
データをダウンロードするときに、両方のパスワードが正しい場合にだけデータが復号されます。
複数のルールで暗号化されたデータを復号する場合、同じ数の復号ルールが必要になります。暗号化と同じアルゴリ
ズムとパスワードを使用する必要がありますが、ルールの順序は暗号化ルールの配置順と逆にする必要があります。
SSL で保護されたアップロード/ダウンロード要求
SSL セキュア接続でクラウド ストレージ サービスへのデータのアップロード要求またはデータのダウンロード要求
を処理するには、SSL スキャナー ルール セットを有効にする必要があります。
Web Gateway のデフォルト ルール セットでは、このルール セットは無効になっています。
ユーザーがアップロード要求とダウンロード要求の送信に使用する Web ブラウザーに、SSL セキュア通信に必要な
証明書をインストールする必要があります。
手動でのデータの復号
ネットワークで Web Gateway が一時的に使用不能になった場合、またはパスワードに矛盾がある場合、クラウド
ストレージ データを手動で暗号化する必要があります。
この操作を行うには、データの暗号化に使用したアルゴリズムとパスワードを使用する必要があります。クラウド ス
トレージ サービスからシステムにデータを直接ダウンロードし、アルゴリズムとパスワードのパラメーターを指定し
て手動復号のコマンドを実行します。
McAfee Web Gateway 7.6.2
Product Guide
565
16
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号を設定する
ダッシュボードでの暗号化と復号の監視
クラウド ストレージ データの暗号化と復号に関する統計をユーザー インターフェースのダッシュボードで監視す
ることができます。
次のパラメーターが表示されます。
•
暗号化と復号の操作回数とエラーの数 (累計)
•
暗号化されたデータと復号されたデータの量 (累計)
•
各クラウド ストレージ サービスで実行された暗号化と復号の操作回数とエラーの数
•
各クラウド ストレージ サービスで暗号化されたデータと復号されたデータのボリューム
クラウド ストレージ データの暗号化と復号を設定する
クラウド ストレージ サービスにアップロードまたはダウンロードするデータの暗号化と復号を設定するには、次の
手順に従います。
タスク
1
ルール セット ライブラリからクラウド ストレージ暗号化ルール セットをインポートします。
このルール セットは、クラウド サービス ルール セット グループにあります。
2
クラウド ストレージ データの暗号化と復号を設定します。
3
データの暗号化と復号を行う通信を SSL セキュア モードで実行するように設定します。
4
a
Web Gateway デフォルト ルール セットの SSL スキャナー ルール セットを有効にします。
b
クラウド ストレージ データのアップロードとダウンロードを行う Web Gateway クライアントのブラウザ
ーに、SSL セキュア通信に必要な証明書をインストールします。
設定を保存します。
データの暗号化と暗号化解除を設定する
クラウド ストレージ データの暗号化と暗号化解除を設定するには、2 つの異なるモジュール (エンジン) を使用しま
す。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [クラウド ストレージの暗号化] を展開して、必要なクラウド ストレージ
暗号化モジュールの設定 (たとえば、[デフォルト]) を選択します。
設定パネルに設定が表示されます。
3
必要に応じて、これらの項目を設定します。
4
[クラウド ストレージの暗号化サポート] を展開し、必要なクラウド ストレージ暗号化サポート モジュールの設
定 ([デフォルト] など) を選択します。
設定パネルに設定が表示されます。
566
McAfee Web Gateway 7.6.2
Product Guide
クラウド ストレージの暗号化
クラウド ストレージ暗号化の設定
5
必要に応じて、これらの項目を設定します。
6
[変更を保存] をクリックします。
16
クラウド ストレージ暗号化の設定
クラウド ストレージ暗号化の設定は、クラウド ストレージ データの暗号化と復号を設定するときに使用します。
暗号化パラメーター
クラウド ストレージ データの暗号化と復号の設定
表 16-1 暗号化パラメーター
オプション
定義
[暗号]
クラウド ストレージ データの暗号化と復号に使用するアルゴリズムをリストから選択します。
以下のアルゴリズムを選択できます。
• AES 128
• AES 192
• AES 256
クラウド ストレージ暗号化サポートの設定
クラウド ストレージ暗号化サポートの設定は、Web Gateway でサポートされ、データが暗号化または復号される
クラウド ストレージ サービスの設定に使用されます。
サポートされるクラウド ストレージ サービス
クラウド ストレージ サービスの設定
表 16-2 サポートされるクラウド ストレージ サービス
オプション
定義
クラウド ストレージ サービ データが暗号化または復号されるときに、Web Gateway でサポートされているク
ス リスト
ラウド ストレージ サービスを選択します。
以下のサービスを選択できます。
• Box
• Dropbox
• Google Drive
• Microsoft SkyDrive
デフォルトでは、すべてのサービスが選択されています。
McAfee Web Gateway 7.6.2
Product Guide
567
16
クラウド ストレージの暗号化
クラウド ストレージ データを手動で復号する
クラウド ストレージ データを手動で復号する
Web Gateway でクラウド ストレージ データを復号できない場合、暗号化のアルゴリズムとパスワードが分かれば、
適切なコマンドを実行して手動で復号することができます。
タスク
1
データが保存されているクラウド ストレージ サービスから暗号化データをシステムにダウンロードします。
2
Run the following command to decrypt the data:
openssl enc -<暗号> -d -in <暗号化されたファイル> -out <復号後のファイル> -k <パスワード
> -md sha256
The variable parameters have the following meanings:
<暗号>
データの暗号化に使用されたアルゴリズム
<暗号化されたファイル>
暗号化されたデータを含むファイルのパスとファイル名
<復号後のファイル>
復号後のデータを書き込むファイルのパスとファイル名
<パスワード>
データの暗号化で使用したパスワード
The data is decrypted and written to the specified file.
クラウド ストレージ暗号化ルール セット
クラウド ストレージ暗号化ルール セットは、クラウド ストレージにアップロードされるデータの暗号化とクラウド
ストレージ サービスからダウンロードされるデータの復号を処理するライブラリ ルール セットです。
ライブラリ ルール セット - クラウド ストレージ暗号化
条件 - Always
サイクル - 要求 (IM)、応答
このルール セットには、以下のルールが含まれます。
暗号化パスワードを設定する
Always –> Continue – Set User-Defined.Encryption Password = "webgateway"
このルールは、イベントを使用して Web Gateway のデフォルトのパスワードを設定します。このパスワードはデ
ータの暗号化で使用されます。
暗号化を有効にする
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
CloudEncryption.Encrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsEncryptionSupported プロパティを使用して、データの暗号化が実行可能か
どうかを確認します。条件を満たす場合、イベントを使用して暗号化を実行します。
復号を有効にする
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
CloudEncryption.Decrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、データの復号が実行可能かど
うかを確認します。条件を満たす場合、イベントを使用して復号を実行します。
568
McAfee Web Gateway 7.6.2
Product Guide
クラウド ストレージの暗号化
クラウド ストレージ暗号化ルール セット
16
復号後にコンテンツ タイプを修正する
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
MediaType.Header.FixContentType
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、クラウド ストレージ データ
の復号が実行されているかどうかを確認します。
条件を満たすと、イベントが発生し、Web Gateway へのデータ配信の応答ヘッダー情報にある Content-Type フ
ィールドを変更します。デフォルトでは、クラウド ストレージ サービスがこのフィールドに application/
octet-stream を設定しています。データが暗号化されていると、実際のメディア タイプを認識することはできま
せん。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
クラウド ストレージ サービスは、デフォルトでこのフィールドに application/octet-stream を設定するた
め、データが暗号化されると他のメディア タイプが認識できなくなります。このルールはこの問題を修正するもの
です。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
このルールは、デフォルトでは有効になっていません。
暗号化パスワードを記録する
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
Set User-Defined.encrypt-log.=
DateTime.ToGMTString
+ ", User: "
+ Authentication.UserName
+ ", IP: "
+ IP.ToString (Client.IP)
+ ", Service: "
+ CloudEncryption.ServiceName
+ ", Cipher: "
+ CloudEncryption.CipherName<Default>
+ ", Password: "
+ User-Defined.EncryptionPassword
FileSystemLogging.WriteLogEntry (User-Defined.encrypt-log)<Encryption Log>
このルールは、イベントを使用して暗号化をログに記録します。
2 番目のイベントは、この項目をイベントの設定で指定された Encryption Log に書き込むために使用されます。
データは暗号化された形式でログに記録されるため、このデータにアクセスするにはパスワードが必要になります
(デフォルト パスワード: webgateway)。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.6.2
Product Guide
569
16
クラウド ストレージの暗号化
クラウド ストレージ暗号化ルール セット
570
McAfee Web Gateway 7.6.2
Product Guide
17
ハイブリッド ソリューション
Web Gateway ではハイブリッド ソリューションを実装できます。これにより、ローカル ネットワーク以外で発生
した Web 利用も保護することができます。 このソリューションを有効にするには、McAfee SaaS Web
Protection を Web Gateway と一緒に統合プロセスで実行します。
®
このソリューションで重要な概念は次のとおりです。
•
ハイブリッド ポリシー - ローカル ネットワークの内部と外部の Web 利用に同じポリシーを適用できます。
•
ハイブリッド同期 - ポリシーを同期して、ローカル ネットワークの内外の Web 利用に一貫したポリシーを適
用します。
従来のソリューションでも、ホスト名、IP アドレス、URL カテゴリなどの一部のポリシー要素は同期が可能です。
目次
ハイブリッド ソリューションの使い方
ハイブリッド ソリューションの制限
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションのルール セットを選択する
同期を手動で実行する
Web Hybrid の設定
レガシー ハイブリッド ソリューション
ハイブリッド ソリューションの使い方
ハイブリッド ソリューションを使用すると、ローカル ネットワークの内部と外部のユーザーに同じポリシーを使用
して Web セキュリティを実行できます。
組織内のユーザーは、ローカル ネットワーク内に物理的にインストールされたシステムから Web にアクセスできま
す。多くの場合、オンプレミスという用語は、このような利用形態を指すときに使用されます。また、このネットワ
ークに仮想プライベート ネットワーク (VPN) 経由で接続するユーザーにも使用される場合があります。
組織の中には、自宅や移動中など、このような方法でローカル ネットワークに接続していないシステムで作業を行う
ユーザーもいます。
ハイブリッド ソリューションでは、オンプレミス ユーザーの Web 利用は Web Gateway が保護し、それ以外のユ
ーザーは McAfee SaaS Web Protection で保護します。この製品を使用して Web にアクセスすると、クラウ
ド内通信が実行されます。
McAfee Web Gateway 7.6.2
Product Guide
571
17
ハイブリッド ソリューション
ハイブリッド ソリューションの制限
ハイブリッド ソリューションでは、この両方のユーザーに同じセキュリティ ポリシーを使用して Web 利用を保護
できます。
•
Web Gateway で設定済みのポリシーから、McAfee SaaS Web Protection に適用するルール セットを選択で
きます。
•
ポリシーは設定した間隔で同期されます。これにより、両方の製品で同じルール セットが使用されます。Web
Gateway で行った変更も反映されます。
•
設定した間隔に関わらず、同期は手動でも実行できます。
Web Gateway の新しいバージョンで使用可能になった追加機能は、ハイブリッド ソリューションにすぐに追加でき
ます。
ハイブリッド ソリューションにはいくつかの制約があります。Web Gateway のポリシーの一部は McAfee SaaS
Web Protection に適用されません。これらの制約については、Web Gateway のユーザー インターフェースに警告
として表示されます。
ハイブリッド ソリューションの製品
ハイブリッド ソリューションは、次の 2 つの機能を提供します。
•
Web Gateway - オンプレミス ユーザーの Web 利用を保護する
•
McAfee SaaS Web Protection - クラウド ユーザーの Web 利用を保護する
McAfee SaaS Web Protection の詳細については、『Web Protection Services セットアップ ガイド』を参照
してください。
Web Gateway と McAfee SaaS Web Protection は McAfee Web Protection 製品スイートに含まれていま
す。このため、ハイブリッド ソリューションは McAfee Web Protection – Hybrid ともいいます。
ソリューション全体の詳細については、『McAfee Web Protection – Hybrid 配備ガイド』を参照してください。こ
のガイドには、ソリューションと一緒に使用できる製品 (McAfee ePolicy Orchestrator、McAfee Client Proxy な
ど) の情報も記載されています。
ハイブリッド ソリューションと McAfee Client Proxy を一緒に使用することをお勧めします。このソリューショ
ンは、アクセス要求の送信元がネットワークの内部かどうかを識別します。要求が内部からの場合、Web Gateway
が Web セキュリティ ジョブを実行し、外部からの要求は McAfee SaaS Web Protection にリダイレクトされま
す。
Web Gateway でのハイブリッド ソリューションの設定
Web Gateway でハイブリッド ソリューションを設定する場合には、このソリューションの設定を行い、McAfee
SaaS Web Protection に適用する Web セキュリティ ポリシーのルール セットを選択する必要があります。
ポリシー要素がソリューションに追加できず、警告が表示された場合には、適切な処置を行い、問題を解決してくだ
さい。
ハイブリッド ソリューションの制限
Web Gateway で設定した Web セキュリティ ポリシーを McAfee SaaS Web Protection にも適用する場合、い
くつかの制限事項があります。
たとえば、ネットワーク内から Web アクセス要求を送信するときに NTLM 認証で認証できますが、この認証方法を
使用するように NTLM サーバーが構成されている必要があります。
572
McAfee Web Gateway 7.6.2
Product Guide
ハイブリッド ソリューション
ハイブリッド ソリューションの制限
17
ユーザーからの Web アクセス要求が McAfee SaaS Web Protection で処理されている場合、NTLM サーバーをユ
ーザー認証に使用することはできません。NTLM 認証方法の一部はハイブリッド ソリューションで使用できません。
Web Gateway Web セキュリティ ルールのすべてのプロパティをハイブリッド ソリューションで使用できるわけ
ではありません。同様に、すべてのイベントが使用できるわけでもありません。たとえば、カウンターを増分するイ
ベント、管理者に電子メールを送信するイベント、ログ ファイルへの書き込みなどのイベントは使用できません。
一般に、次の場合にはポリシー要素をハイブリッド ソリューションで使用できません。
•
特定のネットワーク コンポーネントまたは外部サービスに依存している
たとえば、このルールはメール サーバーの設定を行うプロパティや、SMTP サーバーなどのメール サーバーが使
用可能でなければならないプロパティに適用されます。
また、トラップ シンクを必要とする SNMP プロパティに適用されます。また、ネクスト ホップ プロキシ サー
バーを必要とするネクスト ホップ プロキシにも適用されます。
•
関連機能がハイブリッド ソリューションでまだ使用できない場合
これは、クォータ管理と PDStorage 機能に適用されます。ランタイム データの交換が必要な他の機能でも使用
されます。たとえば、集中管理構成の複数の Web Gateway アプライアンス間で使用できます。
制約については、Web Gateway のユーザー インターフェースに警告として表示されます。
•
イベントに関する警告は無視できます。イベントが実行されなくても、ハイブリッド ソリューションは影響を受
けません。
•
Warnings on properties that are set to their default values might be followed by unexpected
behavior. Properties are set to default values if no meaningful use can be made of them in a hybrid
solution.
Best practice: Check whether rules that contain such properties work correctly on McAfee SaaS
Web Protection.
認証制限
ハイブリッド ソリューションでは、ローカル ネットワーク以外のユーザーの認証は McAfee SaaS Web Protection
で行っています。Web Gateway の認証設定は、これらのユーザーに適用する認証方法と互換性がなければなりませ
ん。
The Authentication.UserName and Authentication.UserGroups properties can be used when
configuring a hybrid solution on Web Gateway. The values that they are set to depend, however, on
the authentication method used by McAfee SaaS Web Protection.
ここでは主に次の方法を使用します。
•
クライアントの IP アドレスを使用するが、個々のユーザーに関する情報は提供しない
•
McAfee Client Proxy とクライアントを使用して、ユーザー名とグループに関する情報を提供する
•
基本認証 (ユーザーのセットアップが必要) McAfee SaaS Web Protection
McAfee Web Gateway 7.6.2
Product Guide
573
17
ハイブリッド ソリューション
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションでの制限に関するサンプル警告
以下では、同じ警告を使用していますが、ハイブリッド ソリューションの制約を表しています。
•
Web Gateway のルールのプロパティは McAfee SaaS Web Protection で使用できません。
この問題の警告が表示され、ルールとプロパティが通知されます。また、次のような文章を含みます。
Property PDStorage.GetAllData must not be used in SaaS.
•
Web Gateway のルールのイベントは McAfee SaaS Web Protection で使用できません。
この問題の警告が表示され、ルールとイベントが通知されます。また、次のような文章を含みます。
Event SNMP.Trap.Send.User(Number, String) must not be used in SaaS.
ハイブリッド ソリューションを設定する
Web Gateway のセキュリティ ポリシーを McAfee SaaS Web Protection にも提供するハイブリッド ソリュー
ションを設定するには、次の手順を行います。
タスク
1
ハイブリッド ソリューションを設定する
ここでは、McAfee SaaS Web Protection に接続するアドレス、2 つの製品間で通信を行う場合に必要になる認
証情報、その他のパラメーターを設定します。
また、Web Gateway が行ったポリシー変更を McAfee SaaS Web Protection に適用し、同期間隔を設定しま
す設定した間隔に関わらず、同期は手動でも実行できます。
2
ハイブリッド ソリューションに含まれるルール セットを選択します。
ハイブリッド ソリューションの制約事項を検討し、問題を未然に防ぎます。このソリューションのすべてのポリ
シー要素が使用できるとは限りません。
3
変更を保存します。
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションを設定するには、次の手順に従います。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーの [クラスター] ブランチで、[Web Hybrid] をクリックします。
設定ペインにハイブリッド ソリューションの設定が表示されます。
3
必要に応じて、これらの項目を設定します。
4
[変更の保存] をクリックします。
関連トピック:
576 ページの「Web Hybrid の設定」
574
McAfee Web Gateway 7.6.2
Product Guide
ハイブリッド ソリューション
ハイブリッド ソリューションのルール セットを選択する
17
ハイブリッド ソリューションのルール セットを選択する
ハイブリッド ソリューションにルール セットを選択するには、Web Gateway のユーザー インターフェースで選択
して必要なオプションを有効にします。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、ハイブリッド ソリューションに追加するルール セットを選択します。
ルール セットがキー要素ビューに表示されます。
3
このビューの先頭にある [クラウドで有効にする] を選択します。
この操作は次の手順でも実行できます。
•
ルール セットを選択して右クリックし、表示されたコンテキスト メニューから [クラウドで有効
にする] を選択します。
•
キー要素ビューを終了し、完全ルール セット ビューで [クラウドで有効にする] を選択します。
制限のため、ルール セットがハイブリッド ソリューションに含まれていない場合には、警告が表示されます。 こ
の場合、問題を解決する必要があります。たとえば、ソリューションで使用できないイベントを削除したり、完
全なルール セットを削除します。
キー要素ビューでネストするルール セットに [クラウドで有効にする] を使用している場合、ネスト
されたルール セットがハイブリッド ソリューションに追加されます。
完全なルール ビューで [クラウドで有効にする] を使用している場合、ネストされたルール セットは
次のようになります。
•
コンテキスト メニューの使用 - ネストされたルール セットが追加されます。
•
ボタンのクリック - ネストされたルール セットは追加されません。
追加するには、ネストされたルール セットのボタンをクリックします。
コンテキスト メニューを使用すると、複数のルール セット (ネストされたルール セットを含む) を選
択し、ハイブリッド ソリューションにまとめて追加できます。
4
[変更の保存] をクリックします。
ルール セットがハイブリッド ソリューションに追加され、McAfee SaaS Web Protection にも適用されます。
ルール セットをソリューションから削除するには、[クラウドで有効にする] オプションの選択を解除するか、コン
テキスト メニューで [クラウドで無効にする] を選択します。
関連トピック:
572 ページの「ハイブリッド ソリューションの制限」
McAfee Web Gateway 7.6.2
Product Guide
575
17
ハイブリッド ソリューション
同期を手動で実行する
同期を手動で実行する
ハイブリッド ソリューションの Web セキュリティ ポリシーを手動で同期するには、以下の手順に従います。設定
した間隔に関わらず、同期は手動でも実行できます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[SaaS 同期] を選択します。
3
設定パネルで、[SaaS 同期] の [同期] をクリックします。
Web セキュリティ ポリシーが同期され、Web Gateway で行われた変更が McAfee SaaS Web Protection に反映
されます。
個々のポリシー要素を同期すると、関連するメッセージが [結果] に表示されます。問題がある場合には、対応する
メッセージで問題が通知されます。
Web Hybrid の設定
[Web Hybrid] の設定は、ハイブリッド ソリューションで Web Gateway に実装した Web セキュリティ ポリシー
を McAfee SaaS Web Protection に適用する場合に設定します。
Web Hybrid 設定
ハイブリッド ソリューションの設定
表 17-1 Web Hybrid 設定
オプション
定義
[SaaS をポリシー
を同期する]
Web Gateway で設定した Web セキュリティ ポリシーを同期し、McAfee SaaS Web
Protection に変更を適用します。
同期は一定の間隔で実行されます。この時間は [ローカル ポリシーの変更が上記と
同じ間隔でアップロードされます] で設定します。
設定した時間に関係なく、同期を手動で実行することもできます。ただし、手動で実
行するには、[SaaS をポリシーを同期する] オプションを有効にする必要がありま
す。
同期を手動で実行する場合でも、スケジュール同期は無効になりません。
[同期するアプライ
アンス]
同期データを取得する Web Gateway アプライアンスを指定します。
[SaaS アドレス]
McAfee SaaS Web Protection のアドレスを指定します。
集中管理構成で複数のアプライアンスを実行している場合、このオプションを使用すると、動
的データが常に同じアプライアンスから取得されます。
アドレスの形式は次のとおりです。
(http|https)://<サーバー名>[:<ポート>]
例:https://msg.mcafeesaas.com
576
McAfee Web Gateway 7.6.2
Product Guide
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
17
表 17-1 Web Hybrid 設定 (続き)
オプション
定義
[SaaS 管理者のア
カウント名]
McAfee SaaS Web Protection 管理者のユーザー名を指定します。
例:[email protected]
このユーザー名は、Customer Admin 役割を割り当てられた McAfee SaaS
Web Protection のユーザー名と同じでなければなりません。
[SaaS 管理者アカ
ウントのパスワー
ド]
管理者のパスワードを設定します。
Customer Admin 役割を割り当てられた McAfee SaaS Web Protection のユ
ーザー名のパスワードを設定する必要があります。
[変更] をクリックすると、新しいパスワードを設定するウィンドウが開きます。
[SaaS 顧客 ID]
McAfee SaaS Web Protection を購入して Web Gateway と一緒にハイブリッド ソリュー
ションで実行している顧客を指定します。
[ローカル ポリシー 次の同期を実行して Web Gateway のポリシー変更を McAfee SaaS Web Protection に適
の変更が上記と同 用するまでの経過時間を分単位で設定します。
じ間隔でアップロ
10 分から 60 分までの時間を設定します。
ードされます ]
ポリシーの変更は、ここで設定した間隔で同期されます。手動で同期を実行しない限
り、変更はすぐに適用されません。
同期の詳細設定
ハイブリッド ソリューションの詳細設定
表 17-2 同期の詳細設定
オプション
定義
[同期にプロキシを使用す
る]
同期データの転送にプロキシを使用します。
[プロキシ ホスト]
プロキシとして使用するサーバーの IP アドレスまたはホスト名を指定します。
[プロキシ ポート]
同期データの転送要求を待機するププロキシ サーバーのポートを指定します。
[プロキシ ユーザー]
同期データの転送時に Web Gateway がプロキシーに送信するユーザー名を指定し
ます。
[プロキシ パスワード]
ユーザー名のパスワードを設定します。
[設定] をクリックすると、パスワードを設定するウィンドウが開きます。
レガシー ハイブリッド ソリューション
従来のソリューションでも、Web セキュリティ ポリシーを同期してオンプレミスとクラウドの両方の Web アクセ
スを保護することができます。
McAfee Web Gateway 7.6.2
Product Guide
577
17
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
レガシー ハイブリッド ソリューションの設定の同期
レガシー ハイブリッド ソリューションで Web Gateway と McAfee SaaS Web Protection を使用している場合、
Web フィルタリングの設定を製品間で同期し、共通の Web セキュリティ ポリシーを使用できます。
McAfee Web Protection ソリューションを使用すると、会社のネットワーク内のシステムを使用するユーザーと自
宅や移動中に作業を行うユーザーに共通の Web セキュリティ ポリシーを施行できます。
このため、このソリューションでは、Web Gateway などのオンプレミス製品と McAfee SaaS Web
ProtectionMcAfee SaaS 型 Web 保護サービス などのクラウド製品を組み合わせて使用します。
2 つの製品間の Web フィルタリング設定の同期は双方向で行われます。Web Gateway で Web フィルタリングの
設定を変更すると、これらの変更は McAfee SaaS Web Protection に適用されます。
同様に、McAfee SaaS Web Protection の管理者が製品に行った変更が Web Gateway に適用されます。
データの転送は REST (Representational State Transfer) という内部インターフェースが処理します。
同期を有効にするには、McAfee Web Gateway 側でいくつかの設定を行う必要があります。たとえば、McAfee
SaaS Web Protection Service にアクセスするポータルのホスト名または IP アドレスを設定します。
集中管理構成で複数の Web Gateway アプライアンスを 1 つのノードとして管理している場合、構成内の任意のノ
ードで同期を実行できます。
同期のための Web フィルタリングの設定
種々のタイプの Web フィルタリング設定を McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス
の間で同期させることができます。
2 つの製品の間の同期のための Web フィルタリング設定には、以下が含まれます。
•
ポリシー設定 — ホスト名や URL カテゴリーなどの Web セキュリティ ポリシーのパラメーターを指定する設
定
•
ユーザー グループ設定 — ユーザー グループを指定する設定
これらの設定を処理するさまざまな方法は、McAfee Web Gateway アプライアンスで実行できます。
同期のためのポリシー設定
特定のフィルタリング設定は、McAfee SaaS 型 Web 保護サービスで組み合わせられ、Web セキュリティ ポリシ
ーを作成します。以下のパラメーターの設定は、以下のとおりです。
•
ポリシーの名前
•
ホスト名ごとの信頼されている Web サイト
•
ポリシーの説明
•
ホスト名ごとのブロックされている Web サイト
•
SafeSearch フィルタリングの有効化/無効化
•
IP アドレスごとの信頼されている Web サイト
•
URL カテゴリーの許可
•
IP アドレスごとのブロックされている Web サ
イト
•
ブロックされている URL カテゴリー
これらのパラメーターの設定は、McAfee Web Gateway と McAfee SaaS Web Protection Service で変更できま
す。変更内容は 2 つの製品間で同期されます。
同期のためのユーザー グループ設定
ユーザー グループの設定では、McAfee SaaS 型 Web 保護サービス で特定の Web セキュリティ ポリシーが割り
当てられたユーザーのグループも設定します。
578
McAfee Web Gateway 7.6.2
Product Guide
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
17
これらの設定は、McAfee SaaS 型 Web 保護サービスで変更できます。ユーザーをグループに追加するか、新しい
グループを作成できます。McAfee Web Gateway では、これらの設定は表示だけができ、変更されません。
McAfee SaaS 型 Web 保護サービス の変更は常に同期されるので、McAfee Web Gateway で最新の設定を確認で
きます。
同期設定の構成
Web Gateway と McAfee SaaS Web Protection Service で同期されたポリシーの使用を有効にするには、同期を
設定する必要があります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
同期を設定するアプライアンスを選択して、[Web Hybrid レガシー] をクリックします。
設定ペインに同期の設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
Web Hybrid レガシーの設定
[Web Hybrid レガシー] の設定は、Web Gateway と McAfee SaaS Web Protection で Web セキュリティ ポリ
シーの同期を設定する場合に使用します。
Web Hybrid の設定
設定、Web セキュリティ ポリシーの同期
表 17-3 Web Hybrid の設定
オプション
定義
[SaaS アドレス]
McAfee SaaS Web Protection にアクセスするポータルの IP アドレスまたはホ
スト名を指定します。
[SaaS 顧客 ID]
McAfee SaaS Web Protection を実行する顧客を指定します。
[SaaS 管理者のアカウント
名]
McAfee SaaS Web Protection を管理する管理者アカウントのユーザー名を指定
します。
McAfee SaaS Web Protection で Customer Admin 役割が割り当てられてい
るユーザー名を指定する必要があります。
[SaaS 管理者アカウントの
パスワード]
管理者アカウントのパスワードを設定します。
[SaaS 管理者の赤運地名] で指定した McAfee SaaS Web Protection ユーザー
のパスワードを設定する必要があります。
[設定] をクリックすると、新しいパスワードを設定するウィンドウが開きます。
[SaaS への同期を有効にす
る]
Web Gateway で Web フィルタリングの設定に行った変更を McAfee SaaS
Web Protection に適用します。
[SaaS からの同期を有効に
する]
McAfee SaaS Web Protection で Web フィルタリングの設定に行った変更を
McAfee Web Gateway に適用します。
McAfee Web Gateway 7.6.2
Product Guide
579
17
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
表 17-3 Web Hybrid の設定 (続き)
オプション
定義
[ローカル ポリシーの変更を Web Gateway に適用したポリシー設定の変更を Web Gateway にすぐにアップ
すぐに SaaS にアップロード ロードします。
します]
[ローカル ポリシーの変更が
以下と同じ間隔でアップロー
ドされます]
設定した間隔が経過した後で、Web Gateway に適用したポリシー設定の変更を
McAfee SaaS Web Protection にアップロードします。
時間間隔に使用できる値は 10 分から 60 分の間です。
時間間隔はスライダーのスケールで設定します。
Web Hybrid アクション
Web フィルタリング設定の同期オプション
表 17-4 Web Hybrid の設定
オプション
定義
[SaaS に同期する]
Web Gateway の Web フィルタリング設定を McAfee SaaS Web Protection の設定に
すぐに反映します。
[SaaS から同期する] McAfee SaaS Web Protection の Web フィルタリング設定を Web Gateway の設定に
すぐに反映します。
580
McAfee Web Gateway 7.6.2
Product Guide
18
モニタリング
アプライアンスがネットワークの Web セキュリティを確保するフィルタリングを実行するとき、それをモニタリン
グできます。
モニタリングはさまざまな方法で実行されます。アプライアンスのデフォルト モニタリングには以下が含まれます。
•
ダッシュボード — アプライアンス システムとアクティビティに関する主要な情報が表示されます。
•
ログ — アプライアンス上での重要なイベントに関する情報をログ ファイルに書き込みます。
•
エラー処理 — アプライアンス上でインシデントまたはエラーが発生する際に対策を取ります
アプライアンスの機能のパフォーマンスを測定すること、およびモニタリングのために McAfee ePO サーバーまた
は SNMP エージェントなどの外部デバイスを使用することもできます。
目次
ダッシュボード
ログ
エラー処理
パフォーマンス測定
SNMP でのイベント モニタリング
McAfee ePO を監視するためのデータの転送
Best practice: Monitoring file system usage
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
McAfee Enterprise Security Manager への syslog データの送信
ダッシュボード
アプライアンスのユーザー インターフェースのダッシュボードは、アラート、フィルタリング アクティビティ、ス
テータス、Web 使用およびシステム動作など、キー イベントおよびパラメーターのモニタリングを可能にします。
情報は、次の 2 つのタブで提供されます。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
アプライアンスが集中管理構成のノードである場合、その他のアプライアンスのステータスおよびアラートも表示さ
れます。
McAfee Web Gateway 7.6.2
Product Guide
581
18
モニタリング
ダッシュボード
ダッシュボードへのアクセス
アプライアンスのユーザー インターフェースでダッシュボードにアクセスできます。
タスク
1
トップレベル メニューの[[ダッシュボード]]を選択します。
2
表示するタブに応じて、次の 2 つのタブのうち 1 つを選択します。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
関連トピック:
582 ページの「ステータスとアラートの情報の表示」
585 ページの「グラフと表の情報の表示」
アラート タブ
[アラート]タブは、アプライアンスのステータスおよびアラートの情報を表示し、アプライアンスが集中管理構成の
ノードである場合、その他のアプライアンスの情報も表示します。
ステータスとアラートの情報の表示
[アラート]タブでは、アプライアンスのステータスおよび発生したアラートに関する情報を表示できます。
タスク
1
[ダッシュボード] 、 [アラート]を選択します。
2
オプションで、以下の 2 つのオプションのうちいずれかを使用して、アラートに関する情報を更新します。
•
[自動更新] — 定期的に自動更新を実行します
このオプションはデフォルトで有効になっています。
•
[今すぐ更新] - 直ちに更新を実行します
関連トピック:
582 ページの「ステータス情報の概要」
583 ページの「アラート フィルタリング オプション」
ステータス情報の概要
アプライアンスのステータスに関する情報は、ダッシュボードの[アラート]タブの[アプライアンス ステータス]に表
示されます。
アプライアンスが集中管理構成のノードである場合は、その他のノードに関する情報も表示されます。
次の表では、この情報の概要を示しています。
582
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ダッシュボード
18
表 18-1 ステータス情報の概要
情報
説明
[アプライアンス]
基本アプライアンス情報を提供します。
• [名前] — アプライアンスの名前を指定します。
[パフォーマンス]
主要なパフォーマンス パラメーターを提供します。
• [アラート ピーク(過去 7 日間)] — アプライアンスにおいて過去 7 日間以内で最も重大な
アラートを示します。
色付きのフィールドが日ごとに表示されます(右端のフィールドが今日):
• 灰色 — この日アラートはなかった
• 緑色 — この日最も重大なアラートは情報であった
• 黄色 — この日最も重大なアラートは警告であった
• 赤色 — この日最も重大なアラートはエラーであった
• [1 秒あたりの要求数] — アプライアンスで受信した HTTP と HTTPS のモードにおける
Web 要求の数が過去 30 分間でどのように変化したかを示す図を提供します。
図の右側にある値は、過去 10 分間における 1 秒あたりの平均要求数です。
[McAfee マルウ
ウイルスとマルウェアのフィルタリングで使用されるモジュールで更新およびバージョン情報
ェア対策バージョ を提供します。
ン]
• [最終更新] — モジュールが最後に更新されてから経過した分数を示します。
• [Gateway エンジン] — McAfee Web Gateway Gateway マルウェア対策エンジンのバー
ジョン番号を示します。
• [プロアクティブ データベース] — プロアクティブ データベースのバージョン番号を示しま
す。
• [DAT] — DAT ファイルのバージョン番号(ウイルス シグネチャを含む)を示します。
[URL フィルター] URL フィルタリングで使用されるモジュールに対する更新およびバージョン情報を提供しま
す。
• [最終更新] — モジュールが最後に更新されてから経過した日数を示します。
• [バージョン] — モジュールのバージョン番号を示します。
アラート フィルタリング オプション
アプライアンスの[アラート]についての情報は、ダッシュボードの[アラート] タブのアラートで提供されます。さま
ざまなフィルタリング オプションを使用して、この情報をフィルタリングできます。
アプライアンスが集中管理構成のノードである場合、他のノードのアラートも表示されます。次に、アラートを表示
するノードもフィルタリングできます。
次の表では、フィルタリング オプションについて説明します。
McAfee Web Gateway 7.6.2
Product Guide
583
18
モニタリング
ダッシュボード
表 18-2
アラート フィルタリング オプション
オプション
定義
[アプライアン 集中管理構成で発生したノードに従って、アラートをフィルタリングします。
ス フィルター]
このボタンをクリックすると、アラートを表示するノードを選択するウィンドウが開きます。
フィルターはウィンドウを閉じてからすぐに適用されます。
[日付フィルタ
ー]
発生した期間に従ってアラートをフィルタリングします。
このボタンをクリックすると、アラートを表示する機関を選択するメニューが開きます。
以下から 1 つを選択できます。
• [ すべて ]
• [今日 ]
• [ 昨日 ]
• [先週]
• [カスタム]
[カスタム]で、2 つのカレンダー上で開始日および終了日を設定でき、2 つのフィルター フィ
ールド上で開始時間および終了時間を入力できます。時間形式は 24 時間表記を使用した
hh:mm:ss です。例: 午後 1:00 は 13:00:00。
アプライアンスが集中管理構成のノードであり、[アプライアンス フィルター]でこの構成のノー
ドがいくつか選択されたとき、これらのノードのアラートが表示されます。
ただし、それらは[日付フィルター]を設定するために、特定のノードで作業していたユーザー イ
ンターフェースの日付および時刻に従って表示されます。
例: 現地時間でアムステルダムの午後 7 時にノードの[日付フィルター]で 今日 を選択する。
これは 19 時間以内に発生したすべてのアラートを表示します。ニューヨークのノードでは、フィ
ルターを設定した時点で現地時間は午後 1 時です。
ニューヨークのノードで発生したアラートは、ニューヨーク ノードで今日に対応する 13 時間で
はなく 19 時間表示されます。
[メッセージ フ メッセージ テキスト内のアラート メッセージ タイプと文字列によるアラートのフィルタリング
ィルター]
フィルター オプションを設定したら、フィルターはすぐに適用されます。
次の方法でこれらのオプションを設定します。
• [エラー、警告、情報] — 表示するアラート メッセージのタイプ、または任意の組み合わせのタ
イプのを選択します。
• [フィルター] - 必要に応じて、このフィールドにフィルタリング条件を入力します。この条件
に該当するメッセージ テキストとタイプのアラートだけが表示されます。
一致する用語の検索は、ユーザー インターフェースに表示されているものだけではなく、アプ
ライアンスの内部インターフェースに保管されているアラート エントリに実行されます。
アラートがユーザー インターフェースに表示されるとき、アラート メッセージ テキストは追加
部分を含む可能性があります。
例: origin という単語はアラートの元の場所であるコンポーネント名に追加されます。しか
し、origin またはその他の追加された用語をアラートのフィルタリングに使用できません。
584
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ダッシュボード
18
グラフおよび表のタブ
[グラフおよび表]のタブはアプライアンスの Web 使用、フィルタリング アクティビティ、およびシステム動作を表
示します。また、アプライアンスが集中管理構成のノードの場合、その他すべてのノードの情報も表示されます。
グラフと表の情報の表示
[グラフおよび表]タブでは、Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報を
表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[アプライアンス]ドロップダウン リストから、グラフと表の情報を表示するアプライアンスを選択します。
3
オプションで、[更新]をクリックし、最新情報が表示されるようにします。
4
ナビゲーション ペインのリストから、表示する情報のタイプ([Web トラフィック サマリ]など)を選択します。
関連トピック:
585 ページの「グラフおよび表の表示オプション」
586 ページの「グラフと表の情報の概要」
グラフおよび表の表示オプション
提供された情報のタイプに応じて、[グラフおよび表] タブで情報を表示するオプションを選択できます。
情報のタイプには、以下のものがあります。
•
発展データ — 選択された時間間隔にわたり、特定パラメーターがどのように変化したかについて表示します
例: 選択された時間間隔にわたってブロックまたは許可された URL 要求数がどのように発展したかを表示でき
ます。
•
トップ スコア — 表示した時点までの、フィルタリング プロセスのキー項目に関連したアクティビティまたはバ
イト量の最高数を表示します
経時変化ではなく、これらの数を表示します。
例: 最も頻繁に要求された URL カテゴリを表示できます。またはこれらのタイプの Web オブジェクトがダウン
ロードされたときに転送された量にによって順位化されたメディア タイプを表示できます。
いかなる時点で、トップ スコアを表示するためにアプライアンスに保管される項目の最大数は 1500 です。この
数を超えると、最も発生回数が少ない項目、またはバイト量が最も低い項目は削除されます。
•
その他の情報 — 表で示されている他の情報が表示されます
例: マルウェア対策モジュールまたは URL フィルター モジュールなどアプライアンスのキー モジュール (エン
ジンとも呼ばれる) の現在のバージョンを表示できます。
以下の表では、様々な種類の情報を表示するオプションについて説明します。
McAfee Web Gateway 7.6.2
Product Guide
585
18
モニタリング
ダッシュボード
表 18-3 グラフおよび表の表示オプション
オプション
定義
[最後を表示] 時間間隔を選択するためのドロップダウン リストを提供します。1 時間 | 3 時間 | ...| 1 年
[解決策]
選択された時間間隔にわたるパラメーターの変化が表示される図に使用する時間単位を表示します。
解決は間隔によって異なります。
例: 1 時間が選択されたら、図は時間単位として分を使用し、1 年が選択されたら、図は 1 日を使用
します。
[ビュー]
項目を選択できるドロップダウン リストが表示されます。
• 表示モード: 行 | スタック
• 平均値
更新アイコン 表示を更新します。
[トップ]
最高スコアの項目で表示可能な数 (10 | 25 | ... | 1000) をドロップダウン リストから選択できま
す。
たとえば、最も頻繁に要求される 25 の URL カテゴリが表示されます。
更新アイコン 表示を更新します。
グラフと表の情報の概要
アプライアンスに対する Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報は、ダ
ッシュボードの[グラフおよび表]タブに表示されます。
以下の表は、この情報の概要を提供します。
表 18-4 エグゼクティブ サマリー
情報
説明
[URL エグゼクティブ サ
マリー]
選択した期間内で発生した要求数が表示されます。
要求は、許可された要求とブロックされた要求ごとにソートされます。
さらに、ブロックされた要求はブロックしたフィルタリング モジュール (マルウェア対
策エンジン、URL エンジンなど) でソートされます。
[選択可能なデータ系列を編集する] をクリックすると、表示された要求 (正常な要求と
ブロックされた要求) の選択を編集できるウィンドウが表示されます。
[ヒット数の多いカテゴ
リ]
最も頻繁に要求される URL のカテゴリが表示されます。
[ヒットによるマルウェ
ア]
最も頻繁に要求されたウイルスとマルウェアのタイプが表示されます。
表 18-5 システム サマリー
586
情報
説明
[ネットワークの使用
状況]
選択した期間内で送受信された要求数が表示されます。
[システム使用率]
選択した期間中にアプライアンス システムのハード ディスク、CPU、および物理メモリ
の使用率と、コア サブシステムおよびコーディネーター サブシステムの物理メモリの使
用率がどのように変化したかを表示します。
[更新ステータス]
いくつかのモジュールのバージョンとアプライアンスで実行されたフィルター情報ファイ
ル (Gateway マルウェア対策エンジンやマルウェア対策シグネチャ ファイルなど) が表
示されます。
[最終更新]
URL フィルター モジュールなど、アプライアンスの複数のモジュールが最後に更新された
日時を表示します。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ダッシュボード
18
表 18-5 システム サマリー (続き)
情報
説明
[開いているポート]
現在要求をリッスンしているアプライアンスのポートをリストします。
[WCCP サービス]
アプライアンスにトラフィックをリダイレクトするために使用される WCCP サービスの
ステータスが表示されます。
[アクティブなプロキ
シ接続]
選択した期間中に接続数がどのように変化したかを表示します。
表 18-6 Web トラフィック サマリー
情報
説明
[プロトコルごとのトラフィック量] 選択した期間内で発生した Web トラフィック量 (HTTP、HTTPS、FTP) が表
示されます。
[プロトコル別の要求]
選択した期間中に HTTP、HTTPS、および FTP のプロトコルで要求数がどの
ように変化したかを表示します。
表 18-7 ICAP トラフィック サマリー
情報
説明
[ICAP クライアントと ICAP トラ 選択した期間内に、REQMOD モードと RESPMOD モードの ICAP クライアン
フィック ]
トと通信中に発生した ICAP トラフィックの量が表示されます。
[ICAP クライアントから ICAP 要 選択された期間に、REQMOD モードと RESPMOD モードの ICAP クライアン
求]
トが送信した ICAP 要求の数が表示されます。
表 18-8 SOCKS トラフィック サマリー
情報
説明
[SOCKS トラフィッ
ク]
選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック
の量が表示されます。
[SOCKS 接続]
選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック
の接続数が表示されます。
[プロトコルごとのト
ラフィック量]
選択した期間内に SOCKS プロトコルで発生したトラフィックの量が表示されます。
UDP と SOCKS として検出されるプロトコル (HTTP と HTTPS) のトラフィック量が表示
されます。
他のプロトコルの量も表示されます。これらのプロトコルはフィルタリングされません。
Web Gateway では、HTTP、HTTPS 以外の SOCKS プロトコルはフィルタリングされま
せん。
[プロトコルごとの接
続数]
選択した期間内に SOCKS プロトコルで発生したトラフィックの接続数が表示されます。
UDP と SOCKS として検出されるプロトコル (HTTP と HTTPS) の接続数が表示されま
す。
他のプロトコルの接続数も表示されます。これらのプロトコルはフィルタリングされませ
ん。Web Gateway では、HTTP、HTTPS 以外のプロトコルはフィルタリングされません。
[接続ごとのプロトコ
ル検出]
McAfee Web Gateway 7.6.2
SOCKS の基になるプロトコルが表示されます。個々の接続で頻繁に検出されるプロトコ
ルとその接続数が表示されます。
Product Guide
587
18
モニタリング
ダッシュボード
表 18-9 IM トラフィック サマリー
情報
説明
[インスタント メッセージ トラフ
ィック ]
選択した期間内に各サービスで発生したインスタント メッセージ トラフィッ
ク量が表示されます。
[インスタント メッセージング要
求]
選択した期間中にインスタント メッセージング要求数が各種サービスに対し
てどのように変化したかを表示します。
[インスタント メッセージング ク
ライアント]
選択した期間中にインスタント メッセージング クライアント数が各種サービ
スに対してどのように変化したかを表示します。
表 18-10 トラフィック量
情報
説明
[転送バイト数の多いトップレベル ドメ
イン]
要求で転送されたバイト数が最も多いドメインが表示されます。
[要求数の多いトップレベル ドメイン]
要求を最も多く受信したドメインが表示されます。
[転送されたバイト数別の宛先]
宛先から転送されたバイト数に基づいて、最も頻繁に要求された宛先を
リストします。
[要求数の多い宛先]
要求を最も多く受信したドメインが表示されます。
[転送バイト数の多い発信元 IP]
転送量が最も多い発信元 IP アドレスが表示されます。
[要求数の多い発信元 IP]
最も多くの要求を送信した発信元 IP アドレスが表示されます。
表 18-11 Web キャッシュ統計
情報
説明
[Web キャッシュ効率]
選択した期間内で発生したキャッシュ要求数が表示されます。ヒット数とミス
数でソートされます。
[Web キャッシュ オブジェクト
カウント]
選択した期間中にキャッシュ内のオブジェクト数がどのように変化したかを表
示します。
[Web キャッシュ使用率]
選択した期間中にキャッシュの使用率がどのように変化したかを表示します。
表 18-12 マルウェア統計
情報
説明
[ヒット数の多いマルウェア感染
URL]
ウイルスなどのマルウェアに感染している URL の中で、要求数の最も多い URL
が表示されます。
[ヒット数の多いマルウェア]
最も要求がマルウェアのタイプが表示されます。
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense でスキャンされた
要求]
Web オブジェクトの要求数が表示されます。
®
また、選択した期間のスキャン結果によってブロックされた要求数も表示されま
す。
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense が Web オブジェクト
スキャン時間]
のスキャンに要した時間が表示されます。
表 18-13 URL フィルター統計
情報
説明
[カテゴリ]
選択した期間で要求された URL カテゴリ数が表示されます。
[レピュテーション]
選択した期間中に要求数がどのように変化したかを表示し、要求された URL のレ
ピュテーションに基づいてそれらをソートします。
[ヒット数の多いカテゴリ]
要求数の最も多い URL カテゴリが表示されます。
[ヒット数の多い未分類サイト] 未分類サイトの中で、要求数の最も多いサイトが表示されます。
588
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ダッシュボード
18
表 18-13 URL フィルター統計 (続き)
情報
説明
[ヒット数の多い不正なサイト] 感染が確認されたサイトの中で最も要求数の多いサイトが表示されます。
[ブロックされた URL の上位] ブロックされたサイトの中で、最も頻繁に要求されたサイトが表示されます。
表 18-14 メディア タイプ統計
情報
説明
[ヒット数の多いメディア タイプ グ
ループ]
選択した期間で要求されたメディアタイプ グループ数が表示されます。
[バイト数の多いメディア タイプ]
転送バイト数が最も多いメディア タイプが表示されます。
[ヒット数の多いメディア タイプ]
成功した要求数が最も多いメディア タイプが表示されます。
タイプは、オーディオ ファイル、イメージ、およびその他にソートされま
す。
表 18-15 DLP フィルター統計
情報
説明
[DLP 分類]
選択した期間内に、ネットワークから外部に許可なく送信された分類数が表示されま
す。
[ヒット数の多い DLP 分類] ネットワークの外部に許可なく送信されたコンテンツの分類で最も多く使用されたも
のが表示されます。
表 18-16 SSL スキャナーの統計
情報
説明
[証明書インシデント]
選択した期間内に発生したインシデント数が表示されます。
インシデントは、インシデントに起因するイベントのタイプ (期限切れの証明書や共通
名の不一致など) に基づいてソートされます。
[秘密鍵に関するリモート 選択した期間内に実行された秘密鍵に対するリモート操作 (データの暗号化と復号) の
操作]
回数が表示されます。
[秘密鍵に関するリモート 秘密鍵のリモート操作で最も頻繁に実行された操作が表示されます。使用されたキー、
操作]
実行された機能、操作の種類などが表示されます。
表 18-17 アプリケーション制御の統計
情報
説明
[カテゴリ]
選択した期間内に要求されたアプリケーションのカテゴリの数が表示されます。
[レピュテーション]
選択した期間内に要求されたアプリケーションに割り当てられたレピュテーショ
ン レベルの数が表示されます。
[ヒット数の多いカテゴリ]
アクセスが最も頻繁に要求されたアプリケーションのカテゴリが表示されます。
[ヒット数の多い危険度高のア
プリケーション]
アプリケーションが最も頻繁に要求された危険度高のアプリケーションが表示さ
れます。
表 18-18 シングル サインオンの統計
情報
説明
[すべてのログイン]
選択した期間内で発生したクラウド アプリケーション (サービス) へのログオン数
が表示されます。
[サービスごとのログイン数] 選択した期間内で発生したログイン数が、ログオンを許可したクラウド アプリケー
ション (サービス) ごと表示されます。
McAfee Web Gateway 7.6.2
Product Guide
589
18
モニタリング
ダッシュボード
表 18-18 シングル サインオンの統計 (続き)
情報
説明
[サービスごとのログイン数] ログオン数が最も多いクラウド アプリケーション (サービス) が表示されます。
[無効なトークン数]
選択した期間内で検出された無効なトークン数が表示されます。
表 18-19 暗号化の統計
情報
説明
[操作]
選択した期間内でクラウド ストレージ データに実行された暗号化と復号の操作数が表示され
ます。これらの操作で発生したエラーの件数も表示されます。
[量]
選択した期間内で暗号化されたデータと復号されたデータの量が表示されます。
[暗号化操作]
データの暗号化とアップロードで最も多く使用されたクラウド ストレージ サービスが表示さ
れます。
[復号操作]
データの復号とダウンロードで最も多く使用されたクラウド ストレージ サービスが表示され
ます。
[暗号化されたデー データの暗号化で最も多くのデータを暗号化したクラウド ストレージ サービスが表示されま
タ量]
す。
[復号されたデータ データの復号で最も多くのデータを復号したクラウド ストレージ サービスが表示されます。
量]
[暗号化エラー]
データの暗号化で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
[復号エラー]
データの復号で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
表 18-20 システム詳細
情報
説明
[ネットワークの使用状況]
選択した期間内で送受信された要求数が表示されます。
[CPU 使用率]
選択した期間中に CPU 使用率がどのように変化したかを表示します。
[メモリ使用率]
選択した期間中にメモリの使用率がどのように変化したかを表示します。
[MWG プロセスの仮想メモリー
の使用状況]
選択した期間内に、Web Gateway で実行されたプロセスが使用した仮想メモ
リーの量が表示されます。
[CPU ごとのシステム負荷の平
均]
選択した期間の個々の CPU に対する平均的な負荷が表示されます。
[スワップ領域の使用状況]
選択した期間内に、データのスワップに使用されたメモリーの量が表示されま
す。
[ファイル システム使用率]
選択した期間中にファイル システムの使用率がどのように変化したかを表示し
ます。
[ファイル システムの使用状況]
パーティションごとのファイル システムの使用率が表示されます。
[開いている TCP ポート]
開いている TCP ポートと、IP アドレス、ポート番号が表示されます。
表 18-21 認証統計
590
情報
説明
[認証要求]
選択した期間内にリモート、ローカルまたはキャッシュで処理された要求数が認証
方法別に表示されます。
[方法別の平均要求処理時間
(ms)]
選択した期間中に各認証方法でサーバーに送信された要求に対する平均処理時間
がどのように変化したかを表示します。
[現在の要求に関するレポー
ト]
サーバーに送信された要求数、キャッシュ ヒット、処理時間 (最小、最大、平均)
が表示されます。
[現在の接続ステータス]
各認証方法で現在有効な接続が表示されます。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
表 18-22 パフォーマンス情報
情報
説明
[全般的なパフォ 選択した期間内で実行された特定のタスクの平均処理時間が表示されます。
ーマンス]
このようなタスクには、DNS 参照の実行、指定の Web サーバーへの接続、およびすべてのサイ
クルをとおして要求を処理するためにルール エンジンが行った作業が含まれます。
DNS 参照にかかった時間を測定する際には、外部サーバーでの参照のみが考慮に入れられます。
つまり、キャッシュ参照は無視されます。
[HTTP パフォー 選択した期間中にすべてのサイクルをとおして要求を処理するのにかかった平均時間がどのよ
マンスの詳細]
うに変化したかを表示します。
このパフォーマンス情報は、HTTP および HTTPS の接続を使用する Web トラフィックに対し
てのみ測定および表示されます。
すべてのサイクル (要求、応答、および埋め込みオブジェクト) をとおして要求を処理すること
は、1 つのトランザクションと見なされます。
平均処理時間は完了トランザクションに対して表示されますが、トランザクションの最中に行わ
れる特定のデータ転送に対しても表示されます。
• クライアントから最初のバイトを受信してから、クライアントに最初のバイトを送信するまで
— 同一トランザクション内において、アプライアンスでクライアントから最初のバイトを受信
してからこのクライアントに最初のバイトを送信するまでの間にかかった平均処理時間を表
示します。
• クライアントから最後のバイトを受信してから、クライアントに最後のバイトを送信するまで
— 同一トランザクション内において、アプライアンスでクライアントから最後のバイトを受信
してからこのクライアントに最後のバイトを送信するまでの間にかかった平均処理時間を表
示します。
• サーバーから最初のバイトを受信するまでにサーバーに送信された最初のバイト - アプライ
アンスから Web サーバーに最初のバイトが送信されてから、トランザクション内のこのサー
バーから最初のバイトを受信するまでの平均処理時間が表示されます。
• サーバーに最後のバイトを送信してから、サーバーから最後のバイトを受信するまで — 同一
トランザクション内において、アプライアンスから Web サーバーに最後のバイトを送信して
からこのサーバーから最後のバイトを受信するまでの間にかかった平均処理時間を表示しま
す。
ログ
ロギングは、アプライアンスの Web フィルタリングと他のプロセスの記録を可能にします。記録を含むログ ファイ
ルを確認することは、失敗の理由を見つけて問題を解決することを可能にします。
ロギングには、以下の要素が関連しています。
•
Web フィルタリングと他のプロセスを記録する
エントリが書き込まれるログ ファイル
•
ログ ファイルにエントリを書き込むログ ルール
•
ログ ファイルにエントリを書き込むシステム機
能
•
ログ ファイルをローテート、削除、およびプッシ
ュするログ ファイル管理モジュール
•
ログ ファイルにエントリを書き込むモジュール
ログ ファイル
ログ ファイルには、Web フィルタリングと他のプロセスに関するエントリが含まれます。同じ種類のコンテンツを
持つログ ファイルは、logs と呼ばれるフォルダーに保管されています。アプライアンスのユーザー インターフェー
スですべてのログとログ ファイルを表示できます。
McAfee Web Gateway 7.6.2
Product Guide
591
18
モニタリング
ログ
コンテンツに応じて、ログ ファイルはアプライアンス システムの機能、モジュール、またはログ ルールによって管
理されています。従って、これらのログ ファイルに対し、表示、編集、ローテート、およびその他などの、いくつか
またはあらゆる種類のアクティビティを実行できます。
システム機能でのロギング
一部のコンテンツでは、ログ ファイル エントリはアプライアンス システムの機能によって書き込まれます。これら
のファイルはユーザー インターフェースで表示できますが、編集と削除はできません。また、ファイルはシステム機
能によって定期的にローテートされます。
モジュールでのロギング
一部のコンテンツでは、ログ ファイル エントリはプロキシ モジュールまたはマルウェア対策モジュールなどの特定
モジュールによって書き込まれます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。これらのファイルのロ
ーテーション、削除、および他の場所へのプッシュは、設定の構成が可能なログ ファイル マネージャーによって処
理されます。
ルールでのロギング
ログ ルールは、イベントを使用してログ ファイル エントリを作成して、その条件が一致する場合、ログ ファイルに
それを書き込みます。
他のルールと同様に、ロギング ルールはルール セットに含まれています。 ロギング ルール セットは最上位のルー
ル セット (ログ ハンドラー) にネストされています。 デフォルトの [ログ ハンドラー] ルール セットは、アプライ
アンスの初期セットアップ後に使用可能になります。 デフォルトでは、このルール セットに次のルール セットがネ
ストされています。
•
[アクセス ログ] - Web Gateway アプライアンスに対するアクセスをログに記録するルールが含まれていま
す。
•
[アクセス拒否ログ] - Web Gateway アプライアンスに対するアクセスの拒否をログに記録するルールが含ま
れています。
•
[ウイルス検出ログ] - Web Gateway アプライアンスでの要求の処理中に見つかったウイルスをログに記録す
るルール セットが含まれています。
これらのデフォルトのルール セットには、ルール セット ライブラリからインポートしたルール セット ([プロキシ
エラー ログ] ルール セットなど) を追加できます。 これらのルール セットは、ライブラリの [ロギング] ルール セ
ット グループにあります。
ログ ルールは、アプライアンスで受信された要求のサイクル (要求、応答、埋め込みオブジェクト) が完了した後に、
処理されます。
これらのファイルのローテーション、削除、および他の場所へのプッシュは、設定の構成が可能なファイル システム
ログ モジュールによって処理されます。
ログ ファイル管理モジュール
ログ ファイルにローテーション、削除、および他の場所へのプッシュを含む管理アクティビティを実行するためのモ
ジュールは 2 つあります。
モジュールが維持するログ ファイルの場合は [ログ ファイル マネージャー]、ロギング ルールで維持するログ ファ
イルの場合には [ファイル システム ロギング] モジュール (エンジン) になります。
これらのモジュールの設定を構成して、ログ ファイルのローテーション、削除、およびプッシュをご使用のネットワ
ークの要件に適合させることができます。
592
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
ロギングの管理
アプライアンスのロギング機能を管理して、ネットワーク上の Web セキュリティを確保するためにアプライアンス
がフィルタリングと他のアクティビティをどのように実行するかを監視できます。
以下の高レベル手順を完了します。
タスク
1
アプライアンスで維持されているログ ファイルを表示します。
2
必要に応じて、実装されているログ ファイル システムを変更します。
たとえば、以下の操作を実行できます。
•
ログ ルールの有効化、無効化、または削除
•
ログ ルールの変更
•
自分のログ ルールの追加
•
3
以下のロギング モジュールの設定の構成
•
ログ ファイルのローテーション
•
ログ ファイルのプッシュ
•
ログ ファイルの削除
変更を保存します。
ログ ファイルの表示
ログ ファイルは、アプライアンスのユーザー インターフェースで表示することができます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ログ ファイルを表示するアプライアンスを選択し、[ログ ファイル]をクリックしま
す。
ログ ファイル フォルダー(場合によってはサブフォルダーが含まれている)のリストが表示されます。
3
表示するログ ファイルを含むフォルダーまたはサブフォルダーをダブルクリックします。
フォルダーが開き、ログ ファイルが表示されます。
4
表示するログ ファイルを選択し、リストの上にあるツールバーの[表示]をクリックします。
関連トピック:
593 ページの「ログ ファイル タイプ」
ログ ファイル タイプ
アプライアンス上にはさまざまなログ ファイル タイプがあります。これらは記録されるコンテンツの種類、および
記録が行われる方法において異なります。
同じ種類のデータを記録するログ ファイルは同じフォルダーに保管されます。同じ種類のコンテンツであるログ フ
ァイルを保管するためのフォルダーは、log と呼ばれます。
コンテンツに応じて、ログ ファイルはシステム機能、モジュール、またはログ ルールによって管理されています。
McAfee Web Gateway 7.6.2
Product Guide
593
18
モニタリング
ログ
システムによって管理されるログ ファイル
いくつかのログ ファイルはオペレーティング システムおよびさまざまなシステム関連サービスを含むアプライアン
ス システムの機能によって維持されています。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ただし、システム ロ
グ ファイルが読み込めないとき、それらはユーザー インターフェースに表示されません。
また、ファイルはシステム機能によって定期的にローテートされます。このローテーションを構成するオプションは
ありません。
モジュールによって管理されるログ ファイル
その他のログ ファイルはプロキシ モジュールまたはマルウェア対策モジュールなどアプライアンスの特定モジュー
ルによって管理されます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ファイルはアプライア
ンスの以下の場所にあるサブフォルダーに保管されます。
/opt/mwg/log
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なログ ファイル マネージャーに
よって定期的に処理されます。
これらのフォルダーのすべてのファイルは、名前の一部に mwgResInfo を含むファイルを除き、ログ ファイル マ
ネージャーによって処理されます。
また、以下の名前を含むフォルダーはログ ファイル マネージャーによって処理されません(cores, feedbacks,
tcpdump, migration, system, ruleengine_tracing, connection_tracing, message_tracing)。
モジュールによって管理されているログ ファイルのログには以下が含まれます。
•
監査ログ — アプライアンス構成の変更を記録するログ ファイルを保管します
•
デバッグ ログ — デバッグ情報を記録するログ ファイルを保管します
•
移行ログ — 移行アクティビティを記録するログ ファイルを保管します
•
MWG エラー ログ - アプライアンス コンポーネントで発生するエラーを記録するログ ファイルを保存しま
す。
コーディネーター サブシステム、マルウェア対策モジュール、ユーザー インターフェース、およびシステム構成
デーモンには別のエラー ログがあります。
•
更新ログ - モジュールおよびファイルの更新を記録するログ ファイルを保存します
ルールによって管理されるログ ファイル
また、ログ ルールによって管理されているログ ファイルもあります。これらのルールが適用されるときにトリガー
されるイベントによって、データの記録が実行されます。
例: ユーザーがリクエストしたオブジェクトがウイルスに感染していると、ルールはイベントをトリガーします。ト
リガーされたイベントはユーザー、感染しているオブジェクト、リクエストの日付および時刻などの情報とともにロ
グ ファイルにエントリを書き込みます。
その他のルールと同じ方法でこのログ ファイルのタイプのルールの作業を行えます。
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なファイル システム ログ モジュ
ールによって定期的に処理されます。
以下のルールによって管理されているログ ファイルはデフォルトでアプライアンスに提供されます。
594
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
•
アクセス ログ — 日付および時刻、ユーザー名、リクエストされたオブジェクト、オブジェクトの感染、オブジ
ェクトのブロックを含む、リクエストおよび関連情報を記録するログ ファイルを保管します
•
ウイルス検出ログ — ウイルスおよびリクエストされたオブジェクトを感染させると判明した他のマルウェアの
名前を記録するログ ファイルを保管します
また、ログは日付と時刻、ユーザー名、リクエストされた URL、およびリクエスト送信元のクライアントの IP
アドレスも記録します。
•
インシデント ログ — ライセンス、モニタリング、またはアップデートなどさまざまな機能に関連するインシデ
ントを記録するログ ファイルを保管します
これらのデフォルト ログに、作成したログを追加できます。
ログ ファイル設定の構成
ログ ファイル管理モジュールの設定を構成することで、ログ ファイルがどのようにローテート、削除、およびプッ
シュされるかを決定できます。
ログ ファイル管理モジュールは、モジュールによって維持されているログ ファイル、およびルールによって維持さ
れているログ ファイルのローテーション、削除、およびプッシュを処理します。
システムによって維持されているログ ファイルのログ ファイル管理は構成できません。
タスク
•
595 ページの「モジュールによって維持されるログ ファイルの設定の構成」
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構
成できます。これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
•
596 ページの「ルールによって維持されるログ ファイルの設定の構成」
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成で
きます。これらのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
モジュールによって維持されるログ ファイルの設定の構成
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。
これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
モジュールによって維持されるログ ファイルの設定は、ログ ファイル マネージャーのために構成されるシステム設
定です。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ログ ファイル設定を構成するアプライアンスを選択して、[ログ ファイル マネージャ
ー]をクリックします。
設定パネルにログ ファイル マネージャー設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
596 ページの「Log File Manager settings」
McAfee Web Gateway 7.6.2
Product Guide
595
18
モニタリング
ログ
ルールによって維持されるログ ファイルの設定の構成
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。これ
らのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ファイル システム ログ]を展開し、構成するログ ファイル設定を選択します。例:[ウイルス検出
ログ]。、
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
598 ページの「ファイル システム ログ設定」
Log File Manager settings
The [Log File Manager] settings are used for configuring the rotation, deletion, and pushing of log files
that are maintained by particular modules of an appliance.
一般的に、および 2 つの重要なタイプのログ ファイル(更新ログと監査ログに保管される)の設定を構成すること
が可能です。
グローバル ログ ファイル設定
一般的なログ ファイルの設定
これらの設定には、ログ ファイルのローテーションと削除、および他の場所へのプッシュのオプションが含まれま
す。
自動ローテーション
ログ ファイルのサイズと日時に従って自動的にログ ファイルをローテートするための設定
表 18-23 自動ローテーション
オプション
定義
[自動ローテーションの有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じてローテー
トされます。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超え
てしまった場合ログ ファイル
ローテーションを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログはそれらのサイズ(MiB)に従ってローテートされます。
[ログ ファイル ローテーション
のスケジュールを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログは日時(時間と分の単位)に従ってローテートされます。
ここでは 24 時間形式が使用されています。例: 午後 1 時は 13:00。
自動削除
サイズと最後に変更された時刻に応じてログ ファイルを自動的に削除するための設定
596
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
表 18-24 自動削除
オプション
定義
[自動削除の有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じて削除されま
す。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超
これが選択されている場合、提供されている入力フィールドで指定されているとお
えてしまった場合ログ ファイ りに、ログ ファイルはそれらのサイズ(MiB)に従って削除されます。
ルの削除を有効化]
[変更されていないファイルの これが選択されている場合、提供されている入力フィールドで指定されているとお
りに、ログ ファイルは入力フィールドに指定されている期間(日単位)に従って削
自動削除を有効化]
除されます。
自動プッシュ
ローテートされたログ ファイルを自動的に他の場所にプッシュするための設定
表 18-25 自動プッシュ
オプション
定義
[自動プッシュの有効化]
これが選択されている場合、ローテートされたログ ファイルはアプライアンスのローカ
ル データベースから次の設定で指定されたサーバーにプッシュされます。
[Destination]
Specifies the network protocol, host name, and path of a server. If log files
are pushed to a file, the file name and the path to the file are specified.
The available network protocols are FTP, HTTP, HTTPS, FTPS, SFTP, and SCP.
You cannot configure the pushing of log files to Content Security Reporter
(CSR) here. The [File System Logging] settings must be used for this.
プッシュ処理をより精密に指定するために、変数をパス名に追加することが可能です。
たとえば、ログ ファイルがプッシュされるアプライアンスのホスト名では %h を追加
できます。よって、送信先は以下のように指定することができます。
ftp://myftp.com/%h
ログ ファイルがプッシュされる際に、変数は適切な値(この例ではホスト名)と置き換
えられます。
The variables that you can use here include:
• %h — アプライアンスのホスト名
• %y — 現在の年(4 桁)
• %m — 現在の月(1 または 2 桁)
• %% — % の文字を指定するために使用(ホスト名に使用する場合)
[User name]
ログ ファイルをサーバーにプッシュすることを許可されているユーザーの名前を指定
します。
ユーザー名には変数 %h を指定できます。ランタイムで、それは現在のアプライアンス
のホスト名に置き換わります。
[ローテーション直後の
これが選択されている場合、ローテーションの直後にプッシュが続きます。
ログ ファイルのプッシュ
を有効化]
[プッシュ間隔]
McAfee Web Gateway 7.6.2
次のログ ファイルがプッシュされる前に経過する時間(時間単位)(ローテーション直
後にプッシュされなかった場合)を指定値に制限します。
Product Guide
597
18
モニタリング
ログ
更新ログの設定
更新ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
表 18-26 更新ログの設定
オプション
定義
[更新ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が更新ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
監査ログの設定
監査ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
表 18-27 監査ログの設定
オプション
定義
[監査ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が監査ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
詳細
コアおよびフィードバック ファイルの自動削除の設定
表 18-28 詳細
オプション
定義
[コア ファイルの自動削除 これが選択されている場合、構成した設定に応じて自動的にコア ファイルが削除され
を有効化]
ます。
数、時間間隔、および容量の値を超過するコア ファイルを自動的に削除するために、
これらの値を指定できます。
[フィードバック ファイル これが選択されている場合、構成した設定に応じて自動的にフィードバック ファイル
の自動削除を有効化]
が削除されます。
数、時間間隔、および容量をコア ファイルと同じ方法で指定できます。
ファイル システム ログ設定
ファイル システム ログ設定は、ログ ルールによって管理されているログ ファイルのローテーション、削除、および
プッシュの構成のために使用されます。
ファイル システム ログ設定
ルールによって管理されているログ ファイルを保管するログの設定
598
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
表 18-29 ファイル システム ログ設定
オプション
定義
[ログの名前]
ログ名を指定します。
[ログ バッファリングを有効にする]
選択されていると、ログがバッファリングされます。
バッファー間隔は、30 秒です。
[ヘッダー書き込みを有効にする]
選択されていると、下のヘッダーがすべてのログ ファイルに追加されま
す。
[ログ ヘッダー]
すべてのログ ファイルのヘッダーを指定します。
[ログ ファイルを暗号化]
選択されていると、ログ ファイルは暗号化された状態で保管されます。
[最初のパスワード、繰り返しのパスワー 暗号化されたログ ファイルへのアクセスを提供するパスワードを設定し
ド]
ます。
[オプション][2 番目のパスワード、繰 暗号化されたログ ファイルへのアクセスを提供する 2 番目のパスワー
り返しのパスワード]
ドを設定します。
ローテート、削除、およびプッシュの設定
ログ ファイルの管理のための設定
ルールによって管理されているログ ファイルのローテート、削除、およびプッシュの設定には、ログ ファイル マネ
ージャーの設定の一部として構成される、モジュールによって管理されているログ ファイルの対応している設定と同
じオプションが含まれていて、同様に構成されています。
関連トピック:
596 ページの「Log File Manager settings」
ログの作成
ログ ファイルにエントリを書き込むために、ログ ルールが使用できるログを作成できます。
ログを作成する際に、それを別途作成するのではなく、ファイル システム設定モジュールの新規設定作成の一部とし
て、作成します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[ファイル システム ログ]を展開し、既存の設定の 1 つを選択します。例:[アクセス ログ設定]。
これらは新しいログの設定を含めて、新しい設定の作成の開始点となります。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、設定名を入力します。
5 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[ログ名]で、新しいログの名前を入力します。
8
必要に応じて、ローテーションまたは削除などの他の設定を構成します。
McAfee Web Gateway 7.6.2
Product Guide
599
18
モニタリング
ログ
9
[OK]をクリックします。
[設定の追加]ウィンドウを閉じて、設定ツリーの[ファイル システム ログ]に新しい設定が表示されます。
10 [変更の保存]をクリックします。
ログ ハンドラーの作成
新しいログ ルールを作成する際、それらを既存のログ記録ルール セットに挿入するか、それらのために新しいルー
ル セットを作成します。これらはログ ハンドラーとして知られるトップレベル ルール セットでそれら自体をネス
ト化する必要があります。
また、新しいログ ルール セットの挿入にデフォルト ログハンドラーを使用することもできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
[ルール セット]メニューから[ログ ハンドラー]を選択します。
3
ログ ハンドラー ツリーの上にある [追加] をクリックし、表示されたドロップダウン リストから [ログ ハンドラ
ー] を選択します。
[新しいログ ハンドラーの追加]ウィンドウが開きます。
4
[名前]フィールドで、ログ ハンドラーの名前を入力します。
5
[有効にする]が選択されていることを確認します。
6 [オプション][コメント]フィールドで、ログ ハンドラーの平文コメントを入力します。
7 [オプション][権限]タブをクリックして、ログ ハンドラーへのアクセスが許可されるユーザーを設定します。
8
[OK]をクリックして、[新しいログ ハンドラーの追加]ウィンドウを閉じます。
新しいログ ハンドラーがログ ハンドラー ツリーに表示されます。
9
[変更の保存]をクリックします。
ログ ルールの要素
ログ ルールは、特定ログへのログ ファイル エントリの書き込みを処理します。その要素は、他のルールと同じタイ
プのものです。
名前
ウイルス検出ログの書き込み
条件
Antimalware.Infected
equals true
アクション
–> 続行
イベント
– Set User-Defined.LogLine =
+ DateTime.ToWebReporterString
+ “ ””
+ Authentication.Username
+“”
+ String.ReplaceIf Equals (IP.ToString(Client.IP),
““”, “-”)
+ ““ ””
600
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
+ List.OfString.ToString
(Antimalware.VirusNames)
+ ““ ””
+ URL
+ ““”
FileSystemLogging.WriteLogEntry
(User-Defined.logLine)<ウイルス検出ログ>
このルールの要素には以下の意味があります。
•
条件 — Antimalware.Infected equals true
ルールの条件は Antimalware.Infected プロパティを使用します。これは、このプロパティの値が true の
場合一致します。これはフィルタリングされたオブジェクトが感染している場合、ルールが適用されるという意
味です。
•
アクション — Continue
ルールが適用されると、Continue アクションが実行されます。このアクションは、現在のルールのイベントも実
行された後、次のルールで処理を続行させます。
•
イベント — ルールが適用される際に、以下の 2 つのイベントも実行されます。
•
Set User-Defined.logLine = ... — ロギングされるパラメーター値を設定します。
これらの値は次のとおりです。
•
FileSystemLogging.WriteLogEntry ... — 書き込みイベントを実行します
書き込むエントリ、および書き込まれるログ ファイルはイベントで指定されます。
•
(User-Defined.logLine) — エントリを指定するイベント パラメーター
これはルールの他のイベントによって設定されたパラメーター値のログ ファイル ラインです。
•
<ウイルス検出ログ> — ログ ファイルを指定するイベント設定
ベストプラクティス - ログ ファイル フィールドの追加
ログのログ ファイルに書き込まれるエントリにログ ファイル フィールドを追加すると、Web Gateway で実行され
るアクティビティについて追加情報を記録できます。
ログ ファイル フィールドを追加するときに、ログ ヘッダーを適用して、新しいログ ファイル フィールドのエント
リを設定することもできます。これにより、ログ ファイルに書き込まれるヘッダーに、このフィールドの情報を追加
できます。
ログ ファイル フィールドを追加する
ログ ファイルのエントリにログ ファイル フィールドを追加するには、ログ ファイル エントリの書き込み設定に必
要な要素を追加します。
以下では、Web Gateway で受信したクライアント要求の宛先 IP アドレスをルールに追加し、ログ ファイル エン
トリをデフォルトのアクセス ログに書き込む方法について説明します。
タスク
1
[ポリシー ] 、 [ルール セット] の順に選択します。
McAfee Web Gateway 7.6.2
Product Guide
601
18
モニタリング
ログ
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、デフォルトの「ログ ハンドラー」ルール セット
を展開し、[アクセス ログ] を選択します。
3
ログ ファイル エントリに書き込む要素を追加します。
a
[アクセス ログの書き込み] ルールを選択し、すぐ上の [編集] をクリックします。
b
[イベント] を選択して、[User-Defined.logLine の設定] イベントを選択し、[編集] をクリックします。
c
[この文字列の結合] で [追加] をクリックします。
d
[パラメーター プロパティ] をクリックして、プロパティ リストから [IP.ToString] を選択し、プロパティ名
の横にある [パラメーター] をクリックします。
プロパティを検索するには、リストの上にあるフィルター フィールドに該当する文字の組み合わせ (例:
ip.tos) を入力します。
[プロパティのパラメーター] ウィンドウが開きます。
e
[パラメーター プロパティ] をクリックして、[URL.Destination.IP] を選択します。
f
[プロパティのパラメーター] ウィンドウで [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリ
ックします。
[プロパティ設定の編集] ウィンドウで、次のように古い要素の最後に新しい要素が追加されます。
+ Number.ToString(Block.ID) + "" "" + Application.ToString(Application.Name) + """ +
IP.ToString(URL.Destination.IP)
4
区切り文字を挿入して、新しいログ ファイル フィールドを前のフィールドと区別します。
a
二重引用符が 3 つある行を選択して、[編集] をクリックします。
b
ウィンドウに表示された二重引用符の横に空白を挿入し、[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。[プロパティ設定の編集] ウィンドウで、2 つの要素の間の行が次の
ようになります。
+ Application.ToString(Application.Name) + "" " + IP.ToString(URL.Destination.IP)
c
5
[文字列の入力] ウィンドウと [プロパティ設定の編集] ウィンドウで [OK] をクリックします。[ルールの編
集] ウィンドウで [完了] をクリックします。
[ルールの編集] ウィンドウで [完了] をクリックし、[変更を保存] をクリックします。
ログ ヘッダーを適用する
アクセス ログ ヘッダーを適用するには、ログ ファイルの書き込み用に追加した新しい要素にヘッダー エントリを追
加します。
タスク
602
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーで [ファイル システム ログ] を展開し、[アクセス ログ設定] を選択します。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
3
18
[ファイル システム ログ設定] で、[ヘッダーの書き込みを有効にする] が選択されていることを確認します。[ロ
グ ヘッダー] フィールドにあるテキスト文字列の終わりで、最後の要素の後を空白のままにして server_ip と
入力します。
ヘッダー フィールドの名前 (server_ip など) にスペースは使用できません。アンダースコアを使用してくださ
い。
4
[変更を保存] をクリックします。
ベスト プラクティス - ログの作成
ログを作成すると、Web Gateway で実行される特定のアクティビティを記録することができます。
たとえば、特定のクライアントから受信した無効な要求またはブロックされた要求をすべて記録することができます。
ログへの記録はログ ルールに従って行われます。ログに記録する要求を Web Gateway で受信すると、このルール
が適用され、次の処理が実行されます。
•
要求に関する情報をログ ファイル エントリ (ログ ラインともいいます) に記録します。
このエントリには、要求の送信時間、要求を送信したユーザーの名前などが記録されます。
•
ログ ファイルにエントリを書き込みます。
ログ ファイルはログに保存されます。ログ ファイルをローテーションし、一定の時間の経過後に削除すると、大
量のメモリー消費を避けることができます。
Web Gateway の他のルールと同様に、ログ ルールはルール セット (ログ ルール セット) に記述する必要がありま
す。
情報を記録するログを作成するには、次の操作を行います。
•
ログ ルール セットの作成
•
ログ ルールの作成
ログ ルールを作成するには、次の設定を行う必要があります。
•
ルール条件
•
ログ ファイル エントリを書き込むイベント
•
ログ ファイル エントリをログ ファイルに書き込むイベント
書き込みイベントを設定する場合には、ログ ファイルを保存するログも指定します。
ログ ファイル エントリの設定
ログ ルールを作成するときに、ログ ファイル エントリを生成するルールにイベントを設定する必要があります。
ログ ファイル エントリには、Web Gateway で実行されたアクティビティに関する情報 (要求の受信やフィルタリ
ングなど) が記録されます。
この情報の保存にはプロパティが使用されます。たとえば、Authentication.Username プロパティには、要求を送
信したユーザーの名前が記録されます。
ログ ファイル エントリを生成するイベントを設定するには、情報の保存に使用するプロパティをすべて指定する必
要があります。イベントが発生すると、これらのプロパティの値が組み合わされ、User-Defined.logLine という
1 つのプロパティに記録されます。
次に、User-Defined.logLine プロパティの値が書き込みイベントによってログ ファイルに書き込まれます。
McAfee Web Gateway 7.6.2
Product Guide
603
18
モニタリング
ログ
ログ ファイル エントリを生成するイベントのプロパティを指定するときに、いくつかの点に注意する必要がありま
す。
文字列形式
ログ ファイル エントリは文字列形式のデータ連鎖です。イベントが使用するプロパティは文字列形式にする必要が
あります。それ以外の形式は変換が必要になります。
たとえば、クライアントの IP アドレスをログに記録する場合には、Client.IP プロパティを使用します。このプロパ
ティの値に特殊な IP アドレス形式を保存する場合には、IP.ToString プロパティで形式を変換します。
この場合、IP.ToString(Client.iP) のように、IP.ToString をログ ファイル エントリの要素として指定し、パラ
メーターとして Client.IP を括弧内に指定します。この項目が処理されると、文字列形式の IP アドレスが渡されま
す。
空の要素
ログ ルールを処理するときに、すべてのプロパティに値が記録されているとは限りません。したがって、ログ ファ
イル エントリに空の要素が存在する場合があります。
たとえば、要求を送信したユーザーの認証が実行されなかった場合、Authentication.Username プロパティに
値はありません。この場合、プレースホルダーとしてダッシュなどを挿入できます。
この場合、String.ReplaceIfEqual プロパティを使用します。このプロパティには次の 3 つのパラメーターを指
定します。
•
プロパティに実際に記録された値
•
値 1 と比較する値
•
値 1 と値 2 が一致した場合に 値 2 と置き換える値
たとえば、String.ReplaceIfEqual プロパティのパラメーターとして、Authentication.Username、空白、ダッシ
ュを指定したときに、ユーザー名が記録されないと、ログ ファイル エントリの user-name 要素にダッシュが入り
ます。
区切り文字
ログ ファイル エントリを読みやすくするには、ログ ファイル エントリの要素を区切る区切り文字を設定します。区
切り文字としては、空白、引用符、その他の文字を使用できます。
区切り文字はエントリの主要素と同じ方法で指定します。また、区切り文字は文字列として解釈されます。
ログ ルールのログ ルール セットを作成する
エントリをログ ファイルに書き込み、ログを保存するログ ルールを作成するには、このルールにログ ルール セット
を作成し、ルール条件とイベントを設定します。
ここで説明するサンプル ルールでは、次の条件を満たした場合に特定の ID を持つクライアントから受信したすべて
の要求をログに記録します。
•
HTTP プロトコルで要求が無効な場合 (応答 403) または
•
Web Gateway の Web セキュリティ ルールで要求がブロックされた場合 (ブロック ID が 0 以外の場合)
タスク
604
1
[ポリシー ] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、[デフォルト] ログ ハンドラー ルール セットを展
開します。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
3
18
ログ ルールにルール セットを作成します。
このルール セットは [デフォルト] ルール セットにネストされます。
a
[追加]、[ルール セット] の順にクリックします。
b
[名前] フィールドに、新しい「ログ」ルール セットの名前を入力します。例: Troubleshooting Log
c
[OK] をクリックします。
ウィンドウが閉じます。ログ ハンドラー ツリーに新しい「ログ」ルール セットが表示されます。
4
5
ログ ルールを追加して名前を設定します。
a
設定ペインで、[ルールの追加] をクリックします。
b
[名前] フィールドにログ ルールの名前を入力します。例: Log requests that caused issues
ルール条件を設定します。
a
[ルール条件] を選択します。[追加] をクリックして、[詳細条件] を選択します。
b
優先順位として [Client.IP] を選択し、演算子に [等しい] を選択します。[比較] の下にあるフィールドで、
オペランドとして IP アドレス (例: 10.149.33.8) を入力します。
c
[OK] をクリックします。
[条件の追加] ウィンドウが閉じます。設定したルール条件が [ルールの追加] ウィンドウに表示されます。
6
d
もう一度 [追加] をクリックして、2 つ目の条件を設定します。
e
最初の部分と同じ方法で、[Response.StatusCode]、[等しい]、403 を設定し、[OK] をクリックします。
f
同じ方法で、[Block.ID]、[等しくない]、0 を設定し、[OK] をクリックします。
ログ ファイル エントリを生成するイベントを設定します。
a
[イベント] を選択して [追加] をクリックし、[プロパティの値を設定] を選択します。
b
プロパティ リストで [User-Defined.logLine] を選択し、[この文字列の結合] で [追加] をクリックします。
c
[パラメーター プロパティ] をクリックします。ログ ファイル エントリの最初の要素としてプロパティ リス
トから [DateTime.ToWebReporterString] を選択します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した要素が [プロパティ設定の追加] ウィンドウに表示されま
す。
d
[追加] をクリックします。[パラメーター値] が選択されていることを確認して、空白の後に二重引用符を入
力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
e
ログ ファイル エントリの次の要素を追加します。
•
[追加]、[パラメーター プロパティ] の順にクリックします。
•
[String.ReplaceIfEquals] を選択して、プロパティ名の横にある [パラメーター] をクリックします。
[プロパティのパラメーター] ウィンドウが開きます。
•
最初のパラメーターで [パラメーター プロパティ] をクリックし、[Authentication.Username] を選択
します。
McAfee Web Gateway 7.6.2
Product Guide
605
18
モニタリング
ログ
•
2 番目のパラメーターを選択します。ただし、右側の入力フィールドには何も入力しないでください。
パラメーター値として空白が使用されます。
•
3 番目のパラメーターを選択して、入力フィールドにダッシュを入力します。
•
[プロパティのパラメーター] で [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリックし
ます。
要素が [プロパティ設定の追加] ウィンドウに表示されます。
f
[追加] をクリックして、二重引用符、空白、二重引用符を入力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
g
次のリストにあるプロパティを選択して、残りの要素を追加します。 手順 f のように、要素の間に区切り文
字を挿入してください。
•
[Client.IP]
この要素の場合、[Client.IP] プロパティのパラメーターとして [IP.ToString] プロパティを設定します。
手順 e と同様にパラメーターを追加します。
•
[Request.Header.First.Line]
•
[Header.Request.Get]
パラメーターの値として user-agent を入力し、この要素のパラメーターを設定します。
606
•
[Rules.CurrentRuleSet.Name]
•
[Rules.CurrentRule.Name]
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
•
18
[Block.ID]
この要素の場合、[Block.ID] プロパティのパラメーターとして [Number.ToString] プロパティを設定し
ます。
•
[Block.Reason]
この最後の要素の後に、区切り文字として二重引用符を 1 つだけ使用します。
h
[OK] をクリックして、[プロパティ値の設定] ウィンドウを閉じます。
ログ ファイル エントリを生成するイベントが [ルールの追加] ウィンドウに表示されます。
次のように表示されます。
Set User-Defined.logLine =
DateTime.ToWebReporterString
+ " ""
+ String.ReplaceIfEquals
(Authentication.UserName, "", "-")
+ "" ""
+ IP.ToString(Client.IP)
+ "" ""
+ Request.Header.First.Line
+ "" ""
+ Header.Request.Get("user-agent")
+ "" "" + Rules.CurrentRuleSet.Name
+ "" ""
+ Rules.CurrentRule.Name
+ "" ""
+ Number.ToString(Block.ID)
+ "" ""
+ Block.Reason
+ """
変更が必要な場合には、イベントを選択して [編集] をクリックし、[プロパティ設定の編集] ウィンドウを開
きます。
表示されるイベントには + 記号が自動的に追加されます。
文字列値の前後に二重引用符が追加されます。たとえば、最初の区切り文字の " "" は空白と二重
引用符を表します。
7
ログ ファイル エントリをログ ファイルに書き込むイベントを設定します。
a
[ルールの追加] ウィンドウ (変更を行う場合には [ルールの編集] ウィンドウ) の[イベント] で、[追加] をク
リックして [イベント] を選択します。
b
イベント リストから [FileSystemLogging.WriteLogEntry] を選択し、[パラメーター] をクリックします。
c
[パラメーター プロパティ] をクリックします。下のリストで [User-Defined.logLine] を選択して [OK]
をクリックします。
[実行アクションのパラメーター] ウィンドウが閉じます。
d
[イベントの追加] ウィンドウで、[設定] フィールドの下にある [追加] をクリックします。
e
新しい設定を作成します。
McAfee Web Gateway 7.6.2
Product Guide
607
18
モニタリング
ログ
作成した新しいログが処理されるときに、これらの設定がファイル システム ログ モジュール (またはエンジ
ン) によって使用されます。
•
[名前] フィールドに、新しい設定の名前を入力します。例: Troubleshooting Log Settings
•
[ログの名前] で troubleshooting.log と入力します。
•
[ヘッダーの書き込みを有効にする] を選択します。[ログ ヘッダー] フィールドで、ログ ヘッダーの要素
を入力します。
新しいログのログ ファイルの先頭にログ ヘッダーが表示されます。これは、手順 6 で設定したログ ファ
イル エントリの要素を表します。
ログ ヘッダーは次のようになります。
time_stamp "auth_user" "src_ip" "req_line" "user_agent" "rule_set" "rule"
"block_page_res"
"block_res"
•
[ローテート、削除、およびプッシュの設定] で、次の設定を行います。
•
[ユーザー定義ログの指定設定の有効化] を選択します。
•
[自動ローテーション] で、[ローテーション後の GZIP ログ ファイル] を選択してメモリー領域を節約
します。
•
必要に応じて、[自動ローテーション] と [自動検出] で残りの設定を行います。
この新しいログのログ ファイルがプッシュされなくなるので、[自動プッシュ] を有効にしたり、設定
しないでください。
f
[設定の追加] ウィンドウで [OK] をクリックして、[イベントの追加] ウィンドウで [OK] をクリックします。
ウィンドウが閉じます。ログ ファイル エントリを書き込むイベントが [ルールの追加] (または [ルールの編
集]) ウィンドウに表示されます。
g
[完了] をクリックします。
ウィンドウが閉じます。[ルール セット] タブに、[トラブルシューティング ログ] ルール セットとして新し
いログ ルールが表示されます。
これで、特定の要求を記録するログ ルールが作成されました。
設定した名前のログにログ ファイルが表示されます。このログは、ルールを有効にしたアプライアンスの [トラブル
シューティング] の最上位メニューからアクセスできます。
ログにアクセスするには、[ログ ファイル] 、 [ユーザー定義ログ] の順に移動します。
ログ ルール セットへのアクセス
アクセス ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セットで
す。
ネストされているデフォルト ルール セット — アクセス ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
608
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ログ
18
access.log の書き込み
Always –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ構成>
ルールはイベントを使用して、ユーザー名またはリクエスト ヘッダーなどのユーザーによって送信されたリクエス
トに関連したパラメーター値で、ログ ファイル エントリを満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびロギングされます(値を設定するイベントによ
って使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• 応答ステータス — String.ReplaceIfEquals (Number.ToString (Response.StatusCode), “”,
“-”)
• リクエスト ヘッダー — RequestHeader.FirstLine
• URL カテゴリ — List.OfCategory.ToString (URL.Categories)
• URL レピュテーション — String.ReplaceIfEquals (URL.ReputationString, “”, “-”)
(URL.Reputation<Default>)
• メディア タイプ — MediaType.ToString (MediaType.FromHeader)
• 本文サイズ — String.ReplaceIfEquals (Number.ToString (Body.Size), “”, “-”)
• ユーザー エージェント — Header.Request.Get(“User-Agent”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• ブロック アクション ID — Number.ToString (Block.ID)
ログ ルールは、Web へのアクセス リクエストが受信されたときに適用されます。
次に、ログ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
ウイルス検出ログ ルール セット
ウイルス検出ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セット
です。
ネストされているデフォルト ルール セット — ウイルス検出ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
found viruses.log の書き込み
Antimalware.Infected equals true –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ>
McAfee Web Gateway 7.6.2
Product Guide
609
18
モニタリング
エラー処理
ルールは、イベントを使用してログ ファイル エントリをウイルス名や IP アドレスなど、ウイルスまたはその他の
マルウェアに感染した Web オブジェクトに関連するパラメーター値で満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびログされます(設定されているイベントによっ
て使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• URL — URL
ログ ルールは、リクエストされた Web オブジェクトが感染していると判明した場合に、適用されます。次に、ロ
グ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
エラー処理
エラーおよびインシデントがアプライアンスで発生した場合、適切な対策が取れます。いくつかの対策は、ルールに
よってコントロールされています。
エラー ID を使用するエラー処理
アプライアンス上で発生するエラーは、エラー ID によって識別されます。これらは、エラー処理の特定方法をトリ
ガーするために、ルールによって使用される可能性があります。
ルールでエラー ID の使用を有効にするには、Error.ID プロパティを利用できます。ルールは、このプロパティが
特定値を持つ場合(たとえば、マルウェア対策モジュールの読み込みの失敗を示す 14000)、アクションまたはイベ
ントをトリガーします。
トリガーされるアクションまたはイベントは、Web オブジェクトへのアクセスのブロック、またはログ ファイルの
エントリの作成など、エラー処理の特定方法を使用します。
エラー処理方法をトリガーするためのエラー ID を使用するルールは、たとえば、以下のものがあります。
名前
マルウェア対策エンジンに負荷をかけられない場合にブロック
条件
Error.ID equals 14000
アクション
–>
ブロック<マルウェア対策エンジンに負荷をかけられない>
インシデント情報を使用するエラー処理
インシデントと呼ばれるアプライアンス上のアクティビティと状況のグループがあります。インシデント情報は、エ
ラー処理の特定方法をトリガーするために、ルールによって使用される可能性があります。
インシデントは、アプライアンス システムに加え、そのサブシステムとモジュールに関連する可能性があります。
例: ログ ファイル マネージャーがログ ファイルのプッシュに失敗した場合、インシデントとして記録されます。
610
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
18
インシデントは、通知メッセージの送信またはシステム ログでのエントリの作成など、特定のエラー処理方法をトリ
ガーするために、ルールによって使用される可能性があります。ルールのインシデントの使用を有効化するために、
ID、重大度、元の場所、およびその他を含む主要インシデント パラメーターがプロパティとして利用可能にされま
す。
例: Incident.ID プロパティがあります。ルールはこのプロパティを使用して、プロパティの値が特定の数の場合
に syslog エントリを作成するイベントをトリガーできます。
インシデントを利用するルール
エラー処理のデフォルト ルール セットには、ログ ファイル マネージャーに関連するインシデントが発生する場合に
通知メッセージおよびその他エラー処理イベントをトリガーするルールを提供する、ネストされているルール セット
が含まれます。このネストされているルール セットの名前はログ ファイル マネージャー インシデントです。その
他のネストされているルール セットは更新およびライセンスに関連するインシデントを処理します。
また、ルールおよびエラー処理のインシデントを使用する独自のルール セットも作成できます。
インシデント パラメーターおよびプロパティ
インシデントは、それらの ID およびその他パラメーターとともにアプライアンスに記録されます。各パラメーター
には、適切なルールに使用できるプロパティがあります。
•
インシデント ID — 各インシデントは番号によって識別されます。例: ID 501 を持つインシデントは、ログ フ
ァイル マネージャーがログ ファイルをプッシュできなかった場合のものです。Incident.ID プロパティは、イ
ンシデントの ID を確認するために、ルールで使用できます。
•
説明 — インシデントは平文で説明できます。関連するプロパティの名前は Incident.Description です。
•
元の場所 — 各インシデントは元の場所のアプライアンス コンポーネントに割り当てられます。元の場所は番号
によって指定されます。例: 元の場所の番号 5 はログ ファイル ハンドラーを指定します。関連するプロパティ
の名前は Incident.Origin です。
•
OriginName — インシデントの元はインシデントに関連するアプライアンス コンポーネントの名前によって
さらに指定されます。関連するプロパティの名前は Incident.OriginName です。
元の名前は、元の場所の数値に指定されたコンポーネントの一部であるサブコンポーネントを指定できます。例:
元の場所の数値 2(コア) は次の元の名前でさらに指定できます。
•
•
コア
•
プロキシ
•
URL フィルター
•
その他のコア サブコンポーネントの名前
重大度 — 各インシデントは重大度に従って分類されます。重大度レベルの範囲は 0 ~ 7 で、0 が最高レベルで
す。
これらのレベルは syslog ファイルのエントリで使用されているものと同じです。
関連するプロパティの名前は Incident.Severity です。
•
影響を受けるホスト — インシデントに関連する外部システムがある場合、例えば、アプライアンスが接続できな
いサーバーがある場合、このシステムの IP アドレスも記録されます。関連するプロパティの名前は
Incident.AffectedHost です。
エラー処理の構成
このプロセスがネットワークの要件に対応するように、エラー処理を構成することが可能です。
以下の高レベル手順を完了します。
McAfee Web Gateway 7.6.2
Product Guide
611
18
モニタリング
エラー処理
タスク
1
エラー処理のデフォルト ルール セットのネストされているルール セットにあるルールを確認します。
このルール セットの名前は デフォルトです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
3
•
特定のエラーまたはインシデントが発生する際に、エラー処理の追加措置をとるルールの有効化。
•
追加のエラーとインシデントを処理する新しいルールとルール セットの作成。
変更を保存します。
エラー処理ルール セットの表示
Web フィルタリング ルールに対する通常のルール セット ツリーに加えて、ユーザー インターフェースに提供され
るルール セット ツリーでエラー処理用に実装されるルール セットを表示することができます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーの下で、[エラー ハンドラー]を選択します。
3
[デフォルト]トップレベル ルール セットを展開します。
エラー処理用のネストされたルール セットが表示されます。
4
ネストされたルール セットを選択します。
ネストされたルール セットのルールが設定ペインに表示されます。
関連トピック:
615 ページの「デフォルト エラー ハンドラー ルール セット」
ベスト プラクティス - エラー ハンドラーの使い方
エラー ハンドラー ルール セットのルールを使用すると、Web Gateway の Web トラフィック処理でエラーが発生
した場合の操作を制御できます。
エラーに対処する方法は主に 2 つあります。
•
フェールクローズ - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を停
止します。 ユーザーにブロック メッセージが表示されます。
Web Gateway のエラー処理では、この方法がデフォルトです。
•
フェールオープン - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を続
行します。
さらに、ロギング アクティビティと通知が実行される場合があります。
この方法は、組織の Web セキュリティ ポリシーで広く利用されています。
以下では、ネットワークでフェールオープンを採用するメリットについて説明します。
612
•
ビジネスの中断を防ぐことができます。Web アクセスの中断は多くの業務で重要な問題となります。
•
Web Gateway の管理者が問題を認識し、修正できるようにします。これにより、ヘルプデスクへの問い合わせ
を減らすことができます。 ユーザーへの警告も不要になります。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
18
フェールオープンでは、内部アラートを送信してアクションを実行し、ネットワーク内で障害のあるコンポーネント
を修復することができます。
エラー ハンドラーを使用すると、次のようにエラー対応のルールを柔軟に設定することができます。
•
すべてのエラーに対して弁密なフェールクローズを行う
•
フェールオープンでユーザーに対する影響を回避する
•
フェールクローズまたはフェールオープンで Web Gateway 管理者に通知を行う
•
特定のユーザーとクライアントからの要求を除外する
たとえば、経営陣にフェールオープンを設定し、他のユーザーにフェールクローズを設定できます。
エラー処理のデフォルトのルール セットには、すべてのエラーでのブロック ルール セットが含まれています。 この
ネストされたルール セットは、デフォルト ルール セットの最後にあります。 ネストされた他のルール セットで処
理されなかった場合、エラー状況の要求がブロックされます。
フェールオープン ルールを設定する場合には、このルール セットを無効にするか、このセットの前にフェールオー
プン ルールのルールセットを配置してください。
関連トピック:
613 ページの「全般的なフェール オープン方針を設定する」
613 ページの「通知付きのフェールオープン方針を設定する」
614 ページの「ユーザー グループにフェールオープン方針を設定する」
全般的なフェール オープン方針を設定する
エラーが発生した後も処理を継続できるように、全般的なフェール オープン方針を設定します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
3
ネストされたルール セット内のすべてのルール:
4
a
ルールを選択して、[編集] をクリックします。
b
[ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [続行] を選択します。
c
[完了] をクリックします。
[変更の保存] をクリックします。
エラーが発生した場合でも、ユーザーから Web に送信される要求の処理が Web Gateway で続行します。
通知付きのフェールオープン方針を設定する
特定のエラーが発生したときに管理者または他の受信者に通知するように、フェールオープン方針を設定します。
特定のエラーを処理するルールに通知対象のイベントを追加します。
McAfee Web Gateway 7.6.2
Product Guide
613
18
モニタリング
エラー処理
タスク
1
既存のルールを選択します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
c
ネストされたルール セットを選択します (たとえば、[マルウェア対策エンジン エラーでブロック])。 ルール
の 1 つを選択します (例: [マルウェア対策エンジンに負荷がかかりすぎている場合のブロック])。このルー
ルの [編集] をクリックします。
2
[ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [ブロック] ではなく [ルール セッ
トの停止] を選択します。
3
通知対象のイベントを設定します。
a
[イベント] を選択して [追加] をクリックします。
b
[イベント] を選択して [Email.Send] を選択し、[パラメーター] をクリックします。
c
3 つの文字列パラメーターの値を入力します。例:
•
[受信者] (メール アドレス): [email protected]
複数の受信者を設定するには、メール アドレスをセミコロンで区切って追加します。
d
4
•
[件名] (メッセージ名): マルウェア対策の過負荷状態
•
[本文] (メッセージ テキスト): マルウェア対策エンジンの負荷が過剰になっています。
mwg-antimalware-errors-log で詳細を確認してください。
[OK] を 2 回クリックして、[完了] をクリックします。
[変更の保存] をクリックします。
このルールで処理するエラーが発生すると、設定した受信者に通知が送信されます。 受信者ごとに異なるメッセージ
テキストを設定して複数の通知イベントを設定することもできます。
すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット
を配置します。
ユーザー グループにフェールオープン方針を設定する
特定のグループに所属するユーザーの要求でエラーが発生した場合にのみ通知を送信するように、フェールオープン
方針を設定します。
タスク
1
614
通知付きのフェールオープン方針を設定するルールを検索します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
c
[マルウェア対策エンジン エラーでブロック] ネストされたルール セットを選択して [マルウェア対策エンジ
ンに負荷がかかりすぎている場合のブロック] ルールを選択し、このルールの [編集] をクリックします。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
2
ルール条件の追加部分を設定します。
a
[ルールの編集] ウィンドウで [ルールの条件] を選択し、ルールの条件を選択して [追加] をクリックします。
b
[ユーザー/グループの条件] を選択して、次の項目を選択します。
c
d
3
18
•
[Authentication.UserGroups] プロパティ
•
[リスト内の 1 つ以上の]演算子
右側の列の最後にある [文字列リストの追加] をクリックして、ユーザー グループのリストを追加し、[リス
トの追加] ウィンドウで次の操作を行います。
•
リストに マルウェア対策の過負荷を回避するグループ という名前を付けて [OK] をクリックします。
•
[リスト コンテンツ] で [リストの編集] をクリックして、リストに次の文字列を追加します (引用符は除
く)。 Executives と入力して、[OK] を 2 回クリックします。
[ルールの編集] ウィンドウで、この追加条件のブール演算子として [AND] を選択し、[完了] をクリックし
ます。
[変更の保存] をクリックします。
このルールで処理するエラーが発生すると、設定した受信者に通知が送信され、処理が続行します。 設定したグルー
プのユーザーが送信した要求の処理でエラーが発生した場合にのみ通知が送信されます。
すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット
を配置します。
デフォルト エラー ハンドラー ルール セット
デフォルト エラー ハンドラー ルール セットは、エラー処理のデフォルト ルール セットです。
デフォルト エラー ハンドラー ルール セット - デフォルト
条件 — Always
以下のルール セットは、このルール セット内にネストされています。
•
•
長期接続
モニタリング
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
•
ログ ファイル マネージャーのインシデント
•
更新インシデントの処理
•
ライセンス インシデントの処理
•
マルウェア対策エンジンのエラー時にブロック
•
URL フィルター エラー時にブロック
•
すべてのエラー時にブロック
McAfee Web Gateway 7.6.2
Product Guide
615
18
モニタリング
エラー処理
長期接続
ネストされているエラー処理ルール セットは、プロキシ モジュールのエラー発生時に接続を有効状態に維持します。
ネストされているエラー ハンドラー ルール セット — 長期接続
条件 – Error.ID equals 20000
このルール セットの条件は、Error.ID プロパティの値がプロキシ モジュールの異常を示す 20000 になった場合、
ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
接続を常に有効状態に維持
Always –> Stop Cycle
ルールが実行されると、現在処理中のサイクルを停止します。ルールはルール セットの条件が一致した場合、必ず
実行されます。処理中のサイクルを停止することは、接続がさらなるルール処理を行う間に閉じることを防ぎます。
このルールは、デフォルトでは有効になっていません。
モニタリング
このネストされているエラー ハンドラー ルール セットは、アプライアンス システムに関連するインシデントが発生
したときに取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — モニタリング
条件 — Incident.ID equals 5
このルール セットの条件は、Incident.ID プロパティの値がアプライアンス システムに関連するインシデントを示
す 5 の場合、ルール セットを適用することを指定します。
以下のルール セットは、このルール セット内にネストされています。
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
CPU の負荷を確認
このネストされているエラー ハンドラー ルール セットは CPU の負荷が構成された値を超えたときに取られる対策
を処理します。
ネストされているエラー ハンドラー ルール セット — CPU の負荷を確認
条件 — Statistics.Counter.GetCurrent(“CPULoad”) <デフォルト> greater than or equals 95
このルール セットの条件は、CPU の負荷の Statistics.Counter. GetCurrent プロパティ値が 95 以上の場合、ルー
ル セットを適用することを指定します。この値は CPU が現在実行中の最大負荷のパーセンテージを示しています。
値を提供する統計モジュールは、CPU の負荷プロパティのパラメーターの後に指定されているように、デフォルトの
設定とともに実行されます。
このルール セットは、以下のルールを含みます。
616
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
18
通知メッセージの作成
Always –> Continue – Set User-Defined.loadMessage =
“CPU load at “
+ Number.ToString (Statistics.Counter.GetCurrent(“CPULoad”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティを CPU 負荷のメッセージ テキストを構成する値のチェ
ーンに設定します。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して CPU の負荷を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
キャッシュ パーティションを確認
このネストされているエラー ハンドラー ルール セットは、Web キャッシュの使用率が構成された値を超えたとき
に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — キャッシュのパーティションを確認
条件 – Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト> greater than or
equals 95
このルール セットの条件は、Web キャッシュの使用率の Statistics.Counter. GetCurrent プロパティ値が 95 以
上の場合に、ルール セットを適用することを指定します。この値は、現在使用されている Web キャッシュの最大許
容使用率のパーセンテージを示します。
値を提供する統計モジュールは、WebCacheDiskUsage プロパティのパラメーターの後に指定されているように、
デフォルトの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.cacheMessage =
“Cache partition usage at “
+Number.ToString (Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されてます。もう一方は Web キャッシュの使
用率に関するメッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
McAfee Web Gateway 7.6.2
Product Guide
617
18
モニタリング
エラー処理
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して Web キャッシュの使用率を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
リクエストの過負荷を確認
このネストされているエラー ハンドラー ルール セットは、1 秒あたりのアプライアンスで処理されるリクエスト数
が構成された値を超えた場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — リクエストの過負荷を確認
条件 — Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト> greater than or equals
480000
このルール セットの条件は、リクエストの Statistics.Counter. GetCurrent プロパティ値が 480,000 以上の場
合、ルール セットを適用することを指定します。この値は 1 秒あたりに現在処理されているリクエスト数です。
値を提供する統計モジュールは、HttpRequests プロパティのパラメーターの後に指定されているように、デフォル
トの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.requestsPerSecond =
Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト>)
/ 60
Set User-Defined.requestLoadMessage =
“detected high load: ”
+ Number.ToString (User-Defined.requestsPerSecond)
+ “requests per second”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されています。もう一方はこの番号に関するメ
ッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して、リクエストの過負荷を管理者に知られます。
これらのルールはデフォルトでは有効ではありません。
ログ ファイル マネージャーのインシデント
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ログ ファイル マネージャー インシデント
条件 – Incident.ID greater than or equals 501 AND Incident ID less than or equals 600
618
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
18
このルール セットの条件は、Incident.ID プロパティの値がログ ファイル マネージャーに関連するインシデントの
範囲内の場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Incident.ID equals 501 –> Continue – Set User-Defined.notificationMessage =
“License expires in ”
+ Number.ToString (License.RemainingDays)
+ “ days”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティをライセンスの残り日数のメッセージ テキストを構成す
る値のチェーンに設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルール セットのその他のルールは、通知メッセージの作成ルールと同じ方法
で Incident.ID の値のプロパティを確認し、この値が 501 の場合さまざまなイベントを使用して対策を取ります。
これらのルールはデフォルトでは有効ではありません。
更新インシデントの処理
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — 更新インシデントの処理
条件 – IIncident.OriginName equals “Updater” OR Incident.ID equals 850 OR Incident.ID
equals 851 OR Incident.ID equals 940 OR Incident.ID equals 941 OR Incident.ID equals
1050 OR Incident.ID equals 1051 OR Incident.ID equals 1650 OR Incident.ID equals 1651
このルール セットの条件は、更新モジュールが Incident.OriginName プロパティの値によって指定された場合、ま
たは Incident.ID プロパティの値が更新モジュールに関連しているものである場合、ルール セットを適用すること
を指定します。
このルール セットは、以下のルールを含みます。
更新インシデント メッセージの作成
Always –> Continue – Set User-Defined.eventMessage =
“Update Event triggered [“
+ Number.ToString (Incident.ID)
+ “]:”
+ Incident.Description
+ “; origin:”
+ Incident.OriginNamey
+ “; severity:”
+ Number.ToString (Incident.Severity)
ルールはルール セットの条件が一致した場合、必ず実行されます。
McAfee Web Gateway 7.6.2
Product Guide
619
18
モニタリング
エラー処理
ルールはイベントを使用して、ユーザー定義のプロパティを更新インシデントのメッセージ テキストを構成する値
のチェーンに設定します。メッセージはいくつかのインシデント プロパティの値を含みます。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
ライセンス インシデントの処理
このネストされているエラー ハンドラー ルール セットは、アプライアンスのライセンスの期限日に関連するインシ
デントが発生した場合に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ライセンス インシデントの処理
条件 — Incident.ID equals 200
このルール セットの条件は、Incident.ID プロパティの値がライセンスの残り日数のインシデントを示す 200 の場
合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
ライセンス インシデント メッセージの作成
Always –> Continue – Set User-Defined.notificationMessage =
「ログ ファイルをプッシュできません。mwg-logfilemanager エラー ログをご覧ください (/opt/mwg/log/
mwg-errors/mwg-logmanager.errors.log)。」
ルールは Incident.ID プロパティの値がログ ファイル マネージャーがログ ファイルをプッシュできないことを
示す 501 かどうかを確認します。
このケースの場合、ルールはイベントを使用して、通知メッセージのテキストである文字列の値にこのメッセージ
を送信するために、ユーザー定義のプロパティを設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
マルウェア対策エラー時にブロック
このネストされているエラー ハンドラー ルールは、マルウェア対策モジュールに負荷をかけられないまたは負荷か
かりすぎているとき、すべての Web オブジェクトへのアクセスのブロックを設定します。
ネストされているエラー ハンドラー ルール セット — マルウェア対策エラー時にブロック
条件 — Always
このルール セットは、以下のルールを含みます。
620
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
エラー処理
18
マルウェア対策エンジンに負荷をかけられない場合にブロック
Error.ID equals 14000 –> Block<マルウェア対策に負荷をかけられない>
ルールは負荷からマルウェア対策モジュール(エンジンとも呼ばれる)を防ぐエラーの Error.ID プロパティの値が
14000 の場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
マルウェア対策エンジンに負荷がかかりすぎている場合にブロック
Error.ID equals 14001 –> Block<マルウェア対策エンジン過負荷状態>
ルールは、プロパティの値がマルウェア対策モジュール(エンジンとも呼ばれる)へのすべての接続が現在使用さ
れており、Error.ID プロパティの値がモジュールに負荷がかかりすぎていることを示す 14001 のとき、すべての
Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
URL フィルター エラー時にブロック
このネストされているエラー ハンドラー ルール セットは、URL フィルター モジュールに負荷をかけられないまた
はこのモジュールに関連したエラーが発生するとき、すべての Web オブジェクトへのアクセスのブロックを設定し
ます。
ネストされているエラー ハンドラー ルール セット — URL フィルター エラー時にブロック
条件 – Error.ID greater than or equals 15000 AND Error.ID less than or equals 15999
ルール セットの条件は、URL フィルタリング関連のエラーの範囲である、指定の範囲内に Error.ID プロパティの値
がある場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
URL フィルター エンジンに負荷をかけられない場合にブロック
Error.ID equals 15000 OR Error.ID equals 15002 OR Error.ID equals 15004 OR Error.ID
equals15005 –> Block<URL フィルターに負荷をかけられない>
ルールは Error.ID プロパティの値がルールの条件で指定されたうちの 1 つになった場合、すべての Web アクセ
スのリクエストをブロックします。これらの値は URL フィルター モジュール(エンジンとも呼ばれる)の読み込
みを防ぐエラーを示します。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
その他すべての内部 URL フィルター エラーをブロック
Always –> Block<内部 URL フィルター エラー>
ルールは、ルール セットが適用されルールに先行してルール セットが実行されていないとき常に実行されます。ル
ールは Web アクセスのすべてのリクエストをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
すべてのエラー時にブロック
このネストされているエラー ハンドラー ルール セットは、アプライアンスで内部エラーが発生した場合、すべての
Web オブジェクトへのアクセスをブロックします。
ネストされているエラー ハンドラー ルール セット — すべてのエラー時にブロック
条件 — Always
ルール セットには、以下のルールが含まれます。
McAfee Web Gateway 7.6.2
Product Guide
621
18
モニタリング
パフォーマンス測定
常にブロック
Always –> Block<内部エラー>
ルールは内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はアクセスをリクエストしたユーザーへのメッセージを指定します。
このルール セットでのルールはアプライアンスの内部エラーを処理するためのものです。内部エラーが発生した
ときに実行されます。これは当然、予測不可能で、フィルタリング プロセス中のいかなるときに発生したり、全く
発生しない可能性があります。これらのセンスでは、ルールの処理は通常のプロセス フローの一部ではありませ
ん。
ブロックを実行した後、ルールは内部エラー発生時にフィルタリングされていたリクエスト、応答、または埋め込
みオブジェクトのルールのさらなる全処理を停止します。
こうした場合、アプライアンスが完全に利用可能でない間、不正または不適切な Web オブジェクトがネットワー
クを出入りしないことが保証されます。
プロセス フローは、内部エラーがアプライアンス機能の一般的な妨害を引き起こさなかった場合、次のリクエスト
を受信するまで続きます。
パフォーマンス測定
複数のアプライアンス機能に対する処理時間がパフォーマンス情報として測定され、ダッシュボードに表示されます。
この情報はログ ファイル内に記録することができます。また、個々のルール セットに対して処理時間を測定して記
録することもできます。
アプライアンスでパフォーマンスを測定します。たとえば、DNS サーバーで名前を検索し、ホスト名が解決される
までの平均時間を測定します。これらのパフォーマンス情報はダッシュボードに表示されます。また、個々のルール
セットの処理に要する時間も測定できます。
ダッシュボードに表示されるものと、自分で測定したものを含め、パフォーマンス情報はすべてログすることが可能
です。
パフォーマンス情報を測定してログする際には、以下の要素が関連します。
•
パフォーマンス情報をログするためのプロパティ
•
パフォーマンス情報をログするためのプロパティを使用するログ ルール
•
個々のルール セットに対する処理時間を測定するイベント
•
処理時間が測定されるようにするためのイベントが挿入されているルールを含むルール セット
ログ プロパティ
ダッシュボードに表示されるパフォーマンス情報に対応するプロパティは複数あり、これらはログ ルール内で使用で
きます。
たとえば、プロパティ Timer.ResolveHostNameViaDNS は、DNS サーバーで名前を検索することによってホ
スト名を解決するのにかかる平均時間に関するダッシュボード情報に対応します。
個々のルール セットの処理に対して測定された時間をログするために利用可能なプロパティは、2 つあります。
Stopwatch.GetMilliSeconds プロパティはミリ秒単位で、Stopwatch.GetMicroSeconds はマイクロ秒単
位で、それぞれこの時間を記録します。
ログ ルール
アプライアンスにおけるデフォルトのログ ルールは、ログ行を作成するために 1 つのイベントを使用し、これらの
行をログ ファイルに書き込むためにもう 1 つのイベントを使用します。
622
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
パフォーマンス測定
18
パフォーマンス情報をログするためのプロパティをログ行の要素に追加すると、その要素だけでなく、ログ行のその
他の要素もログ ファイル内に書き込まれます。
パフォーマンス情報をログするためのデフォルトのルールを使用したり、自分でルールを作成したりすることができ
ます。
処理時間を測定するためのイベント
個々のルール セットの処理にかかった時間を測定するために利用可能なイベントは、2 つあります。
Stopwatch.Start イベントは、この時間を測定する内部ストップウォッチを開始します。また、
Stopwatch.Stop イベントは、経過時間を記録できるようにウォッチを停止します。
測定対象ルール セット
特定のルール セットの処理にかかる時間を測定するには、内部ストップウォッチを開始するためのイベント (つま
り、開始イベント) を含むルールをルール セットの先頭に、停止イベントを含むもう 1 つのルールをルール セット
の末尾にそれぞれ作成する必要があります。
ルール セットの処理を停止するアクションが含まれる場合は、このルール セットの既存のルールにも停止イベント
を挿入する必要があります。それ以外の場合は、ウォッチが停止されることはありません。これは、ルール セットの
末尾に停止イベントがあるルールはスキップされるためです。
パフォーマンス情報の表示
複数のアプライアンス機能に関するパフォーマンス情報をダッシュボードで表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[パフォーマンス情報]を選択します。
パフォーマンス情報がタブに表示されます。
関連トピック:
586 ページの「グラフと表の情報の概要」
パフォーマンス測定の構成
アプライアンスの機能のパフォーマンスを測定およびロギングするために、パフォーマンス測定を構成できます。
以下の高レベル手順を完了します。
タスク
1
ダッシュボードに示されているパフォーマンス情報を表示し、どのような種類の情報をログ ファイルに記録する
かを決定します。
例: DNS サーバーでのホスト名の参照に消費する平均時間を記録できます。この情報は、ダッシュボードの
DNS 参照機能によって示されます。
2
パフォーマンス情報をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいロ
グ ルールに使用します。
例: Timer.ResolveHostNameviaDNS プロパティをデフォルトのアクセス ログルール セットの
access.log への書き込みでログ行を作成するイベントに挿入します。
McAfee Web Gateway 7.6.2
Product Guide
623
18
モニタリング
パフォーマンス測定
3
特定のルール セットを処理するのにかかる時間を測定します。
a
ルール セットの最初に、内部ストップウォッチを開始するイベントを含むルールを挿入します。
b
ウォッチを停止して、消費した時間を測定します。
•
ルール セットの終わりに、これらのアクティビティを実行するイベントを含むルールを挿入します。
•
ルールセットのすべてのルールが処理される前に、そのルール セットを停止する能力のある既存ルールそ
れぞれに、これらのアクティビティを実行するイベントを挿入します。
例: URL フィルタリング ルール セットによって消費される処理時間を測定するには、以下の手順に従います。
4
•
ルール セットの最初に Stopwatch.Start (URL フィルタリング) イベントを含むルールを挿入します。
•
終わりに Stopwatch.Stop (URL フィルタリング) イベントを含むルールを挿入します。
•
Stopwatch.Stop (URL フィルタリング) イベントはさらなるルールの処理を停止できるため、そのイベン
トをルール セットのホワイトリストおよびブロック ルールに挿入します。
処理時間の測定をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいログ ル
ールに使用します。
例: Stopwatch.GetMilliSeconds (URL フィルタリング) プロパティをデフォルトのアクセス ログルール
セットの access.log への書き込みでログ行を作成するイベントに挿入します。
パフォーマンス情報をログするためのプロパティのルール内での使用
パフォーマンス情報がログされるようにするために、パフォーマンス ログ プロパティをログ ルールに挿入すること
ができます。
ダッシュボードに表示されるパフォーマンス情報のタイプごとに、1 つのログ プロパティが利用可能です。
ダッシュボードには、たとえば、DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均
時間が表示されます。この情報に対応するプロパティは、Timer.ResolveHostNameViaDNS です。プロパティ
の値は、アプライアンスで処理された要求内でホスト名を検索するのにかかった時間です。時間は、ミリ秒単位で測
定されます。
その他のパフォーマンス ログ プロパティには、外部サーバーへの接続に必要な時間を測定するための
Timer.HandleConnect ToServer や、アプライアンスで要求が受信された場合にルール エンジンによる処理に
必要な時間を測定するための Timer.TimeConsumedByRule Engine があります。
ダッシュボードのパフォーマンス情報をログできるようにするすべてのプロパティには、名前の先頭に Timer とい
う要素が含まれています。
トランザクションに対する処理時間の測定
ダッシュボードに表示されるパフォーマンス情報をログするためにプロパティによって測定されて利用可能になる時
間とは、個々の要求に対する処理が関連処理サイクル全体で続行される限り特定のアクティビティ(外部サーバーへ
の接続など)に必要な時間です。
1 つの個々の要求を関連サイクル全体で処理することは、1 つのトランザクションと見なされます。
1 つのトランザクションに 3 つのサイクルすべて(要求、応答、および埋め込みオブジェクト)を含める必要はあり
ません。
たとえば、ブロック対象カテゴリに分類される Web ページに対してユーザーが要求を送信した場合、このユーザー
にはブロック メッセージが返され、対象の Web サーバーに要求は転送されず、処理は応答サイクルに入りません。
また、トランザクションには要求サイクルのみが含まれ、この場合には応答サイクルは関係ありません。
624
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
パフォーマンス測定
18
パフォーマンス情報をログするためのルール
アクセス ログは、要求に対してトランザクションが完了するとログ エントリが書き込まれるログ ファイルととも
に、デフォルトによってアプライアンスに存在します。このログは、パフォーマンス情報を記録するために適切なデ
バイスです。
アクセス ログのログ ファイルへのログ エントリの書き込みは、ログ ルールによって実行されます。このルールは、
ログ ファイル エントリを作成するために 1 つのイベントを使用し、このエントリをログ ファイルに書き込むために
もう 1 つのイベントを使用します。
名前
access.log の書き込み
条件
アクション
常に適用する –> 続行
イベント
– Set User-Defined.logLine = DateTime.ToWebReporterString
+ “””
+ ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ロ
グ構成>
ログ エントリは複数の要素で構成され、各要素によって特定の情報(要求がアプライアンスで受信された日付と時刻
など)が追加されます。パフォーマンス情報を提供する要素をエントリに追加することによって、この情報がログさ
れるようにすることができます。
パフォーマンス情報(DNS 参照に必要な処理時間など)をログするには、以下の 2 つの要素を追加する必要があり
ます。
•
+ Number.ToString (Timer.ResolveHostNameViaDNS)
•
+ “””
ログ エントリは文字列であるため、処理時間に対する数値は、文字列形式に変換された後でのみログ可能になりま
す。
これは、Timer.ResolveHostNameViaDNS プロパティをパラメーターとして必要とする Number.ToString
プロパティによって行われます。
ルール セット処理時間を測定するためのイベントのルール内での使用
個々のルール セットの処理にかかった時間は、測定イベントを含むルールをルール セットに挿入することにより測
定できます。
処理時間を測定する理由は、ルール セットに変更を適用した後でパフォーマンスが向上したかどうかを把握するため
です。
ルール セット処理時間を測定するためのイベントは、アプライアンスの内部ストップウォッチを制御します。利用可
能なイベントは、以下のとおりです。
•
[Stopwatch.Start] — 内部ストップウォッチを開始します
•
[Stopwatch.Stop] — 内部ストップウォッチを停止します
•
[Stopwatch.Reset] — 内部ストップウォッチをリセットします
これらの各イベントには、それぞれが測定するルール セットを指定するために文字列パラメーターが必要となりま
す。たとえば、URL フィルタリング ルール セットの処理時間を測定する内部ウォッチを開始するイベントは、ルー
ル内で Stopwatch.Start ("URLFiltering") のように表されます。
McAfee Web Gateway 7.6.2
Product Guide
625
18
モニタリング
SNMP でのイベント モニタリング
処理時間を測定するためのルール
URL フィルタリング ルール セットに対して処理時間の測定を開始するために、たとえば Stopwatch.Start イベ
ントを使用するルールは、次のようになります。
名前
ルール セットに対してストップウォッチを開始する
条件
常に適用する
アクション
–>
続行
イベント
–
Stopwatch.Start ("URLFiltering")
ルール セットの処理にかかる時間を測定するには、開始イベントを含むルールをルール セットの先頭に、停止イベ
ントを含むもう 1 つのルールをルール セットの末尾にそれぞれ置く必要があります。
ただし、Stop Rule Set、Stop Cycle、または Block というアクションを実行できるルールがルール セット内に含
まれている場合は、これらの各ルールに停止イベントを挿入する必要もあります。
内部ウォッチを停止するためのイベントが挿入されている URL フィルタリング ルールは、次のようになります。
名前
URL ホワイトリスト内の URL を許可する
条件
URL が URL ホワイトリストに一致する
アクション
–> 続行
イベント
– Stopwatch.Stop ("URLFiltering")
このルールを適用すると、URL フィルタリング ルール セットの処理が停止します。これは、許可された URL のリ
ストにユーザーがアクセスを要求した URL が含まれていることが検出されるからです。そのため、このルールには
停止イベントを挿入する必要があります。
ルール セットの末尾に停止イベントを含むルールは処理されないため、これは必要です。その理由は、このルールに
達する前に、ホワイトリスト ルールによってルール セットの処理が停止されるからです。
測定された処理時間のログ
ルール セットの処理に対して測定された時間をログすることができます。この目的のために利用可能なプロパティ
は 2 つあり、これらはログ ルール内で使用できます。
•
[Stopwatch.GetMilliSeconds] — ルール セット処理に対してミリ秒単位で測定された時間
•
[Stopwatch.GetMicroSeconds] — ルール セット処理に対してマイクロ秒単位で測定された時間
これらのプロパティには両方とも、処理時間が測定されたルール セットを示す文字列パラメーターが含まれます。
たとえば、URL フィルタリング ルール セットの処理時間をミリ秒単位でログするためのプロパティは、ログ ルール
内で Stopwatch.GetMilliSeconds ("URLFiltering") のように表されます。
SNMP でのイベント モニタリング
アプライアンス システムで発生するイベントは、SNMP を使用して監視できます。
SNMP(Simple Network Management Protocol)でモニタリングが実行される場合、ホスト システムで実行され
る SNMP エージェントは、このシステムで発生するイベントに関するメッセージをそのクライアントである他のホ
スト システムに送信します。
メッセージは SNMP ではトラップと呼ばれていて、SNMP エージェントが実行されるホスト システムは、管理ステ
ーションと呼ばれています。エージェントからメッセージを受け取るホスト システムも管理ステーションと呼ばれ
ていて、その上に、トラップ シンクとも呼ばれます。
626
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
SNMP でのイベント モニタリング
18
特定のユーザーまたはユーザー コミュニティに、トラップで送信された情報を表示する権限が与えられます。システ
ム情報は、情報の表示にツリー構造を使用する Management Information Base(MIB)でも提供されます。
SNMP 設定の構成
アプライアンス上のシステム イベントの監視を有効化するために、SNMP 設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、SNMP 監視をオンにするアプライアンスを選択して、[SNMP]をクリックします。
3
必要に応じて、SNMP 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
627 ページの「SNMP 設定」
SNMP 設定
SNMP 設定とは、SNMP でシステム イベントのモニタリングを構成するための設定です。
SNMP ポート設定
クライアント要求をリッスンするアプライアンスの SNMP エージェントのポートに対する設定
表 18-30 SNMP ポート設定
オプション
定義
[リスナー アドレス リスト]
クライアント要求を待機するポートを入力するためのリストを提供します。
次の表では、リスナー アドレス リストのエントリを説明しています。
表 18-31 リスナー アドレス - リスト エントリ
オプション
定義
[プロトコル]
ポートとこのポートが待機するクライアントとの間の通信に使用されるプロトコルを指定し
ます。
• [UDP] — 選択すると、この通信に対して UDP が使用されます。
• [TCP] — 選択すると、この通信に対して TCP が使用されます。
[リスナー アドレス] リスナー ポートの IP アドレスとポート番号を指定します。
[コメント]
リスナー ポートに関するテキスト形式のコメントを提供します。
アプライアンスで次の 2 つのリスナー ポートが使用できます。これらの値は、このリストにデフォルトで入力され
ています。
•
UDP - 0.0.0.0:161
•
UDP - 0.0.0.0:9161
SNMP システム情報
システムをモニタリングするアプライアンスの設定
McAfee Web Gateway 7.6.2
Product Guide
627
18
モニタリング
SNMP でのイベント モニタリング
表 18-32 SNMP システム情報
オプション
定義
[説明]
モニタリング対象システムの情報が表示されます。
[オブジェクト ID] 管理情報ベース (MIB) で、モニタリング対象システムの情報が始まるオブジェクトの ID が表
示されます。
例: .1.3.6.1.4.1.1230.2.7.1.1
[担当者 ]
モニタリング対象システムの SNMP 機能を管理する担当者の名前が表示されます。
[物理的な位置]
モニタリング対象システムの位置が表示されます。
SNMP プロトコル オプション
SNMP プロトコル バージョンと SNMP 情報へのユーザー アクセスに対する設定
表 18-33 SNMP プロトコル オプション
オプション
定義
[SNMP v1]
選択すると、SNMP のバージョン 1 でシステム イベントがモニタリングされます。
[SNMP v2c]
選択すると、SNMP のバージョン 2c でシステム イベントがモニタリングされます。
[SNMPv1 および
SNMPv2c アクセスの通
信]
SNMP のバージョン 1 と 2c で SNMP 情報へのアクセスが許可されたユーザー通信
を入力するためのリストを提供します。
[SNMP v3c]
選択すると、SNMP のバージョン 3 でシステム イベントがモニタリングされます。
[SNMP v3 ユーザー]
SNMP のバージョン 3 と 2c で SNMP 情報へのアクセスが許可されたユーザーを入
力するためのリストを提供します。
次の表では、ユーザー コミュニティのリストと SNMP v3 ユーザーのリストのエントリを説明しています。
表 18-34 ユーザー コミュニティ - リスト エントリ
オプション
定義
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字列
(例: public) を提供します。
[許可されたルート
OID]
アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
[許可]
SNMP 情報へのアクセスが許可されたホスト システムのホスト名または IP アドレスを
指定します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザー通信に関するテキスト形式のコメントを提供します。
表 18-35 SNMP v3 ユーザー - リスト エントリ
オプション
定義
[ユーザー名]
SNMP 情報へのアクセスが許可されたユーザーの名前を指定します。
[許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
628
[認証]
ユーザーが SNMP 情報にアクセスするときに使用される認証情報が表示されます。
[暗号化]
SNMP 情報にユーザーがアクセスするときに使用される暗号化方法を設定します。
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
McAfee ePO を監視するためのデータの転送
18
表 18-35 SNMP v3 ユーザー - リスト エントリ (続き)
オプション
定義
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザーの平文テキストのコメントを提供します。
SNMP トラップ シンク
SNMP メッセージを受信するホスト システムに対する設定
表 18-36 SNMP トラップ シンク
オプション
定義
[トラップ シンク] アプライアンスの SNMP エージェントからシステム イベントに関するメッセージを受信する
ホスト システム (トラップ シンクとも呼ばれる) のリストを提供します。
次の表では、トラップ シンクのリストのエントリを説明しています。
表 18-37 トラップ シンク - リスト エントリ
オプション
定義
[ホスト名または IP アドレ
ス]
SNMP メッセージ (トラップとも呼ばれる) を受信するホスト システムのホスト名
または IP アドレスを指定します。
[ポート]
SNMP メッセージを待機するホスト システムのポートを指定します。
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字
列 (例: public) を指定します。
[SNMP v2c トラップを送
信]
選択すると、メッセージは SNMP プロトコルのバージョン v2c で送信することが可
能になります。
[コメント]
SNMP メッセージを受信するホスト システムに関するテキスト形式のコメントを提
供します。
SNMP MIB ファイル
アプライアンスの SNMP モニタリングに関する追加情報を提供する txt 形式のファイル
表 18-38 SNMP MIB ファイル
オプション
定義
[MCAFEE-SMI.txt]
McAfee カスタマー サービスの問い合わせ先など、McAfee の管理情報構造 (SMI) が
記録されています。
[MCAFEE-MWG-MIB.txt] アプライアンスでの SNMP モニタリングを可能にする管理情報ベース (MIB) の項目
に関する説明が記述されています。
McAfee ePO を監視するためのデータの転送
®
™
アプライアンスから McAfee ePolicy Orchestrator (McAfee ePO )コンソールへデータを転送すると、このコン
ソールから該当のアプライアンスを監視することができます。
McAfee ePolicy Orchestrator コンソールは、McAfee Web Gateway アプライアンスを含め、さまざまな McAfee
製品でセキュリティ管理を実行するためのデバイスです。
McAfee ePO コンソールとアプライアンスを適宜構成した場合は、コンソールからアプライアンスにログオンし、ア
プライアンスからコンソールが実行されているサーバーへと、監視データを転送させることができます。このサーバ
ーは、McAfee ePO サーバーとも呼ばれます。
McAfee Web Gateway 7.6.2
Product Guide
629
18
モニタリング
McAfee ePO を監視するためのデータの転送
McAfee ePO サーバーは、定期的にアプライアンスで収集された監視データを取得するために、SSL セキュア要求
を送信します。その後、Web セキュリティ ルールの通常の処理をバイパスするために、SSL セキュア通信が開始す
る CONNECT 要求を許可する必要があります。これにより、アプライアンスで要求がブロックされないようになり
ます。
たとえば、認証ルールが実装されている場合、これらのルールによって使用される認証方法はサーバーでサポートさ
れないため、ブロックされます。
バイパスを有効にしたり、独自のルール セットを作成したりするために、ライブラリから適切なルール セットをイ
ンポートできます。
ePolicy Orchestrator 設定の構成
ePolicy Orchestrator 設定を構成して、アプライアンスから McAfee ePO サーバーへのモニタリング データの転送
を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、監視データを転送するアプライアンスを選択して、[ePolicy Orchestrator]を選択し
ます。
3
必要に応じて、ePolicy Orchestrator 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
630 ページの「ePolicy Orchestrator の設定」
ePolicy Orchestrator の設定
[ePolicy Orchestrator] の設定は、Web Gateway アプライアンスから McAfee ePO サーバーへの監視データと他
のデータの転送を設定する場合に使用します。
ePolicy Orchestrator の設定
監視データを McAfee ePO サーバーに転送する場合の設定
表 18-39 ePolicy Orchestrator の設定
オプション
定義
[ePO ユーザー アカウント] アプライアンスからのモニタリング データの取得を可能にするアカウントのユーザ
ー名を指定します。
[パスワード]
ユーザーのパスワードを設定します。
[変更]
新しいパスワードを作成するためのウィンドウを開きます。
[ePO のデータ収集を有効に 選択すると、McAfee ePO サーバーの監視データがアプライアンスで収集されます。
する]
[データ収集間隔 (分)]
データ収集の間隔を分単位で指定します。
時間は 10 分 ~ 6 時間までの範囲のスライダー スケールで設定されます。
ePo DXL の設定
Web Gateway サーバーに接続し、McAfee ePO メッセージングを有効にするときに、DXL が送信する認証情報を
定義する場合の設定
630
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
McAfee ePO を監視するためのデータの転送
18
表 18-40 ePo DXL の設定
オプション
定義
[ePO ホスト名]
Web Gateway サーバーに接続するときに McAfee ePO が使用するホスト名を
指定します。
[ePO ユーザー アカウント]
Web Gateway サーバーに接続するときに McAfee ePO が使用するユーザー ア
カウント名を指定します。
[Password ]
Web Gateway サーバーに接続するときに McAfee ePO が送信するパスワード
を指定します。
[設定] をクリックすると、新しいパスワードを設定するウィンドウが開きます。
[Rejoining ePO for DXL
communication]
When clicked, rejoins communication with the McAfee ePO server to
complete the setup.
A message informs you of the result.
ePO リクエストのバイパス ルール セット
ePO リクエストのバイパス ルール セットは、McAfee ePO サーバーからのリクエストがアプライアンスのフィルタ
リング ルールのバイパスすることを可能にするためのライブラリ ルール セットです。
ライブラリ ルール セット — ePO リクエストのバイパス
条件 — Command.Name equals “CONNECT”
サイクル - リクエスト(および IM)
このルール セットの条件は、ePO サーバーとアプライアンスの間の SSL セキュア通信がサーバーからのリクエスト
をアプライアンスに接続し始めるときに、ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
ePO リクエストの後続のルールをスキップする
URL.Host equals “127.0.0.1” OR URL.Host equals “[::1]” –> Stop Cycle – Enable SSL Client
Context<デフォルト CA> – Enable SSL Scanner <edh なしの証明書認証>
このルールは URL.Host プロパティを使用して、ホストの IP アドレスに基づいてリクエストされた URL のホスト
を識別します。
このアドレスが 127.0.0.1 の場合、リクエストされた URL のホストはアプライアンスです。ePO サーバーはアプ
ライアンスへの接続要求を送信するとき、このアドレスを使用します。
そのため、127.0.0.1 がリクエストされたアドレスの場合、ルールはリクエスト サイクルでのすべてのさらなる処
理を適用および停止します。これで、CONNECT リクエストは通過を許可されます。
このプロセスでの次のステップは証明書の送信および確認です。このルールは、デフォルトの証明機関で発行され
たクライアント証明書の送信を有効化するためのイベントを含みます。
イベント設定を変更し、その他の証明機関で証明書を発行させることもできます。
認証確認が完了したら、SSL セキュア通信を開始できます。
McAfee Web Gateway 7.6.2
Product Guide
631
18
モニタリング
Best practice: Monitoring file system usage
Best practice: Monitoring file system usage
It is important to monitor file system usage in the /opt partition on Web Gateway, as this partition is
used for storing system files while the appliance software is also installed there. This means that a full
opt partition impacts the performance of the appliance.
The /opt partition can be monitored based on the following:
•
Incident ID — An incident with ID 22 is generated on Web Gateway when the /opt partition is
filled up to a level of 90%. This incident triggers an alert on the dashboard.
The utilization level that leads to generating the incident is fixed and cannot be configured.
•
Statistical counter — A statistical counter called [FileSystemUsage] is available on Web Gateway
to record utilization of the opt partition.
Using this statistical counter in a suitable rule, you can configure your own utilization threshold to
trigger various kinds of alerts and log entries.
Working with a statistical counter
The statistical counter that you work with to monitor the /opt partition is configured as the criteria of a
rule set. For example, if the statistical counter records an 85% utilization of the /opt partition, the
rules in the rule set are processed.
The rule set is filled with the following:
•
A rule that creates a notification message, for example, "/opt partition usage is at 85 %".
•
Several rules that send or log this message
Place the rule set as an embedded rule set in the [Monitoring] rule set, which is by default provided
among the rule sets of the [Error Handler] log on Web Gateway.
The [Monitoring] rule set and its embedded rule sets are processed every minute by the error handler
on Web Gateway, due to the use of incident ID 5 in the criteria of the embedding rule set.
In accordance with the names of the embedded monitoring rule sets that are by default available, your
rule set for monitoring the /opt partition might be named [Check Opt Partition].
Depending on the threshold that you choose, the criteria for this rule set reads as follows:
[StatisticCounter.GetCurrent ("FileSystemUsage") greater than or equals 85]
Rules in a rule set for monitoring the /opt partition
A rule set for monitoring the /opt partition can be filled with the rules shown in the following.
The structure of these rules is the same as that of the rules in the monitoring rule sets that are by
default embedded in the [Monitoring] rule set. For example, the rules in the embedded [Check Cache
Partition] rule set also have this structure.
This rule creates the notification message that is sent or logged by the other rules in the rule set.
[Name ]
[Create notification
message]
[Criteria ]
632
McAfee Web Gateway 7.6.2
[Action]
[Events]
Product Guide
モニタリング
Best practice: Monitoring file system usage
[Always]
18
–> [Continue] [Set User-Defined.notificationMessage = "/opt partition
usage at:"]
[+ Number.ToString]
[ (Statistics.Counter.GetCurrent
("FileSystemUsage")<Default>)]
[+ "%"]
These rules use the notification message to perform the following activities:
•
Send an SNMP trap
•
Create a syslog entry
•
Send an email notification
•
Write a log file entry
[Name and criteria ]
[Action]
[Events]
[Send SNMP trap]
[Always]
–> [Continue] [Set SNMP.Trap.Additional =
User-Defined.notificationMessage]
[SNMP.Trap.Send.User (12, "High /opt partition utilization
detected."]
[Create syslog entry]
[Always]
–> [Continue] [Syslog (3, User-Defined.notificationMessage)]
[Send email for
notification]
[Always]
[Continue] [Email.Send ("Enter valid email", "Message from McAfee
Web Gateway, User-Defined.notificationMessage)
<Monitoring>]
[Write /opt partition into
log]
[Always]
–> [Continue] [Set User.Defined.monitorLogMessage = "High /opt
partition utilization detected."]
[+ User-Defined.notificationMessage) <Monitoring>]
[FileSystemLogging.WriteLogEntry
(User.Defined.monitorLogMessage <Monitoring Incident
Log>]
McAfee Web Gateway 7.6.2
Product Guide
633
18
モニタリング
Best practice: Monitoring file system usage
Troubleshooting issues with file system usage
You can identify the reasons for issues with file system usage and take measures to prevent these
issues.
Identify issues with file system usage
To identify issues with file system usage, you can search the /opt partition for large directories.
タスク
1
Log on to the appliance that you want to identify issues on from a local system console, or
remotely using SSH.
2
Run the following commands:
df -h
du /opt -Dm | sort -n|tail
A search is started for the largest folders in the /opt partition. The results are output in ascending
order of size, for example, as follows.
1158
1320
5010
6011
7937
3
/opt/mwg/plugin/data
/opt/mwg/plugin
/opt/mwg/storage/default
/opt/mwg/storage
/opt/mwg/log/debug/cores
If you cannot determine the source of an issue, create a listing for support, using the following
commands:
df -h
du /opt -Dm | sort -n > opt_directory_listing.txt
The command outputs a .txt file with a listing of the directories in the /opt partition.
Preventing excessive utilization of the /opt partition
You can prevent excessive utilization of the /opt partition by taking appropriate measures regarding
the files that are stored in this partition.
The following file types often cause the /opt partition to run out of space due to their sizes.
User-defined logs
User-defined logs are, for example, the access.log and access_denied.log. You can find these logs
under /opt/mwg/log in the user-defined-logs directory and its subdirectories.
To prevent utilization issues due to log files, set up appropriate rotation, deletion, and push schedules,
using the [File System Logging] settings.
Make sure that you also compress the log files after rotation using the [GZIP log files after rotation]
setting.
Trace files
Trace files are, for example, created for connection or rule engine tracing. You can find these files
under /opt/mwg/log/ in the debug directory and its subdirectories.
This directory also contains trace files for authentication, quota, PD storage, the log manager, and the
Coordinator subsystem of the Web Gateway appliance.
634
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
18
To prevent utilization issues due to trace files, create them only just before your testing or
troubleshooting activities and stop tracing immediately after completing these activities. Many tracing
options also allow you to restrict the tracing to individual IP addresses.
Best practice: Connection tracing files are by default removed when the appliance is restarted. Do not
wait for a restart and manually remove these files as soon as possible.
Temporary files
Temporary files are found under /opt/mwg/ in the temp directory.
Web Gateway usually creates temporary mwg-core files in the temp directory while downloading and
scanning files. These files are managed by the mwg-core process and are removed after the download
and scanning has completed.
Best practice: Streaming Media files that are scanned for anti-malware filtering can cause very large
temp files, as streams have no known end. Let these files bypass scanning.
Support files
Support might request you to provide additional troubleshooting files for reviewing, for example, files
that you find under /opt/mwg/log in the debug directory. These files include tcpdump, feedback, and
core files, as well as some others.
After support has confirmed the receipt of these files, you can remove them from the /opt partition.
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
アクセス ログに記録されたデータを Syslog サーバーに送信するように Web Gateway を設定できます。
Web Gateway がクライアントから受信した Web アクセス要求のデータはアクセス ログに記録されます。 この記
録は、ルール セットのログ処理ルールで実行されます。このルールはデフォルトで有効になっています。 他のルー
ルを追加すると、このデータをデーモンに渡して特定の Syslog サーバーに送信することができます。
ログには、要求が送信された日時、要求を送信したユーザーのユーザー名、要求された URL などの情報が記録され
ます。 設定を変更すると、Web アクセスに関する別の情報を記録できます。
データを送信するプロトコルや形式を変更することもできます。 また、送信する重大度を指定して、緊急性の高いデ
ータのみを送信するように設定できます。
データを送信するには、次の操作を行う必要があります。
•
Syslog デーモンにアクセス ログ データの使用を許可するルールを追加します。
•
デーモンがデータを Syslog サーバーに送信するように、rsyslog.conf システム ファイルを適用します。
これらの操作は、アクセス ログ データの送信元にする Web Gateway アプライアンスごとに行う必要があります。
同様に、他のログ データを送信することもできます。
データ送信に使用するプロトコル
データは、UDP または TCP プロトコルで Syslog サーバーに送信できます。 Syslog サーバーによっては、TCP リ
スナー ポートがない場合があります。 最も一般的な UDP リスナー ポートは 514 です。TCP の場合、アプライア
ンスによってポートが異なります。
McAfee Web Gateway 7.6.2
Product Guide
635
18
モニタリング
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
データ形式
サーバーのタイプによって、Syslog サーバーに送信されるデータの形式が異なります。 形式が不明な場合には、
Syslog サーバーの管理者に確認してください。
•
デフォルト形式 - デフォルトのログ処理ルールは、この形式でアクセス ログ データを記録します。
McAfee Content Security Reporter 2.0 では、この形式と変更バージョンを使用できます。
•
®
SIEM (Nitro) 形式 - この形式は、Syslog サーバーが McAfee Enterprise Security Manager (McAfee
ESM) (SIEM、旧 Nitro) で提供されている場合に必要になります。
オンラインのルール セット ライブラリから SIEM Nitro 統合 ルール セットをインポートできます。 このル
ール セットには、SIEM (Nitro) 形式でアクセス ログ データを記録するルールが含まれています。
•
CEF 形式 - この形式は、Syslog サーバーが ArcSight セキュリティ マネージャーまたは類指示のプログラム
で提供されている場合に必要になります。
オンラインのルール セット ライブラリから CEF Syslog ルール セットをインポートできます。 このルール
セットには、CEF 形式でアクセス ログ データを記録するルールが含まれています。
重大度
重大度の異なるデータを Syslog サーバーに送信できます。 重大度は次のとおりです。 重大度 6 が推奨値です。
•
0: 緊急 (emerg) - システムが使用不能
•
4: 警告 (warning) - 警告
•
1: アラート (alert) - すぐにアクションが必要
•
5: 通知 (notice) - 正常だが注意が必要
•
2: クリティカル (critical) - クリティカルな状
況
•
6: 情報 (info) - 情報メッセージ
•
3: エラー (error) - エラー状況
•
7: デバッグ (debug) - デバッグ用のメッセー
ジ
アクセス ログ データの送信ルールを追加する
Web Gateway から Syslog サーバーにアクセス ログを送信するには、データを記録するルールをアクセス ログ ル
ール セットに追加します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] をクリックして [デフォルト] ルール セットを展開します。ネストされた [アクセス ログ]
ルール セットを選択します。
ネストされたルール セットのコンテンツが設定ペインに表示されます。 デフォルトでは、このルール セットに
Web アクセスに関するデータをログに書き込むルールが含まれています。
636
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
3
18
デーモンがアクセス ログ データを Syslog サーバーに送信できるように、以下のルールを追加します。
名前
Make access log data available to syslog daemon
条件
Always
–>
アクション
イベント
Continue
Syslog (6、User-Defined.logLine)
このルールのイベントにより、Syslog デーモンの前にユーザー定義のログにアクセス データが書き込まれます。
Syslog デーモンはログを Syslog サーバーに送信します。 このデーモンは、rsyslog.conf システム ファイル
で設定されています。
最初のイベント パラメーターは、アクセス ログ データの重大度レベルを表します。
4
[変更の保存] をクリックします。
このルールでは、先行ルールがデフォルトの形式で記録したデータを使用します。 Syslog サーバーで別の形式が必
要な場合には、必要な形式を使用するルールで先行ルールを置換してください。
オンラインのルール セット ライブラリを使用すると、SIEM または CEF 形式でデータを書き込むルールを含むルー
ル セットをインポートできます。
rsyslog.conf システム ファイルを使用してアクセス ログ データを送信する
アクセス ログ データを Syslog サーバーに正常に送信するには、rsyslog.conf システム ファイルを使用します。
システム ファイルを適用するには、Web Gateway ユーザー インターフェースの [ファイル エディター] を使用して
ください。 システム コンソールからコマンドで変更を行った場合、今後の更新で変更が上書きされます。
タスク
1
[設定] 、 [ファイル エディター] の順に選択します。
2
ファイル ツリーで [rsyslog.conf] を選択します。
ファイルのコンテンツが設定ペインに表示されます。
3
アクセス ログ データの送信に使用できるように、ファイルを編集します。
a
以下の行を検索します。
*.info;mail.none;authpriv.none;cron.none /var/log/messages
この行はルール セクションの一部です。
# Include config files in /etc/rsyslog.d
$IncludeConfig /etc/rsyslog.d/*.conf ####RULES#### # Log all kernel messages to the
console.
# Logging much else clutters up the screen. #kern.* /dev/console # Log anything
(except mail) of level info or higher. # Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
McAfee Web Gateway 7.6.2
Product Guide
637
18
モニタリング
ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信
b
この行の mail を daemon に置換し、パス情報の前に - (ダッシュ) を挿入します。
*.info;daemon.none;authpriv.none;cron.none -/var/log/messages
この変更で、Syslog デーモンが Web Gateway アプライアンス システムのディスク上にある var/log/
messages パーティションにデータを送信できなくなります。
daemon の前の info は、データの重大度レベルを表します。
これで、指定した宛先にデータが送信されます。
c
UDP プロトコルを使用して Syslog サーバーにデータを送信するには、次の行を挿入します。
[email protected]:514
x.x.x.x には、Syslog サーバーの IP アドレスを指定します。
TCP を使用して Syslog サーバーにメッセージを送信するには、次の行を挿入します。
daemon.info.@@x.x.x.x:<ポート番号>
4
[変更の保存] をクリックします。
アクセス ログ データ送信時の問題の解決
Web Gateway から Syslog サーバーにアクセス ログ データを送信するときの問題は、いくつかの方法で解決する
ことができます。
•
アクセス ログ データが Syslog サーバーで受信されない場合、Web Gateway アプライアンス システムのディ
スク上にある var/log/messages パーティションに書き込まれている可能性があります。
システム コンソールから次のコマンドを実行して、データがディスクに書き込まれていないかどうか確認してく
ださい。
tail -f /var/log/messages
•
アクセス ログ データが Syslog サーバーで受信されていない場合、ファイアウォールなどの制限が原因で問題が
発生している可能性があります。 tcpdump を実行すると、Web Gateway がデータ パケットを Syslog サーバ
ーに送信しているかどうか確認できます。
UDP プロトコルで Syslog サーバーに送信されている場合には、システム コンソールから次のコマンドを実行し
て、データ パケットを確認してください。
tcpdump port 514
また、rsyslog.conf システム ファイルで、Syslog サーバーへのデータ送信が正しく設定されているかどうか確
認してください。
•
デフォルトでは、Syslog サーバーに送信されるデータ パケットが 2000 文字を超える場合、Web Gateway は
データ パケットを切り捨てます。
以下の行を rsyslog.conf システム ファイルに追加して、パケット長を調整してください。
$MaxMessageSize <最大文字数>
638
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
18
McAfee Enterprise Security Manager への syslog データの送信
®
Web Gateway の syslog ログ ファイルに記録されたデータは McAfee Enterprise Security Manager (McAfee
ESM) に送信できます。
データの転送は、Web Gateway のオンライン ルール セット ライブラリで使用可能なルール セットのルールで制
御します。 データを送信する McAfee ESM のコンポーネントは、McAfee SIEM Receiver です。
転送を有効にするには、システム ファイルで Web Gateway の syslog データのリモート使用を設定します。 この
システム ファイルの名前は rsyslog です (ファイル名の r はリモートを意味します)。 McAfee SIEM Receiver
の設定を変更し、McAfee ESM 環境のデータソースに Web Gateway を追加する必要があります。
データ転送を行うには、バージョン 9.3.2 以降の McAfee ESM が必要です。
syslog データの送信を設定する
Web Gateway で収集された syslog データを McAfee ESM に送信するには、以下の手順を行います。
タスク
1
Web Gateway のオンライン ルール セット ライブラリから McAfee SIEM ルール セットをインポートしま
す。 デフォルトのログ ハンドラー ルール セットにネストされたルール セットとして配置します。
オンライン ルール セット ライブラリーの SIEM (Nitro) 統合で、このルール セットが使用可能になります。
2
インポートされたルール セットで、syslog に送信 ルールを有効にし、nitro.log に送信 ルールを無効にしま
す。
3
ファイル エディターを使用して、データ転送に rsyslog システム ファイルを設定します。
集中管理クラスターで複数の Web Gateway アプライアンスを実行している場合、このシステム ファイルをク
ラスター内の各アプライアンスで設定します。
4
McAfee ESM で、McAfee SIEM Receiver の設定を変更し、データ ソースとして Web Gateway を追加しま
す。
詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。
このガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。
データ転送で rsyslog システム ファイルを使用する
syslog データが McAfee ESM に正常に送信されるように、Web Gateway の rsyslog システム ファイルを使用
します。
タスク
1
[設定] 、 [ファイル エディター] の順に選択します。
2
ファイル ツリーで [rsyslog.conf] を選択します。
ファイルのコンテンツが設定ペインに表示されます。
McAfee Web Gateway 7.6.2
Product Guide
639
18
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
3
データ転送に使用できるようにファイルを編集します。
編集後のファイルは次のようになります。 The below will direct all daemon.info messages to
the remote syslog server ... で始まる段落の行が変更されています。
ここでは、McAfee SIEM Receiver の IP アドレスを指定します。
# default parameters
$DirCreateMode 0755
$FileCreateMode 0640
$FileGroup adm
$umask 0026 # Include config files in /etc/rsyslog.d
$IncludeConfig /etc/rsyslog.d/*.conf # Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*
/dev/console # Log anything (except mail) of level info or higher.
# Don't log private authentication messages! # The following directs all daemon.info
messages to the
# remote syslog server at [IP_OF_MCAFEE_EVENT_RECEIVER]
# add @@ for TCP syslog for example
#daemon.info @192.168.1.1
*.info;daemon.!=info;mail.none;authpriv.none;cron.none
-/var/log/messages # The authpriv file has restricted access.
authpriv.*
/var/log/secure # Log all the mail messages in one place.
mail.*
/var/log/maillog # Log cron stuff
cron.*
/var/log/cron # Everybody gets emergency messages
*.emerg # Save news errors of level crit and higher in a special file.
uucp,news.crit
/var/log/spooler # Save boot messages also to boot.log
local7.*
/var/log/boot.log
4
[変更の保存] をクリックします。
Syslog データの取集/評価の調整
関連する Syslog データを Web Gateway で収集し、McAfee ESM で効率よく評価できるように調整することがで
きます。
関連性のないデータを除外し、重要なイベントだけが記録されるように制限すると、収集される Syslog データの量
を絞り込むことができます。 追加のロギング アクティビティを実装すると、関連データを Syslog データを追加で
きます。
McAfee ESM でデータ集計を無効にすると、関連性のないデータを除外できます。
640
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
18
Syslog データ量の絞り込み
Web Gateway が McAfee ESM に送信する Syslog データは、次の方法で絞り込むことができます。
•
認証必要 (ステータス コード 407) 応答を除外する - これは、Web セキュリティに関係のない標準的な応答で
す。
これらの応答を転送される Syslog データから除外するには、インポートしたルール セットのルールを追加しま
す。
他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。
名前
407 応答を除外する
条件
アクション
Response.StatusCode equals 407
•
–>
ルール セットの停止
記録されたブロック アクションだけを送信する - Web セキュリティの維持にブロック アクションは重要です
が、Web トラフィックに占める割合はごくわずかです。
これらのアクションでログ ファイルに転送される Syslog データを制限するには、インポートしたルール セット
のルールを追加します。
他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。
名前
記録されたブロック アクションだけを送信する
条件
アクション
Block.ID equals 0
–>
ルール セットの停止
感染ファイルのハッシュを Syslog データに追加する
Web Gateway で処理され、感染が見つかったファイルのハッシュ値を Syslog データに追加できます。 ファイル
ハッシュは、感染と大量発生の兆候を追跡する場合に有効です。
ハッシュの生成は大量のリソースを消費するため、重要な問題にのみ使用するようにしてください。 不明な点がある
場合には、McAfee サポートに連絡してください。
ファイル ハッシュの計算とロギングを有効にするには、感染ファイルの検出とブロックを行うルールをイベントに追
加します。 デフォルトでは、このルールは Gateway Anti-Malware ルール セットの ウイルスを検出したらブ
ロック になります。
イベントは次のようになります。
Header.Block.Add('X-Hash-MD5, Body.Hash("md5"))
Header.Block.Add イベントは事前定義のイベントで、使用可能なイベントのリストから選択できます。 挿入さ
れたルールが適用されると、Syslog ログに項目が追加されます。
McAfee Web Gateway 7.6.2
Product Guide
641
18
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
イベントには次の 2 つのパラメーターを設定する必要があります。
•
X-Hash-MD5 - ログ項目の名前
•
Body.Hash("md5") - ログ項目の値
このパラメーターは、ファイルのハッシュ値を計算するプロパティです。 ここで、要求または応答の本体として
Web Gateway に送信された感染ファイルのハッシュ値を計算します。
このプロパティのパラメーターにより、ハッシュの計算方法が決まります。
ルール セットのキー要素ビューで操作している場合には、完全ルール ビューに切り替えてイベントを追加する必要が
あります。
イベントの追加後、ブロック ルールは次のようになります。
名前
ウイルスを検出したらブロック
条件
アクション
Antimalware.Infected<Gateway
Anti-Malware>equals true
–> Block<Virus
Found>
イベント
Statistics.Counter.Increment
("BlockedByAntiMalware",
1)<Default>
Header.Block.Add ('X-Hash-MD5,
Body.Hash("md5"))
Syslog データの集計を無効にする
デフォルトでは、McAfee SIEM Receiver が Web Gateway から Syslog データを受信すると、このデータは 1 つ
のレコードに集約されます。 データ ソースが多い場合、この集計機能は便利ですが、重要な情報が失われる可能性
があるため、Web Gateway では不適切な場合があります。
McAfee ESM で Web Gateway データの集計を無効にできます。
詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。 この
ガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。
syslog データ転送で発生する問題の解決方法
Web Gateway から McAfee ESM に syslog データを送信するときに発生した問題を解決するには、いくつかの方
法があります。
•
•
Web Gateway の設定で以下のことを確認してください。
•
syslog の送信 ルールが有効になっている。
•
rsyslog システム ファイルで McAfee SIEM Receiver の IP アドレスが正しく指定されている。
McAfee ESM の設定を確認します。
この手順の詳細と McAfee ESM で実行する他の操作については、McAfee ESM のマニュアルと『Data Source
Configuration Guide』を参照してください。 このガイドは、SIEM (Nitro) 統合のオンライン ルール セット
ライブラリで入手できます。
•
Web Gateway で syslog データが生成されているかどうか確認します。たとえば、システム コンソールで次の
コマンドを実行します。
tcpdump –s 0 –I any port 514
642
McAfee Web Gateway 7.6.2
Product Guide
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
•
McAfee SIEM Receiver が syslog データを受信しているかどうか確認します。
•
Web Gateway で syslog ログが正しい形式で生成されているかどうか確認します。
18
syslog ログの項目は次のようになります。
McAfeeWG|time_stamp=[30/Mar/2014:05:18:16 +0000]|
auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com|
url_port=80|status_code=200|bytes_from_client=187|bytes_to_client=272|
categories=|rep_level=|method=GET|url=http://www.nitroguard.com/ngdb.dll?NG:StartIt:0|
media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)|
block_res=0|block_reason=|virus_name=|hash=| McAfeeWG|time_stamp=[30/Mar/2014:05:18:20
+0000]|
auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com|
url_port=80|status_code=200|bytes_from_client=376|bytes_to_client=200|
categories=|rep_level=|method=GET|
url=http://www.nitroguard.com/ngdb.dll?NG:DoIt:
0:Info=D8BC0B7C97D2C352AFE4643FEA44AE4D4C70F79271
D4620B64294729E046CB607B5458AC24BA31B061A12313E016EB7F62ED267DC6FE9A02A552681347EF79630351
4934
EE08EF0DA76B27F5EEA225B0DB274367AF4FEA574EA6137728|
media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)|
block_res=0|block_reason=|virus_name=|hash=|
McAfee Web Gateway 7.6.2
Product Guide
643
18
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
644
McAfee Web Gateway 7.6.2
Product Guide
19
トラブルシューティング
アプライアンスの問題をトラブルシューティングするために、さまざまな方法とツールを利用できます。
目次
トラブルシューティング方法
ルール追跡
フィードバック ファイルの作成
コア ファイルの作成の有効化
接続追跡ファイルの作成の有効化
パケット追跡ファイルの作成
システム ツールとネットワーク ツールを使用する
オペレーティング システムのサービスを再起動する
実行中の AV スレッドを表示する
アプライアンスの構成をバックアップまたは復元する
トラブルシューティングの設定
トラブルシューティング方法
アプライアンスで問題が発生した場合には、さまざまな方法を使用して解決することができます。
ルール追跡
ユーザー インターフェースでルール追跡を作成して、確認することができます。 この追跡では、Web Gateway の
クライアントから送信された要求と Web からの応答に対するルールの処理方法が記録されます。
これらの追跡結果を見ると、特定の要求に対するルールの処理方法と実行されたアクションを確認できます。
ユーザー インターフェースには、次の追跡情報が表示されます。
•
サイクル - ルール アクションが実行された要
求、応答、埋め込みオブジェクトのサイクル。
•
プロパティ - ルール条件が一致したときのプロ
パティと値
•
ルール - これらのサイクルで処理されたルール
•
アクション - ルール条件が一致したときに実行
されたアクション
•
ルール セット - ルールが含まれているルール
セット
•
イベント - ルール条件が一致したときに実行さ
れたイベント
•
ルール条件 - ルールの実行条件
McAfee Web Gateway 7.6.2
Product Guide
645
19
トラブルシューティング
ルール追跡
データの記録と検査
アプライアンスの動作に関するデータは、ファイル内に記録して検査することができます。この目的のために作成で
きるファイルのタイプは、以下のとおりです。
•
ログ ファイル — アプライアンスへのアクセスやファイルの更新など、イベントと機能をログします
•
ルール追跡ファイル — ルールの処理を記録します
•
フィードバック ファイル - 機能が失敗する前のプロセスに遡って追跡します。
•
コア ファイル — 機能が失敗したためにアプライアンスの動作が終了した後にメモリのコンテンツを記録します
•
接続追跡ファイル — アプライアンスと他のネットワーク コンポーネントとの間の接続上におけるアクティビテ
ィを記録します
•
パケット追跡ファイル — アプライアンスのネットワーク アクティビティを記録します
ネットワーク ツールの使用
場合によっては、アプライアンスから他のネットワーク コンポーネントへの接続が引き続き機能しているかどうかを
テストする必要があります。この目的のために利用可能なツールは、ping、nslookup、ipneigh などを含め、複
数存在します。
システム ツールの使用
システム ツールを使用すると、Web Gateway でサービスを再起動したり、実行中の AV スレッドを表示できます。
構成のリストア
他のトラブルシューティング方法が機能しない場合は、問題のあるアプライアンス構成を削除してバックアップで置
換しなければならないことがあります。
バックアップを作成しておくと、既存の構成に適用された変更を破棄する場合など、他の状況でも役立つことがあり
ます。
バックアップを作成したり、バックアップを使用して構成を復元したりするために、オプションが提供されます。
ルール追跡
ユーザー インターフェースでルール追跡機能を使用すると、ルール処理の問題をデバッグできます。
ルール追跡を作成すると、ネットワークのユーザーが特定のクライアントから Web アクセス要求を送信したときに、
実装済みのルールの処理で発生したアクティビティを記録することができます。
これらの追跡は、作成日、要求と一緒に送信された URL、ルールの処理時に実行されたルール アクション (ブロッ
ク、リダイレクト、続行など) に従ってフィルタリングできます。
追跡では、要求に対して実行されたすべての処理サイクル (要求、応答、埋め込みオブジェクト) のアクティビティ
が記録されます。追跡結果は、サイクルごとに別々に表示できます。
処理に関連するルール条件のプロパティも個別に表示できます。ルール処理時に設定された値も一緒に表示できま
す。
646
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
19
ユーザー インターフェースのツール追跡ページには 3 つのペインが表示されます。各ペインで、ルール追跡操作を
行うことができます。
•
追跡ペイン - 追跡の作成、フィルタリング、削除ができます。
追跡をエクスポートして保存することもできます。後で再度インポートして表示したり、他の Web Gateway ア
プライアンスで作成された追跡をインポートすることもできます。
•
ルール ペイン - 処理サイクルを選択して、そのサイクルで処理されたルール セットまたは個々のルールを表示
できます。
•
詳細ペイン - 個々のルールの条件、プロパティ、プロパティに設定された値を表示できます。
ルール追跡のサイクル
Web アクセス要求がクライアントから Web Gateway に送信されると、処理が開始します。この処理は異なるサイ
クルで実行されます。要求サイクルの開始時には、要求自体の要素 (要求と一緒に送信された URL など) に関連する
ルール セットが処理されます。
このサイクルに Web 要求の転送を禁止しているルール (URL の禁止カテゴリなど) がなければ、要求が転送されま
す。Web からの応答を待機します。
応答を受信すると、応答サイクルのルールが処理されます。たとえば、ダウンロードを要求したファイルが応答で送
信されると、特定のルールに従ってウイルスまたはマルウェアのスキャンが実行されます。感染が検出されなければ、
ダウンロードを要求したクライアントにファイルが送信されます。
要求または応答にオブジェクトが埋め込まれている場合、他の処理サイクルが実行されます。設定されたロギング ル
ールに従って、処理のアクティビティがログに記録されます。
Web Gateway のクライアントから送信された初期の要求に対して、各サイクルで実行されたすべての処理がエンテ
ィティ (トランザクション) として確認できます。
ルール処理の問題をデバッグするには、トランザクションの完全なルール追跡を分析します。あるいは、問題の解決
に関係のある特定のサイクルだけを調査することもできます。
ルール追跡のプロパティ
ルールが適用され、特定のアクション (例: Web アクセス要求のブロック) が実行されるかどうかは、ルール条件に
よって決まります。ルール条件のプロパティには、処理中に特定の値が設定されます。
たとえば、Antimalware.Infected プロパティは、デフォルトのマルウェア対策ルールの条件で使用されます。
スキャンした Web オブジェクトでウイルスなどのマルウェアの感染が見つかると、このプロパティの値は true に
設定されます。これにより、ルールの条件に一致し、ブロック アクションが実行されます。
ルール追跡を分析する場合、ルール処理に関連するプロパティと、そのプロパティに設定された値は重要な情報にな
ります。プロパティとその値は別々に表示することもできます。
ルール追跡の削除と復元
ルール追跡は、ルール追跡ページのペインから削除できます。ただし、このページで削除されるわけではありません。
ルール追跡を削除するには、アプライアンスの [トラブルシューティング] トップ レベル メニューから [ルール追跡
ファイル] セクションにアクセスします。
McAfee Web Gateway 7.6.2
Product Guide
647
19
トラブルシューティング
ルール追跡
このセクションでは、以前に削除した追跡をルール追跡ペインに復元することができます。
1 台のアプライアンスに最大で 5000 個の追跡を保存できます。この制限を超えると、古い追跡から順番
に削除されます。
この削除操作はルール追跡ペインに影響を及ぼしません。ただし、追跡が削除されているため、追跡項目
にアクセスできない場合があります。
ルール追跡を使用してルール処理の問題をデバッグする
ルール追跡ペインのオプションを使用すると、ルール処理の問題をデバッグするルール追跡を作成し、確認すること
ができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
3
ルール追跡ペインで、ルール処理の問題をデバッグします。
ルール追跡ペイン
ルール追跡ペインでは、ルール追跡の作成、管理、確認を行うことができます。
図 19-1 ルール追跡ペイン
次の表では、ルール追跡ペインの主な機能について説明します。
648
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
19
表 19-1 ルール追跡ペインの主な機能
ペイン
説明
[追跡ペイン]
ルール追跡を作成し、管理できます。
[ルール ペイン]
処理されたルールが表示されます。
[詳細ペイン]
ルール条件で使用されているプロパティなどを表示できます。
ペインの間にある黒い小さな四角形をクリックすると、ペインを展開したり、隠すことができます。
追跡ペイン
追跡ペインでは、次のオプションを使用できます。
表 19-2 追跡ペイン
オプション
定義
アプライア
ンス名リス
ト
ルール追跡のインポート、作成、確認、管理を行う Web Gateway アプライアンスを選択できます。
[インポー
ト]
ルール追跡のインポート メニューが表示されます。
• [アプライアンス ディレクトリからインポートする] - リストから選択されたアプライアンスに
記録されたルール追跡をすべてインポートできます。
• [ローカル ディレクトリからインポートする] - ローカル ファイル マネージャーが開きます。現
在ログオンしているアプライアンスに記録されたルール追跡をインポートできます。
クライアン
ト IP アド
レス フィー
ルド
ルール処理が追跡された要求を送信したクライアントの IP アドレスを入力できます。
[実行]/停止
アイコン
(十字)
ルール追跡の作成を開始または停止します。
• [実行] - クライアント IP アドレス フィールドに指定したクライアントから最後に受信した要求
に対して、ルール追跡の作成を開始します。
[実行] をクリックすると、停止アイコンが表示されます。
• 停止アイコン - ルール追跡を停止します。
[ソース]
追跡ペインに項目を表示するルール追跡のソースを選択できます。
ボタンをクリックすると、インポート済みのルール追跡ファイル (ZIP) のリストが表示されます。
ファイルを選択すると、ファイルに含まれるルール追跡項目が追跡ペインに表示されます。選択した
ファイルの名前が表示されます。
ファイルを選択しないと、前回の追跡で作成されたルール追跡の項目が表示されます。
McAfee Web Gateway 7.6.2
Product Guide
649
19
トラブルシューティング
ルール追跡
表 19-2 追跡ペイン (続き)
オプション
定義
アクション
アイコン バ
ー
クリックすると、ルールが実行するアクションのメニューが表示されます。
アクションを選択すると、ルール追跡がフィルタリングされます。
たとえば、[ブロック] アクションを選択すると、このアクションの実行で記録されるルール追跡の項
目だけが表示されます。
複数のアクションを組み合わせて選択できます。特定のアクションではなく、すべてのルール追跡の
エントリを表示することもできます。
• [すべて表示] - すべてのアクションのルール追跡を表示できます。
• [選択の切り替え] - 選択されてないアクションのルール追跡を表示できます。
選択内容に応じて、これらのアクションがメニューに表示されます。
時間または 追跡のフィルタリングに使用する時間と URL を入力できます。
URL のフィ
ルタリング フィールドの右端にあるアイコン (十字) をクリックすると、フィルターが消えます。
フィールド
[エクスポー ルール追跡のエクスポート メニューが表示されます。
ト]
• [表示されているルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在
追跡ペインに項目が表示されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
• [選択されたルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在選択
されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
650
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
19
表 19-2 追跡ペイン (続き)
オプション
定義
[クリア]
追跡ペインからルール追跡を消去するメニューが表示されます。
• [表示されているルール追跡を消去する] - 現在追跡ペインに項目が表示されているルール追跡を
消去します。
• [選択されたルール追跡を消去する] - 現在追跡ペインで選択されているルール追跡を消去しま
す。
• [すべてクリア] - ルール追跡ペインからすべてのルール追跡が消去されます。
ルール追跡ペインから消去しても、ルール追跡自体は削除されません。
ルール追跡を削除するには、[トラブルシューティング] トップレベル メニューから [ルー
ル追跡ファイル] を選択します。
追跡フィー
ルド
指定したフィルタリング情報に従って、個々のルール追跡の項目が表示されます。
追跡を選択すると、最も影響のあるアクションを含むルールと隣接するルールがサイクル ペインに表
示され、条件、アクション、イベントが詳細ペインに表示されます。
影響度は次の順番で低くなります。
ブロック (最大) - リダイレクト - 認証 - 削除 - サイクルの停止 - ルール セットの停止 - 続
行
ただし、ルール処理が停止する前の最後のアクションが サイクルの停止、ルール セットの停止、続
行 の場合、これらのアクションの影響度は高くなります。
それぞれの追跡に次の項目が表示されます。
• アクション アイコン - 要求でルール処理が開始したときに最後に実行されたアクションのアイ
コン。
アクション アイコン バーをクリックすると、メニューにアイコンの意味が表示されます。
• [時間] - 追跡が作成された時間
• [URL] - 追跡が作成された要求で送信された URL
ルール ペイン
ルール ペインでは、次のオプションを使用できます。
表 19-3 ルール ペイン
オプション
定義
追跡情報フ
ィールド
選択した追跡の情報が表示されます。
選択した追跡について以下の情報が表示されます。
• 追跡が作成された要求で送信された URL
• 追跡が作成された時間を表すタイムスタンプ
• 追跡が保存されたファイルの名前
[サイクル]
情報を表示するサイクルを選択できます。このサイクルで実行されたルール処理で追跡に記録された
情報が表示されます。
[すべて] を選択すると、追跡に記録されたすべてのサイクルの処理について概要が表示されます。
McAfee Web Gateway 7.6.2
Product Guide
651
19
トラブルシューティング
ルール追跡
表 19-3 ルール ペイン (続き)
オプション
定義
[検索]
ルール セットとルールの情報で検索する項目を入力します。
検索対象は次のとおりです。
• ルール セットまたはルールの名前
• プロパティの値
• プロパティ、アクション、イベントの名前
• 定数
• リスト名
• ユーザー インターフェースに表示される他
のテキスト部分
最初に一致した項目が強調表示されます。検索フィールドの横にある矢印を使用すると、次または前
の一致項目に移動できます。
新しいルール セットまたはルールを検索すると、最初の一致項目が再度強調表示されます。
ルール セッ 選択したサイクルでルールの処理時に実行されたルール セットとルールが表示されます。
トとルール
のフィール 各ルール セットとルールについて、以下の情報がルール ペインに表示されます。
ド
ルール セットまたはルールを選択すると、詳しい情報が詳細ペインに表示されます。
• [サイクル] - ルール セットまたはルールが処理されたサイクル
要求サイクルと応答サイクルは色の違う矢印で表示されます。
矢印の意味は次のとおりです。
• 右向きの矢印 - 要求サイクル
• 左向きの矢印 - 応答サイクル
• 右向き (左向き) の矢印がない場合 - 要求 (応答) サイクルで処理が実行されていません。
• 中空き矢印 - ルール セットまたはルールが処理されていますが、アクションは実行されていま
せん (条件に一致していません)。
• 灰色の矢印 - アクションが実行されていますが、ルール追跡で最も影響のあるアクションでは
ありません。
• 緑の矢印 - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイクルの
停止または続行が実行されています。
652
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
19
表 19-3 ルール ペイン (続き)
オプション
定義
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色の矢印 - 最も影響のあるアクションとして削除が実行されています。
• 青の矢印 - 最も影響のあるアクションとして認証が実行されています。
• 濃い緑の矢印 - 最も影響のあるアクションとしてリダイレクトが実行されています。
• 赤の矢印 - 最も影響のあるアクションとしてブロックが実行されています。
埋め込みオブジェクト サイクルでルール セットまたはルールが処理されると、数字付きの小さな
ボックスが表示されます。
このボックスは、ルール セットまたはルールの矢印と同じ行に表示されます。ボックスは矢印の色
と同じ色で表示されます。
ボックスの状態と意味は次のとおりです。
• ルール セットまたはルールの行にボックスが表示されていない - 埋め込みオブジェクト サイ
クルでルール セットまたはルールが処理されていません。
• ルール セットまたはルールの行に数字付きのボックスが表示されている - ルール セットまた
はルールは、表示された数字が示す回数だけ埋め込みオブジェクト サイクルで処理されていま
す。
• 色のない中空きのボックス - ルール セットまたはルールが埋め込みサイクルで処理されていま
すが、このサイクルでアクションが実行されていません (条件に一致していません)。
• 灰色のボックス - 埋め込みオブジェクト サイクルでアクションが実行されていますが、ルール
追跡で最も影響のあるアクションではありません。
• 緑のボックス - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイク
ルの停止または続行が埋め込みオブジェクト サイクルで実行されています。
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで削除が
実行されています。
• 青いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで認証が実
行されています。
• 濃い緑のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでリダ
イレクトが実行されています。
• 赤いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでブロック
が実行されています。
• [名前] - ルール セットまたはルールの名前
ルール セットまたはルールが条件でリストを使用している場合、名前の下に条件が表示されます。
詳細ペインにリストへのリンクが表示されます。
詳細ペイン
詳細ペインでは、次のオプションを使用できます。
McAfee Web Gateway 7.6.2
Product Guide
653
19
トラブルシューティング
ルール追跡
表 19-4 詳細ペイン
オプション 定義
[上位のプ
ロパティ]
タブ
現在選択しているルール追跡と処理サイクルのルールで使用されている接続関連のプロパティが表示
されます。
それぞれのプロパティについて次の情報が表示されます。
• [プロパティ] — プロパティの名前
• [値] - 追跡作成時のプロパティの値
いくつかのプロパティは、ルール追跡で常に記録され、このタブに表示されます。その他のプロパテ
ィは、処理されたときにだけ記録され、表示されます。
• [URL] - 常時
• [URL.Categories] - 処理時のみ
• [Client.IP] - 常時
• [Response.StatusCode] - 処理時のみ
• [URL.Host] - 常時
• [Block.Reason] - 処理時のみ
• [Authentication.Username] - 処理時の
み
• [Command.Name] - 処理時のみ
• [Authentication.Usergroups] - 処理時
のみ
[詳細] タ
ブ
ルール ペインで選択されているルール セットまたはルールの条件が表示されます。
条件と一緒に、ルール ペインで選択されている処理サイクルでプロパティに設定された値も表示され
ます。
ルール ペインで [すべて] を選択すると、処理が実行されたサイクルの条件が表示されます。
それぞれの条件について次の情報が表示されます。
• [サイクル] - 表示されている条件を含むルールが処理されたサイクルとルールの名前
• [条件] - ルールの条件
条件が一致すると、先頭にマーカー アイコン (フック) が表示されます。
• [評価] - 条件のプロパティ
条件にリストが含まれている場合、プロパティ名の下にもリスト名が表示されます。また、[値] の
下に、リストへのリンクが表示されます。
• [値] - 追跡作成時のプロパティの値
値は、プロパティのタイプによって異なります。
たとえば、ブール タイプのプロパティの場合、true または false が表示されます。文字列型のプ
ロパティの場合には文字列が、数値型のプロパティの場合には数値が表示されます。
条件にリストが含まれている場合、リストのリンクが表示されます。
リンクをクリックすると、リストの現在の状態が表示されます。ルール追跡の記録時と状態が異な
る場合もあります。
ルール追跡でリストのコンテンツは記録されません。
一致した条件について、以下の情報が表示されます。
• [アクション] - 条件が一致した後に実行されたルールのアクション
• [イベント] (ルールにイベントがある場合のみ) - 条件が一致した後に開始したルールのイベント
ルールに複数のイベントがある場合、各イベントが別々の行に表示されます。
654
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
19
ルール追跡を使用して要求のブロック理由を確認する
ユーザーが Web Gateway クライアントから送信した Web アクセス要求がブロックされた場合、ルール追跡を使用
すると、要求をブロックしたルールとその理由を確認できます。
ルール追跡を使用すると、Web Gateway でルール処理を記録し、分析することができます。以下では、ルール追跡
の簡単な使用方法を説明します。
タスク
1
[トラブルシューティング] を選択して、アプライアンス ツリーで [ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
2
ルール追跡を作成します。
a
追跡ペインで、アプライアンス名のフィールドに名前は変更しないでください。
この例では、このアプライアンスで処理された要求にルール追跡を実行します。
b
クライアント IP アドレスのフィールドで、ルール追跡の要求を送信したクライアントの IP アドレスを入力
します。
c
[実行] をクリックします。
クライアントから受信した最後の要求に対するルール追跡が作成されます。追跡が作成されると、追跡フィー
ルドにエントリが表示されます。
3
ルール追跡をフィルタリングします。
a
時間と URL のフィルタリング フィールドで、ブロックされた要求と一緒に送信された URL を入力します。
ルール追跡がフィルタリングされます。この URL の Web オブジェクトに対するアクセス要求に実行された
追跡だけが表示されます。
たとえば、問題のクライアントが、この URL に対する要求を 1 回だけ送信したとします。この場合、追跡結
果をフィルタリングすると、1 つのエントリだけが表示されます。
b
エントリを選択します。
この URL の要求で処理されたルールの詳細情報がルール ペインと詳細ペインに表示されます。
4
ルール追跡を確認します。
a
ルール ペインの追跡情報を確認します。
要求に対して処理されたルールがルール セットと一緒に表示されます。
要求をブロックしたルールが選択され、赤い矢印付きで表示されます。矢印が右を向いている場合、要求サイ
クルで要求がブロックされています。矢印が左を向いている場合には、応答サイクルでブロックされていま
す。
b
詳細ペインで追跡情報を確認します。
•
ルールが要求をブロックしたサイクル、ルールの名前、条件、アクション、イベントが表示されます。
一致した条件にはグレーのフックが付いています。
•
フック付きの条件の下にある [評価] にも条件が表示されます。
同じフィールドの [値] には、条件に一致し、要求がブロックされたときのプロパティの値が表示されま
す。
McAfee Web Gateway 7.6.2
Product Guide
655
19
トラブルシューティング
ルール追跡
たとえば、要求をブロックしたルールについて、以下の情報が詳細ペインに表示されたとします。
•
[サイクル] - 応答
•
[ルール名] - ウイルスを検出したらブロック
•
[条件] - Antimalware.Infected<Gateway Anti.Malware> equals true
•
[評価] - Antimalware.Infected equals true、[値] - true
•
[アクション] - Block<Virus found>
•
[イベント] - Statistics.Counter.Increment<Default>("BlockedByAntiMalware", 1>
要求されたブロックでウイルスまたはマルウェアの感染が検出されたため、要求がブロックされました。
ウイルスとマルウェアのフィルタリング ルールによってブロック アクションが実行されました。このルールは、要
求の応答として特定の Web サーバーからオブジェクトを受信したときに応答サイクルで処理されています。
このルールの条件は、Antimalware.Infected プロパティに含まれています。このプロパティに設定された値を確認
するため、Web Gateway のマルウェア対策エンジンが呼び出されています。このエンジンが、要求された Web オ
ブジェクトをスキャンして感染を検出したため、プロパティの値が true に設定され、ルール条件に一致していま
す。
ベスト プラクティス - Web ページに画像が表示されない理由の特定
ルール追跡を使用すると、クライアント システムで Web ページが表示されても、テキストだけで画像が表示されな
い理由を特定できます。
簡単な問題について考えてみましょう。たとえば、ユーザーが Web Gateway クライアントのブラウザーから CNN
のホームページにアクセスしたとします。ページは開きましたが、テキストしか表示されていません。
ルール追跡を使用すると、ホームページの画像を提供している CNN のサーバーがブロックされていないかどうか確
認できます。
タスク
1
Web Gateway のユーザー インターフェースで、[トラブルシューティング] を選択します。
集中管理構成で複数の Web Gateway アプライアンスを使用している場合には、問題のクライアントに接続して
いるアプライアンスにログオンしてください。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
3
追跡を作成します。
a
左上の入力フィールドに、要求がブロックされているクライアント システムの IP アドレスを入力し、入力フ
ィールドの横にある [実行] ボタンをクリックします。
クライアントから送信された Web アクセス要求が追跡されます。左下の出力フィールドに追跡ファイルの
エントリが表示されます。
[実行] を押すと、ボタンが十字に変わり、追跡が不要になるとプロセスが停止します。
b
クライアント システムで、ブラウザーを更新するか、ccn.com を再度クリックして、問題が再現するかどう
か確認します。
追跡ファイルのエントリが Web Gateway の出力フィールドに表示されます。
転送されるデータ量によっては、追跡ファイルのエントリが表示されるまで時間がかかる場合があります。
656
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
ルール追跡
c
4
19
問題が再現でき、追跡ファイルのエントリが表示された場合には、切り替えボタンを再度クリックして追跡を
終了します。
追跡ファイルのエントリを確認します。
追跡された要求ごとに、タイムスタンプと要求された URL が表示されます。
エントリの先頭には、最も影響を及ぼすアクションの記号が表示されます。このアクションは要求の処理時に実
行されます。アクションの中で最も影響を及ぼすアクションが「ブロック」です。
追跡ファイルのエントリで、ブロック記号と cdn.turner.com/ccn で始まる URL が表示されているエントリ
を探します。画像を提供する CCN サーバーにアクセスする要求の追跡ファイルが複数存在する場合があります。
5
追跡ファイルで cdn.turner.com/ccn を含むエントリを選択します。
この追跡の詳細がルールと右側の詳細ペインに表示されます。
6
ルールのペインを確認します。
このペインには、追跡された要求で処理されたルールが表示されます。ビューの最後に、ルールの処理が停止す
る前に最後に適用されたルールが表示されます。このルールは強調表示されます。
この場合、最後に適用されたルールは 「カテゴリ ブラックリストにカテゴリがある URL をブロックする」で
す。
7
詳細ペインを確認します。
詳細ペインの 2 つのタブに詳しい追跡情報が表示されます。
[上位のプロパティ] タブで、前述のルールが処理されたときに URL.Categories プロパティに Business が
設定されたことが表示されます。
これで、この問題に対するルール追跡は終わりです。CNN サーバーへのアクセスで送信した URL が Business カ
テゴリで、このカテゴリがブラックリストにあるため、このサーバーの画像が表示されません。
画像を表示するには、ネットワークの Web セキュリティ ポリシーを変更し、URL ホワイトリストに
cdn.turner.com/ccn/* を追加する必要があります。
削除したルール追跡をルール追跡ペインに復元する
ルール追跡ペインから削除したルール追跡を復元するには、アプライアンスのルール追跡ディレクトリまたはソース
ファイルからルール追跡を復元します。
削除したルール追跡をルール追跡ペインに復元する方法は、現在ログオンしているアプライアンスでルール追跡が作
成された方法またはアプライアンスにインポートされた方法によって異なります。
アプライアンスのルール追跡ディレクトリを選択することも、ソース ファイルを再度インポートすることもできま
す。
タスク
•
658 ページの「削除したルール追跡をアプライアンスのディレクトリから復元する」
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンス
のルール追跡ファイルのディレクトリから復元することができます。
•
658 ページの「ソース ファイルをインポートしてルール追跡を復元する」
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度
インポートすると、ルール追跡を復元できます。
McAfee Web Gateway 7.6.2
Product Guide
657
19
トラブルシューティング
ルール追跡
削除したルール追跡をアプライアンスのディレクトリから復元する
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンスのルール追跡
ファイルのディレクトリから復元することができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を復元するアプライアンスを展開します。
3
[ルール追跡ファイル] を選択します。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
4
[追跡ファイル] で、復元するルール追跡ファイルを選択します。
5
[分析] をクリックします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ソース ファイルをインポートしてルール追跡を復元する
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度インポートす
ると、ルール追跡を復元できます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
3
[追跡]、[インポート] の順にクリックします。
ローカルのファイル マネージャーが開きます。
4
復元するルール追跡のソースを含む ZIP ファイルを選択してインポートします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ルール追跡を削除する
ルール追跡を削除するには、アプライアンスでルール追跡ファイルのあるディレクトリにアクセスし、削除オプショ
ンを使用します。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を削除するアプライアンスを選択し、[ルール追跡ファイル] をク
リックします。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
658
3
[追跡ファイル] で、削除するルール追跡ファイルを選択し、[削除] をクリックします。
4
表示されたウィンドウで、削除を確認します。
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
フィードバック ファイルの作成
19
フィードバック ファイルの作成
フィードバック ファイルを作成して、機能の障害が発生した後にプロセスをバックトレースできます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、プロセスをバックトレースするアプライアンスを選択して、[フィードバック]をクリ
ックします。
3
必要に応じて、[実行中の McAfee Web Gateway を一時停止してバックトレースを作成する]を選択または選択
解除します。
チェックボックスを選択することをお勧めします。
4
[フィードバック ファイルを作成する]をクリックします。
ファイルが作成されて、名前、サイズ、および日付が[[フィードバック ファイル]]下のリストに表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
コア ファイルの作成の有効化
機能の障害によってアプライアンスの処理が停止した後にメモリ コンテンツを記録するための、コア ファイルの作
成を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、メモリ コンテンツを記録するアプライアンスを選択して、[トラブルシューティング]
をクリックします。
3
[トラブルシューティング]セクションで、[コア ファイルの有効化]を選択します。
4
[変更の保存]をクリックします。
これで、特定機能への障害により、アプライアンスが停止するたびに、コア ファイルが作成されるようになりま
す。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[コア ファイル]を選択したら、コ
ア ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
McAfee Web Gateway 7.6.2
Product Guide
659
19
トラブルシューティング
接続追跡ファイルの作成の有効化
接続追跡ファイルの作成の有効化
追跡ファイルの作成を有効にして、アプライアンスと他のネットワーク コンポーネント間の接続で起こるアクティビ
ティを記録できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、接続アクティビティを記録するアプライアンスを選択して、[トラブルシューティン
グ]をクリックします。
3
[トラブルシューティング]セクションで、[接続追跡の有効化]を選択します。
4 [オプション]アプライアンスの特定クライアントとの接続でのアクティビティのみを追跡するには、[追跡を 1
つの IP のみに制限する]を選択し、[クライアント IP]フィールドにクライアントの IP アドレスを入力します。
5
[変更の保存]をクリックします。
これで、接続追跡ファイルが作成されます。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[接続追跡]をクリックしたら、接
続追跡ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
パケット追跡ファイルの作成
パケット追跡ファイルを作成して、アプライアンスのネットワーク アクティビティを記録できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク アクティビティを記録するアプライアンスを選択して、[パケット追跡]
をクリックします。
3
[コマンド ライン パラメーター]フィールドで、必要に応じて、パケット追跡のパラメーターを入力します。
4
[tcpdump の開始]をクリックします。
パケット追跡ファイルが生成されて、名前、サイズ、および日付が[結果(dump)]下のリストに表示されます。
パケット追跡ファイルの生成の進行を停止するには、[tcpdump の停止]をクリックします。
リストのツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のア
クティビティを実行できます。
660
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
システム ツールとネットワーク ツールを使用する
19
システム ツールとネットワーク ツールを使用する
アプライアンスで発生した問題のトラブルシューティングを行うときに、いくつかのシステム ツールとネットワーク
ツールを使用できます。
タスク
1
トップレベル メニューの [トラブルシューティング] を選択します。
2
アプライアンス ツリーで、ツールを使用するアプライアンスを選択して、[システム ツール] または [ネットワー
ク ツール] をクリックします。
使用可能なシステム ツールは次のとおりです。
•
[サービス再起動]
•
[AV スレッド]
使用可能なネットワーク ツールは次のとおりです。
3
•
[ping]、[ping6]
•
[ipneigh]
•
[nslookup]
•
[ntp]
•
[traceroute]、[traceroute6]
ツールで実行可能なコマンドのパラメーターを [コマンドライン パラメーター] フィールドに入力します。
たとえば、ping ネットワーク ツールを使用する場合には、接続するホストの名前を入力します。
4
使用するツールのボタンをクリックします。
対応するコマンドが実行され、結果が [結果] に表示されます。
たとえば、次のような情報が表示されます。
Ping: Unknown host testhost
結果をファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィンドウで場
所を指定します。
関連トピック:
661 ページの「オペレーティング システムのサービスを再起動する」
662 ページの「実行中の AV スレッドを表示する」
オペレーティング システムのサービスを再起動する
再起動ツールを使用すると、オペレーティング システムで現在実行中のサービスを停止し、再起動することができま
す。 ツールの適用時にサービスが実行されていない場合、サービスが開始します。
メインの mwg サービスと sysconfd サービスは再起動できません。これらは、システム ツールを使用して設定の
手動変更を実行するデーモンとして機能します。
タスク
1
トップレベル メニューの [トラブルシューティング] を選択します。
2
アプライアンス ツリーで、サービスを開始するアプライアンスを選択して、[システム ツール] をクリックしま
す。
McAfee Web Gateway 7.6.2
Product Guide
661
19
トラブルシューティング
実行中の AV スレッドを表示する
3
[コマンドライン パラメーター] フィールドで、必要なサービス名とパラメーターを入力します。
4
[サービスの再起動] をクリックします。
サービスが再起動します。実行されたサービスの処理が [結果] フィールドに表示されます。
たとえば、ip6tables サービスを再起動すると、次の情報が表示されます。
Flushing firewall rules: [OK]
Unloading ip6tables modules: [OK]
Applying ip6tables firewall rules: [OK]
結果をファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィンドウで場
所を指定します。
実行中の AV スレッドを表示する
実行中のスレッドを表示し、マルウェア対策スキャンの処理を確認できます。 スレッド数が多い場合、特定の要求ま
たは応答に対するスキャンで大量のリソースが消費されています。
現在スキャンを実行しているスレッドだけでなく、スキャン モジュールに要求または応答を送信するスレッドも表示
されます。 どちらのスレッドもマルウェア対策の作業用スレッド、あるいは AV スレッドといいます。
タスク
1
トップレベル メニューの [トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[システム ツール] を選択して [AV スレッド] をクリックします。
[結果] の下に AV スレッドのリストが表示されます。
各スレッドに、ID 番号、スレッドの開始時間、現在のステータスなどの情報が表示されます。
スレッド リストをファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィ
ンドウで場所を指定します。
アプライアンスの構成をバックアップまたは復元する
アプライアンスの構成をバックアップ ファイルに保存すると、このファイルを使用して構成を復元することができま
す。
アプライアンスの構成をバックアップするときに、認証情報ストアに保存されている SSO 認証情報をバックアップ
ファイルに追加できます。 同様に、リストアを行うときに、バックアップ ファイルから認証情報ストアに SSO 認
証情報を復元できます。
バックアップを復元するときに、すべての構成とアカウントを復元するか、[ポリシー] トップレベル メニューで設
定したデータ (ルール、リスト、設定) だけを復元するのか選択できます。
バックアップの暗号化と復号で、ドイツ語のウムラウト (ä, ö, ü) などの特殊文字をパスワードに挿入する必要がある
場合には、Web Gateway の管理システムで UTF-8 形式を使用してください。
662
McAfee Web Gateway 7.6.2
Product Guide
トラブルシューティング
トラブルシューティングの設定
19
タスク
1
ダッシュボードで [トラブルシューティング] を選択します。
2
アプライアンス ツリーで、構成をバックアップまたは復元するアプライアンスを選択し、[バックアップ/復元] を
クリックします。
3
アプライアンスの構成をバックアップするには、次の手順に従います。
4
a
バックアップに SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。
b
[ファイルにバックアップ] をクリックします。
c
ローカルのファイル マネージャーでバックアップ ファイルを作成または選択します。
アプライアンスの構成を復元するには、次の手順に従います。
a
すべての構成とアカウントを復元するには、[構成とアカウント] チェックボックスを選択します。
b
復元に SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。
c
[ファイルから復元] をクリックします。
d
復元中にログオフすることを通知するメッセージが表示されます。
e
ローカルのファイル マネージャーで、アプライアンス構成の復元で使用するバックアップ ファイルを選択し
ます。
トラブルシューティングの設定
[トラブルシューティング] の設定は、アプライアンスのトラブルシューティング機能の設定に使用するシステム設定
です。
[トラブルシューティング]
トラブルシューティング機能の全般設定
表 19-5 トラブルシューティング
オプション
定義
[コア ファイルの生成を有効にする]
コア ファイルの生成を可能にします。
[接続追跡を有効にする]
接続の追跡を可能にします。
[接続追跡を 1 つの IP に制限する]
接続追跡が、1 つのクライアントから送信された要求の処理に限定されま
す。クライアントは IP アドレスで指定します。
[クライアント IP]
追跡接続を行うクライアントの IP アドレス。
[接続追跡ファイルのサイズを小さくす
る]
記録するコンテンツのバイト数を制限し、接続追跡ファイルのサイズを小
さくすることができます。
[各送受信操作で記録するコンテンツの
バイト数]
各操作で記録する最大バイト数。HTTP ヘッダーは常に記録されます。
[コーディネーター (集中管理など) の追 コーディネーター システムが Web Gateway で実行したアクティビテ
跡を有効にする]
ィの追跡を有効にします。たとえば、集中管理に関連するアクティビティ
が記録されます。
[メッセージ本文全体をログに記録する] メッセージ本文全体をログ ファイルに書き込みます。
[DXL の追跡を有効にする]
選択すると、DXL メッセージの追跡が可能になります。
[メッセージ本文全体をログに記録する] メッセージ本文全体をログ ファイルに書き込みます。
McAfee Web Gateway 7.6.2
Product Guide
663
19
トラブルシューティング
トラブルシューティングの設定
認証のトラブルシューティング
認証関連のトラブルシューティングの設定
表 19-6 認証のトラブルシューティング
オプション
定義
[管理イベントを記録する]
管理イベントがログに記録されます。
[認証イベントを記録する]
認証イベントがログに記録されます。
[接続追跡を 1 つの IP に制限する] 接続追跡が、1 つのクライアントから送信された要求の処理に限定されます。
クライアントは IP アドレスで指定します。
[クライアント IP]
追跡接続を行うクライアントの IP アドレス。
クォータのトラブルシューティング
クォータ制限関連のトラブルシューティングの設定
表 19-7 クォータのトラブルシューティング
オプション
定義
[クォータ イベントを記録する]
クォータ イベントがログに記録されます。
PDStorage に関連するトラブルシューティング
PDStorage 機能関連のトラブルシューティングの設定
表 19-8 PDStorage に関連するトラブルシューティング
オプション
定義
[PDStorage イベントを記録する]
PDStorage イベントがログに記録されます。
SAML 処理のトラブルシューティング
SAML 処理関連のトラブルシューティングの設定
表 19-9 SAML 処理のトラブルシューティング
664
オプション
定義
[ロギングを有効にする]
SAML 処理イベントがログに記録されます。
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
以下のリストは、Web セキュリティ ルールを構成するために使用できる項目について説明します。
目次
アクションのリスト
ブロック理由 ID のリスト
エラー ID のリスト
イベントのリスト
インシデント ID のリスト
プロパティのリスト
統計カウンターのリスト
ワイルドカード式
アクションのリスト
以下の表に、ルールに使用できるアクションのリストを示します。
アクションはアルファベット順にリストされています。
表 A-1 アクションのリスト
アクション
説明
[Authenticate]
現在のサイクルにおけるルールの処理を停止します。
認証リクエストを Web オブジェクトへのアクセスをリクエストしたユーザーのクライアント
へ送信します。
次のサイクルで処理を続行します。
[Block]
リクエストされた Web オブジェクトへのアクセスをブロックします。
ルールの処理を停止します。
アプライアンスで次のリクエストが受信されたときに続行します。
[Continue]
次のルールの処理を続行します。
[Redirect]
Web オブジェクトからその他のオブジェクトへのアクセスをリクエストしたクライアントをリ
ダイレクトします。
[Remove]
リクエストされた Web オブジェクトを削除します。
現在のサイクルにおけるルールの処理を停止します。
次のサイクルで処理を続行します。
McAfee Web Gateway 7.6.2
Product Guide
665
A
構成リスト
ブロック理由 ID のリスト
表 A-1 アクションのリスト (続き)
アクション
説明
[Stop Cycle]
現在のサイクルにおけるルールの処理を停止します。
リクエストされた Web オブジェクトへのアクセスはブロックされません。
次のサイクルで処理を続行します。
[Stop Rule Set] 現在のルール セットのルールの処理を停止します。
次のルール セットの処理を続行します。
ブロック理由 ID のリスト
次の表では、ブロック理由 ID とその意味について説明します。
®
ユーザー メッセージ テンプレートのブロック理由 ID を構成して、McAfee Web Reporter によりロギングするブ
ロック理由を特定する値を指定します。
表 A-2 ブロック理由 ID のリスト
666
ブロック理由 ID
説明
[0]
許可
[1]
内部エラー
[2]
アクションに使用されているデフォルトのメッセージ テンプレート
[3]
内部 URL フィルター エラー
[10]
URL フィルター データベースのエントリのためにブロックされました
[14]
式による URL フィルタリングに従ってブロックされました
[15]
リアルタイム分類子によりブロックされました
[20]
コンテンツ タイプの欠落によりブロックされました
[22]
メディア タイプによりブロックされました
[30]
複数部分のアーカイブが見つかったためにブロックされました
[35]
アーカイブがアーカイブ ハンドラーにより扱われなかったためにブロックされました
[80]
ウイルスが見つかったためにブロックされました
[81]
未承認のアクセスのためにブロックされました
[82]
不良なリクエストのためにブロックされました
[85]
内部マルウェア対策エラーのためにブロックされました
[92]
証明書の期限切れのためにブロックされました
[93]
証明書が失効したためにブロックされました
[94]
許可されていない証明機関(CA)のためブロックされました
[95]
不明な証明機関(CA)のためブロックされました
[97]
自己署名証明書のためにブロックされました
[98]
共通名が不一致のためにブロックされました
[102]
指定されない証明書のためにブロックされました
[103]
接続が許可されないためにブロックされました
[104]
リバース プロキシの宛先が許可されないためにブロックされました
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
エラー ID のリスト
A
表 A-2 ブロック理由 ID のリスト (続き)
ブロック理由 ID
説明
[140]
内部 DLP フィルター エラーのためにブロックされました
[150]
内部 Application Control フィルター エラーのためにブロックされました
[151]
許可されないアプリケーションに属するリクエストのためにブロックされました
[160]
Web Hybrid のポリシーが欠落しているためにブロックされました
[161]
Web アクセスが Web Hybrid により許可されていないためにブロックされました
[162]
Web Hybrid による URL フィルタリングのためにブロックされました
[200]
ユーザーの警告セッションが超えたためにブロックされました
[201]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[202]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[203]
ユーザーのボリューム クォータ セッションを超えたためにブロックされました
[204]
ユーザーのボリューム クォータを超えたためにブロックされました
[205]
ユーザーの承認済みのオーバーライド セッションが超えたためにブロックされました
[206]
アクティブなユーザーのブロック セッションのためにブロックされました
[300]
クォータのリダイレクトのためにブロックされました
[301]
認証のあるリダイレクトのためにブロックされました
[400]
承認済みのオーバーライド リダイレクトのためにブロックされました
エラー ID のリスト
以下の表に、ルールに使用できるエラー ID のリストを示します。
エラー ID は以下の数値範囲にグループ化されています。
10000–10049
プロパティまたはイベントの不正使用
10050–10099
ルール処理モジュールのエラー
10100–10199
一般エラー
11000–11999
ライセンス マネージャー エラー
12000–12999
アプライアンス システムに関連したエラー
13000–13999
持続データベース (PDStore) エラー
14000–14999
ウイルスおよびマルウェア フィルタリング エラー
15000–15999
URL フィルタリング エラー
16000–16999
ICAP クライアント エラー
20000–21000
プロキシ モジュール エラー
25000–25999
外部リスト エラー
26000–26999
Data Loss Prevention (DLP) エラー
32000–32999
クラウド ストレージ暗号化のエラー
34000-34999
シングル サインオンのエラー
35000-35999
DXL エラー
McAfee Web Gateway 7.6.2
Product Guide
667
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト
668
エラー
ID
名前
説明
10000
WrongPropParams
$onPosition$: プロパティ $propName$ のパラメーター
またはタイプが間違っています。
10001
UnknownProperty
$onPosition$: ルール ‘$ruleName$’ エラー: プロパティ
送信者はプロパティ $propName$ を知りません。
10002
NoPropParam
$onPosition$: 提供されているプロパティ $propName$
にはパラメーターが指定されていません。
10003
WrongThirdPropParam
$onPosition$: プロパティ $propName$ の 3 つ目のパ
ラメーター タイプが間違っています。
10004
InvalidPropertyParameter
$onPosition$: プロパティ $propName$ のパラメーター
は無効です。理由: $reason$。
10005
InvalidPropertyParameter2
パラメーターは無効です。理由: $reason$。
10005
UnknownProperty2
$onPosition$: 不明なプロパティ $propName$。
10007
UnknownFunc
$onPosition$: 不明な関数 $funcName$。詳細:
$reason$。
10050
WrongOperator
$onPosition$: ルール '$ruleName$' エラー: 左側タイプ
$typeLeft$ および右手タイプ $typeRight$ に間違った
演算子が使用されました。
10051
WrongOperatorNoNames
$onPosition$: $action$ は失敗しました。$property$
のタイプは $typeName$ ですが、$formatType$ になり
ます。
10052
FormatError
$onPosition$: ユーザー定義のプロパティ '$propName
$' が見つかりません。理由: まだ設定されていません (初
期化されていない)。
10053
UserDefinedPropertyNotFound
$onPosition$: ユーザー定義のプロパティ '$propName
$' が見つかりません。理由: まだ設定されていません (初
期化されていない)。
10054
PropertyNotFound
$onPosition$: プロパティ'$propName$' が見つかりま
せん。理由: まだ設定されていません (初期化されていな
い)。
10055
NeedMoreDataOnLastCall
プロパティ '$propName$' 計算時にフィルターは
'NeedMoreData' を返したが、それ以上のデータがありま
せん。
10056
WrongPropState
$onPosition$: プロパティ $propName$ の状態は
$propState$ です。
10057
ZombieRuleElemIsExecuted
$rule$ (名前: '$name$'、ID: '$id$') はゾンビのため実行
できませんでした。理由: $reason$。
10058
SetPropertyFailed
$onPosition$: ルール '$ruleName$' エラー: イベントは
評価できませんでした。理由: $reason$。
10059
EventError
$onPosition$: $objName$ を $operation$ している間
にエラーが発生しました。理由: $reason$。
10100
ErrorDuringOperation
$onPosition$: $objName$ を $operation$ している間
にエラーが発生しました。理由: $reason$。
10101
InitializeFailed
$onPosition$:$objName$ を初期化/作成できませんでし
た。理由: $reason$。
11000
NoLicense
要求された機能 '$func$' はライセンスによってカバーさ
れていません。
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
12000
CannotOpenPipe
パイプを開けません。
12001
CannotOpenFile
エラー '$errno$' で、モード '$mode$' でファイル
'$name$' を開けません。
13000
NoUser
利用可能なユーザーがありません。
14000
AVError
AntivirusFilter エラー: $reason$。
14001
AVScanFailedFull
McAfee Gateway Anti-Malware エンジンを呼ぶことが
できません。すべての接続は使用中です。
14002
AVError
Anti-Malware フィルターの内部エラー
エラー メッセージの ID はエラー処理のルール
で使用されるので、McAfee Web Gateway
version 7.3 で導入された新しいエラー メッセ
ージおよび ID (14003、14004、14005) を構
成するため、アプライアンスにおけるこれらのル
ールを調整する必要があります。
エラー処理のためのライブラリ ルール セット
は、新しいメッセージおよび ID に適合するよう
に調整されました。
14003
AVError
フィルタリング中にタイムアウトが発生しました。
エラー メッセージ 14002 の注も参照してください。
14004
AVError
特別な更新が必要なため、フィルタリングできません。
エラー メッセージ 14002 の注も参照してください。
14005
AVError
スキャンに失敗しました。
エラー メッセージ 14002 の注も参照してください。
14010
ATDError
通信に失敗しました。
Advanced Threat Defense が実行されているサーバーと
の通信に失敗しました。
いくつかの理由が考えられます。たとえば、サーバーがオ
フラインの場合や要求がタイムアウトするなど、ネットワ
ークに問題がある場合があります。また、HTTP プロトコル
に問題がある場合や、サーバーから予期しない応答や不正
な要求が戻される場合も考えられます。
14011
ATDError
フィルタリング中にタイムアウトが発生しました。
設定した許容時間内に Advanced Threat Defense によ
る Web オブジェクトのスキャンが完了しませんでした。
デフォルトの許容時間は 10 分です。
McAfee Web Gateway 7.6.2
Product Guide
669
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
14012
ATDError
ファイルがスキャンできません。
Advanced Threat Defense が Web オブジェクトをスキ
ャンできません。
Advanced Threat Defense が戻したスキャン レポート
で、重大度の値が N/A に設定されます。
670
15000
TSDatabaseExpired
Global Threat Intelligence システム データベースの期
限切れエラー: データベースが期限切れです。'$desc$'。
15001
TSInvalidURL
URL '$url$' は無効です。関数 $func$。
15002
TSBinaryNotProperlyLoaded
バイナリは'$path$' からロードできませんでした。関数
$func$。
15003
TSCommon
Global Threat Intelligence システム エラー (コード:
$errorCode$)。関数 $func$。
15004
TSBinaryDoesNotExist
Global Threat Intelligence システム ライブラリはまだ
利用できません。関数 $func$。
15005
TSDatabaseNotProperlyLoaded
データベースは適切にロードされませんでした。関数
$func$。
15006
TSNoMem
Global Threat Intelligence システムはメモリー不足で
す。関数 $func$。
15007
TSInsufficientSpace
Global Threat Intelligence システムのバッファーにスペ
ースが不足しています。関数 $func$。
15008
TSNetLookup
Global Threat Intelligence システム ネット エラー (コ
ード: TS_NET_ERROR)。関数 $func$。
15009
TSCommonNetLookup
Global Threat Intelligence システム ネット エラー (コ
ード: $errorCode$)。関数 $func$。
15010
TSPipe
Global Threat Intelligence システム パイプを開けませ
ん。関数 $func$。
16000
NoICAPServerAvailable
リストから利用可能な ICAP サーバーはありません。$list
$.
16001
NoRespModPropInReqMod
要求サイクルでプロパティ $propName$ を計算できませ
ん。
16002
ICAPBadResponse
ICAP クライアント フィルター エラー: ICAP サーバーの
応答に問題があります。
16003
ICAPMaxConnectionLimit
ICAP クライアント フィルター エラー: 接続の最大数に達
しました。
16004
ICAPCannotConnectToServer
ICAP クライアント フィルター エラー: ICAP サーバーに
接続できません。
16005
ICAPCommunicationFailure
ICAP クライアント フィルター エラー: ICAP サーバーで
通信エラーが発生しました。
20000
CheckLongRunningConnection
長期間実行中の接続でタイムアウトが発生しました。
20001
CheckSizeOfConnection
長期間実行されている接続で送信可能なデータの最大量が
制限を超えています。
25000
不明エラーの発生
未分類のエラーが外部リスト モジュールで発生しました。
25001
データ取得中にエラー発生
データ取得中に未分類のエラーが外部リスト モジュールで
発生しました。
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
25002
データ変換中にエラー発生
外部リスト データが変換される際にエラーが発生しまし
た。
25003
データが多すぎる
外部ソースから取得できるリスト エントリ数の構成限界値
を超えました。
25004
データ取得中にタイムアウト
外部リスト データを取得するための構成タイムアウト値の
期限が切れました。
25005
データ アクセスの拒否
外部リスト データのソースにアクセスするために必要な権
限が、アプライアンスに与えられていません。
25006
リソースが存在しない
外部リスト データのソース、たとえば、ファイルまたは
Web サーバーが見つかりませんでした。
26001
DLP エンジンがロードされていない
DLP エンジンをロードできませんでした。
32002
パスワードを空にすることはできません。
外部データ ソースからパスワードを取得するときに、空の
パスワードを受信しました。
32003
フィルターの設定が無効です。
暗号化と復号を行うモジュールの設定が無効です。このエ
ラーが発生するのは非常にまれです。Web Gateway のポ
リシー設定に全般的な問題がある可能性があります。
32004
暗号化失敗: 不明なコンテンツ タイプ
タイプが不明なため、データを暗号化できません。クラウ
ド ストレージ サービスの説明が正しくない可能性があり
ます。
32005
暗号化失敗: メッセージ本文の解析に失敗
しました。
アップロード要求で送信された本文データが multi-part/
form-data 形式になっています。このタイプのデータは
Web Gateway で解析できません。
32006
暗号化失敗: ファイル名が取得できません。 暗号化が必要なデータを含むファイルの名前が取得できま
せん。
32007
暗号化失敗: 暗号 NNNN はサポートされ
ていません。
データの暗号化に使用された暗号が無効です。管理者が事
前に設定されたリストから暗号化を選択するため、この問
題は殆ど発生しません。
32008
暗号化失敗: salt の生成に失敗しました。
データの暗号化に必要な salt の生成プロセスが正常に実
行できません。この問題は通常、OpenSSL の内部エラーが
原因で発生します。
32009
暗号化失敗: キーの取得に失敗しました。
データの暗号化に必要なキーが取得できません。
32010
暗号化失敗: 暗号化の初期化に失敗しまし
た。
暗号化プロセスが初期化できません。
32011
暗号化失敗: データの暗号化に失敗しまし
た。
暗号化プロセスでエラーが発生しました。
32012
暗号化失敗: 復号の最終処理に失敗しまし
た。
暗号化プロセスが完了できません。
32013
暗号化失敗: 一般エラー
暗号化関連のその他のエラー
32014
復号失敗: 不明なコンテンツ タイプ
タイプが不明なため、データを復号できません。クラウド
ストレージ サービスの説明が正しくない可能性がありま
す。
32015
復号失敗: マルチパート メッセージの本文 クラウド ストレージ サービスがダウンロード要求に応答
はサポートされていません。
してデータを送信しましたが、応答データの本文が
multi-part/form-data 形式になっています。このタイプ
のデータは Web Gateway で復号できません。
McAfee Web Gateway 7.6.2
Product Guide
671
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
672
エラー
ID
名前
説明
32016
復号失敗: 暗号 NNNN はサポートされて
いません。
データの復号に使用された暗号が無効です。管理者が事前
に設定されたリストから復号を選択するため、この問題は
殆ど発生しません。
32017
復号失敗: キーの取得に失敗しました。
データの復号に必要なキーが取得できません。
32018
復号失敗: 復号の初期化に失敗しました。
復号プロセスが初期化できません。
32019
復号失敗: データの復号に失敗しました。
復号プロセスでエラーが発生しました。
32020
復号失敗: 復号の最終処理に失敗しました。 復号プロセスが完了できません。
32021
復号失敗: 一般エラー
復号関連のその他のエラー
34000
SSO フィルターの一般エラー
シングル サインオン プロセスでエラーが発生しました。
理由: '一般エラー...'
34001
SSO フィルターの一般エラー
ユーザーが存在しないクラウド コネクターでシングル サ
インオン アクセスを試みました。理由: 'コネクターがあり
ません'
34003
SSO フィルターの一般エラー
シングル サインオン プロセスにクラウド コネクターが設
定されていません。 理由: 'コネクター カタログがありま
せん'
34004
SSO サービス不一致エラー
トークンの値がクラウド コネクターの値と一致しません。
サービスが一致していません。トークン ID: '$tokenid$'、
サービス ID: '$serviceid$'
34005
SSO サービスが有効になっていません
次のユーザーはクラウド アプリケーションを使用できませ
ん。領域: '$realm$'、ユーザー: '$userid$'、サービス ID:
'$serviceid$'
34006
SSO 非インライン モード エラー
非プロキシ モード (非インライン モード) のシングル サ
インオン プロセスでクラウド アプリケーションを使用で
きません。サービス ID: '$serviceid$
34050
認証情報ストアの汎用エラー
詳細については、エラー ログを参照してください。
34051
認証情報ストアの汎用エラー
この要求は、現在のユーザーに許可されていません。
34052
認証情報ストアの汎用エラー
認証情報ストア要求が作成できません。
34060
認証情報ストア サーバーの HTTP エラー
認証情報ストア サーバーが要求に応答しましたが、HTTP
エラーが発生しました。 詳細については、エラー ログを参
照してください。
34070
認証情報ストア サーバー エラー
認証情報ストア サーバーがエラーを戻しました。 詳細に
ついては、エラー ログを参照してください。 ログに、認証
情報ストア サーバーが戻したエラー コードが記録されて
います。
34080
認証情報ストア接続エラー
接続エラーのため、認証情報ストア要求が失敗しました。
詳細については、エラー ログを参照してください。
34090
認証情報ストア要求エラー
認証情報ストア要求の実行中に内部エラーが発生しまし
た。 詳細については、エラー ログを参照してください。
35000
DXLNotAvailable
現在送信可能な DXL メッセージはありません。
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
イベントのリスト
A
イベントのリスト
以下の表に、ルールに使用できるイベントのリストを示します。
イベントはアルファベット順にリストされています。
表 A-4 イベントのリスト
名前
説明
パラメーター
Authentication.AddMethod
認証方法を追加します。
1 文字列: 認証方法の名
前
2 文字列: 認証方法の値
3 ブール: true の場合、
既存の方法が上書きさ
れます。
Authentication.ClearCache
キャッシュをクリアします。
Authentication.ClearMethodList
認証方法リストをクリアします。
Authentication.ClearNTMLCache
NTML キャッシュをクリアします。
Authentication.GenerateICEResponse
シームレス認証を有効にするため、
McAfee Cloud Identity Manager
に対する応答で送信されるトークン
を生成します。
Authentication.SendOTP
認証するユーザーにワンタイム パス
ワードを送信します。
Bandwidth.FromClient
Limits the speed of data transfer String: Name of
from a client to the appliance.
bandwidth class
Bandwidth.FromServer
Limits the speed of data transfer String: Name of
from a web server to the
bandwidth class
appliance.
Bandwidth.ToClient
Limits the speed of data transfer String: Name of
from the appliance to a client.
bandwidth class
Bandwidth.ToServer
Limits the speed of data transfer String: Name of
from the appliance to a web
bandwidth class
server.
BlockingSession.Activate
ブロック セッションを有効にしま
す。
Body.Insert
Inserts a string into the body of
the request or response that is
currently processed.
1 数値: 挿入を開始する
バイト位置
2 文字列: パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数値
も含まれる場合があり
ます。)
または:
b. 16 進数値のシーケ
ンス
McAfee Web Gateway 7.6.2
Product Guide
673
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Body.Remove
現在処理されている要求または応答
の本文からバイト数を削除します。
1 数値: 削除し始めるバ
イト位置
2 数値: 削除するバイト
数
Body.Replace
Replaces a portion from the
body of the request or response
that is currently processed with
a string.
1 数値: 置き換えを開始
するバイト位置
2 文字列: パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数値
も含まれる場合があり
ます。)
または:
b. 16 進数値のシーケ
ンス
Body.ToFile
指定されたファイルに現在処理され
ている要求または応答の本文を書き
込みます。
String: Name of the
file that the body is
written to
このファイルは、ディレクト
リ /opt/mwg/log/debug/
BodyFilterDumps に保管されま
す。
本文の 1 つまたは複数のチャンクを
ロードされたときのみ、
Body.ToFile イベントが発生した
場合のみ、本文は完全にロードされて
いた後でのみファイルに書き込まれ
ます。
保管されたファイルがアプライアン
スのハード ディスクを占有しないよ
うにするには、[構成] 、 [<アプライ
アンス>] 、 [ログ ファイル マネー
ジャー] 、 [詳細] の順に選択し、ユ
ーザー インターフェースの自動削除
を有効にします。
CloudEncryption.Encrypt
設定された暗号化アルゴリズムとイ
ベントのパラメーターに指定された
パスワードで、クラウド ストレージ
データを暗号化します。
このイベントは、異なる設定とパスワ
ードで数回実行されます。このため、
暗号化も数回実行されます。
674
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
イベントのリスト
A
表 A-4 イベントのリスト (続き)
名前
説明
CloudEncryption.Decrypt
設定された復号アルゴリズムとパラ
メーターに指定されたパスワードで
データを復号します。
パラメーター
このイベントは、異なる設定とパスワ
ードで数回実行されます。このため、
復号も数回実行されます。
このイベントに対する呼び出しの順
番は、暗号化イベントの呼び出しと逆
になります。
Connection.Mark
接続マークを設定します。
数値: 接続数
DSCP.Mark.Request
IP ヘッダー フィールドを設定しま
す。
Number: Value of the
DSCP header field
このフィールドは、DSCP ヘッダー
フィールドといいます。データ パケ
ットが Web Gateway から要求され
た Web サーバーに送信されると、
DSCP (Differentiated Services
Code Point) をサポートするネット
ワーク デバイスで評価されます。
このフィールドには、0 から 63 まで
の番号を設定できます。
このフィールドは、HTTP(S) 接続で
送信された要求に対してのみ設定さ
れます。
このフィールドをイベントで設定す
る場合、適用する Web Gateway ル
ールに応じて、DSCP をサポートする
ネットワーク デバイス (ルーターな
ど) の情報を指定できます。
この方法でヘッダー フィールドを使
用するには、ネットワーク デバイス
が正しく設定されている必要があり
ます。
たとえば、ストリーミング メディア
のルールを適用する場合、ヘッダー
フィールドを特定の値に設定すると、
ルーターがデータ パケットを直接ル
ーティングし、接続が調整されます。
また、ネットワーク デバイスがある
程度の負荷分散を行うように、ヘッダ
ー フィールドを設定することもでき
ます。
McAfee Web Gateway 7.6.2
Product Guide
675
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
DSCP.Mark.Response
IP ヘッダー フィールドを設定しま
す。
Number: Value of the
DSCP header field
このフィールドは、DSCP ヘッダー
フィールドといいます。データ パケ
ットが Web Gateway からクライア
ントに戻されると、DSCP
(Differentiated Services Code
Point) をサポートするネットワーク
デバイスで評価されます。
このヘッダー フィールドには、0 か
ら 63 までの番号を設定できます。
このヘッダー フィールドは、
HTTP(S) 接続で送信された応答に対
してのみ設定されます。
このヘッダー フィールドをイベント
で設定する場合、適用する Web
Gateway ルールに応じて、DSCP を
サポートするネットワーク デバイス
(ルーターなど) の情報を指定できま
す。
この方法でヘッダー フィールドを使
用するには、ネットワーク デバイス
が正しく設定されている必要があり
ます。
DXL.Event
Web セキュリティ トピックに関す
る DXL メッセージを購読者に送信
します。
1 文字列: 情報を送信す
るトピック
2 文字列: トピックに関
して送信する情報
Email.Send
電子メールを送信します。
1 文字列: 受信者
2 文字列: 件名
3 文字列: 本文
キャッシュを有効にする
Web キャッシュを有効にします。
CompositeOpener を有効にする
Composite Opener を有効にしま
す。
データ トリックルを有効にする
データ トリックルを有効にします。
Enable FTP Upload Progress Indication
Web へのファイルのアップロードが
実行中であることを通知し、FTP ク
ライアントに対する応答の送信を有
効にします。
ウイルスやマルウェアのスキャンで
Web Gateway の処理に時間がかか
る場合があります。この設定を行う
と、このような場合でも FTP クライ
アントでのタイムアウトを防ぐこと
ができます。
HTML Opener を有効にする
676
McAfee Web Gateway 7.6.2
HTML Opener を有効にします。
Product Guide
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
メディア ストリーム スキャナーを有効にする
McAfee Gateway マルウェア対策
エンジンが提供するメディア ストリ
ーム スキャナーを有効にします。
ネクスト ホップ プロキシを有効にする
ネクスト ホップ プロキシの使用を
有効にします。
送信元 IP のオーバーライドを有効にする
異なる送信元 IP アドレスを 1 つの
IP アドレスに置換します。
進行状況ページを有効にする
進行状況ページの表示を有効にしま
す。
RuleEngine 追跡を有効にする
ルール処理モジュール (ルール エン
ジン) が完了したアクティビティの
追跡を有効にします。
CA を持つ SSL クライアント コンテキストを有
効にする
証明機関によって発行されるクライ
アント証明書の送信を有効にします。
CA なしで SSL クライアント コンテキストを有
効にする
証明機関によって発行されていない
クライアント証明書の送信を有効に
します。
SSL スキャナーを有効にする
SSL スキャニングのモジュールを有
効にします。
SafeSearchEnforcer を有効にする
SafeSearchEnforcer を有効にしま
す。
プロキシ制御を有効にする
プロキシ制御を有効にする
FileSystemLogging.WriteDebugEntry
デバッグ エントリを書き込みます。 1 文字列: デバッグ エン
トリ
文字列リスト: 他の IP
アドレスの置換に使用す
る IP アドレスを文字列
形式で記述しているリス
ト
2 ブール: true の場合、
エントリは stdout に
書き込まれます。
FileSystemLogging.WriteLogEntry
エントリをログに書き込みます。
文字列: ログ エントリ
HTMLElement.InsertAttribute
Inserts an attribute into an
HTML element.
1 文字列: 属性名
HTMLElement.RemoveAttribute
HTML 要素から属性を削除します。
文字列: 属性名
HTMLElement.SetAttributeValue
Sets an attribute to a value.
1 文字列: 属性名
2 文字列: 属性値
2 文字列: 属性を設定す
る値
Header.Add
Header.AddMultiple
McAfee Web Gateway 7.6.2
Adds a header to a request or
response.
1 文字列: ヘッダー名
Adds a header with a list of
values to a request or response.
1 文字列: ヘッダー名
2 文字列: ヘッダー値
2 文字列のリスト: ヘッ
ダー値のリスト
Product Guide
677
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Header.Block.Add
Adds a block header to a
request or response.
1 文字列: ヘッダー名
Adds a block header with a list
of values to a request or
response.
1 文字列: ヘッダー名
Header.Block.AddMultiple
2 文字列のリスト: ヘッ
ダー値のリスト
Header.Block.RemoveAll
要求または応答から特定の名前を持 文字列: ヘッダー名
つすべてのブロック ヘッダーを削除
します。
Header.ICAP.Response.Add
Adds a header to an ICAP
response.
1 文字列: ヘッダー名
Adds a header with a list of
values to an ICAP response.
1 文字列: ヘッダー名
Header.ICAP.Response.RemoveAll
ICAP 応答 から特定の名前を持つす
べてのヘッダーを削除します。
文字列: ヘッダー名
Header.RemoveAll
要求または応答から特定の名前のす
べてのヘッダーを削除します。
文字列: ヘッダー名
Header.Response.Add
ブロック アクションが生成したペー
ジにヘッダーを追加します。
HTTP.GenerateResponse
要求サイクルで発生した要求に対し
て応答を生成します。
文字列: 応答本体
HTTP.SetStatus
応答サイクルの最後で HTTP ステー
タス コードを設定します。
数値: HTTP ステータス
コード
ICAP.AddRequestInformation
Adds information to an ICAP
request.
1 文字列: 要求名
Header.ICAP.Response.AddMultiple
2 文字列: ヘッダー値
2 文字列のリスト: ヘッ
ダー値のリスト
2 文字列: 追加された情
報
MediaType.Header.FixContentType
メディア本文の検査後に元のヘッダ
ーと本文が一致しないことが判明し
た場合、メディア タイプ ヘッダーを
適切なヘッダーに置き換えます。
通知
通知レベルのエントリを syslog に
書き込みます。
文字列: ログ エントリ
PDStorage.AddGlobalData.Bool
Adds global variable of type
Boolean.
1 文字列: 変数キー
Adds global variable of type
Category.
1 文字列: 変数キー
Adds global variable of type
Dimension.
1 文字列: 変数キー
PDStorage.AddGlobalData.Category
PDStorage.AddGlobalData.Dimension
678
2 文字列: ヘッダー値
McAfee Web Gateway 7.6.2
2 ブール: 変数値
2 カテゴリ: 変数値
2 ディメンション: 変数
値
Product Guide
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage. AddGlobalData.Hex
Adds global variable of type
Hex.
1 文字列: 変数キー
Adds global variable of type IP.
1 文字列: 変数キー
PDStorage. AddGlobalData.IP
2 16 進数値: 変数値
2 IP: 変数値
PDStorage.AddGlobalData.IPRange
PDStorage.AddGlobalData.List.Category
PDStorage. AddGlobalData.List. Dimension
PDStorage.AddGlobalData.List.Hex
PDStorage. AddGlobalData.List.IP
PDStorage. AddGlobalData.List.IPRange
PDStorage.AddGlobalData.List.MediaType
PDStorage. AddGlobalData.List. Number
PDStorage. AddGlobalData.List. String
PDStorage. AddGlobalData.List. Wildcard
PDStorage. AddGlobalData. MediaType
PDStorage. AddGlobalData.Number
McAfee Web Gateway 7.6.2
Adds global variable of type
IPRange.
1 文字列: 変数キー
Adds global variable of type List
of Category.
1 文字列: 変数キー
Adds global variable of type List
of Dimension.
1 文字列: 変数キー
Adds global variable of type List
of Hex.
1 文字列: 変数キー
Adds global variable of type List
of IP.
2 IPRange: 変数値
2 カテゴリのリスト: 変
数値
2 ディメンションのリス
ト: 変数値
2 16 進数値のリスト:
変数値
1 文字列: 変数キー
2 IP のリスト: 変数値
Adds global variable of type List
of IPRange.
1 文字列: 変数キー
Adds global variable of type List
of MediaType.
1 文字列: 変数キー
Adds global variable of type List
of Number.
1 文字列: 変数キー
Adds global variable of type List
of String.
1 文字列: 変数キー
Adds global variable of type List
of Wildcard Expression.
1 文字列: 変数キー
Adds global variable of type
MediaType.
1 文字列: 変数キー
Adds global variable of type
Number.
1 文字列: 変数キー
2 IPRange のリスト:
変数値
2 MediaType のリスト:
変数値
2 数値のリスト: 変数値
2 文字列のリスト: 変数
値
2 ワイルドカード式のリ
スト: 変数値
2 MediaType: 変数値
2 数値: 変数値
Product Guide
679
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage. AddGlobalData.String
Adds global variable of type
String.
1 文字列: 変数キー
Adds global variable of type
Wildcard Expression.
1 文字列: 変数キー
Adds user variable of type
Boolean.
1 文字列: 変数キー
Adds user variable of type
Category.
1 文字列: 変数キー
Adds user variable of type
Dimension.
1 文字列: 変数キー
Adds user variable of type Hex.
1 文字列: 変数キー
PDStorage. AddGlobalData. Wildcard
PDStorage. AddUserData.Bool
PDStorage. AddUserData.Category
PDStorage. AddUserData. Dimension
PDStorage. AddUserlData.Hex
2 文字列: 変数値
2 ワイルドカード式: 変
数値
2 ブール: 変数値
2 カテゴリ: 変数値
2 ディメンション: 変数
値
2 16 進数値: 変数値
PDStorage. AddUserData.IP
Adds user variable of type IP.
1 文字列: 変数キー
2 IP: 変数値
PDStorage. AddUserData.IPRange
680
Adds user variable of type
IPRange.
1 文字列: 変数キー
2 IPRange: 変数値
PDStorage. AddUserData.List. Category
Adds user variable of type List of 1 文字列: 変数キー
Category.
2 カテゴリのリスト: 変
数値
PDStorage. AddUserData.List. Dimension
Adds user variable of type List of 1 文字列: 変数キー
Dimension.
2 ディメンションのリス
ト: 変数値
PDStorage. AddUserData.List.Hex
Adds user variable of type List of 1 文字列: 変数キー
Hex.
2 16 進数値のリスト:
変数値
PDStorage. AddUserData.List.IP
Adds user variable of type List of 1 文字列: 変数キー
IP.
2 IP のリスト: 変数値
PDStorage.AddUserData.List.IPRange
Adds user variable of type List of 1 文字列: 変数キー
IPRange.
2 IPRange のリスト:
変数値
PDStorage.AddUserData.List.MediaType
Adds user variable of type List of 1 文字列: 変数キー
MediaType.
2 MediaType のリスト:
変数値
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
PDStorage.AddUserData.List.Number
Adds user variable of type List of 1 文字列: 変数キー
Number.
2 数値のリスト: 変数値
PDStorage.AddUserData.List.String
Adds user variable of type List of 1 文字列: 変数キー
String.
2 文字列のリスト: 変数
値
PDStorage.AddUserData.List.Wildcard
Adds user variable of type List of 1 文字列: 変数キー
Wildcard Expression.
2 ワイルドカード式のリ
スト: 変数値
PDStorage.AddUserData.MediaType
Adds user variable of type
MediaType.
1 文字列: 変数キー
Adds user variable of type
Number.
1 文字列: 変数キー
Adds user variable of type
String.
1 文字列: 変数キー
Adds user variable of type
Wildcard Expression.
1 文字列: 変数キー
PDStorage.AddUserData.Number
PDStorage.AddUserData.String
PDStorage.AddUserData.Wildcard
パラメーター
2 MediaType: 変数値
2 数値: 変数値
2 文字列: 変数値
2 ワイルドカード式: 変
数値
PDStorage.Cleanup
永続的に保存されているデータをク
リーンアップします。
PDStorage.DeleteAllUserData
永続的に保存されているユーザー デ
ータをすべて削除します。
PDStorage.DeleteGlobalData
特定のタイプの永続的に保存された 文字列: 変数キー
グローバル変数をすべて削除します。
PDStorage.DeleteUserData
特定のタイプの永続的に保存された
ユーザー変数をすべて削除します。
ProtocolDetector.ApplyFiltering
Web Gateway でサポートされるプ
ロトコルで転送される Web トラフ
ィックの Web フィルタリング ルー
ルを適用します。
SNMP.Send.Trap.Application
アプリケーション情報を含む SNMP
トラップ メッセージを送信します。
SNMP.Send.Trap.System
システム情報を含む SNMP トラップ
メッセージを送信します。
SNMP.Send.Trap.User
ユーザー情報を含む SNMP トラップ 1 数値: ユーザー ID
メッセージを送信します。
2 文字列: メッセージ本
文
McAfee Web Gateway 7.6.2
文字列: 変数キー
Product Guide
681
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
SNMP.Send.Trap.UserHost
ユーザーのホストに関する情報を含
む SNMP トラップ メッセージを送
信します。
1 数値: ユーザー ID
2 文字列: メッセージ本
文
3 IP: ホストの IP アド
レス
SSO.AddCredentials
クラウド アプリケーションのシング 1 文字列: ID プロバイ
ル サインオン プロセスにログオン
ダー
するユーザーに新しい認証情報を作
2 文字列: ユーザー名
成します。
ユーザーを認証するため、ID プロバ 3 文字列: クラウド アプ
イダー (IdP) という認証インスタン
リケーション
スが認証情報を評価します (LDAP
や NTLM データベースなどが IDP
4 JSON: JSON 形式の
になります)。
認証情報
新しい認証情報は、ID プロバイダー
のデータベースに保存されます。
SSO.AddServices
1 文字列: ID プロバイ
シングル サインオン プロセスのロ
グオンでユーザーがアプリケーショ
ダー
ンを選択できるように、クラウド ア
2 文字列: ユーザー名
プリケーションを準備します。
クラウド アプリケーショ
ンは、クラウド サービスと
もいいます。
SSO.DeleteCredentials
3 リスト: クラウド アプ
リケーションのリスト
クラウド アプリケーションのシング 1 文字列: ID プロバイ
ル サインオン プロセスにログオン
ダー
するユーザーの認証情報を削除しま
2 文字列: ユーザー名
す。
ユーザーを認証するため、ID プロバ 3 文字列: クラウド アプ
イダー (IdP) という認証インスタン
リケーション
スが認証情報を評価します (LDAP
や NTLM データベースなどが IDP
4 JSON: JSON 形式の
になります)。
認証情報
新しい認証情報は、ID プロバイダー
のデータベースに保存されます。
682
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
SSO.ProcessFormLogin
シングル サインオン プロセスでク
ラウド アプリケーションへのログイ
ンを実行するため、フォーム形式でユ
ーザーに送信したデータを処理しま
す。
パラメーター
ログオン フォームに以下のいずれか
の処理が実行されます。
• POST 要求でクラウド アプリケー
ションにログオン フォームを送信
すると、ログオン フォームに挿入
されたパスワード トークンが、シ
ングル サインオンを要求したユー
ザーの本物のパスワードで置換さ
れます。
• ブラウザーから GET 要求を送信
してユーザーのログオン フォーム
を要求すると、フォームにスクリプ
ト コードを挿入して情報を入力
し、クラウド アプリケーションに
転送します。
これは、シングル サインオン プロセ
スにプロキシ (インライン) モードが
設定されている場合にのみ実行され
ます。
SSO.UpdateCredentials
クラウド アプリケーションのシング 1 文字列: ID プロバイ
ル サインオン プロセスにログオン
ダー
するユーザーの認証情報を更新しま
2 文字列: ユーザー名
す。
ユーザーを認証するため、ID プロバ 3 文字列: クラウド アプ
イダー (IdP) という認証インスタン
リケーション
スが認証情報を評価します (LDAP
や NTLM データベースなどが IDP
4 JSON: JSON 形式の
になります)。
認証情報
新しい認証情報は、ID プロバイダー
のデータベースに保存されます。
Statistics.Counter.Increment
カウンターの値を増やします。
Statistics.Counter.Reset
カウンターをリセットします。
文字列: カウンター名
Stopwatch.Reset
ルールセットの処理時間を測定する
内部時計を 0 に設定します。
文字列: ルール セット名
Stopwatch.Start
ルールセットの処理時間を測定する
内部時計を開始します。
文字列: ルール セット名
Stopwatch.Stop
ルールセットの処理時間を測定する
内部時計を停止します。
文字列: ルール セット名
McAfee Web Gateway 7.6.2
Product Guide
683
A
構成リスト
インシデント ID のリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Syslog
syslog にエントリを書き込みます。 1 数値: ログ レベル
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 – 情報
7 – デバッグ
2 文字列: ログ エントリ
Throttle.Client
Limits the speed (in Kbps) of
Number: Speed limit
data transfer from a client to the
appliance.
Throttle.Server
Limits the speed (in Kbps) of
data transfer from a web server
to the appliance.
Number: Speed limit
TIE: Report File Reputation
Sends a file reputation score to
a TIE server.
Number: File
reputation score
インシデント ID のリスト
以下の表に、ルールに使用できるインシデント ID のリストを示します。
インシデント ID は次の数値範囲にグループ化されます。
684
1-199
アプライアンス システムに関連するインシデント
200-299
コア サブシステム インシデント
300-399
モジュール インシデントの更新
400-499
ウイルスおよびマルウェア フィルタリングのインシデント
500-599
ログ ファイル マネージャーのインシデント
600-699
sysconfd デーモンのインシデント
700-799
プロキシ モジュールのインシデント
800-899
ウイルスおよびマルウェア フィルタリングのインシデント
900-999
認証インシデント
1000-1099
URL フィルタリング インシデント
1100-1199
クォータの管理インシデント
1200-1299
SSL 証明書インシデント
1300-1399
ICAP クライアント インシデント
1400-1499
メディア タイプ フィルタリング インシデント
1500-1599
オープナー インシデント
1600-1699
SSL 証明書チェーン インシデント
1700-1799
ユーザー インターフェース インシデント
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
インシデント ID のリスト
1800-1849
外部リストのインシデント
1850-1899
アプリケーション フィルタリング インシデント
1900-1999
Data Loss Prevention (DLP) インシデント
2000-2099
ストリーミング メディア フィルタリング インシデント
2100-2199
メディア タイプ フィルタリング インシデント
2200-2299
Dynamic Content Classifier インシデント
2300-2399
シングル サインオン サービスのインシデント
2400-2499
クラウド ストレージ暗号化のインシデント
2500-2549
認証情報ストア インシデント
2550-2599
シングル サインオン (SSO) のインシデント
2650-2699
Cloud Access Security Broker (CASB) カタログのインシデント
3000-3200
集中管理インシデント
3200-3399
Web Hybrid インシデント
3400-3499
Web SaaS コネクター インシデント
3500-3599
プロトコル ディテクター オプション
表 A-5 インシデント ID のリスト
インシデン
ト ID
説明
5
インシデント プロパティを使用するルールが実行されまし 1 システム
た。
7
20
RAID モニタリングが重大ステータスまたは 1 つ以上のハ
ード ディスクへの障害を報告しました。
1 正常性モニター
4 (ま
たは
ハー
ドデ
ィス
クの
失敗
では
3)
21
S.M.A.R.T 正常性確認は HDD ハード ディスクのエラー
をレポートしました。
1 正常性モニター
4
22
ファイル システムの使用率が構成されている限界値を越え 1 正常性モニター
ています。
4
23
メモリーの使用率が構成されている限界値を越えています。 1 正常性モニター
4
24
システム負荷が構成されている限界値を越えています。
1 正常性モニター
4
26
BBU RAID エラーを検出するためにチェックが実行されま 1 正常性モニター
した。チェックの間隔は 30 分です。
4
200
ライセンス期限日が確認されました。
2 コア
6
201
アプライアンスは、すべての FIPS 140-2 セルフテストを 2 コア
正常に完了しました。
6
211
ダッシュボード レポート x のエントリの最大数を超えまし 2 統計
た。
4
298
製品 x の更新が成功しました。
2 コア
6
299
製品 x の更新に失敗しました。
2 コア
3
250
リストのエントリが無効であるか、無視されます。
2 コア
3
McAfee Web Gateway 7.6.2
元の場所の数値および名前
Product Guide
重大
度
685
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
686
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
301
ディスクの空き容量が十分でないため更新ファイルのダウ
ンロードを停止しました。
3 アップデーター
3
302
製品 x のダウンロードがノード y で失敗しました。
3 アップデーター
3
303
製品 x の更新がノード y で失敗しました。
3 アップデーター
3
304
ノード y の製品 x のステータスは最新のものです。
3 アップデーター
3
305
更新モジュールは更新サーバーに接続できませんでした。
3 アップデーター
3
321
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
322
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
323
顧客の購読リスト x の更新がノード y で成功しました。
3 顧客購読リスト マネージャー 6
324
顧客の購読リスト x の更新がノード y、z、... で成功しま
した。
3 顧客購読リスト マネージャー 3
325
ノード y の顧客購読リスト x のステータスは最新のもので 3 顧客購読リスト マネージャー 6
す。
326
顧客の購読リスト x のダウンロードがノード y、z、... で
失敗しました。
327
McAfee の購読リスト x のダウンロードがノード y、z、... 3 アップデーター
で失敗しました。
3
328
McAfee の購読リスト x の更新がノード y、z、... で失敗
しました。
3 アップデーター
3
329
ノード y、z、... の McAfee 購読リスト x のステータスは 3 アップデーター
最新のものです。
6
330
McAfee の購読リスト x の更新がノード y で成功しまし
た。
3 アップデーター
6
331
スケジュール設定されたのジョブ x の処理に成功しました
3 スケジュール設定されたジョ
ブ マネージャー
6
332
スケジュール設定されたジョブ x の処理に失敗しました
3 スケジュール設定されたジョ
ブ マネージャー
3
333
更新可能なシステム リストの更新がノード y で失敗しまし 3 Central Updater
た。
3
334
更新可能なシステム リストの更新がノード y で成功しまし 3 Central Updater
た。
6
335
ノード y の更新可能なシステム リストのステータスは最新 3 Central Updater
のものです。
6
340-349
種々の理由で移行に失敗します。
3 移行
6
500
ログ マネージャーで回復不能な内部エラーが発生しまし
た。ログ マネージャーが終了します。
5 ログ ファイル マネージャー
2
501
ログ ファイル マネージャーはログ ファイルのプッシュに
失敗しました。
5 ログ ファイル マネージャー
3
600
yum の更新に含まれるパッケージを有効にするには、アプ 6 mwg-update
ライアンスを再起動する必要があります。
4
601
yum の更新が正常に完了しました。
6 mwg-update
5
602
yum の更新に失敗しました。
6 mwg-update
3
McAfee Web Gateway 7.6.2
3 顧客購読リスト マネージャー 3
Product Guide
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
620
メジャー ディストリビューションのアップグレードが正常 6 mwg-dist-upgrade
に完了しました。
5
621
メジャー ディストリビューションのアップグレードが実行 6 mwg-dist-upgrade
中です。 アプライアンスは自動的に再起動します。
4
622
メジャー ディストリビューションのアップグレードに失敗 6 mwg-dist-upgrade
しました。 アップグレード ログ ファイルを確認してくだ
さい。
3
666
FIPS 140-2 自己テストがノード y で失敗しました。ノ
ードは非 FIPS モードで実行中です。
1 FIPS
0
700
並列の接続数が構成されている負荷制限を越えています。
アプライアンスは過負荷状態になりました。アプライアン
スに送信された要求は遅れて受け入れられます。
2 プロキシ
2
701
アプライアンスが 30 秒以上過負荷状態です。アプライア
ンスに送信された要求は遅れて受け入れられます。
2 プロキシ
2
702
アプライアンスは過負荷状態から解除されました。アプラ
イアンスに送信された要求は遅れることなく受け入れられ
ます。
2 プロキシ
4
703
並列の接続数が構成されている高負荷制限を越えています。 2 プロキシ
アプライアンスは高負荷状態になりました。アプライアン
スに送信された要求は遅れて受け入れられます。
4
704
アプライアンスは 30 秒以上高負荷状態です。アプライア
ンスに送信された要求は遅れて受け入れられます。
2 プロキシ
4
705
並列の接続数が構成されている高負荷制限の 85 % 未満に 2 プロキシ
下がりました。アプライアンスはまだ高負荷状態です。ア
プライアンスに送信された要求は遅れて受け入れられます。
6
710
ネクスト ホップ プロキシ サーバーはダウンしていて、n 秒 2 プロキシ
間利用できません。
4
711
アプライアンスはネクストホップ プロキシ サーバーに接
続できませんでした。
2 プロキシ
4
712
ネクストホップ プロキシ サーバーはエラー状態から通常
の動作に戻りました。
2 プロキシ
6
720
IP アドレス x、ポート y のリスナーを開けませんでした。 2 プロキシ
2
730
プロキシ モード構成の変更にはアプライアンスの再起動が 2 プロキシ
必要です。
2
740
並列接続数が IFP プロキシに構成されている過負荷制限を
超えています。過負荷状態になりました。新しい要求が処
理されません。
2 プロキシ
2
741
過負荷状態は IFP プロキシに対して 30 秒以上続きます。
新しい要求が処理されません。
2 プロキシ
2
742
IFP プロキシの過負荷状態が終了しました。要求は遅延な
く再び受け付けます。
2 プロキシ
4
743
並列接続数が IFP プロキシに構成されている高負荷制限を
超えています。過負荷状態になりました。新しい要求が処
理されません。
2 プロキシ
4
744
高負荷状態は IFP プロキシに対して 30 秒以上続きます。
新しい要求が処理されません。
2 プロキシ
4
McAfee Web Gateway 7.6.2
元の場所の数値および名前
Product Guide
重大
度
687
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
688
インシデン
ト ID
説明
745
並列接続数が IFP プロキシに構成されている高負荷制限の 2 プロキシ
85% 未満に減りました。引き続き高付加状態にあります。
要求は遅れて受け付けられます。
6
750
アプライアンス側のエラーのため、HSM エージェントのキ 2 プロキシ
ーを読み込めません。
2
751
エージェント側のエラーのため、HSM エージェントのキー 2 プロキシ
を読み込めません。
2
752
アプライアンス側のエラーのため、HSM エージェントのキ 2 プロキシ
ー ID を読み込めません。
2
753
エージェント側のエラーのため、HSM エージェントのキー 2 プロキシ
ID を読み込めません。
2
760
WCCP リスナーを開始できません。
2 プロキシ
2
761
WCCP が送信スレッドとリスナー スレッドを開始できま
せん。
2 プロキシ
2
762
WCCP がルーター アドレス <ホスト> を解決できません。 2 プロキシ
3
763
WCCP がマルチキャスト グループ <ホスト> に参加でき
ません。
2 プロキシ
3
764
WCCP ソケットの読み込み中または書き込み中にエラーが 2 プロキシ
発生しました。
3
765
WCCP ルーター <ホスト> の認証に失敗しました。
2 プロキシ
3
766
WCCP メッセージの解析に失敗し、不正なパケットが作成 2 プロキシ
されました。
3
767
WCCP サービス ID またはグループが見つかりません。
2 プロキシ
3
768
サービス ID の WCCP ルーターが追加されました。
2 プロキシ
6
769
サービス ID の WCCP ルーターが削除されました。
2 プロキシ
6
850
ウイルスとマルウェア フィルタリングの MGAM モジュー
ルの更新が正常に完了しました。
2 マルウェア対策フィルター
6
851
ウイルスとマルウェア フィルタリングの MGAM モジュー
ルの更新に失敗しました。
2 マルウェア対策フィルター
3
852
MGAM モジュールの更新ファイルのダウンロードまたは検 2 マルウェア対策フィルター
証に失敗しました。
3
853
ウイルスとマルウェア フィルタリングの MGAM モジュー
ルのバージョンは最新のものです。
2 マルウェア対策フィルター
6
854
ウイルスとマルウェア フィルタリングの Ariva モジュール 2 マルウェア対策フィルター
の更新が正常に完了しました。
6
855
ウイルスとマルウェア フィルタリングの Avira モジュール 2 マルウェア対策フィルター
の更新に失敗しました。
3
856
Avira モジュールの更新ファイルのダウンロードまたは検
証に失敗しました。
2 マルウェア対策フィルター
3
857
ウイルスとマルウェア フィルタリングの Avira モジュール 2 マルウェア対策フィルター
のバージョンは最新のものです。
6
901
アプライアンスは Windows ドメイン x の NTML 認証の
ため n サーバーに接続されています。
6
McAfee Web Gateway 7.6.2
元の場所の数値および名前
2 NTLM 認証フィルター
Product Guide
重大
度
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
902
アプライアンスは Windows ドメイン x の NTML 認証の
ため n サーバーに接続できませんでした。
2 NTLM 認証フィルター
4
903
アプライアンスは NTLM 認証のため Windows ドメイン x 2 NTLM 認証フィルター
と通信できませんでした。
3
910
アプライアンスは構成 ID n で LDAP サーバーに接続され
ます。
2 LDAP 認証フィルター
6
912
アプライアンスは構成 ID n で LDAP サーバーから切断さ
れました。
2 LDAP 認証フィルター
4
913
アプライアンスは構成 ID n で LDAP サーバーに接続でき
ませんでした。
2 LDAP 認証フィルター
3
920
認証ユーザーの情報を取得するために、コミュニケーション 2 RADIUS 認証フィルター
を開始しようと試みた後で、RADIUS サーバー x から応答
を受け取りました。
6
921
コミュニケーションが中断された後で、RADIUS サーバー 2 RADIUS 認証フィルター
x から応答をもう一度受け取りました。
6
923
RADIUS サーバー x への認証要求の送信され、タイムアウ 2 RADIUS 認証フィルター
トになりました。
3
931
アプライアンスは NTLM-Agent サーバー x に接続されま
した。
2 NTLM エージェント認証フィ
ルター
6
932
アプライアンスは NTLM-エージェント サーバー x から切
断されました。
2 NTLM エージェント認証フィ
ルター
3
933
アプライアンスは NTLM エージェント サーバー x に接続
できませんでした。
2 NTLM エージェント認証フィ
ルター
3
940
証明書失効リストの更新が正常に完了しました。
2 認証フィルター
6
941
証明書失効リストの更新に失敗しました。
2 認証フィルター
4
942
証明書失効リストのダウンロードに失敗しました。
2 認証フィルター
4
943
証明書失効リストのステータスは最新のものです。
2 認証フィルター
6
1050
URL フィルター モジュールの更新が正常に完了しました。 2 URL フィルター
6
1051
URL フィルター モジュールの更新に失敗しました。
2 URL フィルター
3
1052
URL フィルター モジュールの更新ファイルのダウンロー
ドまたは検証に失敗しました。
2 URL フィルター
3
1053
URL フィルター モジュールのステータスは最新のもので
す。
2 URL フィルター
6
1650
更新された証明書失効リストが正常にダウンロードされ、ロ 2 証明書チェーン フィルター
ードされました。
6
1651
更新された証明書失効リストがダウンロードされましたが、 2 証明書チェーン フィルター
ロードできませんでした。
4
1652
更新された証明書失効リストをダウンロードできませんで
した。
2 証明書チェーン フィルター
3
1653
すべての証明書失効リストのステータスは最新のものです。 2 証明書チェーン フィルター
6
1700
管理者ユーザーがユーザー インターフェースに正常にログ 7 ユーザー インターフェース
インしました。
4
1701
管理者ユーザーがユーザー インターフェースへのユーザー 7 ユーザー インターフェース
のログオンに失敗しました。
3
McAfee Web Gateway 7.6.2
Product Guide
689
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
690
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
1702
エンド ユーザーが要求を送信したクライアントの IP アド
レスが変更されました。
7 ユーザー インターフェース
4
1703
管理者ユーザーがユーザー インターフェースに正常にログ 7 ユーザー インターフェース
オフしました。
6
1704
アプライアンスの再起動、タイムアウトまたは類似したイン 7 ユーザー インターフェース
シデントが発生した後で、管理者ユーザーがユーザー イン
ターフェースから強制的にログオフされました。
6
1710
管理者ユーザーが正常に変更を保存しました。
7 ユーザー インターフェース
6
1711
管理者ユーザーが変更の保存に失敗しました。
7 ユーザー インターフェース
3
1800
外部リストから取得できたエントリの数が構成された制限
を超えました。
2 外部リスト フィルター
4
1801
外部リストから取得できたエントリのデータ量が構成され
た制限を超えました。
2 外部リスト フィルター
4
1802
データが外部リストから取得されたときにエラーが発生し
ました。
2 外部リスト フィルター
4
1803
外部リストから取得されたデータが返還されたときにエラ
ーが発生しました。
2 外部リスト フィルター
4
1804
データが外部リストから取得されたときにタイムアウト エ 2 外部リスト フィルター
ラーが発生しました。
4
1805
外部リストからデータを取得する権限が拒否されました。
2 外部リスト フィルター
4
1806
外部リスト データから取得するリソースを見つけることが 2 外部リスト フィルター
できませんでした。
4
1850
アプリケーション フィルタリングのデータベースの更新が 2 Application Control
正常に完了しました。
6
1851
アプリケーション フィルタリングのデータベースの更新に 2 Application Control
失敗しました。
3
1852
アプリケーション フィルタリングのデータベースのダウン 2 Application Control
ロードに失敗しました。
3
1853
アプリケーション フィルタリングのデータベースのステー 2 Application Control
タスは最新のものです。
6
1854
アプリケーション フィルタリングのデータベースのロード 2 Application Control
に失敗しました。
3
1855
アプリケーション フィルタリングのデータベースのロード 2 Application Control
が正常に完了しました。
6
1950
Data Loss Prevention (DLP) モジュールの更新が正常に
完了しました。
2 Data Loss Prevention
6
1951
Data Loss Prevention (DLP) モジュールの更新に失敗し
ました。
2 Data Loss Prevention
3
1952
Data Loss Prevention (DLP) モジュールの更新ファイル
のダウンロードまたは検証に失敗しました。
2 Data Loss Prevention
3
1953
Data Loss Prevention (DLP) のステータスは最新のもの
です。
2 Data Loss Prevention
6
2001
ストリーム ディテクター モジュールでエラーが発生しま
した。
2 ストリーム ディテクター
2
2101
メディア タイプ フィルタリングのデータベースをロード
できませんでした。
2 メディア タイプ フィルター
2
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
2200
Dynamic Content Classifier の更新が正常に完了しまし
た。
2 Dynamic Content
Classifier
6
2201
Dynamic Content Classifier の更新に失敗しました。
2 Dynamic Content
Classifier
3
2202
Dynamic Content Classifier の更新ファイルのダウンロ
ードまたは検証に失敗しました。
2 Dynamic Content
Classifier
3
2203
Dynamic Content Classifier のステータスは最新のもの
です。
2 Dynamic Content
Classifier
6
2350
シングル サインオン プロセスのファイルが正常に更新さ
れました。
3 シングル サインオン サービ
ス
6
2351
シングル サインオン プロセスのファイルが更新できませ
んでした。
3 シングル サインオン サービ
ス
3
2352
シングル サインオン プロセスの更新ファイルのダウンロ
ードまたは検証に失敗しました。
3 シングル サインオン サービ
ス
3
2353
シングル サインオン プロセスは最新の状態です。
3 シングル サインオン サービ
ス
2401
サービス データベースの読み込みに失敗しました。
3 クラウド ストレージ暗号化
2
クラウド ストレージ暗号化モジュールがサポート対象のク
ラウド ストレージ サービスの説明と一緒にファイルを読
み込めない場合、このインシデントが報告されます。
2502
認証情報ストア エクスポート インシデント
認証情報ストアからデータをエクスポートできません。
2503
認証情報ストア インポート インシデント
認証情報ストアにデータをインポートできません。
2510
認証情報ストア インシデント
認証情報ストアでエラーが発生しました。 エラー ログで
インシデント レポートのメッセージと詳細を確認してくだ
さい。
2550
SSO 更新成功
SSO モジュールが正常に更新されました。
2551
SSO 更新失敗
SSO モジュールの更新に失敗しました。
詳細については、エラー ログを参照してください。
2552
SSO ダウンロード エラー
SSO サーバーからファイルをダウンロードできません。
2553
SSO カタログは最新です
更新サーバーに SSO ファイルの新しいバージョンはあり
ません。
2650
SSO カタログ更新成功
SSO コネクター カタログが正常に更新されました。
McAfee Web Gateway 7.6.2
Product Guide
691
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
2651
SSO カタログ更新失敗
元の場所の数値および名前
重大
度
SSO コネクター カタログの更新に失敗しました。
詳細については、エラー ログを参照してください。
2652
SSO カタログ ダウンロード エラー
SSO コネクター カタログ ファイルを更新サーバーからダ
ウンロードできません。
2653
SSO カタログは最新です
更新サーバーに SSO コネクター カタログ ファイルの新し
いバージョンはありません。
3000
3
集中管理構成の 1 つ以上のノードで、ストレージと構成が 3 集中管理
同期されていません。
非同期ノードの変更数
このインシデントはルート ノードにのみ記録されます。
3001
インシデント 3000 が発生した後、すべての集中管理構成
のノードが再度同期されたステータスになります (保管お
よび構成関連)。
3 集中管理
6
3005
共有データの送信後、集中管理構成の 1 つ以上のノードが 3 集中管理
適切に応答しませんでした。
3
変更に対して適切に応答しなかったノード数
このインシデントは、すべてのノードに対して共有データが
送信された場合にのみ、ルート ノードにだけ記録されます。
692
3006
インシデント 3004 が発生した後、すべての集中管理構成
のノードが適切にそれらへの共有データの送信に応答しま
した。
3 集中管理
6
3200
McAfee SaaS Web Protection へのリストの送信が正常
に終了しました。
3 Web Hybrid
6
3201
McAfee SaaS Web Protection へのリストの送信に失敗
しました。
3 Web Hybrid
3
3205
McAfee SaaS Web Protection からリストが正常にダウ
ンロードされ、保存されました。
3 Web Hybrid
6
3206
McAfee SaaS Web Protection からリストがダウンロー
ドされず、保存されませんでした。
3 Web Hybrid
3
3210
同期状態を特定できません。
3 Web Hybrid
3
3211
API バージョンの不一致など、McAfee SaaS Web
Protection の API でエラーが発生しました。
3 Web Hybrid
3
3250
McAfee SaaS Web Protection との同期状態に問題はあ
りません。
3 Web Hybrid
6
3300
Web サービス アクセスのリストが使用できません。原因
は不明です。
2 Web Hybrid
2
3301
Web サービス アクセスのリストが存在しません。
2 Web Hybrid
2
3302
Web サービス アクセスの設定が使用できません。原因は
不明です。
2 Web Hybrid
2
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
3303
Web サービス アクセスの設定が存在しません。
2 Web Hybrid
2
3400
McAfee SaaS Web Protection とポリシーを同期できま
せん。
8 SaaS コネクター
3
3500
プロトコル ディテクター ルール セットが見つからないた
め、読み込めません。
2 プロトコル ディテクター フ
ィルター
2
3501
プロトコル ディテクター ルール セットが壊れているため、 2 プロトコル ディテクター フ
読み込めません。
ィルター
2
プロパティのリスト
以下の表は、ルールで使用できるプロパティのリストです。
プロパティの順序
プロパティはアルファベット順にリストされています。ただし、リストの作成では、プロパティ名の部分を考慮に入
れます。名前の部分は大文字で始まり、多くの場合、ピリオドでも区切られます。
たとえば、Body.HasMimeHeaderParameter は Body.Hash より前に表示されます。
名前が K、O、V、X、Y または Z で始まるプロパティはありません。
SaaS との互換性
SaaS 対応のプロパティは、オンプレミス ユーザーとクラウド ユーザーの Web 利用にセキュリティ ルールを作成
するときに使用できます。 大半のプロパティは SaaS に対応していますが、対応していないプロパティもあります。
非対応のプロパティは、オンプレミス ユーザーのルールでのみ使用できます。
Web Gateway の今後のリリースでは、SaaS 対応のプロパティを増やす予定です。
Web Gateway でルールを作成するときに、SaaS に対応していないプロパティを使用すると、このルールをクラウ
ド用に同期できないことがユーザー インターフェースに表示されます。
いくつかのプロパティは同期可能ですが、これらのプロパティを含むルールがクラウド用に実行されると、プロパテ
ィにはデフォルトの値だけが取得されます。
これらのデフォルト値は、Web セキュリティには無意味な値となります。 たとえば、[Proxy.Port] プロパティの場
合、クラウド用のルールで処理されると、実際のポート番号ではなく 0 が取得されます。
以下のリストでは、SaaS に対応していないプロパティの説明に注釈が付いています。 プロパティを含むルールが同
期可能でも、デフォルト値しか取得されない場合にも、注釈が付いています。
McAfee Web Gateway 7.6.2
Product Guide
693
A
構成リスト
プロパティのリスト
プロパティのコンテキスト
プロパティが使用されるルールとルール セットを簡単に確認できます。
1
ユーザー インターフェースで [検索] をクリックします。[参照するオブジェクトの検索] で [プロパティ] を選
択し、検索するプロパティを選択します。
プロパティを使用するルールが表示されます。たとえば、Antimalware.Infected の場合、[ウイルスを検出
したらブロック] ルールが表示されます。
2
ルールを選択して、[コンテキストを表示] をクリックします。
ルール セットに含まれるルールとプロパティが表示されます。たとえば、Antimalware.Infected のルール
は、[Gateway Anti-Malware] ルール セット内に表示されます。
プロパティ - A
以下の表では、名前が A で始まるプロパティについて説明します。
表 A-6 プロパティ - A
名前
型
説明
パラメーター
Action.Names
文字列リス
ト
要求の処理中に実行されたアクション名の
リスト (要求で受信した応答も含む)
Antimalware.Avira.VersionString
文字列
スキャン ジョブを実行する Avira エンジ
ンのバージョン
Antimalware.Infected
ブール
true の場合、Web オブジェクトで感染が
検出されています。
Antimalware.Proactive.Probability
数値
Web オブジェクトがマルウェアである可
能性
可能性がパーセント (1 から 100 までの
数字) で表示されます。
Antimalware.MATD.GetReport
ブール
true の場合、Advanced Threat Defense
がスキャンする Web オブジェクトにスキ
ャン レポートが存在しています。
このプロパティは SaaS に対応して
いません。
Antimalware.MATD.Hash
694
McAfee Web Gateway 7.6.2
文字列
ダウンロード要求に応じて Web サーバー
が受信し、McAfee Advanced Threat
Defense がスキャンしたファイルの識別
に使用するハッシュ値。
Product Guide
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
型
Antimalware.MATD.InitBackgroundScan ブール
説明
パラメーター
true の場合、現在のトランザクションのデ
ータが記録されています。Web のアクセ
ス要求と Web サーバーからの応答に関す
るデータも記録されます。
数値: スキャ
ンを開始する
内部要求が受
け入れられる
までの最大期
スキャンする Web オブジェクトが要求側 間 (秒)
のユーザーに転送された場合、Advanced
Threat Defense が実行するスキャンの準
備段階でこのデータが記録されます。
スキャンを開始するために、内部要求も送
信されます。
この要求がプロパティのパラメーターで設
定したタイムアウト (秒) の前に拒否され
たため、Advanced Threat Defense が実
行する追加のスキャンが失敗しています。
このプロパティは SaaS に対応して
いません。
Antimalware.MATD.IsBackgroundScan
ブール
true の場合、Advanced Threat Defense
が追加スキャンの準備段階で記録されたデ
ータを使用し、日付で指定された Web オ
ブジェクトのスキャンを実行しています。
このプロパティは SaaS に対応して
いません。
Antimalware.MATD.Probability
数値
Web オブジェクトの悪質さを表す重大度。
低いほうから 1 から 5 で表します。
オブジェクトが McAfee Advanced
Threat Defense でスキャンされると、重
大度が表示されます。
Antimalware.MATD.Report
文字列
Advanced Threat Defense がスキャン
した Web オブジェクトのレポート
このレポートは JSON データ形式で生成
されます。
Antimalware.MATD.Server
文字列
Web オブジェクトのスキャン時に
Advanced Threat Defense を実行して
いたサーバー
サーバーは URL で表されます。例:
http://matdserver300
Antimalware.MATD.TaskID
文字列
Web オブジェクトのスキャン時に
Advanced Threat Defense が実行した
タスクの ID
Antimalware.MATD.VersionString
文字列
スキャン ジョブの実行時に使用されてい
た Advanced Threat Defense のバージ
ョン
Antimalware.MGAM.VersionString
文字列
スキャン ジョブを実行する McAfee
Gateway マルウェア対策エンジンのバー
ジョン
McAfee Web Gateway 7.6.2
Product Guide
695
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
型
説明
パラメーター
Antimalware.VersionString
文字列
Web Gateway がスキャン ジョブの実行
時に使用したウイルス/マルウェア フィル
タリングのエンジンに関するバージョン情
報
Antimalware.VirusNames
文字列リス
ト
Web オブジェクトで検出されたウイルス
名のリスト
AnyText.Language
文字列
指定したテキストの言語名
言語は ISO-639-1 に従って識別されま
す。
文字列: 言語
名の検索に使
用するテキス
ト
Application.IsHighRisk
ブール
true の場合、Web セキュリティでアプリ
ケーションの危険度が高レベルと見なされ
ています。
Application.IsMediumRisk
ブール
true の場合、Web セキュリティでアプリ
ケーションの危険度が中レベルと見なされ
ています。
Application.IsMinimalRisk
ブール
true の場合、Web セキュリティでアプリ
ケーションの危険度が最小レベルと見なさ
れています。
Application.IsUnverified
ブール
true の場合、Web セキュリティでアプリ
ケーションへのアクセスの危険度が確認さ
れていません。
Application.Name
Applcontrol アプリケーションの名前
Application.Reputation
数値
アプリケーションのレピュテーション ス
コア
Application.ToString
文字列
文字列に変換されるアプリケーションの名 Applcontrol:
変換するアプ
前
リケーション
名
Authentication.Authenticate
ブール
true の場合、認証エンジンが呼び出され、
設定済みの方法が適用されています。たと
えば、ユーザーの認証方法が NTLM で、ユ
ーザーが正常に認証されています。
Authentication.IsAuthenticated プ
ロパティと
Authentication.UserName プロパテ
ィにも値が設定されています。
false の場合、設定済みの認証方法が正常
に適用されていません。たとえば、認証情
報が送信されていなかったり、無効な認証
情報が送信されている可能性があります。
このプロパティは SaaS に対応して
いません。
696
Authentication.CacheRemainingTime
数値
認証情報がキャッシュからクリアされるま
での残り時間 (秒)
Authentication.Failed
ブール
true の場合、ユーザーが認証情報を入力し
ていますが、認証に失敗しています。
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
型
説明
パラメーター
Authentication.FailureReason.ID
数値
ユーザーの認証が失敗した理由を表す番号
Authentication.FailureReason.Message
文字列
ユーザーの認証が失敗した理由を表すメッ
セージ テキスト
Authentication.GetUserGroups
文字列リス
ト
認証プロセスが適用されるユーザー グル
ープのリスト
このプロパティは SaaS に対応して
いません。
Authentication.GetUserGroups.JSON
JSON
認証プロセスが適用されるユーザー グル
ープのリスト (JSON オブジェクト)
このプロパティは SaaS に対応して
いません。
Authentication.ICEToken.Attributes
リスト
ICE トークンから取得される追加属性のリ
スト
Authentication.ICEToken.Audiences
リスト
ICE トークンから取得される対象のリスト
Authentication.ICEToken.Subject
文字列
ICE トークンから取得されるサブジェクト
Authentication.IsAuthenticated
ブール
true の場合、ユーザーの認証に成功してい
ます。
Authentication.IsLandingOnServer
ブール
true の場合、ユーザーに Cookie の認証が
適用されています。
Authentication.IsServerRequest
ブール
true の場合、認証サーバーによる認証がユ
ーザーに要求されています。
Authentication.Method
文字列
ユーザーの認証方法。例: LDAP
Authentication.OTP.Context
文字列
暗号化形式でワンタイム パスワード ユー
ザーを確認するために必要な情報
Authentication.SendOTP イベントが
実行されると、この値がプロパティに設定
されます。
認証サーバー (OTP を使用した時間/IP ベ
ースのセッションまたは許可オーバーライ
ド) ライブラリ ルール セットのルールが
処理されると、HTTP プロトコルの応答ヘ
ッダーに情報が送信されます。
このプロパティは SaaS に対応して
いません。
Authentication.RawCredentials
文字列
クライアントまたはネットワークの他のイ
ンスタンスからアプライアンスが受信した
形式のユーザー認証情報
このプロパティをルールの設定で使用する
と、単純な
Authentication.UserName プロパテ
ィに対して処理が実行され、ユーザーの認
証情報を可読形式に変換する時間が短縮さ
れるため、処理速度が向上します。
McAfee Web Gateway 7.6.2
Product Guide
697
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
型
説明
パラメーター
Authentication.RawUserName
文字列
クライアントまたはネットワークの他のイ
ンスタンスからアプライアンスが受信した
形式のユーザー名
このプロパティをルールの設定で使用する
と、単純な
Authentication.UserName プロパテ
ィに対して処理が実行され、ユーザー名を
可読形式に変換する時間が短縮されるた
め、処理速度が向上します。
Authentication.Realm
文字列
認証領域。例: Windows ドメイン
Authentication.SAML.Attributes
文字列リス
ト
SAML 応答の <saml2:Attribute> タグ
から抽出された属性名/値ペアのリストを
保存します。 1 つの属性名に複数の値が
ある場合、値はカンマで区切られます。
このプロパティは SaaS に対応して
いません。
Authentication.SAML.CreateAuthnRequest
上を参照
HTTP POST 外部 ID プロバイダーに送信される SAML
形式
認証要求を作成します。
Authentication.SAML.IDPSSOEndpoint
プロパティに外部 ID プロバイダーの
URL を設定します。
このプロパティは SaaS に対応して
いません。
Authentication.SAML.Error
文字列
認証サーバーが SAML 応答を検証できな
った場合に発生するエラーの詳細を記述し
ます。
エラー メッセージは、OpenSAML ラ
イブラリーから提供されます。
Authentication.SAML.IDPSSOEndpoint
文字列
外部 ID プロバイダーの SSO URL を指定
します。 エラーが発生すると、ユーザーは
この URL にリダイレクトされます。
このプロパティは SaaS に対応して
いません。
Authentication.SAML.ParseAuthnResponse
上を参照
文字列
認証サーバーが外部 ID プロバイダーから
受信する SAML 認証応答を解析します。
応答が有効な場合、このプロパティは
Authentication.SAML.Attributes プロパ
ティに属性名/値ペアのリストを戻します。
応答が無効な場合、このプロパティは、
Authentication.SAML.Error プロパティ
にエラーを戻します。
このプロパティは SaaS に対応して
いません。
698
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
型
説明
パラメーター
Authentication.SAML.RelayState
文字列
認証サーバーが SAML 認証要求を作成し
たときに ACS URL の値を保存します。
認証サーバーが認証要求で RelayState パ
ラメーターを外部 ID プロバイダーに送信
します。 ID プロバイダーが認証応答でパ
ラメーターを戻します。 外部 ID プロバ
イダーが動的 URL に対応していない場
合、プロキシがこの値を RelayState に保
存し、ACS URL を作成します。
このプロパティは SaaS に対応して
いません。
Authentication.SOCKSKerberosProtectionLevel
上を参照
数値
SOCKS Kerberos 認証方法を設定したと
きに使用される保護レベルを表す数値
Authentication.Token
文字列
外部 ID プロバイダーから戻された SAML
アサーションを保存します。
Authentication.UserGroups
文字列のリ
スト
認証プロセスが適用されるユーザー グル
ープのリスト
Authentication.UserName
文字列
認証プロセスが適用されるユーザー名
プロパティ - B
以下の表では、名前が B で始まるプロパティについて説明します。
表 A-7 プロパティ - B
名前
型
説明
パラメーター
Block.ID
数値
要求をブロックしたアクション ID
Block.Reason
文字列
要求をブロックしたアクションの理由
名
BlockingSession.IsBlocked
Boolean true の場合、ユーザーにブロック セッ
ションが有効になっています。
This property is not
SaaS-compatible.
BlockingSession.RemainingSession Number ブロックするセッションの残り時間
(分)
This property is not
SaaS-compatible.
BlockingSession.SessionLength
Number ブロックするセッションの時間の長さ
(分)
This property is not
SaaS-compatible.
Body.ChangeHeaderMime
McAfee Web Gateway 7.6.2
ブール
true の場合、Web オブジェクトの本体
と一緒に MIME 形式で送信されたヘッ
ダーが変更されています。
Product Guide
699
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
型
説明
Body.ClassID
文字列
Web オブジェクトのクラスの ID
Body.Equals
Boolean If true, the body of a web object
matches the pattern specified by
the property parameters.
パラメーター
1 数値: パターンが
開始される場所の
バイト位置
2 文字列: パターン
a. 二重引用符内に
文字列が埋め込ま
れます (「...」は \
が付けられた 16
進値も含む場合が
あります。)
または
b. 16 進値のシー
ケンス
Body.FileName
文字列
Web オブジェクトの本文に埋め込まれ
たファイル名。例: アーカイブのファイ
ル
Body.FullFileName
String
ドキュメントまたはアーカイブなど埋
め込みエントリ名も含む Web オブジェ
クトの本体に埋め込まれたファイル名
複数の名前が指定されている場合には、
名前が | (パイプ) 記号で区切られてい
ます。例: test.zip|test.doc
Body.HasMimeHeader
ブール
true の場合、MIME 形式で送信された 文字列: ヘッダー名
マルチパート オブジェクトの本体に、指
定されたヘッダーが含まれています。
Body.HasMimeHeaderParameter
ブール
true の場合、MIME 形式で送信された 1 文字列: ヘッダー
マルチパート オブジェクトの本体に、指
名
定されたヘッダー パラメーターが含ま
2 文字列: ヘッダー
れています。
パラメーター名
Body.Hash
String
Web オブジェクトの本体にプロパティ
パラメーターで指定されているハッシ
ュ タイプの値
String: Hash type
ハッシュ タイプとしては、md5、
sha1、sha256、sha512 などがあり
ます。
700
Body.HashSHA1
String
Hash value of the SHA1 type for
the body of a web object
Body.IsAboveSizeLimit
ブール
true の場合、Web オブジェクトの本体
が制限サイズを超えています。
Body.IsCompleteWithTimeout
ブール
true の場合、プロパティ パラメーター 数値: オブジェクト
に指定された時間 (ミリ秒) が経過する を完全に送信する時
前に、Web オブジェクトの本体がアプ 間
ライアンスに完全に送信されています。
Body.IsCorruptedObject
ブール
true の場合、Web オブジェクトの本体
に含まれるアーカイブが破損していま
す。
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
型
説明
Body.IsEncryptedObject
ブール
true の場合、Web オブジェクトの本体
に含まれるアーカイブは暗号化されて
います。
Body.IsMultiPartObject
ブール
true の場合、Web オブジェクトの本体
に含まれるアーカイブが複雑な構造に
なっています (マルチパートを含む)。
Body.IsSupportedByOpener
ブール
true の場合、複雑な Web オブジェクト
の本体に対してアプライアンスでオー
プナー デバイスを利用できます。例:
アーカイブの本体
Body.MimeHeaderParameterlValue 文字列
パラメーター
MIME 形式で送信された Web オブジェ 1 文字列: ヘッダー
クト本体のヘッダー パラメーターの値
名
2 文字列: ヘッダー
パラメーター値
Body.MimeHeaderValue
文字列
MIME 形式で送信された Web オブジェ 文字列: ヘッダー値
クト本体のヘッダー値
Body.Modified
ブール
true の場合、アプライアンス ジュール
が Web オブジェクトの本体を変更して
います。
Body.NestedArchive Level
数値
アーカイブのアーカイブ部分の現在の
レベル
Body.NotEquals
Boolean If false, the body of a web object
matches the pattern specified by
the property parameters.
1 数値: パターンが
開始される場所の
バイト位置
2 文字列: パターン
a. 二重引用符内に
文字列が埋め込ま
れます (「...」は \
が付けられた 16
進値も含む場合が
あります。)
または
b. 16 進値のシー
ケンス
Body.NumberOfChildren
McAfee Web Gateway 7.6.2
数値
Web オブジェクトの本体に埋め込まれ
たオブジェクト数
Product Guide
701
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
型
説明
Body.PositionOfPattern
Number Web オブジェクトの本体が開始するパ
ターン検索のバイト位置
サブ文字列が見つからない場合には、-1
が戻されます。
パラメーター
1 文字列: 検索する
パターン
a. 二重引用符内に
文字列が埋め込ま
れます (「...」は \
が付けられた 16
進値も含む場合が
あります。)
または
b. 16 進値のシー
ケンス
2 数値: パターンの
検索が開始される
バイトの位置
3 数値: 検索の長さ
(0 バイトの場合、
オフセットからオ
ブジェクトの末尾
まで検索されます)
Body.Size
数値
Web オブジェクトの本体サイズ (バイ
ト)
Body.Text
文字列
Web オブジェクトの本文のテキスト
Body.ToNumber
Number Web オブジェクトの本体の一部は番号 1 数値: 変換部分が
に変換されます (指定された位置から始
開始する場所のバ
まる最大 8 バイト)
イト位置
ビッグエンディアンまたはリトルエン
2 数値: 変換部分の
ディアン形式を使用して変換できます。
長さ (最大 8 バイ
ト)
最初のパラメータ
ーと 2 番目のパラ
メーターの
Body.Size プロ
パティの値が 0 の
場合、本体全体が変
換されています。
3 ブール: true の場
合、リトルエンディ
アン形式が変換に
使用されています。
それ以外の場合に
は、ビッグエンディ
アン形式が使用さ
れています。
702
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
型
説明
パラメーター
Body.ToString
String
Part of the body of a web object
converted into a string
1 数値: 変換部分が
開始する場所のバ
イト位置
2 数値: 変換部分の
長さ (バイト単位)
最初のパラメータ
ーと 2 番目のパラ
メーターの
Body.Size プロ
パティの値が 0 の
場合、本体全体が変
換されています。
Body.UncompressedSize
数値
アーカイブから抽出された後、アーカイ
ブ Web オブジェクトの本文サイズ (バ
イト)
BooleanToString
文字列
文字列に変換されるブール値
BytesFromClient
数値
クライアントから要求を受信したバイ
ト数
BytesFromServer
数値
Web サーバーから応答を受信したバイ
ト数
BytesToClient
数値
Web サーバーからクライアントに送信
された応答のバイト数
BytesToServer
数値
クライアントから Web サーバーに送信
された応答のバイト数
ブール: 変換される
ブール値
プロパティ - C
以下の表では、名前が C で始まるプロパティについて説明します。
表 A-8 プロパティ - C
名前
型
説明
Cache.IsCacheable
ブ
ー
ル
true の場合、Web サーバーに対する応答で送信したオブ
ジェクトが Web キャッシュに保存される場合がありま
す。
Cache.IsFresh
ブ
ー
ル
true の場合、Web オブジェクトに保存されたオブジェク
トは Web からダウンロードされているか、検証されてい
ます。
McAfee Web Gateway 7.6.2
パ
ラ
メ
ー
タ
ー
Product Guide
703
A
構成リスト
プロパティのリスト
表 A-8 プロパティ - C (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Cache.Status
文
字
列
Web オブジェクトのキャッシュ ステータス
値:
• TCP_HIT - Web オブジェクトは、ユーザーが要求し
たキャッシュで見つかっています。
• TCP_MISS - Web オブジェクトがユーザーから要求
されていますが、キャッシュ内に存在しません。
• TCP_MISS_RELOAD - ユーザーによって Web オ
ブジェクトが要求されていますが、キャッシュは利用さ
れていません。ユーザーが [更新] ボタンをクリックし
て、Web サーバーからオブジェクトを直接取得するた
め、キャッシュからは取得されていません。
オブジェクトはキャッシュに再度入力されました。
• TCP_MISS_VERIFY - ユーザーが Web オブジェ
クトを要求したときに、オブジェクトがキャッシュに残
っていますが、Web サーバー上には古い認証情報が表示
されています。
オブジェクトの更新バージョンがサーバーから受信さ
れ、キャッシュに格納されます。
704
Category.ToShortString
文
字
列
URL カテゴリは、カテゴリを表す略称に変換されます。
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
Category.ToString
文
字
列
URL カテゴリは文字列に変換されます。
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
Client.IM.Login
文
字
列
クライアントがインスタント メッセージ プロトコルでア
プライアンスにログオンするために使用される ID
Client.IM.ScreenName
文
字
列
インスタント メッセージ プロトコルでアプライアンスと
通信するクライアントの画面名
Client.IP
IP
クライアントの IP アドレス
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-8 プロパティ - C (続き)
名前
型
説明
Client.NumberOfConnections
数
値
クライアントからアプライアンスへの同時接続数
CloudEncryption.IsEncryptionSupported ブ
ー
ル
パ
ラ
メ
ー
タ
ー
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスにアップロードされるデータに暗号化が実行されま
す。
[クラウド ストレージ暗号化] モジュールは、クラウド ス
トレージ サービスのサービス記述ファイルと Web
Gateway の設定を評価して、この値が true かどうか確認
します。たとえば、サポートされるクラウド ストレージ
サービスが定義されている [クラウド ストレージ暗号化
サポート] の設定を使用します。
CloudEncryption.IsDecryptionSupported ブ
ー
ル
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスからダウンロードされるデータに暗号化が実行され
ます。
この値が true かどうか確認する方法については、
[CloudEncryption.IsEncryptionSupported] プロパテ
ィの説明を参照してください。
CloudEncryption.ServiceName
文
字
列
現在処理中の要求でデータをアップロードまたはダウンロ
ードするクラウド ストレージ サービスの名前
Web Gateway でクラウド ストレージ データの更新要求
またはダウンロード要求を受信すると、このプロパティに
値が設定されます。
ただし、このプロパティは、条件に一致した場合に暗号化
または復号を行うルール条件で使用しないでください。
この操作を行う場合には、
[CloudEncryption.IsEncryptionSupported] プロパテ
ィと [CloudEncryption.IsDecryptionSupported] プロ
パティを使用します。
CloudEncryption.CipherName
文
字
列
現在処理中の要求でアップロードまたはダウンロードされ
るクラウド ストレージ データの暗号化または復号に使用
されるアルゴリズム (暗号) 名
Command.Categories
文
字
列
リ
ス
ト
コマンドが属するカテゴリのリスト。例:FTP コマンド カ
テゴリ
Command.Name
文
字
列
コマンド名
Command.Parameter
文
字
列
コマンドのパラメーター
Connection.Aborted
ブ
ー
ル
true の場合、接続は最終的に失敗し、接続が終了します。
McAfee Web Gateway 7.6.2
Product Guide
705
A
構成リスト
プロパティのリスト
表 A-8 プロパティ - C (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Connection.IP
IP
接続で使用される IP アドレス
Connection.IPSec
ブ
ー
ル
true の場合、モバイル デバイスと SaaS Web Protection
の間で VPN トンネルが構成され、データが IPSec で送信
されます。
このプロパティの値に応じて他のルールが適用されます。
プロパティのデフォルト値は false です。
このプロパティを使用するルールは、SaaS Web
Protection でクラウド ユーザーによる Web 使
用を保護するために使用されます。
Web Gateway で使用する場合には、クラウド用
に作成し、有効にすることもできます。
これらのルールをオンプレミス ユーザーの
Web 利用にのみ使用する場合、プロパティには
デフォルト値 (false) が設定されます。
Connection.IPSec.Device
文
字
列
IPSec を使用して VPN トンネルでデータを送信する場合
に、SaaS Web Protection に接続しているデバイスの名
前
このプロパティは、この方法でデータを送信したモバイル
デバイスの名前を検索するルールで使用できます。
プロパティのデフォルト値は空の文字列です。
このプロパティを使用するルールは、SaaS Web
Protection でクラウド ユーザーによる Web 使
用を保護するために使用されます。
Web Gateway で使用する場合には、クラウド用
に作成し、有効にすることもできます。
これらのルールをオンプレミス ユーザーの
Web 利用にのみ使用する場合、プロパティには
デフォルト値 (空の文字列) が設定されます。
Connection.OriginalDestinationIP
IP
特定の接続で送信された要求の元の宛先の IP アドレス
デフォルト値は 0 です。
このプロパティは SaaS に対応していません。
このプロパティを含むルールはクラウド用に同
期できますが、このプロパティに取得されるのは
デフォルト値だけです。
Connection.Port
706
McAfee Web Gateway 7.6.2
数
値
クライアントが特定の接続で送信した要求を受信したポー
トの番号。
Product Guide
構成リスト
プロパティのリスト
A
表 A-8 プロパティ - C (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Connection.Protocol
文
字
列
接続で通信に使用されるプロトコル。例:HTTP
Connection.Protocol.IsIM
ブ
ー
ル
true の場合、接続の通信では、インスタント メッセージ
ング プロトコルを使用します。
Connection.Protocol.Parent
文
字
列
Web Gateway が SOCKS プロトコルでプロキシとして
実行されているときに、クライアントとの通信で使用され
るプロトコルの埋め込みプロトコル。
このプロトコルは SOCKS で、HTTP や HTTPS など、様
々なプロトコルが埋め込まれます。
Connection.RunTime
数
値
直前まで開いていた接続の継続時間 (秒)
Connection.SSL.TransparentCNHandling ブ
ー
ル
true の場合、接続で SSL セキュア透過型モードの通信を
実行します。
Connection.VlanID
数
値
クライアントが Web Gateway との通信で使用するネッ
トワークの VLAN ID
Cycle.LastCall
ブ
ー
ル
true の場合、サイクルでデータの処理が完了します。
Cycle.Name
文
字
列
処理サイクルの名前
Cycle.TopName
文
字
列
Web オブジェクトが埋め込みオブジェクト サイクルに処
理される前に処理されたサイクル名 (要求または応答)
プロパティ - D
以下の表では、名前が D で始まるプロパティについて説明します。
表 A-9 プロパティ - D
名前
型 説明
DataTrickling.Enabled
ブ true の場合、データ トラッキングが Web オブジェ
ー クトのダウンロードに使用されます。
ル
DateTime.Date.MonthDayNumber
数 日付
値
DateTime.Date.MonthNumber
数 月
値
McAfee Web Gateway 7.6.2
パラメーター
Product Guide
707
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
型 説明
パラメーター
DateTime.Date.ToString
文 現在の日付を表す文字列 (プロパティ パラメーター 次の 3 つの部分を含む文字列。
字 で指定された形式)
1 1. %YYYY (年)
列
または
%YY (最後の 2 文字)
または
%Y。最後の 2 桁です。ただ
し、最後の 2 桁が 0 で始まる
場合は最後の 1 桁。たとえ
ば、2009 の場合、9 になりま
す。
2 %MM (月数。1 桁の場合、先
頭に 0 が挿入されます)。
または
%M (0 が挿入されません。3
の場合には 3、12 月の場合に
は 12 になります。
3 %DD (日)
または
%D
パラメーターが指定されていな
い場合、形式は次のとおりになり
ます。
%YYYY/%MM /%DD
DateTime.Date.WeekDayNumber
数 曜日 (1 は日曜日)
値
DateTime.Date.Year
数 年 (4 桁)
値
DateTime.Date.YearTwoDigits
数 年 (最後の 2 桁)
値
DateTime.Time.Hour
数 時間 (24 時間形式。例: 午後 1 時間は 13 になり
値 ます。)
DateTime.Time.Minute
数 分
値
DateTime.Time.Second
数 秒
値
708
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
型 説明
パラメーター
DateTime.Time.ToString
文 現在の時間を表す文字列 (プロパティ パラメーター 次の 3 つの部分を含む文字列。
字 で指定された形式)
1 %h (時間)
列
または
%hh (1 桁の時間の前に 0 が
追加されます。)
2 %m (分)
または
%mm
3 %s (秒)
または
%ss
パラメーターが指定されていな
い場合、形式は次のとおりになり
ます。
%hh:%mm:%ss
DateTime.ToGMTString
文 文字列はグリニッチ時間形式で現在の日付および時
字 刻を表しています。
列
例: 2012 年 3 月 22 日 11:45:36 GMT
DateTime.ToISOString
文 文字列は ISO 時間形式で現在の日付および時刻を
字 表しています。
列
例: 2012/03/22 11:45:12
DateTime.ToNumber
数 1970 年 1 月 1 日からの秒数 (UNIX エポック時
値 間)
DateTime.ToString
文 現在の日付と時刻を表す文字列 (プロパティ パラメ DateTime.Date.ToString
字 ーターで指定された形式)
と DateTime.Time.
列
ToString プロパティの一部と
該当する文字列。
パラメーターが指定されていな
い場合、形式は次のとおりになり
ます。
%YYYY/%MM /%DD %hh:
%mm:%ss
DateTime.ToWebReporterString
文 文字列は Web Reporter 時間形式で現在の日付と
字 時刻を表しています。
列
例: 29/Oct/2012:14:28:15 +0000
DecimalNumber.ToString
文 文字列に変換される小数
1 数値: 変換される小数
字
列 文字列は、パラメーターによって切り捨てられます。 2 数値: 小数点よりも後ろの桁
たとえば、このパラメーターに 2 を設定すると、
数
10.12345 は 10.12 になります。
Dimension.ToString
文 文字列に変換されるディメンション
字
列
McAfee Web Gateway 7.6.2
ディメンション: 変換するディ
メンション
Product Guide
709
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
型 説明
パラメーター
DLP.Classification.AnyText.Matched
ブ true の場合、分類リストに 1 つ以上の項目が含ま 文字列: 機密性または不適切性
ー れます。これにより、該当するテキスト文字列が重 を確認するテキスト
ル 要または不適切な文字列かどうかを判断します。
DLP.Classification.AnyText.MatchedClassifications
上を参照
文
字
列
リ
ス
ト
重要または不適切なテキスト文字列を記述している 文字列: 機密性または不適切性
分類リスト
を確認するテキスト
DLP.Classification.AnyText.Matched が
true に設定されている場合、リストがいっぱいにな
ります。
DLP.Classification.AnyText.MatchedTerms
上を参照
文
字
列
リ
ス
ト
true の場合、分類リストに 1 つ以上の項目が含ま 文字列: 機密性または不適切性
れます。これにより、該当するテキスト文字列が重 を確認するテキスト
要または不適切な文字列かどうかを判断します。
DLP.Classification.AnyText.Matched が
true に設定されている場合、リストがいっぱいにな
ります。
DLP.Classification.BodyText.Matched ブ true の場合、要求または応答の本文テキストに、分
ー 類リストで 1 つ以上の項目が重要または不適切と
ル しているコンテンツが含まれています。
DLP.Classification.BodyText.MatchedClassifications
上を参照
文
字
列
リ
ス
ト
要求または応答の本文テキストで検出する重要また
は不適切なコンテンツを指定する分類リストの項目
リスト
DLP.Classification.BodyText.Matched が
true に設定されている場合、リストがいっぱいにな
ります。
DLP.Classification.BodyText.MatchedTerms
上を参照
文
字
列
リ
ス
ト
DLP.Dictionary.AnyText.Matched
要求または応答の本文テキストに含まれる条件のリ
スト。分類フィールドの 1 つ以上の項目により、重
要または不適切なコンテンツが設定されます。
DLP.Classification.BodyText.Matched が
true に設定されている場合、リストがいっぱいにな
ります。
ブ true の場合、特定のテキスト文字列がディレクトリ 文字列: 機密性または不適切性
ー リストで重要または不適切なコンテンツとして扱わ を確認するテキスト
ル れます。
DLP.Dictionary.AnyText.MatchedTerms
上を参照
文
字
列
リ
ス
ト
DLP.Dictionary.BodyText.Matched
ディクショナリ リストで機密または不適切と指定 文字列: 機密性または不適切性
されている特定のテキスト文字列を含む項目のリス を確認するテキスト
ト
DLP.Dictionary .AnyText.Matched が true
に設定されている場合、リストがいっぱいになりま
す。
ブ true の場合、ディレクトリ リストの 1 つ以上の項
ー 目が重要または不適切としているコンテンツが要求
ル または応答の本体テキストに含まれています。
DLP.Dictionary.BodyText.MatchedTerms
710
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
型 説明
上を参照
文
字
列
リ
ス
ト
パラメーター
要求または応答の本体テキストに含まれる条件のリ
スト。ディクショナリ リストの項目に従って、重要
または不適切なコンテンツが判断されます。
DLP.Dictionary.BodyText.Matched が true
に設定されている場合、リストがいっぱいになりま
す。
DNS.Lookup
IP ホスト名に関して DNS 検索で見つけられた IP ア
リ ドレスのリスト
ス
ト
文字列: ホスト名
DNS.Lookup.Reverse
文 IP アドレスに関して DNS の逆引き参照で見つけ
字 られたホスト名のリスト
列
リ
ス
ト
IP: IP アドレス
DXL.Query
文 DXL クエリーを送信してサービスから戻されるト
字 ピック関連情報
列
1 文字列: クエリーで取得する
トピック
2 文字列: クエリーが応答で取
得したトピックの情報
プロパティ - E
以下の表では、名前が E で始まるプロパティについて説明します。
表 A-10 プロパティ - E
名前
型
説明
パラメーター
Error.ID
数値
エラーの ID
Error.Message
文字列
エラーを説明するメッセージ テキスト
ExtLists.Boolean
ブール
ブール値
このプロパティは SaaS に対応してい
ません。
1 文字列: 外部リ
スト ソース
(URL など) の識
別条件を保存し
ている値
2 文字列: 上記と
同じ
3 文字列: 上記と
同じ
ExtLists.Category
カテゴリ
URL カテゴリ
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.CategoryList
カテゴリ リス URL カテゴリのリスト
ト
上記と同じ
このプロパティは SaaS に対応してい
ません。
McAfee Web Gateway 7.6.2
Product Guide
711
A
構成リスト
プロパティのリスト
表 A-10 プロパティ - E (続き)
名前
型
説明
パラメーター
ExtLists.Double
倍精度
倍精度の値
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.DoubleList
倍精度のリス
ト
倍精度の値のリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.Integer
整数
上記と同じ
整数
このプロパティは SaaS に対応してい
ません。
ExtLists.IntegerList
整数のリスト
整数のリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.IP
IP
IP アドレス
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.IPList
IP リスト
IP アドレスのリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.IPRange
IP 範囲
IP アドレスの範囲
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.IPRangeList
IP 範囲リスト IP アドレス範囲のリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.JSON
JSON
JSON 要素のリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.LastUsedListName 文字列
ExtLists.MediaType
前回使用した外部リスト モジュールの設定名
を表す文字列
メディア タイ メディア タイプ
プ
上記と同じ
このプロパティは SaaS に対応してい
ません。
712
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-10 プロパティ - E (続き)
名前
型
説明
パラメーター
ExtLists.MediaTypeList
メディア タイ メディア タイプのリスト
プ リスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.String
文字列
上記と同じ
文字列
このプロパティは SaaS に対応してい
ません。
ExtLists.StringList
文字列リスト
上記と同じ
文字列のリスト
このプロパティは SaaS に対応してい
ません。
ExtLists.StringMap
文字列リスト
マップ タイプのキーと値の組み合わせを表す 上記と同じ
文字列のリスト
このプロパティは SaaS に対応してい
ません。
ExtLists.Wildcard
ワイルドカー
ド式
ワイルドカード (正規表現)
上記と同じ
このプロパティは SaaS に対応してい
ません。
ExtLists.WildcardList
ワイルドカー
ド式リスト
ワイルドカード (正規表現) のリスト
上記と同じ
このプロパティは SaaS に対応してい
ません。
プロパティ - F
以下の表では、名前が F で始まるプロパティについて説明します。
表 A-11 プロパティ - F
名前
型
説明
パラメーター
FileSystemLogging.MakeAnonymous String String made anonymous by encryption
The default values is an empty string.
String: String
to encrypt
This property is not
SaaS-compatible.
A rule with this property can,
however, be synchronized for
use in the cloud, but only the
default value is then retrieved
for this property.
McAfee Web Gateway 7.6.2
Product Guide
713
A
構成リスト
プロパティのリスト
プロパティ - G
以下の表では、名前が G で始まるプロパティについて説明します。
表 A-12 プロパティ - G
名前
型
説明
パラメーター
GTI.RequestSentToCloud ブール true の場合、URL カテゴリ情報の参照要求が Global Threat
Intelligence サーバーに送信しています。
プロパティ - H
以下の表では、名前が H で始まるプロパティについて説明します。
表 A-13 プロパティ - H
名前
型
説明
パラメーター
Header.Block.Exists
ブー
ル
true の場合、指定されたブロック ヘッダーが
存在します。
文字列: ヘッ
ダー名
Header.Block.Get
文字
列
指定されたブロック ヘッダーで見つかった最
初の値
文字列: ヘッ
ダー名
Header.Block.GetMultiple
文字
列リ
スト
指定されたブロック ヘッダーで見つかった値
のリスト
文字列: ヘッ
ダー名
Header.Exists
ブー
ル
true の場合、指定されたヘッダーにはアプライ 文字列: ヘッ
アンスで処理された要求または応答が含まれて ダー名
います。
実際にヘッダーに含まれている要求または応答
を実行するかどうかは、現在の処理サイクルに
より決まります。
Header.Get
文字
列
アプライアンスで処理された要求または応答で 文字列: ヘッ
ダー名
指定されたヘッダーが見つかった最初の値
実際にヘッダーに含まれている要求または応答
を実行するかどうかは、現在の処理サイクルに
より決まります。
Header.GetMultiple
Header.ICAP.Request.Exists
文字
列リ
スト
アプライアンスで処理された要求または応答に 文字列: ヘッ
ダー名
指定されたヘッダーが見つかった値のリスト
ブー
ル
true の場合、指定されたヘッダーが ICAP 通信 文字列: ヘッ
ダー名
で送信された要求に含まれています。
実際にヘッダーに含まれている要求または応答
を実行するかどうかは、現在の処理サイクルに
より決まります。
このプロパティは SaaS に対応していま
せん。
Header.ICAP.Request.ExistsMatching
ブー
ル
true の場合、指定されたヘッダーが ICAP 通信 1 文字列: ヘ
で送信された要求に含まれ、指定されたワイル
ッダー名
ドカード式に一致しています。
2 ワイルドカ
このプロパティは SaaS に対応していま
ード式
せん。
714
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-13 プロパティ - H (続き)
名前
型
説明
パラメーター
Header.ICAP.Request.Get
文字
列
ICAP 通信で送信された要求の指定されたヘッ
ダーで見つかった最初の値
文字列: ヘッ
ダー名
このプロパティは SaaS に対応していま
せん。
Header.ICAP.Request.GetMatching
文字
列
ICAP 通信で送信された要求の指定されたヘッ 1 文字列: ヘ
ダーで見つかり、指定されたワイルドカード式
ッダー名
に一致する最初の値
2 ワイルドカ
このプロパティは SaaS に対応していま
ード式
せん。
Header.ICAP.Response.Exists
ブー
ル
true の場合、指定されたヘッダーに、ICAP 通 文字列: ヘッ
ダー名
信で受信した応答が含まれています。
このプロパティは SaaS に対応していま
せん。
Header.ICAP.Response.ExistsMatching ブー
ル
true の場合、指定されたヘッダーが ICAP 通信 1 文字列: ヘ
で受信した応答に含まれ、指定されたワイルド
ッダー名
カード式に一致しています。
2 ワイルドカ
このプロパティは SaaS に対応していま
ード式
せん。
Header.ICAP.Response.Get
文字
列
ICAP 通信で受信した応答のヘッダーで見つか
った最初の値
文字列: ヘッ
ダー名
このプロパティは SaaS に対応していま
せん。
Header.ICAP.Response.GetMatching
文字
列
ICAP 通信で受信した応答の指定されたヘッダ 1 文字列: ヘ
ーで見つかり、指定されたワイルドカード式に
ッダー名
一致する最初の値
2 ワイルドカ
このプロパティは SaaS に対応していま
ード式
せん。
Header.Request.Exists
ブー
ル
true の場合、指定されたヘッダーが要求に含ま 文字列: ヘッ
れています。
ダー名
Header.Request.Get
文字
列
要求で指定されたヘッダーで見つかった最初の 文字列: ヘッ
値
ダー名
Header.Request.GetMultiple
文字
列リ
スト
要求で指定されたヘッダーで見つかった値のリ 文字列: ヘッ
スト
ダー名
Header.Response.Exists
ブー
ル
true の場合、指定されたヘッダーが応答に含ま 文字列: ヘッ
れています。
ダー名
Header.Response.Get
文字
列
応答で指定されたヘッダーで見つかった最初の 文字列: ヘッ
値
ダー名
Header.Response.GetMultiple
文字
列リ
スト
応答で指定されたヘッダーで見つかった値のリ 文字列: ヘッ
スト
ダー名
McAfee Web Gateway 7.6.2
Product Guide
715
A
構成リスト
プロパティのリスト
表 A-13 プロパティ - H (続き)
名前
型
説明
パラメーター
Hex.ToString
文字
列
文字列に変換される 16 進値
16 進値: 変
換される 16
進値
HTML.Element.Attribute
文字
列
HTML 要素の属性を表す文字列
HTML.Element.Dimension
ディ
メン
ショ
ン
HTML 要素のディメンション (横幅と高さ)
HTML.Element.HasAttribute
ブー
ル
true の場合、HTML 要素に属性が指定されてい 文字列: 属性
ます。
名
HTML.Element.Name
文字
列
HTML 要素名
HTML.Element.ScriptType
文字
列
HTML のスクリプト タイプ。例: JavaScript、
Visual Basic Script
プロパティ - I
以下の表では、名前が I で始まるプロパティについて説明します。
表 A-14 プロパティ - I
名前
型
説明
パラメ
ーター
ICAP.Policy
文
字
列
URL の ICAP 要求に含まれるポリシー
名
ICAP.ReqMod.ResponseHeader.Exists
ブ
ー
ル
true の場合、指定されたヘッダーを含む 文字
応答が REQMOD モードで ICAP サーバ 列: ヘ
ッダー
ーから送信されています。
名
このプロパティは SaaS に対応し
ていません。
ICAP.ReqMod.ResponseHeader.ExistsMatching
ブ
ー
ル
1 文字
true の場合、指定されたヘッダーを含
み、指定されたワイルドカード式に一致
列:
する応答が REQMOD モードで ICAP サ
ヘッ
ーバーから送信されています。
ダー
名
このプロパティは SaaS に対応し
ていません。
ICAP.ReqMod.ResponseHeader.Get
文
字
列
2 ワイ
ルド
カー
ド式
REQMOD 応答で指定されたヘッダー見
つかった最初の値
このプロパティは SaaS に対応し
ていません。
716
McAfee Web Gateway 7.6.2
Product Guide
文字
列: ヘ
ッダー
名
構成リスト
プロパティのリスト
A
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
ICAP.ReqMod.ResponseHeader.GetMatching
文
字
列
REQMOD 応答の指定されたヘッダーで
見つかり、指定されたワイルドカード式
に一致する最初の値
1 文字
列:
ヘッ
ダー
名
このプロパティは SaaS に対応し
ていません。
2 ワイ
ルド
カー
ド式
ICAP.ReqMod.ResponseHeader.GetMultiple
ICAP.ReqMod.ResponseHeader.GetMultipleMatching
文
字
列
リ
ス
ト
REQMOD 応答で指定されたヘッダーで
見つかった値のリスト
文
字
列
リ
ス
ト
REQMOD 応答の指定されたヘッダーで
見つかり、指定されたワイルドカード式
に一致する値のリスト
このプロパティは SaaS に対応し
ていません。
このプロパティは SaaS に対応し
ていません。
文字
列: ヘ
ッダー
名
1 文字
列:
ヘッ
ダー
名
2 ワイ
ルド
カー
ド式
ICAP.ReqMod.Satisfaction
ブ
ー
ル
true の場合、ICAP サーバーが要求を応
答に置換しています。
ICAP サーバーは、特定の要求をブロック
するメッセージを送信した後でこの操作
を実行します。
このプロパティは SaaS に対応し
ていません。
ICAP.RespMod.EncapsulatedHTTPChanged
ブ
ー
ル
true の場合、ICAP サーバーは HTTP 状
態に変更され、応答が RESPMOD モード
で送信されます。
このプロパティは SaaS に対応し
ていません。
ICAP.RespMod.ResponseHeader.Exists
ブ
ー
ル
true の場合、指定されたヘッダーを含む 文字
応答が RESPMOD モードで ICAP サー 列: ヘ
ッダー
バーから送信されます。
名
このプロパティは SaaS に対応し
ていません。
McAfee Web Gateway 7.6.2
Product Guide
717
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
ICAP.RespMod.ResponseHeader.ExistsMatching
ブ
ー
ル
true の場合、指定されたヘッダーを含
み、指定されたワイルドカード式に一致
する応答が RESPMOD モードで ICAP
サーバーから送信されています。
1 文字
列:
ヘッ
ダー
名
このプロパティは SaaS に対応し
ていません。
ICAP.RespMod.ResponseHeader.Get
文
字
列
RESPMOD 応答で指定されたヘッダー
で見つかった最初の値
このプロパティは SaaS に対応し
ていません。
ICAP.RespMod.ResponseHeader.GetMatching
文
字
列
RESPMOD 応答の指定されたヘッダー
で見つかり、指定されたワイルドカード
式に一致する最初の値
このプロパティは SaaS に対応し
ていません。
2 ワイ
ルド
カー
ド式
文字
列: ヘ
ッダー
名
1 文字
列:
ヘッ
ダー
名
2 ワイ
ルド
カー
ド式
ICAP.RespMod.ResponseHeader.GetMultiple
文
字
列
リ
ス
ト
ICAP.RespMod.ResponseHeader.GetMultipleMatching 文
字
列
リ
ス
ト
RESPMOD 応答で指定されたヘッダー
で見つかった値のリスト
このプロパティは SaaS に対応し
ていません。
RESPMOD 応答の指定されたヘッダー
で見つかり、指定されたワイルドカード
式に一致する値のリスト
このプロパティは SaaS に対応し
ていません。
文字
列: ヘ
ッダー
名
1 文字
列:
ヘッ
ダー
名
2 ワイ
ルド
カー
ド式
718
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
IM.Direction
文
字
列
チャット メッセージの送信の指示また
はインスタント メッセージ プロトコル
でにファイルの転送およびアプライアン
スでの処理
クライアントからアプライアンスにチャ
ット メッセージを送信するように指示
できます。例: サーバーからアプライア
ンスにメッセージを送信する場合、out
として指定していたものを in として指
定できます。
このプロパティは SaaS に対応し
ていません。
IM.FileName
文
字
列
インスタント メッセージ プロトコルで
転送するファイル名
このプロパティは SaaS に対応し
ていません。
IM.FileSize
数
値
インスタント メッセージ プロトコルで
転送するファイル サイズ (バイト)
このプロパティは SaaS に対応し
ていません。
IM.MessageCanSendBack
ブ
ー
ル
true の場合、ブロック メッセージまたは
その他のメッセージはアプライアンスか
らインスタント メッセージ サービスの
ユーザーに送信できます。
ブロック メッセージは、たとえば、チャ
ットが許可されていない時間にチャット
メッセージを送信したユーザーに送り返
されます。
メッセージは一般的にユーザーがインス
タント メッセージ サービスにログオン
する手順を完了する前には送信されませ
ん。
このプロパティは SaaS に対応し
ていません。
IM.Notification
文
字
列
アプライアンスからインスタント メッ
セージ サービスのユーザーに通知を送
信するために使用されるテンプレート
名。例: ブロック メッセージ
このプロパティは SaaS に対応し
ていません。
McAfee Web Gateway 7.6.2
Product Guide
719
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
IM.Recipient
文
字
列
インスタント メッセージ プロトコルで
チャット メッセージまたはファイルを
受信するクライアント名
また、チャット メッセージが受信者グル
ープに送信されるときこの名前はグルー
プ名にもなります (グループ ID)
このプロパティは SaaS に対応し
ていません。
IM.Sender
文
字
列
インスタント メッセージ プロトコルで
チャット メッセージまたはファイルを
送信するクライアント名
このプロパティは SaaS に対応し
ていません。
Incident.AffectedHost
IP
インシデントに含まれるホストの IP ア
ドレス。例: アプライアンスが接続でき
ない Web サーバー
このプロパティは SaaS に対応し
ていません。
Incident.Description
文
字
列
インシデントの標準テキスト形式のテキ
スト説明
このプロパティは SaaS に対応し
ていません。
Incident.ID
数
値
インシデントの ID
これらの ID のリストについては、
「イン
シデント ID のリスト」を参照してくだ
さい。
このプロパティは SaaS に対応し
ていません。
720
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
Incident.Origin
数
値
インシデントの元のアプライアンス コ
ンポーネントを指定する数
1 - アプライアンス システム
2 - コア サブシステム
3 - コーディネーター サブシステム
4 - マルウェア対策プロセス
5 - ログ ファイル マネージャー
6 - システム構成デーモン
7 - ユーザー インターフェース
8 - SaaS コネクター
9 - 未確認
さらに、インシデントの発生源は、
Incident.OriginName プロパティで
識別されます。
特定の ID を持つインシデントの発生源
については、「インシデント ID のリス
ト」を参照してください。
このプロパティは SaaS に対応し
ていません。
Incident.OriginName
文
字
列
インシデントの元であるアプライアンス
の名前。たとえば、コアまたはログ ファ
イル マネージャー
名前は Incident.Origin の下にリスト
されたメイン コンポーネントの 1 つで
ある可能性があります。
また、関連するメイン コンポーネントの
Incident.Origin の数でともに表示さ
れるサブ コンポーネントの名前でもあ
ります。
たとえば、Incident.OriginName の
値は 2 Proxy となることがあります。
特定の ID を持つインシデントのオリジ
ナル名については、
「インシデント ID の
リスト」を参照してください。
このプロパティは SaaS に対応し
ていません。
McAfee Web Gateway 7.6.2
Product Guide
721
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
型
説明
パラメ
ーター
Incident.Severity
数
値
インシデントの重大度
重大度:
0 - 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 - 情報
7 - デバッグ
これらのレベルは syslog エントリで使
用されているものと同じです。
特定の ID を持つインシデントの重大度
については、「インシデント ID のリス
ト」を参照してください。
このプロパティは SaaS に対応し
ていません。
InTheCloud
ブ
ー
ル
true の場合、現在処理中のルールがクラ
ウドで実行されます。
IP.ToString
文
字
列
文字列に変換される IP アドレス
IP: 変
換され
る IP
アドレ
ス
IPRange.ToString
文
字
列
文字列に変換された IP アドレスの範囲
IP 範
囲: 変
換され
る IP
アドレ
スの範
囲
プロパティ - J
以下の表では、名前が J で始まるプロパティについて説明します。
表 A-15 プロパティ - J
名前
型
説明
パラメーター
JSON.ArrayAppend
JSON 指定した要素が追加された JSON 配列
1 JSON: 配列
2 JSON: 追加される要素
JSON.AsBool
ブール 指定した JSON 要素にブール値として戻された
値
JSON: 要素
要素の値はブール値になります。
722
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-15 プロパティ - J (続き)
名前
型
説明
パラメーター
JSON.AsNumber
数値
指定した JSON 要素に数値として戻された値
JSON: 要素
要素の値は、長整数型、倍精度型または 16
進数になります。
JSON.AsString
文字列 指定した JSON 要素に文字列として戻された値
JSON: 要素
要素の値は文字列になります。
JSON.CreateArray
JSON 新しい空の JSON 配列
JSON.CreateObject
JSON 新しい空の JSON オブジェクト
JSON.CreateNull
JSON NULL の JSON 要素値
JSON.FromBool
JSON ブール値から作成された JSON 要素値
ブール値: JSON 要素値を作
成するブール値
JSON.FromNumber
JSON 数値から作成された JSON 要素値
数値: JSON 要素値を作成す
る数値
JSON.FromNumberList 文字列 数値リストから作成された JSON 要素値
数値リスト: JSON 要素値を
作成する数値リスト
JSON.FromString
JSON 文字列から作成された JSON 要素値
文字列: JSON 要素値を作成
する文字列
JSON.FromStringList
JSON 文字列リストから作成された JSON 要素値
文字列リスト: JSON 要素値
を作成する文字列リスト
JSON.GetAt
JSON 指定した配列の指定位置から取得した JSON 要
素値
1 JSON: 配列
2 数値: 要素の位置
JSON.GetByName
JSON 指定したオブジェクトから取得したキーで識別さ 1 JSON: オブジェクト
れる JSON 要素
2 文字列: 要素キー
JSON.GetType
文字列 指定した JSON 要素のタイプ
JSON: 要素
JSON.PutAt
JSON 指定した位置に要素が挿入された JSON 配列
1 JSON: 配列
2 数値: 要素の位置
3 JSON: 要素
JSON.ReadFromString JSON 指定した文字列から作成された JSON 要素
文字列: 要素を作成する文字
列
JSON.RemoveAt
1 JSON: 配列:
JSON 指定した位置から要素が削除された JSON 配列
2 数値: 要素の位置
JSON.RemoveByName JSON 指定したキーで識別された要素が削除された
JSON オブジェクト
1 JSON: オブジェクト
JSON.Size
JSON: オブジェクトまたは
配列
McAfee Web Gateway 7.6.2
数値
指定した JSON オブジェクトまたは配列の要素
数
2 文字列: 要素キー
Product Guide
723
A
構成リスト
プロパティのリスト
表 A-15 プロパティ - J (続き)
名前
型
説明
パラメーター
JSON.StoreByName
JSON 指定したキーで要素値が格納されている JSON
オブジェクト
1 JSON: オブジェクト
文字列 文字列に変換された JSON 要素値
JSON: 変換される要素値
2 文字列: 要素キー
オブジェクトが存在しない場合には、指定した名
前でオブジェクトが作成されます。
3 JSON: 要素値
JSON.ToString
要素値は文字列か、要素値の他のデータ形式
のいずれかになります。
724
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
プロパティ - L
以下の表では、名前が L で始まるプロパティについて説明します。
表 A-16 プロパティ - L
名前
型
説明
License.RemainingDays
数値
ライセンスが期限切れ
になるまでの残り時間
(日)
List.LastMatches
文字列
2 つのリストが演算子
を使用して比較される
とき、一致することが
判明したすべての要素
を含む文字列。例: リ
スト内の 1 つまたは
リスト内すべて
パラメーター
一致したものは、演算
子が評価するリストと
の関係が存在している
か否かに関係なく、追
加されていない場合と
同様にリストに追加さ
れるだけです。
たとえば、リスト A に
要素 1、2、3 があり、
リスト B に 1、2、4
があるとします。
リストは両方とも「リ
スト内の 1 つ」演算子
で比較されます。
リスト A を探すには、
実際にリスト B の要
素を少なくとも 1 つ
以上を含み、演算子は
要素の比較のみを必要
とします。
一致するものが見つか
ったため、
List.LastMatches
には 1 が含まれます。
また、2 は 2 つのリス
トで一致しますが、こ
れは評価されておら
ず、一致するものも見
つからないため
List.LastMatches
には含まれていませ
ん。
リスト A の 1 つ以上
の要素がリスト B に
存在し、両方のリスト
が 1 と評価された後
に演算子が処理される
ため、評価されていま
せん。
String.BelongsTo
Domains プロパテ
ィの値が true の場
McAfee Web Gateway 7.6.2
Product Guide
725
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
合、最初のパラメータ
ーには
List.LastMatches
の値が文字列として設
定されます。
List.LastMatches
は、ドメイン名のリス
トで一致する文字列
(ドメイン名またはサ
ブドメイン名) を渡し
ます。
同じ処理が
URL.Host.Belongs
ToDomains プロパ
ティと
List.LastMatches
プロパティでも行われ
ます。
List.OfCategory.Append
カテゴ カテゴリが追加された 1 カテゴリ リスト: カテゴリを追加
リ リス URL カテゴリ リスト
するリスト
ト
2 カテゴリ: 追加するカテゴリ
List.OfCategory.ByName
カテゴ URL カテゴリのリス
リ リス ト (名前で指定)
ト
List.OfCategory.Erase
カテゴ 指定したカテゴリが消 1 カテゴリ リスト: 消去するカテゴ
リ リス 去された URL カテゴ
リを含むリスト
ト
リ リスト
2 数値: 消去するカテゴリの位置
List.OfCategory.EraseElementRange
カテゴ 指定された範囲のカテ 1 カテゴリ リスト: 消去するカテゴ
リ リス ゴリが消去された
リを含むリスト
URL カテゴリ リスト
ト
2 数値: 最初に消去するカテゴリの
位置
文字列: リスト名
3 数値: 最後に消去するカテゴリの
位置
List.OfCategory.EraseList
カテゴ 他のリストで消去され 1 カテゴリ リスト: 消去するカテゴ
リ リス ているカテゴリを含む
リを含むリスト
URL カテゴリ リスト
ト
2 カテゴリ リスト: 最初のリストで
消去されているカテゴリのリスト
List.OfCategory.Find
数値
リスト内での URL カ
テゴリの位置
1 カテゴリ リスト: カテゴリの位置
を検索するリスト
2 カテゴリ: 位置を検索するカテゴ
リ
726
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfCategory.Get
カテゴ
リ
リスト内の位置で指定 1 カテゴリ リスト: カテゴリを含む
される URL カテゴリ
リスト
2 数値: リスト内でのカテゴリの位
置
List.OfCategory.GetElementRange
カテゴ 他のリストから抽出さ 1 カテゴリ リスト: 抽出するカテゴ
リ リス れる URL カテゴリの
リのリスト
ト
リスト
2 数値: 最初に抽出するカテゴリの
位置
3 数値: 最後に抽出するカテゴリの
位置
List.OfCategory.Insert
カテゴ 指定されたカテゴリが 1 カテゴリ リスト: カテゴリの挿入
リ リス 挿入指定された URL
先のリスト
ト
カテゴリ リスト
2 カテゴリ: 挿入するカテゴリ
List.OfCategory.IsEmpty
ブール
List.OfCategory.Join
カテゴ 2 つのリストの結合で 1 カテゴリ リスト: 最初のリスト
リ リス 作成された URL カテ
2 カテゴリ リスト: 2 番目のリスト
ト
ゴリのリスト
List.OfCategory.Reverse
カテゴ 元の順序と逆になった カテゴリのリスト: 元の順番のリス
リ リス URL カテゴリ リスト ト
ト
List.OfCategory.Size
数値
List.OfCategory.Sort
カテゴ 英字順でソートされた カテゴリ リスト: ソートするリスト
リ リス URL カテゴリ リスト
ト
List.OfCategory.ToShortString
文字列
省略形の名前のリスト カテゴリ リスト: 変換するリスト
に変換された URL カ
テゴリ リスト
List.OfCategory.ToString
文字列
文字列に変換する
URL カテゴリ リスト
List.OfDimension.Append
ディメ ディメンションが追加 1 ディメンション リスト: ディメン
ンショ されたディメンション
ションを追加するリスト
ン リス リスト
ト
2 ディメンション: 追加するディメ
ンション
List.OfDimension.ByName
ディメ 名前で指定するディメ 文字列: リスト名
ンショ ンション リスト
ン リス
ト
List.OfDimension.Erase
ディメ 指定されたディメンシ 1 ディメンション リスト: 消去する
ンショ ョンが消去されたディ
ディメンションを含むリスト
ン リス メンション リスト
ト
2 数値: 消去するディメンションの
位置
McAfee Web Gateway 7.6.2
true の場合、指定され カテゴリ リスト: 空かどうかを確認
たリストは空です。
するリスト
リスト内の URL カテ
ゴリの数
カテゴリ リスト: カテゴリの数を確
認するリスト
カテゴリ リスト: 変換するリスト
Product Guide
727
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
List.OfDimension.EraseElementRange ディメ
ンショ
ン リス
ト
説明
パラメーター
指定された範囲のディ 1 ディメンション リスト: 消去する
メンションが消去され
ディメンションの範囲を含むリス
たディメンション リ
ト
スト
2 数値: 最初に消去するディメンシ
ョンの位置
3 数値: 最後に消去するディメンシ
ョンの位置
List.OfDimension.EraseList
ディメ
ンショ
ン リス
ト
他のリストで消去され 1 ディメンション リスト: 消去する
たディメンションを含
ディメンションを含むリスト
むディメンション リ
スト
2 ディメンション リスト: 最初のリ
ストで消去されているディメンシ
ョンのリスト
List.OfDimension.Find
数値
リスト内でのディメン 1 ディメンション リスト: 位置を検
ションの位置
索するディメンションを含むリス
ト
2 ディメンション: 位置を検索する
ディメンション
List.OfDimension.Get
ディメ
ンショ
ン
List.OfDimension.GetElementRange
ディメ 他のリストから抽出さ 1 ディメンション リスト: 抽出する
ンショ れるディメンションの
ディメンションが含まれるリスト
ン リス リスト
ト
2 数値: 最初に抽出するディメンシ
ョンの位置
リストの位置によって 1 ディメンション リスト: ディメン
指定されるディメンシ
ションを含むリスト
ョン
2 数値: リスト内でのディメンショ
ンの位置
3 数値: 最後に抽出するディメンシ
ョンの位置
4 ディメンション: 挿入するディメ
ンション
728
List.OfDimension.Insert
ディメ 指定されたディメンシ 1 ディメンション リスト: ディメン
ンショ ョンが挿入されたディ
ションを挿入するリスト
ン リス メンション リスト
ト
2 ディメンション: 挿入するディメ
ンション
List.OfDimension.IsEmpty
ブール
List.OfDimension.Join
ディメ 2 つのリストの結合で 1 ディメンション リスト: 最初のリ
ンショ 作成されたディメンシ
スト
ン リス ョン リスト
ト
2 ディメンション リスト: 2 番目の
リスト
McAfee Web Gateway 7.6.2
true の場合、指定され ディメンション リスト: 空かどうか
たリストは空です。
を確認するリスト
Product Guide
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfDimension.Reverse
ディメ 元の順序と逆になった ディメンション リスト: 元の順序の
ンショ ディメンション リス
リスト
ン リス ト
ト
List.OfDimension.Size
数値
List.OfDimension.Sort
ディメ 英字順でソートされて ディメンション リスト: ソートする
ンショ いるディメンション
リスト
ン リス リスト
ト
List.OfDimension.ToString
文字列
List.OfHex.Append
16 進値 16 進値が追加された
リスト 16 進値リスト
リスト内のディメンシ ディメンション リスト: ディメンシ
ョンの数
ョンの数を確認するリスト
文字列に変換するディ ディメンション リスト: 変換するリ
メンション リスト
スト
1 16 進値リスト: 16 進値を追加す
るリスト
2 16 進値: 追加する 16 進値
List.OfHex.ByName
16 進値 名前で指定する 16 進 文字列: リスト名
リスト 値リスト
List.OfHex.Erase
16 進値 指定した値が消去され 1 16 進値リスト: 消去する 16 進値
リスト た 16 進値リスト
を含むリスト
2 数値: 消去する 16 進値の位置
List.OfHex.EraseElementRange
16 進値 指定した範囲の値が消 1 16 進値リスト: 消去する 16 進値
リスト 去された 16 進値リス
を含むリスト
ト
2 数値: 最初に消去する 16 進値の
位置
3 数値: 最後に消去する 16 進値の
位置
List.OfHex.EraseList
16 進値 他のリストで消去され 1 16 進値リスト: 消去する 16 進値
リスト ている値を含む 16 進
を含むリスト
値リスト
2 16 進値リスト: 最初のリストで消
去されている 16 進値のリスト
List.OfHex.Find
数値
リスト内での 16 進値 1 16 進値リスト: 位置を検索する
の位置
16 進値を含むリスト
2 16 進値: 位置を検索する 16 進値
List.OfHex.Get
16 進値 リストの位置によって 1 16 進値リスト: 16 進値を含むリ
指定される 16 進値
スト
2 数値: リスト内での 16 進値の位
置
McAfee Web Gateway 7.6.2
Product Guide
729
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfHex.GetElementRange
16 進値 他のリストから抽出さ 1 16 進値リスト: 抽出する 16 進値
リスト れる 16 進値のリスト
を含むリスト
2 数値: 最初に抽出する 16 進値の
位置
3 数値: 最後に抽出する 16 進値の
位置
List.OfHex.Insert
16 進値 指定した値が挿入され 1 16 進値リスト: 16 進値を挿入す
リスト た 16 進値リスト
るリスト
2 16 進値: 挿入する 16 進値
List.OfHex.IsEmpty
ブール
List.OfHex.Join
16 進値 2 つのリストの結合で 1 16 進値リスト: 最初のリスト
リスト 作成された 16 進値リ
2 16 進値リスト: 2 番目のリスト
スト
List.OfHex.Reverse
16 進値 元の順序と逆になって 16 進値リスト: 元の順序のリスト
リスト いる 16 進値リスト
List.OfHex.Size
数値
List.OfHex.Sort
16 進値 ソートされた 16 進値 16 進値リスト: ソートするリスト
リスト リスト
List.OfHex.ToString
文字列
List.OfIP.Append
IP リス IP アドレスが追加さ 1 IP リスト: IP アドレスを追加する
ト
れた IP アドレス リス
リスト
ト
2 IP: 追加する IP アドレス
List.OfIP.ByName
IP リス IP アドレスのリスト
ト
(名前で指定)
文字列: リスト名
List.OfIP.Erase
IP リス 指定した IP アドレス
ト
が消去された IP アド
レス リスト
1 IP リスト: 消去する IP アドレス
を含むリスト
true の場合、指定され 16 進値リスト: 空かどうかを確認す
たリストは空です。
るリスト
リスト内の 16 進値の 16 進値リスト: 16 進値の数を確認
数
するリスト
文字列に変換する 16
進値リスト
16 進値リスト: 変換するリスト
2 数値: 消去する IP アドレスの位置
List.OfIP.EraseElementRange
IP リス 指定した範囲のアドレ 1 IP リスト: 消去する IP アドレス
スが消去された IP ア
ト
を含むリスト
ドレス リスト
2 数値: 最初に消去する IP アドレス
の位置
3 数値: 最後に消去する IP アドレス
の位置
List.OfIP.EraseList
730
McAfee Web Gateway 7.6.2
IP リス 他のリストで消去され 1 IP リスト: 消去する IP アドレス
ているアドレスを含む
ト
を含むリスト
IP アドレス リスト
2 IP リスト: 最初のリストで消去さ
れている IP アドレスのリスト
Product Guide
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfIP.Find
数値
リスト内での IP アド
レスの位置
1 IP リスト: 位置を検索する IP ア
ドレスを含むリスト
2 IP: 位置を探す IP アドレス
List.OfIP.Get
IP
List.OfIP.GetElementRange
IP リス 他のリストから抽出さ 1 IP リスト: 抽出する IP アドレス
れる IP アドレスのリ
ト
を含むリスト
スト
2 数値: 最初に抽出する IP アドレス
の位置
リストの位置によって 1 IP リスト: IP アドレスを含むリス
指定される IP アドレ
ト
ス
2 数値: リスト内での IP アドレスの
位置
3 数値: 最後に抽出する IP アドレス
の位置
List.OfIP.Insert
IP リス 指定した IP アドレス
ト
が挿入された IP アド
レス リスト
1 IP リスト: IP アドレスを挿入する
リスト
2 IP: 挿入する IP アドレス
List.OfIP.IsEmpty
ブール
List.OfIP.Join
IP リス 2 つのリストの結合で 1 IP リスト: 最初のリスト
ト
作成された IP アドレ
2 IP リスト: 2 番目のリスト
ス リスト
List.OfIP.Reverse
IP リス 元の順序と逆になって IP リスト: 元の順序のリスト
いる IP アドレス リス
ト
ト
List.OfIP.Size
数値
List.OfIP.Sort
IP リス ソートされた IP アド
ト
レス リスト
List.OfIP.ToString
文字列
List.OfIPRange.Append
IP 範囲 IP アドレス範囲を追
リスト 加する IP アドレス範
囲リスト
true の場合、指定され IP リスト: 空かどうかを確認するリ
たリストは空です。
スト
リスト内の IP アドレ
スの数
文字列に変換する IP
アドレス リスト
IP リスト: IP アドレスの数を確認す
るリスト
IP リスト: ソートするリスト
IP リスト: 変換するリスト
1 IP 範囲リスト: IP アドレス範囲を
追加するリスト
2 IP 範囲: 追加する IP アドレス範
囲
List.OfIPRange.ByName
IP 範囲 名前で指定される IP 文字列: リスト名
リスト アドレス範囲のリスト
List.OfIPRange.Erase
IP 範囲 指定した範囲が消去さ 1 IP 範囲リスト: 消去する IP アド
リスト れた IP アドレス範囲
レス範囲を含むリスト
リスト
2 数値: 消去する IP アドレス範囲の
位置
McAfee Web Gateway 7.6.2
Product Guide
731
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfIPRange.EraseElementRange
IP 範囲 指定した範囲が消去指 1 IP 範囲リスト: 消去する IP アド
リスト 定された IP アドレス
レス範囲を含むリスト
範囲リスト
2 数値: 最初に消去する IP アドレス
範囲の位置
3 数値: 最後に消去する IP アドレス
範囲の位置
List.OfIPRange.EraseList
IP 範囲 他のリストで消去され 1 IP 範囲リスト: 消去する IP アド
リスト ている範囲を含む IP
レス範囲を含むリスト
アドレス範囲リスト
2 IP 範囲リスト: 最初のリストで消
去されている IP アドレス範囲の
リスト
List.OfIPRange.Find
数値
リスト内での IP アド
レス範囲の位置
1 IP 範囲リスト: 位置を検索する IP
アドレス範囲を含むリスト
2 IP 範囲: 位置を探す IP アドレス
範囲
List.OfIPRange.Get
IP 範囲 リストの位置によって 1 IP 範囲リスト: IP アドレス範囲を
指定される IP アドレ
含むリスト
ス範囲
2 数値: リスト内での IP アドレス範
囲の位置
List.OfIPRange.GetElementRange
IP 範囲 他のリストから抽出さ 1 IP 範囲リスト: 抽出する IP アド
リスト れる IP アドレス範囲
レス範囲を含むリスト
のリスト
2 数値: 最初に抽出する IP アドレス
範囲の位置
3 数値: 最後に抽出する IP アドレス
範囲の位置
732
List.OfIPRange.Insert
IP 範囲 指定した範囲が挿入さ 1 IP 範囲リスト: IP アドレス範囲を
リスト れた IP アドレス範囲
挿入するリスト
リスト
2 IP 範囲: 挿入する IP アドレス範
囲
List.OfIPRange.IsEmpty
ブール
List.OfIPRange.Join
IP 範囲 2 つのリストの結合で 1 IP 範囲リスト: 最初のリスト
リスト 作成された IP アドレ
2 IP 範囲リスト: 2 番目のリスト
ス範囲リスト
List.OfIPRange.Reverse
IP 範囲 元の順序と逆になって IP 範囲リスト: 元の順序のリスト
リスト いる IP アドレス範囲
リスト
List.OfIPRange.Size
数値
List.OfIPRange.Sort
IP 範囲 ソートされた IP アド
リスト レス範囲リスト
McAfee Web Gateway 7.6.2
true の場合、指定され IP 範囲リスト: 空かどうかを確認す
たリストは空です。
るリスト
リスト内の IP アドレ
ス範囲の数
IP 範囲リスト: IP アドレス範囲の数
を確認するリスト
IP 範囲リスト: ソートするリスト
Product Guide
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfIPRange.ToString
文字列
文字列に変換する IP
アドレス範囲リスト
IP 範囲リスト: 変換するリスト
List.OfMediaType.Append
メディ メディア タイプが追
ア タイ 加されたメディア タ
プ リス イプ リスト
ト
1 メディア タイプ リスト: メディア
タイプを追加するリスト
2 メディア タイプ: 追加するメディ
ア タイプ
List.OfMediaType.ByName
メディ 名前で指定されるメデ 文字列: リスト名
ア タイ ィア タイプ リスト
プ リス
ト
List.OfMediaType.Erase
メディ 指定したタイプが消去 1 メディア タイプ リスト: 消去する
ア タイ されたメディア タイ
メディア タイプを含むリスト
プ リス プ リスト
ト
2 数値: 消去するメディア タイプの
位置
List.OfMediaType.EraseElementRange メディ 指定したタイプが消去 1 メディア タイプ リスト: 消去する
ア タイ されたメディア タイ
メディア タイプを含むリスト
プ リス プ リスト
ト
2 数値: 最初に消去するメディア タ
イプの位置
3 数値: 最後に消去するメディア タ
イプの位置
List.OfMediaType.EraseList
メディ 他のリストで消去され 1 メディア タイプ リスト: 消去する
ア タイ ているタイプを含むメ
メディア タイプを含むリスト
プ リス ディア タイプ リスト
ト
2 メディア タイプ リスト: 最初のリ
ストで消去するメディア タイプの
リスト
List.OfMediaType.Find
数値
リスト内でのメディア 1 メディア タイプ リスト: 位置を検
タイプの位置
索するメディア タイプを含むリス
ト
2 メディア タイプ: 位置を検索する
メディア タイプ
List.OfMediaType.Get
メディ リストの位置によって 1 メディア タイプ リスト: メディア
ア タイ 指定されるメディア
タイプを含むリスト
タイプ
プ
2 数値: リスト内でのメディア タイ
プの位置
List.OfMediaType.GetElems
メディ 他のリストから抽出さ 1 メディア タイプ リスト: 抽出する
ア タイ れるメディア タイプ
メディア タイプを含むリスト
プ リス のリスト
ト
2 数値: 最初に抽出するメディア タ
イプの位置
3 数値: 最後に抽出するメディア タ
イプの位置
McAfee Web Gateway 7.6.2
Product Guide
733
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfMediaType.Insert
メディ 指定したタイプが挿入 1 メディア タイプ リスト: メディア
ア タイ されたメディア タイ
タイプを挿入するリスト
プ リス プ リスト
ト
2 メディア タイプ: 挿入するメディ
ア タイプ
List.OfMediaType.IsEmpty
ブール
List.OfMediaType.Join
メディ 2 つのリストの結合で 1 メディア タイプ リスト: 最初のリ
ア タイ 作成されたメディア
スト
プ リス タイプ リスト
ト
2 メディア タイプ リスト: 2 番目の
リスト
List.OfMediaType.Reverse
メディ 元の順序と逆になって メディア タイプ リスト: 元の順序の
ア タイ いるメディア タイプ
リスト
プ リス リスト
ト
List.OfMediaType.Size
数値
List.OfMediaType.Sort
メディ 英字順でソートされて メディア タイプ リスト: ソートする
ア タイ いるメディア タイプ
リスト
プ リス リスト
ト
List.OfMediaType.ToString
文字列
文字列に変換するメデ メディア タイプ リスト: 変換するリ
ィア タイプ リスト
スト
List.OfNumber.Append
数値リ
スト
数値が追加された数値 1 数値リスト: 数値を追加するリス
リスト
ト
true の場合、指定され メディア タイプ リスト: 空かどうか
たリストは空です。
を確認するリスト
リスト内のメディア
タイプの数
メディア タイプ リスト: メディア
タイプの数を確認するリスト
2 数値: 追加する数値
List.OfNumber.ByName
数値リ
スト
名前で指定される数の 文字列: リスト名
リスト
List.OfNumber.Erase
数値リ
スト
指定した数値が消去さ 1 数値リスト: 消去する数値を含む
れた数値リスト
リスト
2 数値: 消去する数値の位置
List.OfNumber.EraseElementRange
数値リ
スト
指定された範囲の数値 1 数値リスト: 消去する数値を含む
が消去された数値リス
リスト
ト
2 数値: 最初に消去する数値の位置
3 数値: 最後に消去する数値の位置
List.OfNumber.EraseList
734
McAfee Web Gateway 7.6.2
数値リ
スト
他のリストで消去され 1 数値リスト: 消去する数値を含む
ている数値を含む数値
リスト
リスト
2 数値リスト: 最初のリストで消去
されている数値のリスト
Product Guide
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfNumber.Find
数値
リスト内での数値の位 1 数値リスト: 位置を検索する数値
置
を含むリスト
2 数値: 位置を検索する数値
List.OfNumber.Get
数値
リストの位置によって 1 数値リスト: 数値を含むリスト
指定される数値
2 数値: リスト内での数値の位置
List.OfNumber.GetElementRange
数値リ
スト
他のリストから抽出さ 1 数値リスト: 抽出する数値を含む
れる数値のリスト
リスト
2 数値: 最初に抽出する数値の位置
3 数値: 最後に抽出する数値の位置
List.OfNumber.Insert
数値リ
スト
指定した数値が挿入さ 1 数値リスト: 数値を挿入するリス
れた数値リスト
ト
2 数値: 挿入する数値
List.OfNumber.IsEmpty
ブール
true の場合、指定され 数値タイプのリスト: 空かどうかを
たリストは空です。
確認するリスト
List.OfNumber.Join
数値リ
スト
2 つのリストの結合で 1 数値リスト: 最初のリスト
作成された数値リスト
2 数値リスト: 2 番目のリスト
List.OfNumber.Reverse
数値リ
スト
元の順序と逆になって 数値リスト: 元の順序のリスト
いる数値リスト
List.OfNumber.Size
数値
リスト内の数値の数
List.OfNumber.Sort
数値リ
スト
ソートされた数値リス 数値リスト: ソートするリスト
ト
List.OfNumber.ToString
文字列
文字列に変換する数値 数値リスト: 変換するリスト
リスト
List.OfSSOConnectors.Append
SSO コ
ネクタ
ー リス
ト リス
ト
指定したクラウド コ
1 SSO コネクター リスト: クラウ
ネクターが追加された
ド コネクターを追加するリスト
クラウド コネクター
リスト
2 SSO コネクター: 追加するクラウ
ド コネクター
List.OfSSOConnectors.ByName
SSO コ 名前で指定されたクラ 文字列: リスト名
ネクタ ウド コネクターのリ
ー リス スト
ト リス
ト
List.OfSSOConnectors.Erase
SSO コ 指定したコネクターが 1 SSO コネクター リスト: 消去す
ネクタ 消去されたクラウド
るクラウド コネクターを含むリス
ー リス コネクター リスト
ト
ト リス
ト
2 数値: 消去するクラウド コネクタ
ーの位置
McAfee Web Gateway 7.6.2
数値リスト: 数値の数を確認するリ
スト
Product Guide
735
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfSSOConnectors.EraseElement
Range
SSO コ
ネクタ
ー リス
ト リス
ト
指定した範囲のコネク 1 SSO コネクター リスト: 消去す
ターが消去されたクラ
るクラウド コネクターの範囲を含
ウド コネクター リス
むリスト
ト
2 数値: 最初に消去するクラウド コ
ネクターの位置
3 数値: 最後に消去するクラウド コ
ネクターの位置
List.OfSSOConnectors.EraseList
SSO コ
ネクタ
ー リス
ト リス
ト
他のリストで消去され 1 SSO コネクター リスト: 消去す
ているコネクターを含
るクラウド コネクターを含むリス
むクラウド コネクタ
ト
ー リスト
List.OfSSOConnectors.Exists
ブール
true の場合、指定した 文字列: リスト名
名前のクラウド コネ
クターのリストが存在
します。
List.OfSSOConnectors.Find
数値
リスト内のクラウド
コネクターの位置
2 SSO コネクター リスト: 最初の
リストで消去するクラウド コネク
ターのリスト
1 SSO コネクター リスト: クラウ
ド コネクターを含むリスト
2 SSO コネクター: 位置を探すクラ
ウド コネクター
List.OfSSOConnectors.Get
SSO コ リスト内の位置で指定 1 SSO コネクター リスト: クラウ
ネクタ されるクラウド コネ
ド コネクターを含むリスト
ー
クター
2 数値: リスト内のクラウド コネク
ターの位置
List.OfSSOConnectors.GetElementRa
nge
SSO コ 他のリストから抽出さ 1 SSO コネクター リスト: 抽出す
ネクタ れたクラウド コネク
るクラウド コネクターを含むリス
ー リス ターのリスト
ト
ト リス
ト
2 数値: 最初に抽出するクラウド コ
ネクターの位置
3 数値: 最後に抽出するクラウド コ
ネクターの位置
List.OfSSOConnectors.Insert
SSO コ
ネクタ
ー リス
ト リス
ト
指定したクラウド コ
1 SSO コネクター リスト: クラウ
ネクターが挿入された
ド コネクターを挿入するリスト
クラウド コネクター
のリスト
2 SSO コネクター: 挿入するクラウ
ド コネクター
3 数値: クラウド コネクターの挿入
位置
List.OfSSOConnectors.IsEmpty
736
McAfee Web Gateway 7.6.2
ブール
true の場合、指定され SSO コネクター リスト: 空かどう
たリストは空です。
かを確認するリスト
Product Guide
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfSSOConnectors.Join
SSO コ
ネクタ
ー リス
ト リス
ト
2 つのリストの結合で 1 SSO コネクター リスト: 最初の
作成されたシングル
リスト
サインオン コネクタ
ー リスト
2 SSO コネクター リスト: 2 番目
のリスト
List.OfSSOConnectors.Reverse
SSO コ 元の順序と逆にしたク SSO コネクター リスト: 元の順序
ネクタ ラウド コネクター リ のリスト
ー リス スト
ト リス
ト
List.OfSSOConnectors.Set
SSO コ 指定したコネクターが 1 SSO コネクター リスト: クラウ
ネクタ 設定されたクラウド
ド コネクターを設定するリスト
ー リス コネクター リスト
ト リス
2 SSO コネクター リスト: 設定す
ト
るクラウド コネクター
3 数値: クラウド コネクターの設定
位置
List.OfSSOConnectors.Size
数値
List.OfSSOConnectors.Sort
SSO コ 名前の英字順に並んで SSO コネクター リスト: ソートす
ネクタ いるクラウド コネク
るリスト
ー リス ターのリスト
ト リス
ト
List.OfSSOConnectors.ToString
文字列
文字列に変換するクラ SSO コネクター リスト: 変換する
ウド コネクターのリ
リスト
スト
List.OfString.Append
文字列
リスト
文字列が追加された文 1 文字列リスト: 数値を追加するリ
字列のリスト
スト
リスト内のクラウド
コネクターの数
SSO コネクター リスト: クラウド
コネクターの数を確認するリスト
2 文字列: 追加する文字列
List.OfString.ByName
文字列
リスト
名前で指定した文字列 文字列: リスト名
のリスト
List.OfString.Erase
文字列
リスト
指定した文字列が消去 1 文字列リスト: 消去する文字列を
された文字列のリスト
含むリスト
2 数値: 消去する文字列の位置
List.OfString.EraseElementRange
文字列
リスト
指定した範囲の文字列 1 文字列リスト: 消去する文字列を
が消去された文字列の
含むリスト
リスト
2 数値: 最初に消去する文字列の位
置
3 数値: 最後に消去する文字列の位
置
McAfee Web Gateway 7.6.2
Product Guide
737
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfString.EraseList
文字列
リスト
他のリストで消去され 1 文字列リスト: 消去する文字列を
ている文字列を含む文
含むリスト
字列リスト
2 文字列リスト: 最初のリストで消
去されている文字列のリスト
List.OfString.Find
数値
リスト内での文字列の 1 文字列リスト: 位置を検索する文
位置
字列を含むリスト
2 文字列: 位置を検索する文字列
List.OfString.Get
文字列
リスト内の位置で指定 1 文字列リスト: 数値を含むリスト
される文字列
2 数値: リスト内での文字列の位置
List.OfString.GetElementRange
文字列
リスト
他のリストから抽出す 1 文字列リスト: 抽出する文字列を
る文字列のリスト
含むリスト
2 数値: 最初に抽出する文字列の位
置
3 数値: 最後に抽出する文字列の位
置
List.OfString.Insert
文字列
リスト
指定された文字列が挿 1 文字列リスト: 文字列を挿入する
入された文字列のリス
リスト
ト
2 文字列: 挿入する文字列
List.OfString.IsEmpty
ブール
true の場合、指定され 文字列リスト: 空かどうかを確認す
たリストは空です。
るリスト
List.OfString.Join
文字列
リスト
2 つのリストの結合で 1 文字列リスト: 最初のリスト
作成された文字列リス
2 文字列リスト: 2 番目のリスト
ト
List.OfString.JSON.AsStringList
文字列
リスト
JSON 配列の要素値か JSON: 配列
ら作成された文字列リ
スト
値が NULL の場合、空
の文字列が作成されま
す。
738
List.OfStringMapInList
文字列
リスト
パラメーターで指定さ 1 文字列リスト: 文字列を含む最初
れ、リストに含まれて
のリスト
いる文字列。この文字
列の位置を表すインデ 2 文字列リスト: 文字列を含む 2 番
ックスは別のリストに
目のリスト
含まれています。
3 文字列: 最初と 2 番目のリストに
指定した文字列が最初
含まれる文字列。あるいは空の文
のリストにないか、2
番目のリストに位置が
字列。
存在しない場合、文字
列は空になります。
List.OfString.Reverse
文字列
リスト
元の順序と逆になって 文字列リスト: 元の順序のリスト
いる文字列リスト
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfString.Size
数値
指定されたリスト内の 文字列リスト: 文字列の数を確認す
文字列数
るリスト
List.OfString.Sort
文字列
リスト
英字順でソートされて 文字列リスト: ソートするリスト
いる文字列リスト
List.OfString.ToString
文字列
文字列に変換する文字 文字列リスト: ソートする文字列
列リスト
List.OfWildcard.Append
ワイル
ドカー
ド式リ
スト
式が追加されるワイル 1 ワイルドカード式リスト: ワイル
ドカード式リスト
ドカード式を追加するリスト
List.OfWildcard.ByName
ワイル
ドカー
ド式リ
スト
名前で指定されるワイ 文字列: リスト名
ルドカード式リスト
List.OfWildcard.Erase
ワイル
ドカー
ド式リ
スト
指定した式が消去され 1 ワイルドカード式リスト: 消去す
たワイルドカード式リ
るワイルドカード式を含むリスト
スト
2 数値: 消去するワイルドカード式
の位置
List.OfWildcard.EraseElementRange
ワイル
ドカー
ド式リ
スト
指定した範囲の式が消 1 ワイルドカード式リスト: 消去す
去されたワイルドカー
るワイルドカード式を含むリスト
ド式リスト
2 数値: 最初に消去するワイルドカ
ード式の位置
2 ワイルドカード式: 追加するワイ
ルドカード
3 数値: 最後に消去するワイルドカ
ード式の位置
List.OfWildcard.EraseList
ワイル
ドカー
ド式リ
スト
他のリストで消去され 1 ワイルドカード式リスト: 消去す
ている式を含むワイル
るワイルドカード式を含むリスト
ドカード式リスト
2 ワイルドカード式リスト: 最初の
リストで消去されたワイルドカー
ド式のリスト
List.OfWildcard.Find
数値
リスト内でのワイルド 1 ワイルドカード式リスト: 位置を
カード式の位置
検索するワイルドカード式を含む
リスト
2 ワイルドカード式: 位置を探すワ
イルドカード式
List.OfWildcard.Get
McAfee Web Gateway 7.6.2
ワイル
ドカー
ド式
リスト内の位置で指定 1 ワイルドカード式リスト: ワイル
されるワイルドカード
ドカード式を含むリスト
式
2 数値: リスト内でのワイルドカー
ド式の位置
Product Guide
739
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
型
説明
パラメーター
List.OfWildcard.GetElementRange
ワイル
ドカー
ド式リ
スト
他のリストから抽出さ 1 ワイルドカード式リスト: 抽出す
れるワイルドカード式
るワイルドカード式を含むリスト
のリスト
2 数値: 最初に抽出するワイルドカ
ード式の位置
3 数値: 最後に抽出するワイルドカ
ード式の位置
List.OfWildcard.Insert
ワイル
ドカー
ド式リ
スト
指定した式が挿入され 1 ワイルドカード式リスト: ワイル
たワイルドカード式リ
ドカード式を挿入するリスト
スト
2 ワイルドカード式: 挿入するワイ
ルドカード
List.OfWildcard.IsEmpty
ブール
true の場合、指定され ワイルドカード式リスト: 空かどう
たリストは空です。
かを確認するリスト
List.OfWildcard.Join
ワイル
ドカー
ド式リ
スト
2 つのリストの結合で 1 ワイルドカード式リスト: 最初の
作成されたワイルドカ
リスト
ード式リスト
2 ワイルドカード式リスト: 2 番目
のリスト
List.OfWildcard.Reverse
ワイル
ドカー
ド式リ
スト
元の順序と逆にしたワ ワイルドカード式リスト: 元の順序
イルドカード式リスト のリスト
List.OfWildcard.Size
数値
リスト内のワイルドカ ワイルドカード式リスト: ワイルド
ード式の数
カード式の数を確認するリスト
List.OfWildcard.Sort
ワイル
ドカー
ド式リ
スト
ソートされたワイルド ワイルドカード式リスト: ソートす
カード式リスト
るリスト
List.OfWildcard.ToString
文字列
文字列に変換するワイ ワイルドカード式リスト: 変換する
ルドカード式リスト
リスト
プロパティ - M
以下の表では、名前が M で始まるプロパティについて説明します。
表 A-17 プロパティ - M
740
名前
型
説明
パラメーター
Map.ByName
マップ
タイプ
リスト
指定した名前で存在するマップ タイプ リスト
文字列: リスト
名
Map.CreateStringMap
マップ
タイプ
リスト
新規に作成されたマップ タイプ リスト
McAfee Web Gateway 7.6.2
このリストは空です。
Product Guide
A
構成リスト
プロパティのリスト
表 A-17 プロパティ - M (続き)
名前
型
説明
パラメーター
Map.DeleteKey
マップ
タイプ
リスト
指定したキーと関連値が削除されたマップ タイプ 1 マップ タイ
リスト
プ リスト:
マップ タイ
プ リスト
2 文字列: キー
Map.GetKeys
マップ
タイプ
リスト
指定したマップ タイプ リストに含まれているキ
ーのリスト
マップ タイプ
リスト: マップ
タイプ リスト
Map.GetStringValue
文字列
指定したマップ タイプ リストの特定のキーの値
を表す文字列
1 マップ タイ
プ リスト:
マップ タイ
プ リスト
2 文字列: キー
Map.HasKey
ブール
true の場合、指定したキーがマップ タイプ リスト 1 マップ タイ
に存在します。
プ リスト:
マップ タイ
プ リスト
2 文字列: キー
Map.SetStringValue
マップ
タイプ
リスト
指定したキーに特定の値が設定されているマップ
タイプ リスト
1 マップ タイ
プ リスト:
マップ タイ
プ リスト
2 文字列: キー
3 文字列: 値
Map.Size
数値
指定したマップ タイプ リストに存在するキーと
値の組み合わせの数
マップ タイプ
リスト: マップ
タイプ リスト
Map.ToString
文字列
文字列に変換される Map タイプ リスト
マップ タイプ
リスト: マップ
タイプ リスト
Math.Abs
数値
指定された数値の絶対値
数値: 絶対値を
取得する通知
Math.Modulo
数値
整数を結果の商として受け付けるときのみ、整数 a 1 数値: a の値
を整数 b で割った後の残りである整数。
2 数値: b の
たとえば、a = 14 と b = 3 の場合、
値
Math.Modulo の値は 2 です。
14 を 3 で割った結果の整数は 4 で、3 x 4 = 12
は 2 を残します。
Math.Random
MediaStreamProbability
McAfee Web Gateway 7.6.2
数値
数値
指定された最小および最大値の間のランダム番号
(これらの値に含まれます)
1 数値: 最小値
2 数値: 最大値
問題のストリーミング メディアが見つかったメデ
ィア タイプに一致する可能性 (パーセント)
Product Guide
741
A
構成リスト
プロパティのリスト
表 A-17 プロパティ - M (続き)
742
名前
型
説明
パラメーター
MediaType.EnsuredTypes
メディ
ア タイ
プ リス
ト
50% 以上の可能性で個々のメディアを確認する
メディア タイプのリスト
MediaType.FromFileExtension
メディ
ア タイ
プ リス
ト
メディア ファイルの拡張子で見つかったメディア
タイプのリスト
MediaType.FromHeader
メディ
ア タイ
プ リス
ト
メディアとともに送信したコンテンツ タイプ ヘ
ッダーを使用して見つかったメディア タイプのリ
スト
MediaType.HasOpener
ブール
true の場合、オープナー モジュールはアプライア
ンスで与えられたタイプのメディアで利用可能で
す。
MediaType.IsArchive
ブール
true の場合、処理中のメディアはアーカイブにな
ります。
MediaType.IsAudio
ブール
true の場合、処理中のメディアは音声タイプにな
ります。
MediaType.IsCompositeObject
ブール
true の場合、処理中のメディアは複合オブジェク
トになります。
MediaType.IsDatabase
ブール
true の場合、処理中のメディアはデータベースに
なります。
MediaType.IsDocument
ブール
true の場合、処理中のメディアは文書になります。
MediaType.IsExecutable
ブール
true の場合、処理中のメディアは実行ファイルに
なります。
MediaType.IsImage
ブール
true の場合、処理中のメディアは画像になります。
MediaType.IsText
ブール
true の場合、処理中のメディアはテキスト タイプ
になります。
MediaType.IsVideo
ブール
true の場合、処理中のメディアは動画になります。
MediaType.MagicBytesMismatch ブール
true の場合、メディアとともに送信されたヘッダ
ーで指定されたメディア タイプは、メディアに実
際に含まれているマジック バイトを検査すること
でアプライアンスで見つかったタイプに一致しま
せん。
MediaType.NotEnsuredTypes
メディ
ア タイ
プ リス
ト
50% 以下の可能性で個々のメディアを確認する
メディア タイプのリスト
MediaType.ToString
文字列
文字列に変換されるメディア タイプ
Message.Language
文字列
ユーザーに送信されるメッセージで使用される言
語の名前 (短縮形)。例: en、de、ja
Message.TemplateName
文字列
ユーザーにメッセージを送信するテンプレート名
McAfee Web Gateway 7.6.2
メディア タイ
プ: 変換するメ
ディア タイプ
Product Guide
A
構成リスト
プロパティのリスト
プロパティ - N
以下の表では、名前が N で始まるプロパティについて説明します。
表 A-18 プロパティ - N
名前
型
説明
パラメーター
NextHopProxy.StickinessAttribute 文字列 ネクスト ホップ プロキシの持続性モードで処理さ
れる要求の一部
このプロパティは SaaS に対応していませ
ん。
Number.ToDecimalNumber
数値
数値: 変換す
る整数
小数に変換される整数
たとえば、10 は 10.0 に変換されます。
Number.ToString
文字列 文字列に変換される数値
数値: 変換す
る数値
Number.ToVolumeString
文字列 文字列に変換する総バイト数
数値: 変換す
るバイト数
NumberOfClientConnections
数値
アプライアンスで同時に開くクライアントへの接
続数
このプロパティは SaaS に対応していませ
ん。
プロパティ - P
以下の表では、名前が P で始まるプロパティについて説明します。
表 A-19 プロパティ - P
名前
型
説明
PDStorage.GetAllData
文
字
列
リ
ス
ト
文字列形式ですべての持続的に保管された
データを含むリスト
文
字
列
リ
ス
ト
文字列形式ですべての持続的に保管された
グローバル データを含むリスト
文
字
列
リ
ス
ト
文字列形式ですべての持続的に保管された
ユーザー データを含むリスト
ブ
ー
ル
ブール型のグローバル変数
PDStorage.GetAllGlobalData
PDStorage.GetAllUserData
PDStorage.GetGlobalData.Bool
McAfee Web Gateway 7.6.2
パラメ
ーター
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
Product Guide
文字
列: 変
数キー
743
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
PDStorage.GetGlobalData.Category
カ
テ
ゴ
リ
カテゴリ型のグローバル変数
文字
列: 変
数キー
デ
ィ
メ
ン
シ
ョ
ン
ディメンション型のグローバル変数
16
進
値
16 進値型のグローバル変数
IP
IP 型のグローバル変数
PDStorage.GetGlobalData.Dimension
PDStorage.GetGlobalData.Hex
PDStorage.GetGlobalData.IP
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
PDStorage.GetGlobalData.IPRange
PDStorage.GetGlobalData.List.Category
PDStorage.GetGlobalData.List.Dimension
PDStorage.GetGlobalData.List.Hex
PDStorage.GetGlobalData.List.IP
744
McAfee Web Gateway 7.6.2
IP
範
囲
IP 範囲型のグローバル変数
カ
テ
ゴ
リ
リ
ス
ト
カテゴリ リスト型のグローバル変数
デ
ィ
メ
ン
シ
ョ
ン
リ
ス
ト
ディメンション リスト型のグローバル変
数
16
進
値
リ
ス
ト
16 進値リスト型のグローバル変数
IP
リ
ス
ト
IP リスト型のグローバル変数
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
Product Guide
文字
列: 変
数キー
文字
列: 変
数キー
構成リスト
プロパティのリスト
A
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
PDStorage.GetGlobalData.List.IPRange
IP
範
囲
リ
ス
ト
IP 範囲リスト型のグローバル変数
文字
列: 変
数キー
メ
デ
ィ
ア
タ
イ
プ
リ
ス
ト
メディア タイプ リスト型のグローバル変 文字
列: 変
数
数キー
数
値
リ
ス
ト
数値リスト型のグローバル変数
文
字
列
リ
ス
ト
文字列リストのグローバル変数
PDStorage.GetGlobalData.List.MediaType
PDStorage.GetGlobalData.List.Number
PDStorage.GetGlobalData.List.String
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
文字
列: 変
数キー
文字
列: 変
数キー
PDStorage.GetGlobalData.List.WildcardExpression ワ
イ
ル
ド
カ
ー
ド
式
リ
ス
ト
ワイルドカード式リスト型のグローバル変 文字
列: 変
数
数キー
PDStorage.GetGlobalData.MediaType
メ
デ
ィ
ア
タ
イ
プ
メディア タイプ型のグローバル変数
数
値
数値型のグローバル変数
PDStorage.GetGlobalData.Number
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
PDStorage.GetGlobalData.String
McAfee Web Gateway 7.6.2
文
字
列
文字列型のグローバル変数
このプロパティは SaaS に対応して
いません。
Product Guide
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
745
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
PDStorage.GetGlobalData.WildcardExpression
ワ
イ
ル
ド
カ
ー
ド
式
ワイルドカード式型のグローバル変数
文字
列: 変
数キー
ブ
ー
ル
ブール型のユーザー変数
カ
テ
ゴ
リ
カテゴリ型のユーザー変数
デ
ィ
メ
ン
シ
ョ
ン
ディメンション型のユーザー変数
16
進
値
16 進値型のユーザー変数
IP
IP 型のユーザー変数
PDStorage.GetUserData.Bool
PDStorage.GetUserData.Category
PDStorage.GetUserData.Dimension
PDStorage.GetUserData.Hex
PDStorage.GetUserData.IP
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
PDStorage.GetUserData.IPRange
PDStorage.GetUserData.List.Category
746
McAfee Web Gateway 7.6.2
IP
範
囲
IP 範囲型のユーザー変数
カ
テ
ゴ
リ
リ
ス
ト
カテゴリ リスト型のユーザー変数
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
Product Guide
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
構成リスト
プロパティのリスト
A
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
PDStorage.GetUserData.List.Dimension
デ
ィ
メ
ン
シ
ョ
ン
リ
ス
ト
ディメンション型のユーザー変数
文字
列: 変
数キー
16
進
値
リ
ス
ト
16 進値リスト型のユーザー変数
IP
リ
ス
ト
IP リスト型のユーザー変数
IP
範
囲
リ
ス
ト
IP 範囲タイプ型のユーザー変数
メ
デ
ィ
ア
タ
イ
プ
リ
ス
ト
メディア タイプ リスト型のユーザー変数 文字
列: 変
数キー
このプロパティは SaaS に対応して
数
値
リ
ス
ト
数値リスト型のユーザー変数
文
字
列
リ
ス
ト
文字列リスト型のユーザー変数
PDStorage.GetUserData.List.Hex
PDStorage.GetUserData.List.IP
PDStorage.GetUserData.List.IPRange
PDStorage.GetUserData.List.MediaType
PDStorage.GetUserData.List.Number
PDStorage.GetUserData.List.String
McAfee Web Gateway 7.6.2
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
文字
列: 変
数キー
文字
列: 変
数キー
文字
列: 変
数キー
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
Product Guide
文字
列: 変
数キー
文字
列: 変
数キー
747
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
型
説明
PDStorage.GetUserData.List.WildcardExpression
ワ
イ
ル
ド
カ
ー
ド
式
リ
ス
ト
ワイルドカード式リスト型のユーザー変数 文字
列: 変
数キー
このプロパティは SaaS に対応して
メ
デ
ィ
ア
タ
イ
プ
メディア タイプ型のユーザー変数
数
値
数値型のユーザー変数
PDStorage.GetUserData.MediaType
PDStorage.GetUserData.Number
パラメ
ーター
いません。
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
PDStorage.GetUserData.String
PDStorage.GetUserData.WildcardExpression
PDStorage.HasGlobalData
文字
列: 変
数キー
文字
列: 変
数キー
文
字
列
文字列型のユーザー変数
ワ
イ
ル
ド
カ
ー
ド
式
ワイルドカード式型のユーザー変数
ブ
ー
ル
true の場合、持続的に保管されたグローバ 文字
列: 変
ル データが利用可能です。
数キー
このプロパティは SaaS に対応して
いません。
このプロパティは SaaS に対応して
いません。
文字
列: 変
数キー
文字
列: 変
数キー
このプロパティは SaaS に対応して
いません。
PDStorage.HasGlobalDataWait
748
McAfee Web Gateway 7.6.2
ブ
ー
ル
true の場合、要求されたグローバル変数が 1 文字
ストレージに保存されるか、指定された時
列:
間が経過するまで、要求は待機状態を継続
変数
します。
キー
待機状態が解除されると、プロパティの値
は false に設定されます。 デフォルトは 2 数
true です。
値:
タイ
このプロパティは SaaS に対応して
ムア
いません。
ウト
(秒
数)
Product Guide
構成リスト
プロパティのリスト
A
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
PDStorage.HasUserData
ブ
ー
ル
true の場合、持続的に保管されたユーザー 文字
列: 変
データが利用可能です。
数キー
このプロパティは SaaS に対応して
いません。
ProgressPage.Enabled
ブ
ー
ル
true の場合、ダウンロードの進行状況が進
行状況ページでユーザーに表示されていま
す。
ProgressPage.Sent
ブ
ー
ル
true の場合、要求された Web オブジェク
トがダウンロードされると、進行状況ペー
ジが表示されます。
ProtocolDetector.DetectedProtocol
文
字
列
Web Gateway とクライアントとの接続
で発生したトラフィックで使用されていた
プロトコルの名前を含む文字列
ProtocolDetector.ProtocolFilterable
ブ
ー
ル
true の場合、Web トラフィックで使用さ
れているプロトコルでフィルタリングが使
用できます。
Protocol.FailureDescription
文
字
列
文字列は現在のプロトコルでの接続エラー
の説明を含んでいます。
Proxy.EndUserURL
文
字
列
ユーザーに表示する URL を表す文字列
Proxy.IP
IP
Web Gateway の IP アドレス
デフォルト値は 0 です。
このプロパティは SaaS に対応
していません。
このプロパティを含むルールは
クラウド用に同期できますが、こ
のプロパティに取得されるのは
デフォルト値だけです。
Proxy.Outbound.IP
IP
Web Gateway が Web サーバーまたは
ネクスト ホップ プロキシに接続するとき
に使用する送信元 IP アドレス。
このプロパティを
Proxy.OutboundIP プロパティ
と混同しないでください。後者は
IP の前にドットがありません。
Proxy.Outbound.IPList
IP
リ
ス
ト
Web Gateway が Web サーバーまたは
ネクスト ホップ プロキシに接続するとき
に使用する送信元 IP アドレスのリスト。
このプロパティは SaaS に対応して
いません。
McAfee Web Gateway 7.6.2
Product Guide
749
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
型
説明
パラメ
ーター
Proxy.Outbound.Port
数
値
Web Gateway が Web サーバーまたは
ネクスト ホップ プロキシに接続するとき
に使用する送信元ポートの数。
Proxy.OutboundIP
IP
Web Gateway が Web サーバーまたは
ネクスト ホップ プロキシに接続するとき
に使用する複数の IP アドレスと置換する
送信元 IP アドレス。
数字:
リスト
の送信
元 IP
アドレ
このアドレスは、パラメーターでリスト内 スの位
の位置を指定して選択します。
置
このプロパティは SaaS に対応
していません。
Proxy.Outbound.IP プロパ
ティと混同しないでください。
後者は IP の前にドットがあり
ます。
Proxy.Port
数
値
Web Gateway が使用するポートの数
デフォルト値は 0 です。
このプロパティは SaaS に対応
していません。
このプロパティを含むルールは
クラウド用に同期できますが、こ
のプロパティに取得されるのは
デフォルト値だけです。
750
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
プロパティ - Q
以下の表では、名前が Q で始まるプロパティについて説明します。
表 A-20 プロパティ - Q
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.AuthorizedOverride.GetLogin
String
User name submitted for
performing an authorized override
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.IsActivationRequest
Boolean If true, an authorized user has
chosen to continue with a
authorized override session after
session time has been exceeded.
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.IsActivationRequest.Strict Boolean If true, an authorized user has
chosen to continue with an
Authorized Override session and
the request for continuing the
session applies to the current
settings.
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.JS.ActivateSession
String
承認されたユーザーが許可オーバーラ
イド テンプレートで所定のボタンをク
リックして新しいセッションを開始し
たときに実行される関数を呼び出す
JavaScript コードの文字列。
テンプレートが作成され、ユーザーに表
示されたときに、コードが提供されま
す。
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.LastAuthorizedPerson
String
User name of the last person who
performed an authorized override
to provide additional session time
for a user
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.RemainingSession
Number Remaining time (in seconds) for
an authorized override session
This property is not
SaaS-compatible.
McAfee Web Gateway 7.6.2
Product Guide
751
A
構成リスト
プロパティのリスト
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.AuthorizedOverride.SessionExceeded
Boolean If true, the time allowed for an
authorized override session has
been exceeded.
This property is not
SaaS-compatible.
Quota.AuthorizedOverride.SessionLength
Number Time length (in seconds) for an
authorized override session
This property is not
SaaS-compatible.
Quota.Coaching.IsActivationRequest
Boolean If true, a user has chosen to
continue with a new coaching
session after session time has
been exceeded.
This property is not
SaaS-compatible.
Quota.Coaching.IsActivationRequest.Strict
Boolean If true, a user has chosen to
continue with a Coaching session
and the request for continuing the
session applies to the current
settings.
This property is not
SaaS-compatible.
Quota.Coaching.JS.ActivateSession
String
ユーザーが警告セッション テンプレー
トで所定のボタンをクリックし、新しい
セッションを開始したときに実行され
る関数を呼び出す JavaScript コード
の文字列。
テンプレートが作成され、ユーザーに表
示されたときに、コードが提供されま
す。
This property is not
SaaS-compatible.
Quota.Coaching.RemainingSession
Number Remaining time (in seconds) for a
coaching session
This property is not
SaaS-compatible.
752
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.Coaching.SessionExceeded
Boolean If true, the time allowed for a
coaching session has been
exceeded.
This property is not
SaaS-compatible.
Quota.Coaching.SessionLength
Number Time length (in seconds) for a
coaching session
This property is not
SaaS-compatible.
Quota.Time.Exceeded
Boolean If true, the time quota has been
exceeded.
This property is not
SaaS-compatible.
Quota.Time.IsActivationRequest
Boolean If true, a user has chosen to
continue with a new time session
after session time has been
exceeded.
This property is not
SaaS-compatible.
Quota.Time.IsActivationRequest.Strict
Boolean If true, a user has chosen to
continue with a new Time session
and the request for continuing the
session applies to the current
settings.
This property is not
SaaS-compatible.
Quota.Time.JS.ActivateSession
String
ユーザーが時間セッション テンプレー
トで所定のボタンをクリックし、新しい
セッションを開始したときに実行され
る関数を呼び出す JavaScript コード
の文字列。
テンプレートが作成され、ユーザーに表
示されたときに、コードが提供されま
す。
This property is not
SaaS-compatible.
McAfee Web Gateway 7.6.2
Product Guide
753
A
構成リスト
プロパティのリスト
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.Time.RemainingDay
Number Time (in seconds) remaining from
the configured time quota for the
current day
This property is not
SaaS-compatible.
Quota.Time.RemainingDay.ReducedAtActivation
Number Time (in seconds) remaining from
the configured time quota for the
current day when a user has just
started a session
This property is not
SaaS-compatible.
Quota.Time.RemainingDay.ReducedAtDeactivation
Number Time (in seconds) remaining from
the configured time quota for the
current day when a user has just
closed a session
This property is not
SaaS-compatible.
Quota.Time.RemainingMonth
Number Time (in seconds) remaining from
the configured time quota for the
current month
This property is not
SaaS-compatible.
Quota.Time.RemainingMonth.ReducedAtActivation
Number Time (in seconds) remaining from
the configured time quota for the
current month when a user has
just started a session
This property is not
SaaS-compatible.
Quota.Time.RemainingMonth.ReducedAtDeactivation Number Time (in seconds) remaining from
the configured time quota for the
current month when a user has
just closed a session
This property is not
SaaS-compatible.
Quota.Time.RemainingSession
Number Remaining time (in seconds) for a
time session
This property is not
SaaS-compatible.
754
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.Time.RemainingWeek
Number Time (in seconds) remaining from
the configured time quota for the
current week
This property is not
SaaS-compatible.
Quota.Time.RemainingWeek.ReducedAtActivation
Number Time (in seconds) remaining from
the configured time quota for the
current week when a user has just
started a session
This property is not
SaaS-compatible.
Quota.Time.RemainingWeek.ReducedAtDeactivation
Number Time (in seconds) remaining from
the configured time quota for the
current week when a user has just
closed a session
This property is not
SaaS-compatible.
Quota.Time.SessionExceeded
Boolean If true, the time allowed for a time
session has been exceeded.
This property is not
SaaS-compatible.
Quota.Time.SessionLength
Number Time length (in seconds) for a
time session
This property is not
SaaS-compatible.
Quota.Time.SizePerDay
Number Time (in seconds) allowed per day
under the configured quota
This property is not
SaaS-compatible.
Quota.Time.SizePerMonth
Number Time (in seconds) allowed per
month under the configured quota
This property is not
SaaS-compatible.
Quota.Time.SizePerWeek
Number Time (in seconds) allowed per
week under the configured quota
This property is not
SaaS-compatible.
McAfee Web Gateway 7.6.2
Product Guide
755
A
構成リスト
プロパティのリスト
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.Volume.Exceeded
Boolean If true, the volume quota has
been exceeded.
This property is not
SaaS-compatible.
Quota.Volume.IsActivationRequest
Boolean If true, a user has chosen to
continue with a new volume
session after session time has
been exceeded.
This property is not
SaaS-compatible.
Quota.Volume.IsActivationRequest.Strict
Boolean If true, a user has chosen to
continue a session when the
configured volume has been
exceeded and the request for
continuing the session applies to
the current settings.
This property is not
SaaS-compatible.
Quota.Volume.JS.ActivateSession
String
ユーザーが、ボリューム セッション テ
ンプレートで所定のボタンをクリック
し、新しいセッションの開始を選択した
ときに実行される関数を呼び出す
JavaScript コードの文字列。
テンプレートが作成され、ユーザーに表
示されたときに、コードが提供されま
す。
This property is not
SaaS-compatible.
Quota.Volume.RemainingDay
Number Volume (in bytes) remaining from
the configured volume quota for
the current day
This property is not
SaaS-compatible.
Quota.Volume.RemainingMonth
Number Volume (in bytes) remaining from
the configured volume quota for
the current month
This property is not
SaaS-compatible.
756
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-20 プロパティ - Q (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Quota.Volume.RemainingSession
Number Remaining time (in seconds) for a
volume session
This property is not
SaaS-compatible.
Quota.Volume.RemainingWeek
Number Volume (in bytes) remaining from
the configured volume quota for
the current week
This property is not
SaaS-compatible.
Quota.Volume.SessionExceeded
Boolean If true, the time allowed for a
volume session has been
exceeded.
This property is not
SaaS-compatible.
Quota.Volume.SessionLength
Number Time length (in seconds) for a
volume session
This property is not
SaaS-compatible.
Quota.Volume.SizePerDay
Number Volume (in bytes) allowed per day
under the configured quota
This property is not
SaaS-compatible.
Quota.Volume.SizePerMonth
Number Volume (in bytes) allowed per
month under the configured quota
This property is not
SaaS-compatible.
Quota.Volume.SizePerWeek
Number Volume (in bytes) allowed per
week under the configured quota
This property is not
SaaS-compatible.
McAfee Web Gateway 7.6.2
Product Guide
757
A
構成リスト
プロパティのリスト
プロパティ - R
以下の表では、名前が R で始まるプロパティについて説明します。
表 A-21 プロパティ - R
名前
型
説明
パラ
メー
ター
Redirect.URL
文字列
文字列は認証またはクォータ ルールでユーザーがリダイ
レクトされた URL を表しています。
Reporting.URL.Categories
カテゴリ リ
スト
アプライアンスで使用されるすべての URL カテゴリの
リスト
Reporting.URL.Reputation
数値リスト
アプライアンスで使用されるすべてのレピュテーション
スコアのリスト
Request.Header.FirstLine
文字列
要求とともに送信されたヘッダーの最初の行
Request.POSTForm.Get
文字列
外部 ID プロバイダーから受信した URL エンコーディン
グ データを POST 形式で取得します。
Request.ProtocolAndVersion
文字列
要求が送信されたときに使用されるプロトコルおよびプ
ロトコル
Response.ProtocolandVersion 文字列
応答が送信されたときに使用されるプロトコルとプロト
コル バージョン
Response.Redirect.URL
文字列
応答を送信したときにユーザーがリダイレクトした URL
Response.StatusCode
文字列
応答のステータス コード
Rules.CurrentRuleID
文字列
現在処理中のルール ID
Rules.CurrentRuleName
文字列
現在処理中のルール名
Rules.CurrentRuleSetName
文字列
現在処理中のルール セット名
Rules.EvaluatedRules
文字列リスト 処理されたすべてのルールのリスト
Rules.EvaluatedRules.Names 文字列リスト 処理されたすべてのルールの名前を含むリスト
Rules.FiredRules
文字列リスト 適用されたすべてのルールのリスト
Rules.FiredRules.Names
文字列リスト 適用されたすべてのルールの名前を含むリスト
プロパティ - S
以下の表では、名前が S で始まるプロパティについて説明します。
表 A-22 プロパティ - S
名前
型
説明
パラメーター
SecureReverseProxy.EmbeddedHost
文字
列
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL のホスト名
このプロパティは SaaS に対応してい
ません。
SecureReverseProxy.EmbeddedProtocol 文字
列
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL のプロトコル
このプロパティは SaaS に対応してい
ません。
758
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
SecureReverseProxy.EmbeddedURL
文字
列
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL
文字列: URL の
ホスト名
これは、
SecureReverseProxy.EmbeddedHost
プロパティの値に指定されたホストの URL
です。
このプロパティは SaaS に対応してい
ません。
SecureReverseProxy.GetDomain
文字
列
SecureReverseProxy モジュールの設定に
指定されたドメイン
このプロパティは SaaS に対応してい
ません。
SecureReverseProxy.IsValidReverseProxyRequest
上を参照
ブー
ル
true の場合、要求で送信された URL の形式
が SecureReverseProxy の設定の要件を満
たしています。
このプロパティは SaaS に対応してい
ません。
SecureReverseProxy.URLToEmbed
文字
列
HTTPS 要求に埋め込まれた HTTP 要求で送
信された URL
このプロパティは SaaS に対応してい
ません。
SecureToken.CreateToken
文字
列
暗号化された文字列
この文字列は、IP アドレスを保護するトーク
ンとして機能します。 トークンの作成には
AES-128 ビット アルゴリズムが使用されま
す。
文字列: 暗号化す
る文字列
SecureReverseProxy モジュールの設定パ
ラメーターの値によっては、この文字列にタ
イムスタンプが含まれます。
SecureToken.IsValid
McAfee Web Gateway 7.6.2
ブー
ル
true の場合、指定されたトークンは有効で、 1 文字列: 検査す
期限切れになっていません。
るトークン
SecureReverseProxy モジュールの設定パ 2
数値: トークン
ラメーターの値によっては、トークンの文字
が期限切れに
列にタイムスタンプが含まれていません。
なるまでの時
この場合、トークンの期限切れは検査されま
間 (秒数)
せん。
Product Guide
759
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
SecureToken.GetString
文字
列
IP アドレスを保護するトークンとして機能す 1 文字列: 検査す
る文字列
るトークン
トークンが無効か、期限切れの場合、文字列 2
数値: トークン
は空になります。
が期限切れに
なるまでの時
間 (秒数)
SNMP.Trap.Additional
文字
列
SNMP プロトコルでトラップに送信された追
加メッセージ
SOCKS.Version
文字
列
クライアント要求がこのプロトコルで Web
オブジェクトにアクセスするときに使用され
る SOCKS プロトコルのバージョン。
SSL.Certificate.CN.ToWildcard
ワイ
ルド
カー
ド式
ワイルドカード式に変換された SSL 認証書
の共通名
SSL.Client.Certificate.Serial
文字
列
クライアント証明書のシリアル番号
SSL.ClientContext.IsApplied
ブー
ル
true の場合、SSL セキュア通信のクライアン
ト コンテキストの設定パラメーターが設定さ
れています。
上を参照
ワイ
ルド
カー
ド式
リス
ト
SSL 証明書で使用するための Web サーバー
の代替共通名のリスト
SSL.Server.Certificate.CN
文字
列
Web サーバーの共通名は SSL セキュア通信
で提供します。
上を参照
ブー
ル
true の場合、SSL 証明書にある Web サーバ
ーの共通名にワイルドカードが含まれていま
す。
SSL.Server.Certificate.DaysExpired
数値
Web サーバーの SSL 証明書の日数が期限切
れになってからの日数
文字列: 変換する
共通名
SSL.Server.Certificate.AlternativeCNs
SSL.Server.Certificate.CN.HasWildcards
SSL.Server.Certificate.HostAndCertificate
ホス
ト名
と証
明書
SSL セキュア通信で Web サーバーに接続す
るときに使用されるホスト名と証明書
上を参照
ホス
ト名
と証
明書
SSL セキュア通信で Web サーバーに接続す
るときに使用される証明書
SSL.Server.Certificate.SelfSigned
ブー
ル
true の場合、Web サーバーの SSL 証明書は
自己署名です。
SSL.Server.Certificate.SHA1Digest
文字
列
文字列は Web サーバーの SSL 証明書の
SHA1Digest を表します。
上を参照
SSL.Server.Certificate.OnlyCertificate
760
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
文字
列
証明書の署名方法を表すテキスト
SSL.Server.Certificate.SignatureMethod
上を参照
SSL.Server.CertificateChain.AllRevocationStatusesKnown
上を参照
ブー
ル
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が失効しているかどうかを
確認できます。
SSL.Server.CertificateChain.ContainsExpiredCA
上を参照
ブー
ル
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が期限切れになっています。
SSL.Server.CertificateChain.ContainsRevoked
上を参照
ブー
ル
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が失効しています。
SSL.Server.CertificateChain.FirstKnownCAIsTrusted
上を参照
ブー
ル
true の場合、Web サーバーの証明書チェー
ンで先頭にある SSL 証明書の発行元は信頼
された証明機関です。
SSL.Server.CertificateChain.FoundKnownCA
上を参照
ブー
ル
true の場合、Web サーバーの証明書チェー
ンで先頭にある SSL 証明書の発行元は既知
の証明機関です。
SSL.Server.CertificateChain.IsComplete ブー
ル
true の場合、Web サーバーの SSL 証明書チ
ェーンは完了しています。
SSL.Server.CertificateChain.Length
Web サーバーの証明書チェーンでの SSL 証
明書番号
数値
SSL.Server.CertificateChain.PathLengthExceeded
上を参照
ブー
ル
true の場合、Web サーバーの SSL 証明書チ
ェーンの長さが制限を超えています。
SSL.Server.CertificateChain.SignatureMethods
上を参照
文字
列リ
スト
チェーン内の証明書の署名方法を表すテキス
ト
SSL.Server.Cipher.KeyExchangeBits
数値
SSL セキュア通信で実行されるキー交換で最
も脆弱なリンクの正規化後の長さ
SSL.Server.Handshake.CertificateIsRequested
上を参照
ブー
ル
true の場合、Web サーバーとの SSL セキュ
ア通信の確立でハンドシェイクが要求されて
います。
SSO.Action
文字
列
SSO 要求の応答で実行された内部アクショ
ンの名前を戻します。
このプロパティは SaaS に対応してい
ません。
McAfee Web Gateway 7.6.2
Product Guide
761
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
SSO.Config
文字
列
SSO 要求の応答で実行された内部アクショ
ンで使用された文字列の名前を戻します。
このプロパティは SaaS に対応してい
ません。
SSO.Debug
文字
列
SSO デバッグ メッセージを戻します。
このプロパティは SaaS に対応してい
ません。
SSO.GetConnectorInfo
変数
ユーザーが要求したサービスの SSO コネク 文字列: サービス
ターに関する情報を戻します。 この情報は、 ID
sso-conn-info という名前のローカル変数に
JSON オブジェクトとして保存されます。
このプロパティは SaaS に対応してい
ません。
SSO.GetData
JSON SAML シングル サインオンに必要な追加情
オブ 報を戻します。
ジェ
クト
このプロパティは SaaS に対応してい
ません。
SSO.GetDatFile
文字
列
指定した DAT ファイルを更新サーバーから 文字列: SSO
取得し、ファイルのコンテンツを文字列を戻 DAT ファイルの
名前
します。 シングル サインオン モジュール
は、SSO DAT ファイルのコレクションを使用
して Launchpad を作成します。
このプロパティは SaaS に対応してい
ません。
SSO.GetIceTokenLoginAction
文字
列
要求されたサービスまたはアプリケーション 1 文字列: サービ
でのシングル サインオンの完了に必要なユー
ス ID
ザー情報を戻します。
2 変数:
このプロパティは SaaS に対応してい
sso-user-data
ません。
SSO.GetPostLoginAction
文字
列
要求された HTTP サービスまたはアプリケー 1 文字列: ID プ
ションでのシングル サインオンの完了に必要
ロバイダー
な情報を戻します。
2 文字列: ユーザ
このプロパティは SaaS に対応してい
ー名
ません。
3 文字列: サービ
ス ID
4 文字列: ユーザ
ー アカウント
762
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
SSO.GetSAMLLoginAction
文字
列
1 文字列: サービ
要求された SAML サービスまたはアプリケ
ーションでのシングル サインオンの完了に必
ス ID
要なユーザー情報を戻します。
2 変数:
このプロパティは SaaS に対応してい
sso-user-data
ません。
SSO.GetServices
JSON
オブ
ジェ
クト
SSO サービス選択ルール セットで追加され 変数:
た現在のユーザーに関するすべての情報を戻 "conditions"
します。 この情報は JSON 形式で戻されま
す。たとえば、ユーザーにアクセスが許可さ
れたクラウド サービスの名前やすべてのアカ
ウント情報が戻されます。
このプロパティは SaaS に対応してい
ません。
SSO.GetTools
文字
列
JavaScript ツールの文字列を戻します。
このプロパティは SaaS に対応してい
ません。
SSO.IsManagementRequest
ブー
ル
現在の要求が SSO 要求で、以下のいずれかま
たは両方の条件を満たしている場合、true を
戻します。
• Web Gateway が SSO 要求を受信してい
る。
• SSO.Action プロパティが有効な設定で処
理された。
このプロパティは SaaS に対応してい
ません。
SSO.LogProperties
JSON SSO アクセス ログと SSO 追跡ログの生成
オブ に使用する SSO 要求の情報を保存します。
ジェ
クト
このプロパティは SaaS に対応してい
ません。
SSO.ManagementHost
文字
列
設定で指定された SSO サービスのホスト名
を戻します。 この値は通常、Web Gateway
が提供する SSO サービスをホスティングし
ているサーバーの名前になります。
このプロパティは SaaS に対応してい
ません。
SSO.OTPRequired
ブー
ル
SSO アクションで OTP 認証を必要とする場
合に true を戻します。
このプロパティは SaaS に対応してい
ません。
McAfee Web Gateway 7.6.2
Product Guide
763
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
SSO.ProcessTask
ブー
ル
シングル サインオンの設定を使用して、共通
の SSO タスク (認証情報の管理など) を処
理します。 SSO タスクが正常に処理される
と、このプロパティが true を戻します。
このパラ
メーター
は URL
で渡され
ます。
このプロパティは SaaS に対応してい
ません。
SSO.UserHasAccessToService
ブー
ル
ユーザーにクラウド サービスへのアクセスま
たはアカウントの管理が許可された場合に
true を戻します。
このプロパティは SaaS に対応してい
ません。
SSOConnector.ToString
文字
列
クラウド コネクターの名前を対応するクラウ 文字列: クラウド
ド サービスまたはアプリケーションのサービ コネクターの名
前
ス ID に変換します。
Statistics.Counter.Get
数値
アクティビティの発生またはカウンターで記
録された状況の数
文字列: カウンタ
ーの名前
このプロパティは SaaS に対応してい
ません。
Statistics.Counter.GetCurrent
数値
最後に発生したアクティビティの数またはカ
ウンターで記録された状況の数 (完全に完了
したもの)
文字列: カウンタ
ーの名前
このプロパティは SaaS に対応してい
ません。
Stopwatch.GetMicroSeconds
数値
ルール セットの処理時間 (マイクロ秒)
文字列: ルール
セットの名前
Stopwatch.GetMilliSeconds
数値
ルール セットの処理にかかった時間 (ミリ
秒)
文字列: ルール
セットの名前
StreamDetector.IsMediaStream
ブー
ル
true の場合、Web オブジェクトとしてスト
リーミング メディアが要求されています。
これは、ストリーミング メディアのフィルタ
リングで使用される基本プロパティです。
StreamDetector.MatchedRule
文字
列
一致したストリーミング メディア フィルタ
リング ルールの名前
StreamDetector.IsMediaStream プロ
パティが true に設定されていると、このプ
ロパティに値が設定されています。
StreamDetector.Probability
数値
Web オブジェクトがストリーミング メディ
アの可能性
1 から 100 までの値。
StreamDetector.IsMediaStream プロ
パティが true に設定されていると、このプ
ロパティに値が設定されています。
764
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.BackwardFind
数値
逆方向検索によって文字列で見つかったサブ
文字列の開始位置
1 文字列: サブ文
字列を含む文
字列
サブ文字列が見つからない場合は -1 が戻さ
れます。
2 文字列: サブ文
字列
3 数値: サブ文字
列の逆方向検
索を開始する
位置
String.Base64DecodeAsBinary
文字
列
base-64 エンコーディング文字列の復号結
果を表すバイナリ文字列
文字列: エンコー
ド形式の文字列
String.Base64DecodeAsText
文字
列
base-64 エンコーディング文字列の復号結
果を表すテキスト文字列
文字列: エンコー
ド形式の文字列
String.Base64Encode
文字
列
base-64 エンコーディングで文字列をエン
コードした結果を表す文字列
文字列: エンコー
ドする文字列
String.BelongsToDomains
ブー
ル
true の場合、指定した文字列がドメイン名の 1 文字列: リスト
リストに含まれています。
内で検索する
文字列
文字列がリスト項目 (ドメイン名) に一致す
ると、プロパティの値が true になります。
2 文字列リスト:
文字またはドットとサブ文字列が続くは文字
ドメイン名の
列 (ドメインのサブドメイン名) がリスト項
リスト
目 (*.<list entry>) に一致する場合にも、プ
ロパティの値が true になります。
いずれの場合も、List.LastMatches プロパ
ティの値に文字列が設定されます。
String.Concat
文字
列
指定された 2 つの文字列の連結
1 文字列: 連結す
る最初の文字
列
2 文字列: 連結す
る 2 番目の文
字列
String.CRLF
文字
列
復帰改行
String.Find
数値
順方向検索によって文字列で見つかったサブ
文字列の開始位置
サブ文字列が見つからない場合は -1 が戻さ
れます。
1 文字列: サブ文
字列を含む文
字列
2 文字列: サブ文
字列
3 数値: サブ文字
列の順方向検
索を開始する
位置
McAfee Web Gateway 7.6.2
Product Guide
765
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.FindFirstOf
数値
文字列で見つかったサブ文字列の最初の文字
位置
1 文字列: サブ文
字列を含む文
字列
サブ文字列が見つからない場合は -1 が戻さ
れます。
2 文字列: サブ文
字列
3 数値: サブ文字
列の検索を開
始する位置
String.FindLastOf
数値
文字列で見つかったサブ文字列の最後の文字
位置
サブ文字列が見つからない場合は -1 が戻さ
れます。
1 文字列: サブ文
字列を含む文
字列
2 文字列: サブ文
字列
3 数値: サブ文字
列の検索を開
始する位置
String.GetWordCount
数値
文字列の単語数
文字列: 単語数を
取得する文字列
String.Hash
文字
列
指定された文字列の特定のタイプのハッシュ
値
1 文字列: ハッシ
ュ値の検索に
使用する文字
列
2 文字列: ハッシ
ュ タイプ
766
String.IsEmpty
ブー
ル
true の場合、指定された文字列は空です。
文字列: 空かどう
か検査する文字
列
String.Length
数値
文字列の文字数
文字列: 文字数を
計算する文字列
String.LF
文字
列
改行
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.MakeAnonymous
文字
列
匿名にされ、匿名化の解除に 1 つまたは 2 つ 文字列: 匿名化す
る文字列
のパスワードを必要とする文字列
匿名にする文字列は、プロパティのパラメー
ターとして指定します。
パスワードは、プロパティの [匿名化] で設定
します。
このプロパティをルールで使用すると、重要
なデータを匿名化できます。たとえば、
[Authentication.UserName] プロパティの
値として取得されるユーザー名を匿名化でき
ます。
このルールのイベントが認証プロパティに
[String.MakeAnonymous] の値を設定しま
す。認証プロパティがパラメーターとして使
用するので、匿名化されたユーザー名が値と
して使用されます。
イベントが実行されると、匿名化されたユー
ザー名が [Authentication.UserName] の
値に設定されます。 これにより、重要な情報
が保護されます。
このルールを有効にするには、ルールの前に
認証プロパティが処理されている必要があり
ます。 このプロパティが処理されていない
と、匿名化される文字列が設定されません。
String.MatchWildcard
文字
列リ
スト
ワイルドカード式と一致する文字列の用語リ
スト
1 文字列: 用語と
一致する文字
列
2 ワイルドカー
ド式: 一致させ
るワイルドカ
ード式
3 数値: サブ文字
列の検索を開
始する位置
String.Replace
文字
列
指定された文字列によって置き換えられたサ
ブ文字列を持つ文字列
1 文字列: 置換す
るサブ文字列
を含む文字列
2 数値: 置換を開
始する位置
3 数値: 置換する
文字数
4 文字列: 置換す
る文字列
McAfee Web Gateway 7.6.2
Product Guide
767
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.ReplaceAll
文字
列
文字列は指定された文字列が置き換えられそ
れぞれのサブ文字列が発生します。
1 文字列: 置換す
るサブ文字列
を含む文字列
2 文字列: 置換さ
れるサブ文字
列
3 文字列: 置換す
るサブ文字列
String.ReplaceAllMatches
文字
列
文字列は指定されたような文字列に置き換え
られたワイルドカード式に一致するそれぞれ
のサブ文字列が発生します。
1 文字列: 置換す
るサブ文字列
を含む文字列
2 ワイルドカー
ド式: 一致させ
るワイルドカ
ード式
3 文字列: 置換す
るサブ文字列
String.ReplaceFirst
文字
列
文字列は指定された文字列が置き換えられ最
初のサブ文字列が発生します。
1 文字列: 置換す
るサブ文字列
を含む文字列
2 文字列: 置換す
るサブ文字列
3 文字列: 置換す
る文字列
String.ReplaceFirstMatch
文字
列
文字列は指定されたような文字列に置き換え
られたワイルドカード式に一致する最初のサ
ブ文字列が発生します。
1 文字列: 置換す
るサブ文字列
を含む文字列
2 ワイルドカー
ド式: 一致させ
るワイルドカ
ード式
3 文字列: 置換さ
れるサブ文字
列
String.ReplaceIfEquals
文字
列
文字列は指定された文字列が置き換えられす
べてのサブ文字列が発生します。
1 文字列: 置換す
るサブ文字列
を含む文字列
2 文字列: 置換す
るサブ文字列
3 文字列: 置換す
る文字列
768
McAfee Web Gateway 7.6.2
Product Guide
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.SubString
文字
列
開始位置と長さで指定した文字列に含まれて
いるサブ文字列
1 文字列: サブ文
字列を含む文
字列
2 数値: サブ文字
列の先頭位置
3 数値: サブ文字
列の文字数
数字が指定され
ていない場合、サ
ブ文字列はオリ
ジナルの文字列
の最後まで拡張
します。
String.SubStringBetween
文字
列
この文字列の 2 つのその他文字列の間で拡張 1 文字列: サブ文
する文字列のサブ文字列
字列を含む文
字列
他のサブ文字列の最初を探すとともに、この
サブ文字列の検索を開始します。 この文字列
2 文字列: 必要な
が見つかった場合、検索は次のサブ文字列の
サブ文字列の
検索を継続します。
直前で終わる
最初のサブ文字列が見つからないと、検索結
サブ文字列
果は戻されません。 2 番目のサブ文字列が見
つからなかった場合、見つけるサブ文字列は
最初のサブ文字列からメイン文字列の終わり
まで拡張します。
3 文字列: 必要な
サブ文字列の
直後に始まる
サブ文字列
String.ToCategory
カテ
ゴリ
カテゴリに変換される文字列
文字列: 変換する
文字列
String.ToDimension
ディ
メン
ショ
ン
ディメンションに変換される文字列
文字列: 変換する
文字列
String.ToHex
16 進 16 進値に変換された文字列
値
文字列: 変換する
文字列
String.ToIP
IP
文字列: 変換する
文字列
String.ToIPRange
IP 範 IP アドレス範囲に変換された文字列
囲
文字列: 変換する
文字列
String.ToMediaType
メデ
ィア
タイ
プ
メディア タイプに変換される文字列
文字列: 変換する
文字列
String.ToNumber
数値
数値に変換される文字列
文字列: 変換する
文字列
String.ToSSOConnector
文字
列
クラウド サービスまたはアプリケーションの 文字列: サービス
サービス ID を対応するクラウド コネクター ID
の名前に変換します。
McAfee Web Gateway 7.6.2
IP アドレスに変換された文字列
Product Guide
769
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
型
説明
パラメーター
String.ToStringList
文字
列リ
スト
文字列リストに変換される文字列
1 文字列: 変換す
る文字列
文字列リストは、文字列で変換する要素のリ
ストです。 例: 変換する文字列がテキストの
2 文字列: 区切り
場合、文字列リストはこのテキストの単語リ
記号
ストになります。
区切り文字は、文字列で変換する要素を区切 3
るサブ文字列です。 たとえば、通常のテキス
トの場合、空白文字が区切り記号になります。
スペースまたは複数の文字などサブ文字列は
単一文字の可能性があります。 スペースを指
定するにはスペース キーを押します。
文字列: 必要な
サブ文字列の
直後に始まる
サブ文字列
調整文字は変換する文字列の始めまたは最後
の要素に表示されますが、文字列リストには
表示されません。 たとえば、カンマ、ピリオ
ド、単一疑問符などが調整文字になります。
また、タブ位置や改行など「不可視」の可能
性もあります。
調整文字を指定するには、お互いから離れて
いないユーザー インターフェースに提供され
たフィールドに調整する文字を入力します。
次の組み合わせを使用して非表示の文字を入
力します。
\t - タブ ストップ
\r - 復帰改行
\n - 改行
\b - バックスペース
\\ - バックスラッシュ
区切り記号として文字を指定した場合、文字
列リストの結果からも削除されるため、調整
文字として指定する必要はありません。
770
String.ToWildcard
ワイ
ルド
カー
ド式
ワイルドカード式に変換された文字列
文字列: 変換する
文字列
String.URLDecode
文字
列
エンコード形式で指定された URL の標準形
式
文字列: エンコー
ドされた URL
String.URLEncode
文字
列
URL のエンコード形式
文字列: エンコー
ドする URL
System.HostName
文字
列
アプライアンスのホスト名
System.UUID
文字
列
アプライアンスの UUID (Universal Unique
Identifier)
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
プロパティ - T
以下の表では、名前が T で始まるプロパティについて説明します。
表 A-23 プロパティ - T
名前
型
説明
パ
ラ
メ
ー
タ
ー
TIE.Filereputation
数
値
TIE サーバーから取得したファイル レピュテーション スコア
このプロパティは SaaS に対応していません。
Timer.FirstReceivedFirstSentClient
数
値
アプライアンスのクライアントから最初のバイトを受信してか
ら、トランザクション内でこのクライアントに最初のバイトを
送信するまでの処理時間。
このプロパティは、FTP 接続でなく HTTP または HTTPS 接続
の場合にのみ使用できます。
Timer.FirstSentFirstReceivedServer 数
値
アプライアンスから Web サーバーに最初のバイトを送信して
から、トランザクション内でこのサーバーから最初のバイトを
受信するまでの処理時間。
このプロパティは、FTP 接続でなく HTTP または HTTPS 接続
の場合にのみ使用できます。
Timer.HandleConnectToServer
数
値
トランザクション内で Web サーバーに接続するまでの処理時
間
Timer.LastReceivedLastSentClient
数
値
アプライアンスのクライアントから最後のバイトを受信してか
ら、トランザクション内でこのクライアントに最後のバイトを
送信するまでの処理時間。
このプロパティは、FTP 接続でなく HTTP または HTTPS 接続
の場合にのみ使用できます。
Timer.LastSentLastReceivedServer 数
値
アプライアンスから Web サーバーに最後のバイトを送信して
から、トランザクション内でこのサーバーから最後のバイトを
受信するまでの処理時間。
このプロパティは、FTP 接続でなく HTTP または HTTPS 接続
の場合にのみ使用できます。
Timer.ResolveHostNameViaDNS
数
値
トランザクション内で DNS サーバーでホスト名を検出するま
での処理時間。
計算されるのは、外部サーバーの検索時間です。 キャッシュの
検索は考慮されません。
Timer.TimeInExternals
数
値
要求の処理中に、ルール エンジン以外でプロセスに関係するコ
ンポーネント (ドメイン コントローラー、マルウェア対策スキ
ャン エンジンなど) が応答を待機する時間 (ミリ秒)。
この時間は、プロパティの評価中に待機した時間を表します。
この時間を計算するときに、関連するすべての処理サイクルの
待機時間が考慮されます。
McAfee Web Gateway 7.6.2
Product Guide
771
A
構成リスト
プロパティのリスト
表 A-23 プロパティ - T (続き)
名前
型
説明
パ
ラ
メ
ー
タ
ー
Timer.TimeInRuleEngine
数
値
要求の処理中 (関連するすべての処理サイクルの操作) にルー
ル エンジンが消費した時間 (ミリ秒)。プロパティの評価にか
かる時間が計算されます。
関連するすべての処理サイクルで要求の処理は 1 つのトランザ
クションとして見なされます。
ログ処理ルール内でプロパティが評価された場合、完全なトラ
ンザクションでルール エンジンが使用した時間になります。
Timer.TimeInTransaction
数
値
要求の処理中 (関連するすべての処理サイクルの操作) に消費
された時間 (ミリ秒)。プロパティの評価にかかる時間が計算さ
れます。
ルール エンジンの処理時間と待機時間は、このプロパティ値に
集計されます。
関連するすべての処理サイクルで要求の処理は 1 つのトランザ
クションとして見なされます。
ログ処理ルール内でプロパティが評価された場合、完全なトラ
ンザクションで使用した時間になります。
Tunnel.Enabled
ブ
ー
ル
true の場合、HTTP または HTTPS トンネルが有効になってい
ます。
プロパティ - U
以下の表では、名前が U で始まるプロパティについて説明します。
表 A-24 プロパティ - U
名前
型
URL
文字 Web オブジェクトの URL
列
URL.Categories
カテ URL が属する URL カテゴリのリスト
ゴリ
リス
ト
URL.CategoriesForURL
カテ 指定された URL が属する URL カテゴリのリスト
ゴリ
リス
ト
URL.CategorySetVersion
数値 URL フィルタリングで使用されたカテゴリ セットのバージ
ョン番号
URL.CloudLookupLedToResult
772
説明
true の場合、Global Threat Intelligence サービスがクラ
ウド検索を実行し、URL の評価が取得されています。
URL.DestinationIP
IP
URL.Domain
文字 アクセスが要求されたドメイン名
列
McAfee Web Gateway 7.6.2
パラメ
ーター
DNS 検索で見つかった URL の IP アドレス
Product Guide
文字
列: 文
字列形
式の
URL
構成リスト
プロパティのリスト
A
表 A-24 プロパティ - U (続き)
名前
型
説明
パラメ
ーター
URL.DomainSuffix
文字 アクセスが要求されたドメイン名の接尾辞
列
URL.FileExtension
文字 要求されたファイルの拡張子
列
URL.FileName
文字 URL でアクセス可能なファイルの名前
列
URL.ForwardDNSLedToResult
ブー true の場合、DNS 前方参照により、URL の評価が取得さ
ル
れています。
URL.Geolocation
文字 URL が属しているホストがある国の ISO 3166 コード。
列
このプロパティに値を割り当てるには、URL フィルター モ
ジュールの次のオプションを有効にする必要があります。
オンラインの GTI Web レピュテーションとカテゴリ化サ
ービスだけを使用する
URL.Geolocation
文字 指定した URL のホストが存在している国の名前。
列
この URL は、現在処理中の要求で送信された URL です。
国は、ISO 3166 に従って識別されます。
URL フィルタリングの設定オプションで [ローカル
GTI データベースを無効にする] を選択している場合に
のみ、名前が検索されます。
URL.GeolocationForURL
文字 指定した URL のホストが存在している国の名前。
文字
列
列: レ
この URL は、プロパティのパラメーターとして指定します。 ピュテ
ーショ
国は、ISO 3166 に従って識別されます。
ンス
コアを
URL フィルタリングの設定オプションで [ローカル
検索す
GTI データベースを無効にする] を選択している場合に
る国名
のみ、名前が検索されます。
URL.GetParameter
文字 文字列形式での URL のパラメーター
列
URL.HasParameter
ブー true の場合、指定されたパラメーターは URL のパラメータ 文字
ル
列: パ
ーに属します。
ラメー
ター名
URL.Host
文字 URL が属しているホスト
列
McAfee Web Gateway 7.6.2
文字
列: パ
ラメー
ター名
Product Guide
773
A
構成リスト
プロパティのリスト
表 A-24 プロパティ - U (続き)
名前
型
説明
パラメ
ーター
URL.Host.BelongsToDomains
ブー true の場合、特定の URL を送信してアクセスを要求したホ 文字列
ル
リス
ストがリスト内のいずれかのドメインに属します。
ト: ド
いずれかのドメインに属するホスト名の名前が
メイン
List:LastMatches プロパティの値に設定されます。
名のリ
URL.Host.BelongsToDomains プロパティを使用する スト
と、URL に含まれているドメイン名またはドメイン名のド
ットより左側の部分 (*.domain.com) と比較することが
できます。 ドメイン名 (*domain.com) に含まれる部分
は一致と見なされません。
例:
ドメイン リスト は、プロパティのパラメーターとして指定
される文字列リストです。 次の項目が含まれています
(URL でドメイン名の前のドットは省略しています)。
twitter.com
mcafee.com
dell.com
k12.ga.us
xxx
条件:
URL.Host.BelongsToDomains("Domain List")
equals true
比較される URL:
http://twitter.com
http://www.twitter.com
http://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
any.site.xxx
比較されない URL:
http://malicioustwitter.com
http://www.mymcafee.com
http://www.treasury.ga.us
このプロパティを使用すると、複雑な条件を作成しなくても
同じ結果を得ることができます。例:
• ワイルカードを含む式のリストに 2 つの項目を使用する
場合:
twitter.com と *twitter.com
• ワイルドカードを含む式に複雑な項目を使用する場合:
regex((.*\.|.?)twitter\.com)
これらの項目が Other Domain List リストに含まれて
いる場合、次の条件が twitter.com ドメインと比較され
ます。
774
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
プロパティのリスト
A
表 A-24 プロパティ - U (続き)
名前
型
説明
パラメ
ーター
URL.Host と "Other Domain List" の比較
URL.HostIsIP
ブー true の場合、ホストへのアクセスで送信される URL は IP
ル
アドレスです。
URL.IsHighRisk
ブー true の場合、URL のレピュテーション スコアは高リスク範
ル
囲内にあります。
URL.IsMediumRisk
ブー true の場合、URL のレピュテーション スコアは中リスク範
ル
囲内にあります。
URL.IsMinimalRisk
ブー true の場合、URL のレピュテーション スコアは低リスク範
ル
囲内にあります。
URL.IsUnverified
ブー true の場合、URL のレピュテーション スコアは未確認のリ
ル
スク範囲内にあります。
URL.Parameters
文字 URL パラメーターのリスト
列リ
スト
URL.ParametersString
文字 URL にパラメーターを含む文字列
列
URL にパラメーターが含まれている場合、文字列が ? 文字
で始まっています。
URL.Path
文字 URL のパス名
列
URL.Port
数値 URL のポート番号
URL.Protocol
文字 URL のプロトコル
列
URL.Raw
文字 クライアントまたは他のネットワーク コンポーネントから
列
アプライアンスが受信した URL (元の形式)。
ルール構成に対してこのプロパティを使用すると、単純な
URL プロパティに対して処理が実行され、URL を可読形式
に変換する時間が短縮されるため、処理速度が向上します。
URL.Reputation
数値 指定された URL のレピュテーション スコア
この URL は、現在処理中の要求で送信された URL です。
URL.ReputationForURL
数値 指定された URL のレピュテーション スコア
URL.ReputationString
文字 指定された URL のレピュテーション スコア (文字列形式)
列
この URL は、現在処理中の要求で送信された URL です。
McAfee Web Gateway 7.6.2
文字
列: レ
この URL は、プロパティのパラメーターとして指定します。 ピュテ
ーショ
ンス
コアを
検索す
る
URL
Product Guide
775
A
構成リスト
プロパティのリスト
表 A-24 プロパティ - U (続き)
776
名前
型
URL.ReputationStringForURL
文字 指定された URL のレピュテーション スコア
文字
列
列: レ
この URL は、プロパティのパラメーターとして指定します。 ピュテ
ーショ
ンス
コアを
検索す
る
URL
URL.ReverseDNSLedToResult
ブー true の場合、DNS 逆引き参照により、URL の評価が取得
ル
されています。
McAfee Web Gateway 7.6.2
説明
パラメ
ーター
Product Guide
構成リスト
プロパティのリスト
A
表 A-24 プロパティ - U (続き)
名前
型
説明
パラメ
ーター
URL.SmartMatch
ブー true の場合、このプロパティのパラメーターで渡された
文字列
ル
URL リストで文字列として指定されている 1 つ以上の部分 リス
ト:
と URL が比較されます。
URL
この文字列リストの項目には、サブ文字列として URL のド の一部
メインまたはパス部分を指定する必要があります。 両方を から構
指定することもできます。
成され
た文字
URL に指定されたドメインのサブドメインしか含まれてい
列形式
ない場合には、ドメイン部分も比較されます。
のリス
ト
パス部分は、URL のパス部分の先頭が比較されます。
また、リスト項目に URL のプロトコルとポートを指定でき
ます。
文字列リストの項目のドメイン部分またはパス部分 (ある
いはその両方) と URL が比較され、プロトコル部分とポー
ト部分 (いずれも指定されている場合) が比較された場合、
プロパティの値が true になります。
文字列リストの項目にポートが指定され、URL が指定され
た場合、該当する結果が戻されません。
たとえば、次の項目を含む文字列リストを使用します。
http://www.mycompany.com/
samplepath/xyz
比較結果は次のとおりです。
mycompany.com (一致)
http://mycompany.com (一致)
https://mycompany.com (不一致)
http://www.mycompany.com/ (一致)
host.mycompany.com (不一致)
http://www.mycompany.com:8080/ (不一致)
http://www.mycompany.com/samplepath/ (一
致)
/samplepath/ (一致)
mycompany.com/samplepath/ (一致)
com (一致)
このプロパティを使用すると、複雑な URL ホワイトリスト
またはブラックリストと比較して検索を行うことができま
す。たとえば、URL ホストと完全な URL の両方の項目を含
むリストを使用できます。
URLFilter.DatabaseVersion
数値 アプライアンスのデータベースのバージョン番号
URLFilter.EngineVersion
文字 URL フィルタリング モジュール (エンジン) のバージョン
列
を表す文字列
User-Defined.cacheMessage
文字 Web キャッシュの使用率の情報を提供するメッセージ テ
列
キスト
User-Defined.eventMessage
文字 イベントで情報を提供するメッセージ テキスト
列
McAfee Web Gateway 7.6.2
Product Guide
777
A
構成リスト
統計カウンターのリスト
表 A-24 プロパティ - U (続き)
名前
型
説明
パラメ
ーター
User-Defined.loadMessage
文字 CPU 負荷で情報を提供するメッセージ テキスト
列
User-Defined.logLine
文字 ログ ファイルに書き込まれるエントリ
列
User-Defined.monitorLogMessage
文字 ログ ファイルに書き込まれるエントリ
列
User-Defined.notificationMessage
文字 通知メッセージのテキスト
列
User-Defined.requestLoadMessage 文字 要求負荷で情報を提供するメッセージ テキスト
列
User-Defined.requestsPerSecond
数値 1 秒間にアプライアンスで処理される要求数
プロパティ - W
以下の表では、名前が W で始まるプロパティについて説明します。
表 A-25 プロパティ - W
名前
型
説明
Wildcard.ToString 文字列 文字列に変換されるワイルカード式
パラメーター
ワイルドカード式: 変換するワイルドカード
統計カウンターのリスト
以下の表では、ルールで使用できる統計カウンターについて説明します。
カウンターを実装するには、特定のルール イベントのパラメーターとして設定します。 一部は、デフォルトのルー
ル セット システムのルールに実装されています。
表 A-26 統計カウンターのリスト
778
名前
説明
AMLoad
マルウェア対策フィルタリングが現在使用している CPU リソースの割合
AMUsed
マルウェア対策フィルタリングが現在使用している仮想メモリーのバイト数
AMUsedPhys
マルウェア対策フィルタリングが現在使用している物理メモリーのバイト数
AMJobQueueLength
Web Gateway で実行中のアプリケーションでマルウェア対策ジョブ キューに
あるジョブ数
ApplHighRisk
危険度高と見なされたアプリケーションの数
ApplMediumRisk
危険度中と見なされたアプリケーションの数
ApplMinimalRisk
危険度低と見なされたアプリケーションの数
ApplUnverified
危険度が確認できないアプリケーションの数
ApplicationMemoryUsage
メモリーの現在の使用率
AuthNTLMCacheRequests
キャッシュ内のユーザー情報に従って付与された NTLM 認証要求の数
AuthUserCacheRequests
キャッシュ内のユーザー情報に従って付与された認証要求の数
BlockedByAntiMalware
マルウェア対策フィルタリングでブロックされた要求の数
BlockedByApplControl
アプリケーション フィルタリングでブロックされた要求の数
McAfee Web Gateway 7.6.2
Product Guide
構成リスト
統計カウンターのリスト
A
表 A-26 統計カウンターのリスト (続き)
名前
説明
BlockedByDLPMatch
DLP プロセスでブロックされた要求の数
BlockedByMediaFilter
メディア タイプ フィルタリングでブロックされた要求の数
BlockedByURLFilter
URL フィルタリングでブロックされた要求の数
Categories
URL フィルタリングの各カテゴリで処理された URL の数
CertNameMismatch
証明書の検証で発生した不一致の数
CertNameWildCardMatch
ワイルドカードを使用した検証で一致した証明書の数
CertExpired
期限切れの証明書の数
CertRevoked
失効した証明書の数
CertSelfSigned
自己署名の証明書の数
CertUnresolvable
解決できない証明書の数
ClientCount
Web Gateway と現在通信を行っているクライアント数
CloudEnc.DecryptionBytesAll クラウド復号が適用されているすべての Web オブジェクトのバイト数
CloudEnc.DecryptionErrorsAll クラウド復号に失敗したすべての Web オブジェクトのバイト数
CloudEnc.DecryptionHitsAll
クラウド復号が成功したすべての Web オブジェクトのバイト数
CloudEnc.EncryptionBytesAll
クラウド暗号化が適用されているすべての Web オブジェクトのバイト数
CloudEnc.EncryptionErrorsAll クラウド暗号化に失敗したすべての Web オブジェクトのバイト数
CloudEnc.EncryptionHitsAll
クラウド暗号化が成功したすべての Web オブジェクトのバイト数
CloseWaits
CLOSE WAIT 状態のソケット数
ConnectedSockets
Web Gateway に接続しているソケット数
ConnectionsBlocked
ブロックされた接続数
ConnectionsLegitimate
正規の接続数
CoreLoad
コア プロセスが現在使用している CPU リソースの割合
CoreUsed
コア プロセスが現在使用している仮想メモリーのバイト数
CoreUsedPhys
コア プロセスが現在使用している物理メモリーのバイト数
CoreThreads
コアで現在処理されているスレッド数
CoordLoad
コーディネーター サブシステムが現在使用している CPU リソースの割合
CoordUsed
コーディネーター サブシステムが現在使用している仮想メモリーのバイト数
CoordUsedPhys
コーディネーター サブシステムが現在使用している物理メモリーのバイト数
CPULoad
CPU リソースの現在の使用率
CPUIdle
現在使用されていない CPU リソースの割合
CPUUser
ユーザー関連の機能が現在使用している CPU リソースの割合
CPUSystem
システム機能が現在使用している CPU リソースの割合
DLPMatches
DLP フィルタリングの一致数
FilesystemUsage
システム パーティションの現在の使用率
FtpBytesFromServer
FTP で Web サーバーから受信したすべての Web オブジェクトのバイト数
FtpBytesToServer
FTP で Web サーバーに送信されたすべての Web オブジェクトのバイト数
FtpRequests
FTP で受信した要求の数
McAfee Web Gateway 7.6.2
Product Guide
779
A
構成リスト
統計カウンターのリスト
表 A-26 統計カウンターのリスト (続き)
名前
説明
FtpTraffic
FTP で送受信されたすべての Web オブジェクトのバイト数
GTICloudTimedOut
URL フィルタリングでクラウド参照を実行したときに、Global Threat
Intelligence サーバーで発生したタイムアウトの数
GTIFileRepCloudLookupDone ファイル レピュテーションを取得するために Global Threat Intelligence が
実行したクラウド参照の数
780
GTIRequestSentToCloud
URL カテゴリ情報 (ファイル レピュテーションではなく) を取得するために、
Global Threat Intelligence に送信した要求数
HarddiskUsage
現在使用可能なハートディスク容量 (%)
HttpBytesFromClient
HTTP でクライアントから送信されたすべての Web オブジェクトのバイト数
HttpBytesFromServer
HTTP で Web サーバーから受信したすべての Web オブジェクトのバイト数
HttpBytesToClient
HTTP でクライアントに送信されたすべての Web オブジェクトのバイト数
HttpBytesToServer
HTTP で Web サーバーに送信されたすべての Web オブジェクトのバイト数
HttpRequests
HTTP で受信した要求の数
HttpTraffic
HTTP で送受信されたすべての Web オブジェクトのバイト数
HttpsBytesFromClient
HTTPS でクライアントから送信されたすべての Web オブジェクトのバイト数
HttpsBytesFromServer
HTTPS で Web サーバーから受信したすべての Web オブジェクトのバイト数
HttpsBytesToClient
HTTPS でクライアントに送信されたすべての Web オブジェクトのバイト数
HttpsBytesToServer
HTTPS で Web サーバーに送信されたすべての Web オブジェクトのバイト数
HttpsRequests
HTTPS で受信した要求の数
HttpsTraffic
HTTPS で送受信されたすべての Web オブジェクトのバイト数
ICAPReqmodRequests
Reqmod モードの ICAP で受信した要求数
ICAPReqmodTraffic
Reqmod モードの ICAP で送受信されたすべての Web オブジェクトのバイト
数
ICAPRespmodRequests
Respmod モードの ICAP で受信した要求数
ICAPRespmodTraffic
Respmod モードの ICAP で送受信されたすべての Web オブジェクトのバイト
数
IfpRequests
Number of requests received under IFP
KerberosRequests
Kerberos 認証の要求数
LDAPRequests
LDAP 認証の要求数
LoadPerCPU
CPU コアの数で割った Web Gateway アプライアンスの負荷 (四捨五入した整
数)
MalwareDetected
マルウェア
Fly UP