Comments
Description
Transcript
McAfee Web Gateway 7.6.0 製品ガイド
製品ガイド 改訂 B McAfee Web Gateway 7.6.0 著作権 Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Web Gateway 7.6.0 製品ガイド 目次 17 まえがき このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1 19 はじめに Web トラフィックのフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 アプライアンスの主要機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 アプライアンスの主要コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2 アプライアンスの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 高レベルの管理アクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 25 ユーザー インターフェース ユーザー インターフェースの主要要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 設定機能のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 データをリロードして変更を破棄する . . . . . . . . . . . . . . . . . . . . . . . . 28 ユーザー インターフェースでの Web セキュリティ ポリシーの設定 . . . . . . . . . . . . . . . . 28 キー要素ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 キー要素を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 完全なルール ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 完全なルール ビューでルール要素を設定する . . . . . . . . . . . . . . . . . . . . . 33 ユーザー インターフェース以外での Web Gateway の管理 . . . . . . . . . . . . . . . . . . . 34 3 35 システム構成 初期セットアップのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 初期セットアップ後のシステム構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 一般的な機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 36 ネットワーク システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 認証およびクォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 37 Web フィルタリング システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . 37 集中管理システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 ログおよびトラブルシューティングに対するシステム設定 . . . . . . . . . . . . . . . . 37 システム設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 アプライアンス タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 一般的なアプライアンス機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . 39 ライセンスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 利用統計の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 日付と時刻の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 ファイル サーバーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 ユーザー インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 44 McAfee Web Gateway 7.6.0 製品ガイド 3 目次 ネットワーク機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 48 ネットワーク インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . 48 ネットワーク保護設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 ポート転送設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 静的ルーティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 ネットワーク インターフェースのボンディング . . . . . . . . . . . . . . . . . . . . . . . 56 ネットワーク インターフェースのボンディングを設定する . . . . . . . . . . . . . . . . 57 ボンディング構成の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 ソースベースのルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 管理ネットワーク インターフェースにソースベースのルーティングを設定する . . . . . . . . . 60 システム ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 ファイル エディター タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 キャッシュ ボリュームのサイズ変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 データベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 データベース情報の手動更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4 自動エンジン更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . 65 閉鎖されたネットワークの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 閉鎖ネットワークのアプライアンスの更新 . . . . . . . . . . . . . . . . . . . . . . 66 69 プロキシ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 明示的プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 明示的プロキシ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 透過型プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 プロキシ HA 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 ベスト プラクティス - プロキシ HA モードの設定 . . . . . . . . . . . . . . . . . . . . . . 78 プロキシ HA モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Proxy HA 構成の問題の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 ベスト プラクティス - 高可用性構成でのサイズ制限 . . . . . . . . . . . . . . . . . . . . . 81 ベスト プラクティス - WCCP での明示的プロキシ モードの設定 . . . . . . . . . . . . . . . . . 83 WCCP プロトコルの使用を設定する . . . . . . . . . . . . . . . . . . . . . . . . 84 WCCP サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 WCCP 関連のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . 87 透過型ルーター モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 透過型ルーター モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 88 透過型ルーター モードでノードを設定する . . . . . . . . . . . . . . . . . . . . . . 89 透過型ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 透過型ブリッジ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 透過型ブリッジ モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 94 透過型ブリッジ モードでノードを設定する . . . . . . . . . . . . . . . . . . . . . . 95 ベストプラクティス - 透過型ブリッジ構成の調整 . . . . . . . . . . . . . . . . . . . 98 透過型ブリッジの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 パケット サイズの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 セキュア ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 SOCKS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 SOCKS プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 SOCKS プロキシ ルールでのプロパティとイベントの使用 . . . . . . . . . . . . . . . . 103 SOCKS プロキシを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 104 SOCKS での UDP の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 SOCKS プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . インスタント メッセージング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 105 106 XMPP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 共通のプロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 McAfee Web Gateway 7.6.0 製品ガイド 目次 [ネットワークのセットアップ] . . . . . . . . . . . . . . . . . . . . . . . . . . 110 HTTP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 FTP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 ICAP サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 IFP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 SOCKS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Web キャッシュ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト . . . . . . . . . . . . . . . . . 115 DNS 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Yahoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ICQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Live Messenger . . . . . . . . . . . . . . . . . . . . . . . . . . . XMPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 115 116 117 117 詳細設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 定期的なルール エンジン トリガー リスト . . . . . . . . . . . . . . . . . . . . . . 121 送信元 IP アドレスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 送信ソース IP アドレスの制御を設定する . . . . . . . . . . . . . . . . . . . . . . WCCP による FTP トラフィックのリダイレクト . . . . . . . . . . . . . . . . . . . . . . 123 124 FTP トラフィックのリダイレクトに WCCP の使用を設定する . . . . . . . . . . . . . . . 124 FTP ログオンでの Raptor 構文の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 125 ノード通信プロトコル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 ドメインに応じた DNS サーバーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 126 ドメインに応じて DNS サーバーを設定する . . . . . . . . . . . . . . . . . . . . . 127 ドメイン名サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 DXL メッセージによる Web セキュリティ情報の交換 . . . . . . . . . . . . . . . . . . . . . 129 DXL を使用した情報交換を設定する . . . . . . . . . . . . . . . . . . . . . . . . 131 TIE サーバーによる情報交換を設定する . . . . . . . . . . . . . . . . . . . . . . . 131 ベスト プラクティス - user-agent ヘッダーの使い方 . . . . . . . . . . . . . . . . . . . . 132 user-agent ヘッダーを操作するルールを作成する . . . . . . . . . . . . . . . . . . . 135 Office 365 と他の Microsoft サービスのバイパス . . . . . . . . . . . . . . . . . . . . . . 136 Microsoft サービスのバイパスに使用するキー要素 . . . . . . . . . . . . . . . . . . . 137 Microsoft (Office 365) サービスのバイパス ルール セット . . . . . . . . . . . . . . . 138 リバース HTTPS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト . . . . . . . . 139 アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる . . . . . . . . 140 リバース HTTPS プロキシ構成の SSL 証明書 . . . . . . . . . . . . . . . . . . . . 141 リバース HTTPS プロキシ構成のための完全なオプション アクティビティ . . . . . . . . . . 145 プロキシ自動構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 .pac ファイルを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . 152 wpad.dat ファイルをダウンロードするルールの作成 . . . . . . . . . . . . . . . . . 153 wpad ホストの自動検出の構成 . . . . . . . . . . . . . . . . . . . . . . . . . 153 Helix プロキシの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Helix プロキシの使用の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 5 154 155 一元管理 一元管理構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 一元管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 一元管理構成にアプライアンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . 158 一元管理設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 ノード グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . 159 ランタイム グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . 159 更新グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . 160 ネットワーク グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . McAfee Web Gateway 7.6.0 160 製品ガイド 5 目次 ベスト プラクティス - 集中管理構成でのノード グループの設定 . . . . . . . . . . . . . . . . 6 161 ノードの同期を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 スケジュール設定されたジョブを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . 163 一元管理構成でのアプライアンス ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . . 164 一元管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 175 ルール ルールの柔軟性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 フィルタリングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 フィルタリング サイクル . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 プロセス フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 ルール要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 ユーザー インターフェースでのルールの形式 . . . . . . . . . . . . . . . . . . . . 179 複雑な条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 テキスト内でのルールの表記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 ルール セット システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 ルール セット ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 [ルール セット] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 ルールに名前を付けて有効にする . . . . . . . . . . . . . . . . . . . . . . . . . 188 [条件の追加]ウィンドウの操作 . . . . . . . . . . . . . . . . . . . . . . . . . 189 ルール条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 ルール アクションを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 ルール イベントを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 ルール セットのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 ベスト プラクティス - ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 196 適切なサイクルでルールとルール セットを使用する . . . . . . . . . . . . . . . . . . 196 フィルタリング プロセスの最後に複雑なプロパティを使用する . . . . . . . . . . . . . . 197 ルールの条件に使用するプロパティを 2 つ以下にする . . . . . . . . . . . . . . . . . 198 構成項目へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 199 201 リスト リスト タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 リスト タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 リストへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 リスト タブのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . 205 ルールのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 205 新しいリストの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 リストのエントリーの入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 さまざまなタイプのリストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 ワイルドカード式を URL のグローバル ホワイトリストに追加 . . . . . . . . . . . . . . 207 URL カテゴリをブロック リストに追加する . . . . . . . . . . . . . . . . . . . . . 208 メディア タイプ フィルター リストにメディア タイプを追加する . . . . . . . . . . . . . 208 購読リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 購読リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 購読リスト コンテンツの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 211 購読リストの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 顧客保守リストのコンテンツ ファイルの作成 . . . . . . . . . . . . . . . . . . . . . 212 ベスト プラクティス - McAfee が維持する購読リストの使い方 . . . . . . . . . . . . . . 213 外部リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 ルールでの外部リスト データの使用 . . . . . . . . . . . . . . . . . . . . . . . . 216 6 McAfee Web Gateway 7.6.0 製品ガイド 目次 置換とプレースホルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 外部リスト モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 218 外部リスト モジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 外部リストの全般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 224 外部リスト システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 マップ タイプ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 マップ タイプ リストを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 225 プロパティによるマップ タイプ リストの操作 . . . . . . . . . . . . . . . . . . . . 226 外部リストと購読リストを使用したマップ データの取得 . . . . . . . . . . . . . . . . . 227 共通カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 共通カタログ リストの使用を準備する . . . . . . . . . . . . . . . . . . . . . . . 228 共通カタログ リストのユーザー アカウントのセットアップ . . . . . . . . . . . . . . . 229 共通カタログ リストに管理者アカウントをセットアップする . . . . . . . . . . . . . . . 229 共通カタログ リストでの REST インターフェースの使用を有効にする . . . . . . . . . . . . 230 McAfee ePO サーバーに Web Gateway を登録する場合の設定例 . . . . . . . . . . . . . 230 JavaScript Object Notation データ . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 8 235 設定 設定のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 設定タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 設定タブのアクションおよびモジュール設定にアクセスする . . . . . . . . . . . . . . . 238 ルールのアクションおよびモジュール設定へのアクセス . . . . . . . . . . . . . . . . . 238 9 システム設定へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 アクションおよびモジュール設定の作成 . . . . . . . . . . . . . . . . . . . . . . . . . 239 241 認証 ユーザーの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 LDAP ダイジェスト認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 認証モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 異なる認証方法の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 認証を構成するためのシステム設定の使用 . . . . . . . . . . . . . . . . . . . . . . . . 256 Kerberos 管理システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 256 アプライアンスを Windows ドメインに参加させる . . . . . . . . . . . . . . . . . . 257 Windows ドメイン メンバーシップの設定 . . . . . . . . . . . . . . . . . . . . . 258 ベスト プラクティス - 配備タイプに合わせた認証の設定 . . . . . . . . . . . . . . . . . . . . 259 明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . 260 透過型モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 WCCP を使用した明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . 265 ベスト プラクティス - LDAP 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 266 ユーザー認証方法に LDAP を設定する . . . . . . . . . . . . . . . . . . . . . . . 267 LDAP 認証方法を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 ユーザー属性とグループ属性のクエリーを設定する . . . . . . . . . . . . . . . . . . . 269 別のプロパティへの属性の保存 . . . . . . . . . . . . . . . . . . . . . . . . . . 270 元のユーザー名の保存 (ロギング用) . . . . . . . . . . . . . . . . . . . . . . . . 270 LDAP 認証のテストとトラブルシューティング . . . . . . . . . . . . . . . . . . . . 272 インスタント メッセージング認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 インスタント メッセージ認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . 275 インスタント メッセージ認証の認証モジュールの構成 . . . . . . . . . . . . . . . . . 275 インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 . . . . . . . . 276 IM 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 ワンタイム パスワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 McAfee Web Gateway 7.6.0 製品ガイド 7 目次 ユーザー認証にワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . . 279 許可オーバーライドにワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . 280 ワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 280 認証サーバー (OTP による時間/IP ベースのセッション) ルール セット . . . . . . . . . . . 281 「OTP を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . . . . . 283 「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セット . . . . . 285 「OTP と Pledge を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . 287 クライアント証明書認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 クライアント証明書認証のための証明書の使用 . . . . . . . . . . . . . . . . . . . . 289 クライアント証明書認証のためのルール セット . . . . . . . . . . . . . . . . . . . . 290 認証サーバーへのリクエストのリダイレクト . . . . . . . . . . . . . . . . . . . . . 291 クライアント証明書の認証の実施 . . . . . . . . . . . . . . . . . . . . . . . . . 292 認証サーバー(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . . 292 サーバー証明書の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . 293 証明機関の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . . . 294 アプライアンスのリクエストを受信するリスナー ポートの構成 . . . . . . . . . . . . . . 294 Cookie 認証(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . . 295 受信要求のリスナー ポートを変更するためのルール セットの変更 . . . . . . . . . . . . . 296 クライアント証明書のブラウザーへのインポート . . . . . . . . . . . . . . . . . . . 管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 298 管理者アカウントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 管理者アカウントの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 管理者アカウントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 管理者アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 管理者のロールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 管理者のロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 外部アカウントの管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 10 301 303 クォータの管理 Web ページ上でクォータおよびその他の制限を課す . . . . . . . . . . . . . . . . . . . . . 303 時間のクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 時間のクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 時間のクォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 時間のクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 307 ボリュームのクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 ボリュームのクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 310 ボリューム クォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 ボリュームのクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . 311 警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 警告の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 警告設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 警告ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 許可オーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 許可オーバーライドの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 許可オーバーライド設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 許可オーバーライド ルール セット . . . . . . . . . . . . . . . . . . . . . . . . 318 セッションのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 ブロック セクションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 ブロック セッションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 セッションのブロック ルール セット . . . . . . . . . . . . . . . . . . . . . . . クォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Web フィルタリング 320 321 323 ウイルスおよびマルウェアのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . 324 8 McAfee Web Gateway 7.6.0 製品ガイド 目次 ウイルスとマルウェアのフィルタリングにキー要素を設定する . . . . . . . . . . . . . . 325 ウイルスとマルウェアのフィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . 325 完全なルール ビューでウイルスとマルウェアのフィルタリングを設定する . . . . . . . . . . 326 マルウェア対策モジュールを設定する . . . . . . . . . . . . . . . . . . . . . . . 327 Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 . . . . . . . . . . . 328 マルウェア対策の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 Gateway Anti-Malware ルール セット . . . . . . . . . . . . . . . . . . . . . . . 334 メディア ストリームのスキャン . . . . . . . . . . . . . . . . . . . . . . . . . 336 マルウェア対策キュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 URL フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . . . . . . 339 URL フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . . . . . . . 339 完全なルール ビューで URL フィルタリングを設定する . . . . . . . . . . . . . . . . . 340 URL フィルター モジュールを詳細する . . . . . . . . . . . . . . . . . . . . . . . 341 URL フィルターー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワイトリストに追加する 344 URL フィルタリング ルール セット . . . . . . . . . . . . . . . . . . . . . . . . 350 Dynamic Content Classifier を使用する URL フィルタリング . . . . . . . . . . . . . . 352 固有の URL フィルター データベースの使用 . . . . . . . . . . . . . . . . . . . . . IFP プロキシを使用した URL フィルタリング . . . . . . . . . . . . . . . . . . . . 353 354 メディア タイプ フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 メディア タイプ フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . . 360 メディア タイプ フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . . 360 完全なルール ビューでメディア タイプ フィルタリングを設定する . . . . . . . . . . . . . 361 メディア タイプ フィルタリングのプロパティ . . . . . . . . . . . . . . . . . . . . 361 メディア タイプ フィルタリング ルールの変更 . . . . . . . . . . . . . . . . . . . . 362 メディア タイプ フィルタリングのルール セット . . . . . . . . . . . . . . . . . . . アプリケーション フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . アプリケーション フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . 363 364 366 アプリケーション フィルタリングのリストを作成する . . . . . . . . . . . . . . . . . 367 アプリケーション フィルタリング ルールのリスク レベルを修正する . . . . . . . . . . . . 368 アプリケーション コントロール ルール セット . . . . . . . . . . . . . . . . . . . . 369 ストリーミング メディア フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . 370 ストリーミング メディア フィルタリングの構成 . . . . . . . . . . . . . . . . . . . 372 ストリーミング メディア検出モジュールを設定する . . . . . . . . . . . . . . . . . . 372 ベスト プラクティス - ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . 373 ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 374 グローバル ホワイトリスト登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 グローバル ホワイトリストの構成 . . . . . . . . . . . . . . . . . . . . . . . . 375 グローバル ホワイトリストのルール セット . . . . . . . . . . . . . . . . . . . . . 376 SSL スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 SSL スキャンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 SSL スキャン モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 379 デフォルトのルート証明書権限の置換 . . . . . . . . . . . . . . . . . . . . . . . 380 クライアント証明書リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 SSL スキャナー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 CA の SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . . 385 CA 以外の SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . 388 証明書チェーン設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 SSL スキャナー ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 390 ハードウェア セキュリティ モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . 395 キー処理にハードウェア セキュリティ モジュールを使用する . . . . . . . . . . . . . . . 397 ハードウェア セキュリティ モジュールのローカル使用を設定する . . . . . . . . . . . . . 398 ハードウェア セキュリティ モジュールのリモート使用を設定する . . . . . . . . . . . . . 398 McAfee Web Gateway 7.6.0 製品ガイド 9 目次 ハードウェア セキュリティ モジュールの秘密鍵を選択する . . . . . . . . . . . . . . . . 399 セキュリティ インフラの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 400 ハードウェア セキュリティ モジュールの設定 . . . . . . . . . . . . . . . . . . . . 400 Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Advanced Threat Defense を使用する場合のワークフロー . . . . . . . . . . . . . . . 404 Advanced Threat Defense 追加スキャンの条件 . . . . . . . . . . . . . . . . . . . 405 Advanced Threat Defense を使用する場合の設定要素 . . . . . . . . . . . . . . . . . 406 既存の Advanced Threat Defense スキャン レポートの使用 . . . . . . . . . . . . . . . 407 実行中の Advanced Threat Defense スキャン結果の使用 . . . . . . . . . . . . . . . . 409 Advanced Threat Defense でスキャンするオブジェクト サイズの制限 . . . . . . . . . . . 409 Advanced Threat Defense の使用を設定する . . . . . . . . . . . . . . . . . . . . 410 Advanced Threat Defense のキー要素を設定する . . . . . . . . . . . . . . . . . . 412 Advanced Threat Defense を使用する場合のキー要素 . . . . . . . . . . . . . . . . . 412 Advanced Threat Defense の使用に必要な設定を行う . . . . . . . . . . . . . . . . . 413 Advanced Threat Defense の使用状況のモニタリング . . . . . . . . . . . . . . . . . 414 ゲートウェイ ATD の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 「Advanced Threat Defense」ルール セット . . . . . . . . . . . . . . . . . . . . 418 ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セット . . . . Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 421 Data Loss Prevention の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 424 デフォルトの分類を使用して Data Loss Prevention を構成する . . . . . . . . . . . . . 425 ディクショナリ エントリを使用して data loss prevention を構成する . . . . . . . . . . . 425 Data Loss Prevention(分類)の設定 . . . . . . . . . . . . . . . . . . . . . . . 427 Data Loss Prevention(ディクショナリ)の設定 . . . . . . . . . . . . . . . . . . . 427 Data Loss Prevention ルール セット . . . . . . . . . . . . . . . . . . . . . . . 428 ICAP サーバーを使用した Data Loss Prevention . . . . . . . . . . . . . . . . . . 12 430 433 サポート機能 進行状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 進行状況の表示の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 進行状況の表示モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 435 進行状況ページ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 データ トリックル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 進行状況の表示(ルール セット) . . . . . . . . . . . . . . . . . . . . . . . . 437 帯域幅スロットル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 帯域幅スロットル ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 帯域幅スロットルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Web キャッシング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Web キャッシュの有効化の検証 . . . . . . . . . . . . . . . . . . . . . . . . . 440 Web キャッシュ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . 440 ネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 ネクスト ホップ プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . 442 ネクスト ホップ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 444 ネクスト ホップ プロキシをリストに追加する . . . . . . . . . . . . . . . . . . . . 445 ネクスト ホップ プロキシ モジュールの構成 . . . . . . . . . . . . . . . . . . . . . 445 ネクスト ホップ プロキシの持続性を設定する . . . . . . . . . . . . . . . . . . . . 446 SOCKS トラフィックのネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . 446 ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング . . . . . . . . 450 ネクスト ホップ プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 10 453 ネクスト ホップ プロキシ設定を追加する . . . . . . . . . . . . . . . . . . . . . . 453 プロトコル ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 454 ネクスト ホップ プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . . 455 McAfee Web Gateway 7.6.0 製品ガイド 目次 13 457 ユーザー メッセージ ユーザーへのメッセージの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 ユーザー メッセージのテキストを編集する . . . . . . . . . . . . . . . . . . . . . . . . 459 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 14 ブロック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 リダイレクト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 テンプレート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 テンプレート エディター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 469 クラウド シングル サインオン クラウド シングル サインオンの設置方法 . . . . . . . . . . . . . . . . . . . . . . . . . 470 プロキシ モードと非プロキシ モードでの SSO プロセス . . . . . . . . . . . . . . . . . . . 471 対応する認証方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 サポートされるクラウド サービスの SSO カタログ . . . . . . . . . . . . . . . . . . . . . 473 SSO カタログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474 ユーザー インターフェースの SSO カタログ . . . . . . . . . . . . . . . . . . . . . 474 サービスとしての SSO カタログ . . . . . . . . . . . . . . . . . . . . . . . . . 475 コネクター テンプレート (汎用と個別) . . . . . . . . . . . . . . . . . . . . . . . 476 テンプレートを使用してカスタム クラウド コネクターを設定する . . . . . . . . . . . . . 477 カスタム クラウド コネクターを削除する . . . . . . . . . . . . . . . . . . . . . . 477 最新の SSO 更新に関する情報を検索する . . . . . . . . . . . . . . . . . . . . . . 478 SSO コネクター リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 SSO コネクター リストを使用したクラウド アクセスの設定 . . . . . . . . . . . . . . . 478 クラウド コネクターを SSO コネクター リストに追加する . . . . . . . . . . . . . . . . 479 HTTP クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . . 479 HTTP クラウド アプリケーションの SSO 認証情報モデル . . . . . . . . . . . . . . . . 480 HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . . . 480 汎用 HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . 480 汎用 HTTP コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 481 SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . SAML シングル サインオンの開始方法 . . . . . . . . . . . . . . . . . . . . . . . 484 484 SAML シングル サインオンの集中管理 . . . . . . . . . . . . . . . . . . . . . . . 486 SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . . 487 SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 汎用 SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . 489 汎用 SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 489 SAML シングル サインオンで使用する外部データソースの設定 . . . . . . . . . . . . . . 493 外部 ID プロバイダーを使用する SAML 認証 . . . . . . . . . . . . . . . . . . . . . . . . 496 外部 ID プロバイダーを使用する SAML 認証プロセス . . . . . . . . . . . . . . . . . 497 Web Gateway が静的 ACS URL を使用する方法 . . . . . . . . . . . . . . . . . . . 498 設定タスクの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 SAML 認証応答の検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 - ルール セット . . . . . . . 503 .NET と Java Web アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . 509 汎用 IceToken クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . 509 汎用 IceToken コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 510 エンドユーザーによるアプリケーション Launchpad の使用 . . . . . . . . . . . . . . . . . . 511 アプリケーション Launchpad のカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . 513 Launchpad.html ファイルを編集する . . . . . . . . . . . . . . . . . . . . . . . 513 Launchpad のスタイル シートを編集する . . . . . . . . . . . . . . . . . . . . . . 514 カスタム Launchpad のスタイル シートをインポートする . . . . . . . . . . . . . . . . 515 Launchpad でカスタム ロゴを表示する . . . . . . . . . . . . . . . . . . . . . . 516 クラウド サービスのブックマークの作成 . . . . . . . . . . . . . . . . . . . . . . . . . 516 McAfee Web Gateway 7.6.0 製品ガイド 11 目次 ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング . . . . . . . . . . . . 517 シングル サインオン ルール セットのサマリー . . . . . . . . . . . . . . . . . . . . . . . 517 クラウド シングル サインオン設定のキー要素 . . . . . . . . . . . . . . . . . . . . . . . 518 シングル サインオン ルール セットのリファレンス . . . . . . . . . . . . . . . . . . . . . . 520 サービス選択ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . 521 HTTPS 処理ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . 523 Launchpad ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . 524 OTP 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526 ログイン アクション取得ルール セット . . . . . . . . . . . . . . . . . . . . . . . 527 共通タスク処理ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . SSO 実行ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . シングル サインオンのリストと設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 531 532 533 シングル サインオン リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 シングル サインオンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . SSO 証明書と秘密鍵の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . SSO ロギングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536 537 SSO ロギングを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 SSO ログ ルール セットのリファレンス . . . . . . . . . . . . . . . . . . . . . . 539 SSO 問題の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 534 543 545 クラウド ストレージの暗号化 クラウド ストレージ データの暗号化と復号 . . . . . . . . . . . . . . . . . . . . . . . . 545 クラウド ストレージ データの暗号化と復号を設定する . . . . . . . . . . . . . . . . . . . . 548 データの暗号化と暗号化解除を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 548 クラウド ストレージ暗号化の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549 16 クラウド ストレージ暗号化サポートの設定 . . . . . . . . . . . . . . . . . . . . . . . . 549 クラウド ストレージ データを手動で復号する . . . . . . . . . . . . . . . . . . . . . . . 550 クラウド ストレージ暗号化ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . 550 553 ハイブリッド ソリューション ハイブリッド ソリューションの使い方 . . . . . . . . . . . . . . . . . . . . . . . . . . 553 ハイブリッド ソリューションの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 556 ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 556 ハイブリッド ソリューションのルール セットを選択する . . . . . . . . . . . . . . . . . . . 557 同期を手動で実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558 Web Hybrid の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558 レガシー ハイブリッド ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . 559 レガシー ハイブリッド ソリューションの設定の同期 . . . . . . . . . . . . . . . . . . 560 同期のための Web フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . 560 17 同期設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561 Web Hybrid レガシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 561 563 モニタリング ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563 ダッシュボードへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . 564 アラート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564 グラフおよび表のタブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567 ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573 ロギングの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 ログ ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 ログ ファイル タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 ログ ファイル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 ログ ファイル マネージャー設定 . . . . . . . . . . . . . . . . . . . . . . . . . 12 McAfee Web Gateway 7.6.0 578 製品ガイド 目次 ファイル システム ログ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 580 ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 ログ ハンドラーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 ログ ルールの要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 ベストプラクティス - ログ ファイル フィールドの追加 . . . . . . . . . . . . . . . . . 583 ベスト プラクティス - ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . 585 ログ ルール セットへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . 590 ウイルス検出ログ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . 591 エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592 エラー ID を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . 592 インシデント情報を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . 592 エラー処理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 エラー処理ルール セットの表示 . . . . . . . . . . . . . . . . . . . . . . . . . 594 ベスト プラクティス - エラー ハンドラーの使い方 . . . . . . . . . . . . . . . . . . 594 デフォルト エラー ハンドラー ルール セット . . . . . . . . . . . . . . . . . . . . 597 パフォーマンス測定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 パフォーマンス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 605 パフォーマンス測定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 605 パフォーマンス情報をログするためのプロパティのルール内での使用 . . . . . . . . . . . . 606 ルール セット処理時間を測定するためのイベントのルール内での使用 . . . . . . . . . . . . 607 SNMP でのイベント モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 SNMP 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 McAfee ePO を監視するためのデータの転送 . . . . . . . . . . . . . . . . . . . . . . . 611 ePolicy Orchestrator 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . 612 ePolicy Orchestrator の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 612 ePO リクエストのバイパス ルール セット . . . . . . . . . . . . . . . . . . . . . 613 ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 . . . . . . . . . . . . . 613 アクセス ログ データの送信ルールを追加する . . . . . . . . . . . . . . . . . . . . 615 rsyslog.conf システム ファイルを使用してアクセス ログ データを送信する . . . . . . . . . 615 アクセス ログ データ送信時の問題の解決 . . . . . . . . . . . . . . . . . . . . . . 617 McAfee Enterprise Security Manager への syslog データの送信 . . . . . . . . . . . . . . . . 617 syslog データの送信を設定する . . . . . . . . . . . . . . . . . . . . . . . . . 617 データ転送で rsyslog システム ファイルを使用する . . . . . . . . . . . . . . . . . . 618 Syslog データの取集/評価の調整 . . . . . . . . . . . . . . . . . . . . . . . . . 619 syslog データ転送で発生する問題の解決方法 . . . . . . . . . . . . . . . . . . . . . 620 18 623 トラブルシューティング トラブルシューティング方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623 ルール追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624 ルール追跡を使用してルール処理の問題をデバッグする . . . . . . . . . . . . . . . . . 626 ルール追跡ペイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626 ルール追跡を使用して要求のブロック理由を確認する . . . . . . . . . . . . . . . . . . 633 ベスト プラクティス - Web ページに画像が表示されない理由の特定 . . . . . . . . . . . . 634 削除したルール追跡をルール追跡ペインに復元する . . . . . . . . . . . . . . . . . . . 635 ルール追跡を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636 フィードバック ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637 コア ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637 接続追跡ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638 パケット追跡ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638 システム ツールとネットワーク ツールを使用する . . . . . . . . . . . . . . . . . . . . . . 639 オペレーティング システムのサービスを再起動する . . . . . . . . . . . . . . . . . . . . . 639 実行中の AV スレッドを表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640 アプライアンスの構成をバックアップまたは復元する . . . . . . . . . . . . . . . . . . . . . 640 McAfee Web Gateway 7.6.0 製品ガイド 13 目次 トラブルシューティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641 A 643 構成リスト アクションのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643 ブロック理由 ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644 エラー ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645 イベントのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651 インシデント ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661 プロパティのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670 プロパティ - A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671 プロパティ - B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675 プロパティ - C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679 プロパティ - D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682 プロパティ - E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685 プロパティ - F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686 プロパティ - G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686 プロパティ - H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687 プロパティ - I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688 プロパティ - J . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691 プロパティ - L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694 プロパティ - M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709 プロパティ - N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712 プロパティ - P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712 プロパティ - Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716 プロパティ - R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719 プロパティ - S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720 プロパティ - T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731 プロパティ - U . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 732 プロパティ - W . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 738 ワイルドカード式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ワイルドカード式のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 738 739 重要な特殊 glob 文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 739 重要な特殊正規表現文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . 741 B REST インターフェース 745 REST インターフェースの使用の準備 . . . . . . . . . . . . . . . . . . . . . . . . . . 745 インターフェースの使用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 746 インターフェースにアクセスする権限を与える . . . . . . . . . . . . . . . . . . . . 746 REST インターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 746 データ転送ツールとしての curl の使用 . . . . . . . . . . . . . . . . . . . . . . . 747 インターフェースへの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . 749 リソースの要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 750 基本アクティビティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . 751 個々のアプライアンスでの作業 . . . . . . . . . . . . . . . . . . . . . . . . . 753 システム ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 754 ログ ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C 755 トラブルシューティング用にアップロードされたファイルの操作 . . . . . . . . . . . . . 756 リストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 757 REST インターフェースを操作するためのサンプル スクリプト . . . . . . . . . . . . . . . . . 761 サードパーティ ソフトウェア 765 サードパーティ ソフトウェアのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 765 14 McAfee Web Gateway 7.6.0 製品ガイド 目次 索引 McAfee Web Gateway 7.6.0 773 製品ガイド 15 目次 16 McAfee Web Gateway 7.6.0 製品ガイド まえがき このガイドでは、McAfee 製品の操作に必要な情報を提供します。 このガイドについて ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。 対象読者 McAfee では、対象読者を限定してマニュアルを作成しています。 このガイドの情報は、主に以下の読者を対象としています。 • 管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。 表記法則 このガイドでは、以下の表記規則とアイコンを使用しています。 『マニュアルのタイト ル』、用語 または強調 太字 マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。 特に強調するテキスト ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。 メッセージ [インターフェースのテ キスト] オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの テキストを表します。 ハイパーテキスト (青 色) トピックまたは外部の Web サイトへのリンクを表します。 注: 追加情報 (オプションにアクセスする別の方法など) を表します。 ヒント: ヒントや推奨事項を表します。 重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ の保護に役立つ情報を表します。 警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項 を表します。 このガイドの内容 このガイドは、分かりやすい構成になっています。必要な情報を簡単に探すことができます。 McAfee Web Gateway アプライアンスが、主要機能、管理者の活動、配備オプション、およびシステム アーキテ クチャ、管理アクティビティと共に概説されて紹介されています。 McAfee Web Gateway 7.6.0 製品ガイド 17 まえがき このガイドについて その後に、アプライアンスのアプライアンスの設定方法、およびプロキシ、認証、フィルタリング機能の設定まで最 初に行う必要のある手順の実行方法を説明します。 これらの主要機能の構成は、別の章で説明します。 ドメイン名サービス、ポート転送、またはスタティック ルートなどのアプライアンス システムの機能を構成する方 法や一元管理構成でノードとしてアプライアンスをセットアップする方法も説明します。 モニタリングとトラブルシューティングに関する章は、ガイドの巻末に提供されています。 付録には、アクション、イベント、プロパティなど、重要な設定要素のリストが含まれます。 製品マニュアルの検索 製品のリリース後は、McAfee のオンライン ナレッジセンターに製品情報が掲載されます。 タスク 18 1 McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。 2 [KnowledgeBase] ペインで、コンテンツのソースをクリックします。 • [Product Documentation] をクリックして、ユーザー マニュアルを検索します。 • [Technical Articles] をクリックして、KnowledgeBase の記事を検索します。 3 [Do not clear my filters] を選択します。 4 製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 1 はじめに McAfee® Web Gateway (Web Gateway) アプライアンスは、包括的な Web セキュリティでネットワークを保護 します。 これは、ウイルスやその他のマルウェア、不適切なコンテンツ、データ漏えいおよび関連の問題など、Web から発 生する脅威に対してネットワークを保護します。また、法令順守や生産的な作業環境も保証します。 目次 Web トラフィックのフィルター アプライアンスの主要機能 アプライアンスの主要コンポーネント アプライアンスの配備 高レベルの管理アクティビティ Web トラフィックのフィルター アプライアンスは、ネットワークを Web に接続し、そのネットワークを出入りする Web トラフィックをフィルタ ーするゲートウェイとしてインストールされます。 実装された Web セキュリティ ルールに従って、ネットワーク内から Web にユーザーが送信する要求と、Web か ら返される応答をフィルタリングします。要求または応答とともに送信される埋め込みオブジェクトもフィルタリン グされます。 不正なコンテンツや不適切なコンテンツはブロックされ、有効なコンテンツは通過が許可されます。 図 1-1 Web トラフィックのフィルター 1 - ユーザーのネットワーク 2 - Web Gateway 3 - Web Web に要求を送信します。 要求と応答をフィルタリングします。 ネットワークに応答を送信します。 McAfee Web Gateway 7.6.0 製品ガイド 19 1 はじめに アプライアンスの主要機能 アプライアンスの主要機能 Web トラフィックのフィルターは複雑なプロセスです。アプライアンスの主要機能は、以下のようないくつかの方 法で利用されます。 Web オブジェクトのフィルタリング アプライアンスの特殊なウイルス対策機能とマルウェア対策機能によって Web トラフィックがスキャンおよびフィ ルターされ、オブジェクトが感染していた場合、その Web オブジェクトはブロックされます。 ™ その他の機能は、Global Threat Intelligence システムからの情報を使用するか、メディア タイプおよび HTML フ ィルタリングを行って要求された URL をフィルタリングします。 それらはそれら自体をフィルタリングしない機能によりサポートされますが、ユーザーの要求を数えたり、Web オ ブジェクトのダウンロードの進行状況を示すなどのジョブを行います。 ユーザーのフィルタリング 内部および外部データベースと NTLM、LDAP、RADIUS、Kerboros、その他などの方法から情報を使用して、アプ ライアンスの認証機能によりユーザーをフィルタリングします。 通常のユーザーをフィルタリングするのに加えて、このアプライアンスは管理権限と責任をコントロールできるよう にします。 Web トラフィックのインターセプト これは、Web オブジェクトまたはユーザーのフィルタリングを行うための前提条件です。HTTP、HTTPS、FTP、 Yahoo、ICQ、Windows Live Messenger などのさまざまなネットワーク プロトコルを使用して、アプライアンス のプロキシ機能により実行されます。 アプライアンスは明示的プロキシ モード、あるいは透過的なブリッジまたはルーター モードで実行できます。 フィルター処理のモニタリング アプライアンスのモニタリング機能は、フィルタリング プロセスの継続的な概要を示します。 ダッシュボードンは、アラート、Web の使用状況、フィルタリング アクティビティ、システムの動作に関する情報 が表示されます。ロギングと追跡機能も使用できます。また、データを McAfee ePolicy Orchestrator (McAfee ePO) サーバーに転送したり、SNMP エージェントでイベントを監視することもできます。 ® ™ 20 McAfee Web Gateway 7.6.0 製品ガイド はじめに アプライアンスの主要コンポーネント 1 アプライアンスの主要コンポーネント McAfee Web Gateway アプライアンスではいくつかのサブシステムを使用して、そのオペレーティング システム に基づいてフィルターおよびその他の機能を実行します。 アプライアンス サブシステム アプライアンスおよびそのモジュールのサブシステムは次を実行します。 • Core サブシステム — Web トラフィックを傍受するためのプロキシ モジュールと、Web セキュリティ ポリシ ーを構成しているフィルタリング ルールを処理するためのルール モジュールを提供します。 このサブシステムはさらに、フィルタリング ルールのための特別なジョブを完了するモジュール(エンジンとも 呼ばれる)を備えており、たとえば、マルウエア対策エンジン、URL フィルター エンジン、または認証エンジン など、自分で構成することができます。 フロー マネージャー モジュールは、モジュール間の効率的な協力関係を保証します。 • コーディネーター サブシステム — アプライアンスで処理されるすべての構成データを保管します このシステムはまた、更新と集中管理機能も備えています。 • コンフィギュレーター サブシステム — ユーザー インターフェースを提供します(内部サブシステムは Konfigurator です)。 図 1-2 アプライアンス サブシステムおよびモジュール オペレーティング システム アプライアンスのサブシステムは、そのオペレーティング システムである MLOS2(McAfee Linux Operating System バージョン 2)に依存します。 このバージョンは、ユーザーがこれらの製品の 2 つ以上に責任を持つ管理者である場合、学習努力を軽減する McAfee Email Gateway など、他の Linux ベースの McAfee セキュリティ製品でも使用されます。 McAfee Web Gateway 7.6.0 製品ガイド 21 1 はじめに アプライアンスの配備 オペレーティング システムは、フィルタリング ルールがトリガーするアクション、ファイルとネットワークの読み 取り、書き込み、およびアクセス制御を実行する機能を備えています。 構成デーモン(sysconfd daemon)は、オペレーティング システムで変更された構成設定を実装します。 アプライアンスの配備 McAfee Web Gateway アプライアンスを設定する前に、その使用方法を検討します。異なるプラットフォームで実 行し、ネットワーク統合の異なるモードを構成できます。一元管理構成のノードとして、複数のアプライアンスをセ ットアップおよび管理もできます。 プラットフォーム アプライアンスを異なるプラットフォームで実行できます。 • ハードウェアベースのアプライアンス— 物理ハードウェア プラットフォーム上 • 仮想アプライアンス — 仮想マシン上 ネットワーク統合 ネットワークで、アプライアンスは異なるモードで Web トラフィックをインターセプト、フィルタリング、および 送信できます。 • 明示的プロキシ モード — アプライアンスが通信するクライアントがそれを認識しています。 「明示的に」それら を構成して、トラフィックをアプライアンスに仕向けます。 • 透過的モード — クライアントはアプライアンスを認識していません。 • 透過型ブリッジ — アプライアンスは、クライアントと Web の間で「見えない」ブリッジとして動作します。 これに対してクライアントを構成する必要があります。 • 透過的ルーター — アプライアンスは、ユーザーが記入する必要があるルーティング テーブルに従ってトラフ ィックを仕向けます。 管理と更新 アプライアンスを管理し、種々の方法で更新を配布することができます。 • スタンドアロン — アプライアンスを個別に、アプライアンスが他のアプライアンスから更新を受信しないように 管理します。 • 一元管理 — アプライアンスを複雑な構成のノードとしてセットアップし、そのユーザー インターフェースでほ かのノードを、更新の配布を含めて管理します。 また、他のノードでアプライアンスを管理し、アプライアンスが他のノードから更新を受信するように設定する ことができます。 高レベルの管理アクティビティ アプライアンスの管理には、ネットワークの要件に応じて、異なるアクティビティが含まれます。 以下は推奨される高レベルの管理アクティビティです。 22 McAfee Web Gateway 7.6.0 製品ガイド はじめに 高レベルの管理アクティビティ 1 タスク 1 初期設定を実行します。 セットアップ手順には、ホスト名や IP アドレスなどのシステム パラメーターの設定、フィルタリング規則の初 期システムの実装およびライセンス付与などが含まれます。 この段階では、2 つのウィザードが利用可能です。1 つは初期構成用のものであり、もう 1 つはフィルタリング 規則用のものです。 2 プロキシ機能を設定します。 初期セットアップ後に、アプライアンスに明示的プロキシ モードと HTTP プロトコルが事前設定されます。 この設定を変更し、アプライアンスが通信するその他のネットワーク コンポーネントを構成することもできます。 3 認証の実施を検討します。 デフォルトでは、アプライアンスに認証は実施されません。 実施する場合、NTML、LDAP、Kerberos、およびその他の数多くの異なる認証方法から選択できます。 4 Web フィルタリングを設定します。 ウイルスとマルウェア フィルタリング、URL フィルタリング、メディア タイプ フィルタリング、その他のフィ ルタリング関連プロセスを初期設定する間に実施するルールを見直すことができます。 これらのルールを微調整して、ネットワークの要件に対応するように適応させることができます。 フィルタリング規則の操作には、これらの規則が使用するリストの維持とルール アクションとフィルタリング プ ロセスに含まれるモジュールの設定の構成が含まれます。 5 アプライアンスの振る舞いを監視します。 要件に従ってアプライアンスを設定したときに、フィルタリング プロセスを実行する方法を監視できます。 また、CPU とメモリ使用量、アクティブな接続数、その他のシステム関数をモニタリングすることもできます。 これらのアクティビティに関する詳細は、セットアップ、認証、または Web フィルタリング の下のそれらを取り 上げているセクションを参照してください。 McAfee Web Gateway 7.6.0 製品ガイド 23 1 はじめに 高レベルの管理アクティビティ 24 McAfee Web Gateway 7.6.0 製品ガイド 2 ユーザー インターフェース ユーザー インターフェースでは、ルール、リスト、設定、アカウント、Web Gateway の他の管理機能を操作でき ます。重要なフィルタリング パラメーターやシステム パラメーターに関する情報を表示し、トラブルシューティン グを行うこともできます。 目次 ユーザー インターフェースの主要要素 設定機能のサポート ユーザー インターフェースでの Web セキュリティ ポリシーの設定 ユーザー インターフェース以外での Web Gateway の管理 ユーザー インターフェースの主要要素 以下のスクリーン ショットには、ユーザー インターフェースの主要要素が表示されています。 図 2-1 ユーザー インターフェース 以下の表では、ユーザー インターフェースの主要要素について説明します。 McAfee Web Gateway 7.6.0 製品ガイド 25 2 ユーザー インターフェース ユーザー インターフェースの主要要素 表 2-1 ユーザー インターフェースの主要要素 オプション 定義 システム情報 行 システムとユーザーの情報が表示されます。 [ユーザー設 定] ウィンドウが開き、ユーザー インターフェースを設定したり、パスワードの変更を行うことがで きます。 [ログアウト] ユーザー インターフェースからログオフします。 ヘルプ アイコ ン オンライン ヘルプが表示されます。 最上位メニュ ー バー 以下のメニューから 1 つを選択することができます。 ページ内の情報を参照したり、ツリー構造に従ってページを移動することができます。また、全文 検索を実行したり、インデックス項目で検索できます。 • [ダッシュボード] - イベント、Web の使用、フィルタリング、システムの動作に関する情報が 表示されます。 • [ポリシー] - Web セキュリティ ポリシーを設定します。 • [設定] - アプライアンスのシステム設定を行います。 • [アカウント] - 管理者アカウントを管理します。 • [トラブルシューティング] - アプライアンスで発生した問題を解決します。 [検索] ウィンドウが開き、次の検索オプションを選択できます。 • [オブジェクトの検索] - ルール セット、ルール、リスト、設定を検索します。 入力フィールドに検索語句を入力すると、指定した語句に一致する名前のオブジェクトがすべて 表示されます。 • [参照するオブジェクトの検索] - リスト、プロパティ、設定を選択して検索すると、選択項目 が使用されているルールがすべて表示されます。 [変更を保存] 変更を保存します。 タブ バー 現在選択されている最上位メニューのタブが表示されます。 最上位メニューには次のタブがあります。 • [ダッシュボード] • アラート • グラフと表 • [ポリシー] • ルール セット • リスト • 設定 • テンプレート • [設定] • アプライアンス • ファイル エディター • [アカウント] • 管理者アカウント [トラブルシューティング] にはタブがありません。 26 McAfee Web Gateway 7.6.0 製品ガイド ユーザー インターフェース 設定機能のサポート 2 表 2-1 ユーザー インターフェースの主要要素 (続き) オプション 定義 ツールバー (タ 様々なツールを使用できます。表示されるツールは、選択したタブによって異なります。 ブ上) ナビゲーショ ン ペイン ルール、リスト、設定などの項目がツリー構造で表示されます。 設定ペイン ナビゲーション ペインで選択されている項目の設定オプションを使用できます。 設定機能のサポート ユーザー インターフェースには、設定を行うための様々な機能が用意されています。 表 2-2 管理機能のサポート オプション 定義 黄色い三角形 空のリストか、入力が必要なリスト名と一緒に表示されます。 フィルター リストが作成されても、細かい情報が必要な場合、ポリシー設定ウィザードで入 力されない場合があります。 黄色の挿入テキスト ユーザー インターフェースの項目の上にマウス ポインターを置くと、その項目の意味と使用 方法が表示されます。 OK アイコン 入力項目が有効な場合に、ウィンドウに表示されます エラー アイコン 入力項目が無効な場合に、ウィンドウに表示されます メッセージ テキス ト エラー アイコンと一緒に表示され、無効な入力項目の情報が表示されます。 薄赤色の入力フィー 無効な入力があることを示します。 ルド [変更を保存] 項目を変更すると、ボタンが赤になります。 変更を保存すると再び灰色になります。 赤い三角形 変更された項目が保存されていない場合に、タブ、アイコン、リスト項目と一緒に表示されま す。 たとえば、ルールを変更した場合、以下の場所に赤い三角形が表示されます。 • 設定ペインのルール エントリの行 • ルール セットのアイコン • [ルール セット] タブで突き出ている部分 • 最上位メニュー バーの [ポリシー] アイコンの上 変更の破棄 ユーザー インターフェースで管理者アクティビティを実行している場合、それらを保存する代わりに作成した変更を 破棄できます。 変更を破棄するための 1 つのオプションは、保存していない変更で本当に行うかどうかに関わらず、ログオフを実行 する場合の正しい答えです。 もう 1 つのオプションは、変更を破棄し、構成データをリロードするためのものです。 構成データのリロードは、最後に保存した後、既存の構成を復元します。これは、他の管理者によって完了できます。 アプライアンスの初期セットアップの後にまだ変更が保存されていない場合、初期セットアップ構成が復元されます。 McAfee Web Gateway 7.6.0 製品ガイド 27 2 ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 データをリロードして変更を破棄する 既存の構成データをリロードして、ユーザー インターフェースで構成された変更を破棄できます。 タスク 1 [変更を保存する]ボタンの隣にある小さく黒い三角形をクリックします。 [バックエンドからデータをリロードする]を読み込む挿入が表示されます。 2 挿入をクリックします。 保留の変更が破棄され、構成データがリロードされます。 ユーザー インターフェースでの Web セキュリティ ポリシーの設定 ユーザー インターフェースで、ネットワークの Web セキュリティ ポリシーを設定できます。 Web Gateway では、様々なルールで Web セキュリティ ポリシーを実装します。これらのルールは、ルール セッ トに分類されています。 ルール セットのルールは通常、特定の領域の Web セキュリティを処理します。 たとえば、 マルウェア対策フィルタリング、URL フィルタリング、メディア タイプ フィルタリング用のルールが用意されてい ます。 これらのルールとルール セットは、ユーザー インターフェースで編集したり、削除することができます。また、新 しいルールやルール セットも作成できます。 ルールは複数の要素から構成されます。たとえば、URL フィルタリング ルールは、URL のカテゴリ リスト、ブロッ ク アクションなどの要素から構成されます。ユーザーが Web アクセス要求を送信したときに、送信された URL が カテゴリのいずれかに該当すると、要求がブロックされます。 このルールを Web セキュリティ ポリシーに追加すると、オンライン ショッピング、娯楽、ドラッグなどのカテゴ リに該当する Web サイトへのアクセスをブロックできます。 [ポリシー] タブ ユーザー インターフェースには、Web セキュリティ ポリシーを設定できる 3 つのタブが表示されます。 • [ルール セット] タブ - このタブでは、Web セキュリティ ポリシーの設定に関するすべての操作を実行できま す。 このタブのルールで使用されているリストや設定も操作できます。 ルールの使用方法については、『ルール』を参照してください。 • [リスト] タブ - このタブでは、ルールで使用されているリストにアクセスできます。 リスト ツリーからリスト を選択して設定できます。 リストの使用方法については、『リスト』を参照してください。 • 28 [設定] タブ - このタブでは、ルールで使用されている設定にアクセスできます。 設定ツリーから設定を選択し て設定できます。 McAfee Web Gateway 7.6.0 製品ガイド ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 2 Web Gateway のルールでは、設定は、特定の値が設定されるパラメーターのグループを意味します。 2 種類の 設定があります。 • モジュールの設定 (エンジンともいいます) では、ルール処理のジョブを実行するモジュールを設定します。 たとえば、マルウェア対策モジュールは、Web オブジェクトをスキャンしてウイルスやマルウェアの感染を 検査します。 • アクションの設定では、ルールが実行するアクション ([ブロック] など) を設定します。 モジュールまたはアクションには様々な設定があります。モジュールは設定に応じて様々な方法でジョブを実行 します。また、アクションも様々な方法で実行されます。 設定の使用方法については、『設定』を参照してください。 • [テンプレート] タブ - Web Gateway.ユーザーへのメッセージの設定に使用するテンプレートを使用できま す。 テンプレートの使用方法については、『ユーザー メッセージ』を参照してください。 [ルール セット] タブの使用方法 [ルール セット] タブでは、ルール セット ([URL フィルタリング] ルール セットなど) を選択して、ルールを設定 します。 ルール セットには 2 つのビューがあります。 • ルールのキー要素 - このビューでは、特定のルール セットのキー要素が表示されます。すべての要素を含む完 全なルールは設定できません。 キー要素は、Web セキュリティ ポリシーを設定するときに変更頻度の高い要素です。このルール セット ビュー では、これらの要素に限定して操作を行うことができます。 このビューは、次の場合に表示されます。 • デフォルトのルール セットを選択した場合 • ルール セット ライブラリからルール セットをインポートした場合 このビューに表示されないライブラリ ルール セットもあります。 独自に作成したルール セットの場合、このビューは表示されません。 以下では、このビューで設定可能なキー要素の例を示します。 図 2-2 キー要素の例 - URL ホワイトリスト URL ホワイトリストは、URL フィルタリング ルールなどで使用されるルールの要素です。 [編集] をクリックして、編集するリストを開きます。 McAfee Web Gateway 7.6.0 製品ガイド 29 2 ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 • 完全なルール - このルール セット ビューには、完全なルールが表示されます。特定のルール セットに含まれる すべてのルールが表示されます。これらのルールから個々の要素 (キー要素を含む) を選択して設定できます。 また、新しいルールを作成したり、削除することもできます。 両方のビューで表示されるデフォルトのルール セットまたはライブラリ ルール セットを選択するには、完全なル ール ビューで操作を行う前にキー要素ビューを終了する必要があります。 キー要素ビューを終了すると、すべて の変更を破棄するか、ルール セットを再インポートするまでこのビューに戻ることはできません。 たとえば、URL ホワイトリストは、URL フィルタリング ルールのキー要素です。完全なルール ビューでは次の ように表示されます。 図 2-3 完全なルール ビューで表示された要素 - URL ホワイトリスト [URL ホワイトリスト] をクリックして、編集するリストを開きます。 関連トピック: 30 ページの「キー要素ビュー」 32 ページの「完全なルール ビュー」 キー要素ビュー キー要素ビューには、ルール セットに含まれているルールのキー要素が表示されます。このビューでは、キー要素を 設定できます。 図 2-4 キー要素ビュー 30 McAfee Web Gateway 7.6.0 製品ガイド 2 ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 キー要素ビューのオプション 以下の表では、キー要素ビューのオプションについて説明します。 表 2-3 キー要素ビューのオプション オプション 定義 [ルール セット 名] フィールド キー要素が含まれているルール セットのデフォルト名が表示されます。このフィールドでは、こ の名前を編集できます。 [ルール セット の説明] フィー ルド キー要素が含まれているルール セットの説明が表示されます。このフィールドでは、説明を編集 できます。 [有効] 選択すると、現在設定中のキー要素を含むルール セットが有効になります。 [ビューのロッ ク解除] キー要素ビューを終了し、対応する完全なルール ビューが表示されます。 確認メッセージが表示されます。キー要素ビューを終了すると、すべての変更を破棄するか、ルー ル セットを再インポートするまでこのビューに戻ることはできません。 ルール セット ツリーで、ルール セット名の前にあるアイコンに、現在有効になっているビュー が表示されます。 キー要素ビューのルール セット 完全ルール ビューのルール セット • ネストされたルール セットを操作するには、ネストしているルール セットの [ビューのロック 解除] をクリックします。 ネストされたルール セットがルール セット ツリーに表示されます。それぞれのルール セッ トで完全ルール セット ビューが有効になっています。 • デフォルトの共通ルールルール セットでネストされているルール セットを表示するには、その ルール セットを展開します。 ネストされたルール セットの最後のルール セットでは完全ルール ビューが有効になっていま すが、他のルール セットはキー要素ビューで表示されます。 ルール セットのコンテキスト メニューで [ロックの解除] オプションを使用すると、同 時に複数のルール セットでキー要素ビューを解除できます。 1 1 つまたは複数のルール セットを同時に選択して右クリックし、[ロックの解除] を 選択します。 ネストされたルール セットを含むルール セットを展開すると、ネストされたルール セットを 1 つ以上選択できます。 2 キー要素ビューの終了を確認します。 選択したすべてのルール セットで完全ルール ビューが有効になります。 [権限] 現在設定中のキー要素を含むルール セットへのアクセスを許可するユーザーを設定します。 ルール セット のキー要素 キー要素はルール セットによって異なります。 関連する機能のキー要素はグループとして表示されます。各グループの先頭にはグループ ヘッ ダーが付きます。 たとえば、URL フィルタリングのキー要素の場合、[基本フィルタリング]、[SafeSearch] など のグループにキー要素が表示されます。 これらのグループには基本的な URL フィルタリングのキー要素が表示されます。これらのキー 要素は、フィルタリング プロセスの SafeSearch などの機能でも使用されます。 McAfee Web Gateway 7.6.0 製品ガイド 31 2 ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 キー要素を設定する 以下では、Web セキュリティ ルールのキー要素を設定する簡単なタスクについて説明します。 1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン グ ルール セットのルール要素です。 Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く なり、許可された Web オブジェクトに簡単にアクセスできます。 この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、 http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま す。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。 このルール セットに含まれているルールのキー要素が設定ペインに表示されます。 3 [基本フィルタリング] で、[URL ホワイトリスト] の横にある [編集] をクリックします。 [リストの編集] ウィンドウが開きます。 4 ホワイトリストに URL を入力します。 a [リスト コンテンツ] で [追加] アイコンをクリックします。 [ワイルドカード式の追加] ウィンドウが開きます。 b [ワイルドカード式] フィールドに http://www.mcafee.com/* と入力します。 c [OK] をクリックします。 [ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。 5 [OK] をクリックします。 [リストの編集] ウィンドウが閉じます。 6 [変更の保存] をクリックします。 完全なルール ビュー 完全なルール ビューには、ルール セットに含まれるすべてのルールが表示されます。このビューでは、キー要素を 含む要素を操作できます。 ルールを編集したり、削除できます。また、独自のリストを作成することもできます。ルール セットの編集、削除、 作成もできます。既存のルールや独自のルールを使用して新しいルール セットを作成できます。 32 McAfee Web Gateway 7.6.0 製品ガイド ユーザー インターフェース ユーザー インターフェースでの Web セキュリティ ポリシーの設定 2 Web Gateway のルール セット ライブラリやオンラインのルール セット ライブラリからルール セットをインポー トすることもできます。これらのルール セットとルールは、他のルールやルールセットと同じ方法で操作することが できます。 図 2-5 完全なルール ビュー 完全なルール ビューの詳細については、「ルール」を参照してください。 完全なルール ビューでルール要素を設定する 以下では、完全なルール ビューで Web セキュリティ ルールの要素を設定する簡単なタスクについて説明します。 1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン グ ルール セットのルール要素です。この手順は、キー要素ビューで行う場合とほとんど同じです。URL ホワイトリ ストへのアクセス方法が違うだけです。 Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く なり、許可された Web オブジェクトに簡単にアクセスできます。 この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、 http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま す。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。 このルール セットに含まれているルールのキー要素が設定ペインに表示されます。 3 キー要素ビューを終了するには、[ビューのロック解除] をクリックします。 キー要素ビューの終了を確認するメッセージが表示されます。終了すると、このビューに戻ることはできません。 McAfee Web Gateway 7.6.0 製品ガイド 33 2 ユーザー インターフェース ユーザー インターフェース以外での Web Gateway の管理 4 [はい] をクリックします。 完全なルール ビューが表示されます。 5 [URL ホワイトリストに一致する URL を許可する] で、[URL ホワイトリスト] をクリックします。 [リストの編集] ウィンドウが開きます。 6 ホワイトリストに URL を入力します。 a [リスト コンテンツ] で [追加] アイコンをクリックします。 [ワイルドカード式の追加] ウィンドウが開きます。 b [ワイルドカード式] フィールドに入力します。例: http://www.mcafee.com/* c [OK] をクリックします。 [ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。 7 [OK] をクリックします。 [リストの編集] ウィンドウが閉じます。 8 [変更の保存] をクリックします。 ルールとルール セットの操作方法については、「ルール」を参照してください。 ユーザー インターフェース以外での Web Gateway の管理 標準のユーザー インターフェースにログオンしなくても、別のインターフェースを使用して Web Gateway を管理 することができます。このインターフェースは REST (Representational State Transfer) インターフェースとい います。 REST インターフェースを使用すると、特定の Web Gateway アプライアンスとこのアプライアンスに接続するア プライアンスの操作を管理することができます。たとえば、アプライアンスの電源を切ったり、再起動することがで きます。また、リストや設定の操作や更新も実行できます。 REST インターフェースの基本的な使用方法については、このガイドの付録にある「REST インターフェース」を参 照してください。インターフェースと通信を行うためのサンプル スクリプトも掲載されています。 34 McAfee Web Gateway 7.6.0 製品ガイド 3 システム構成 アプライアンス システムは、Web フィルタリング、認証、クォータ管理などの他の機能によって使用される基本機 能を提供します。ネットワークの要件に対応するように、このシステムを構成することが可能です。 アプライアンス システムを構成するときは、主に以下の項目で作業を行います。 • システム設定 — ネットワーク インターフェース、DNS サーバー、プロキシ、集中管理、およびアプライアンス システムに関連する他のコンポーネントと方法のために構成されます • システム ファイル — ファイル エディターを使用して変更できるアプライアンス システムの機能の設定を含み ます • データベース更新 — アプライアンスのフィルタリング機能が関連情報を利用できるようにします システム構成の一部分は、アプライアンスの初期設定中に実行されます。このセットアップ後、アプライアンス シス テムのさらなる構成アクティビティを完了させることができます。 目次 初期セットアップのシステム設定 初期セットアップ後のシステム構成 システム設定の構成 アプライアンス タブ 一般的なアプライアンス機能に対するシステム設定 ネットワーク機能に対するシステム設定 ネットワーク インターフェースのボンディング ソースベースのルーティング システム ファイル ファイル エディター タブ キャッシュ ボリュームのサイズ変更 データベースの更新 閉鎖されたネットワークの更新 初期セットアップのシステム設定 アプライアンスの初期セットアップの実行には、システム設定の一部の構成が含まれます。 初期設定は、デフォルト値のままに残すか、または自分の設定を実装することができます。後でも、これらの設定は 変更できます。 次の表は、初期セットアップで構成される設定、およびそれらのデフォルト値を示しています。 McAfee Web Gateway 7.6.0 製品ガイド 35 3 システム構成 初期セットアップ後のシステム構成 表 3-1 初期セットアップのシステム設定 パラメーター デフォルト値 プライマリ ネットワーク インターフェース eth0 DHCP での自動構成 はい ホスト名 mwgappl ルート パスワード <なし> SSH でのリモート ルート ログオン 時間 デフォルト ゲートウェイ <DHCP で構成> DNS サーバー <DHCP で構成> 初期セットアップ後のシステム構成 アプライアンス システムに対するすべての設定は、初期セットアップ後に構成することができます。これには、初期 セットアップ中に構成された設定の変更も含まれます。 アプライアンス システムに対する設定は、さまざまなフィールドで構成できます。 一般的な機能に対するシステム設定 一部のシステム設定は、アプライアンスのライセンスや日付と時刻など、一般的なサービスを提供するアプライアン ス システムの機能に対して構成されます。 関連トピック: 40 ページの「ライセンスの設定」 41 ページの「利用統計の設定」 42 ページの「日付と時刻の設定」 43 ページの「ファイル サーバーの設定」 44 ページの「ユーザー インターフェースの設定」 ネットワーク システム設定 ネットワーク システム設定は、アプライアンス システムをネットワークに統合するために構成します。」 アプライアンスのプライマリ ネットワーク インターフェース、およびアプライアンスによって使用される DNS サ ーバーの設定を含む、一部のネットワーク システム設定は初期セットアップですでに構成されています。 後で、プロキシ機能、ポート転送、静的ルーティング、および他のネットワーク関連の機能の構成もできます。 関連トピック: 48 ページの「ネットワーク インターフェースの設定」 127 ページの「ドメイン名サービスの設定」 52 ページの「ネットワーク保護設定」 53 ページの「ポート転送設定」 54 ページの「静的ルーティングの設定」 110 ページの「プロキシ設定」 36 McAfee Web Gateway 7.6.0 製品ガイド システム構成 初期セットアップ後のシステム構成 3 認証およびクォータのシステム設定 認証およびクォータのシステム設定は、アプライアンスでユーザーを認証し、それらのユーザーの Web 使用を制限 するための方法を実装するために構成します。 認証とクォータの構成は、主にアプライアンスで、認証およびクォータのルール セットで作業することにより、実行 されます。 しかし、Kerberos 認証方法および Windows ドメイン メンバーシップの設定を含む、いくつかの認証機能はアプラ イアンス システムの設定として構成されます。 一部のクォータ パラメーターは、システム設定としても構成されます。 関連トピック: 256 ページの「Kerberos 管理システムの設定」 258 ページの「Windows ドメイン メンバーシップの設定」 321 ページの「クォータのシステム設定」 Web フィルタリング システム設定 Web フィルタリング システム設定は、Web オブジェクトをフィルタリングするための機能をアプライアンスで実装 するために構成されます。 Web フィルタリングの構成は、Gateway マルウェア対策ルール セットや URL フィルタリング ルール セットなど の Web フィルタリング ルール セットのルールを操作することによってアプライアンスで主に実行されます。 ただし、アプライアンスのスキャン モジュールに対する作業負荷を制限するためにキュー内で Web オブジェクトを 収集するマルチウェア対策キューなど、Web フィルタリング機能のいくつかは、アプライアンス システムの設定と して構成されます。 関連トピック: 337 ページの「マルウェア対策のシステム設定」 集中管理システム設定 集中管理システム設定は、共通の構成で複数のアプライアンスをノードとして実行している場合に構成します。 集中管理構成では、ログオンしているノードから、他のノードのシステム設定を構成することもできます。 関連トピック: 165 ページの「一元管理設定」 ログおよびトラブルシューティングに対するシステム設定 ログおよびトラブルシューティングに対するシステム設定は、アプライアンスでログ ファイル マネージャーを制御 するためと、外部コンポーネントを使用してログ データを記録するために構成されます。 外部コンポーネントの使用には、McAfee ePO サーバーへのデータの転送、および SNMP エージェントを使用した イベントの監視が含まれます。 関連トピック: 578 ページの「ログ ファイル マネージャー設定」 612 ページの「ePolicy Orchestrator の設定」 609 ページの「SNMP 設定」 McAfee Web Gateway 7.6.0 製品ガイド 37 3 システム構成 システム設定の構成 システム設定の構成 ネットワークの要件に対応させるために、アプライアンス システムの設定を構成できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、アプライアンスを選択して、構成するシステム設定をクリックします。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 関連トピック: 36 ページの「初期セットアップ後のシステム構成」 アプライアンス タブ [アプライアンス] タブでは、アプライアンスのシステム設定を行うことができます。 図 3-1 [アプライアンス] タブ アプライアンス タブの主要要素 以下の表で、[アプライアンス]タブの主要な要素について説明します。 表 3-2 アプライアンス タブの主要要素 38 要素 説明 アプライアンス ツールバー 集中管理構成にアプライアンスを追加、削除、および一度に更新す るための項目を含むツールバー。 アプライアンス ツリー 各アプライアンスのシステム設定を含むアプライアンスのツリー 構造 McAfee Web Gateway 7.6.0 製品ガイド システム構成 一般的なアプライアンス機能に対するシステム設定 3 表 3-2 アプライアンス タブの主要要素 (続き) 要素 説明 アプライアンス ツールバー 選択したアプライアンスで使用可能な項目が表示されるツールバ ー (アプライアンス ツリーでアプライアンスが選 択されたときに表示される) アプライアンス設定 選択されたアプライアンスのシステム設定 アプライアンス ツールバー アプライアンス ツールバーには、次のオプションがあります。 表 3-3 アプライアンス ツールバー オプション 定義 [追加 ] アプライアンスを追加するための[アプライアンスの追加]ウィンドウを開きます。 [削除] 選択されたアプライアンスを削除します。 削除を確認するためのウィンドウが開きます。 [手動エンジン更新] 集中管理構成にあるすべてのアプライアンスのウイルス シグネチャおよびその他のフィルタ リング情報が含まれている DAT ファイルを更新します。 アプライアンス ツールバー アプライアンス ツールバーには、次のオプションがあります。 表 3-4 アプライアンス ツールバー オプション 定義 [再起動] アプライアンスを再起動します。 [キャッシュを消去] アプライアンスの Web キャッシュを消去します。 [アプライアンス ソフトウェアの更 新] アプライアンス ソフトウェアの更新バージョンをインストールします。 [シャットダウン] アプライアンスを非アクティブにします。 [ログをローテート] アプライアンスのログ ファイルをローテートします。 [ログをローテートおよびプッシュ] アプライアンスのログ ファイルをローテートし、[ログ ファイル マネージャ ー]の設定で指定されている送信先にプッシュします。 一般的なアプライアンス機能に対するシステム設定 一部のシステム設定は、アプライアンス システムの一般的なサービスを提供する機能に対して構成されます。 一般的なアプライアンス機能に対する設定には、以下が含まれます。 • ライセンス設定 • 日時設定 • ファイル サーバー設定 • ユーザー インターフェース設定 McAfee Web Gateway 7.6.0 製品ガイド 39 3 システム構成 一般的なアプライアンス機能に対するシステム設定 ライセンスの設定 [ライセンス] の設定は、アプライアンスのライセンスをインポートするときに使用されます。 これらの設定と一緒 に、ライセンスの情報、ライセンス契約とデータ利用方針の確認オプションが表示されます。 ライセンス管理 ライセンスのインポート設定 表 3-5 ライセンス管理 オプション 定義 [ライセンスのイン ポート] ライセンスのインポートに必要なオプションが表示されます。 [使用許諾条件を確 認して同意します] 使用許諾条件のリンクと文書の確認後に選択するチェックボックスが表示されます。 [ライセンス ファイ ル] ローカル ファイル システムから選択されたライセンスファイルの名前とパスが表示されま す。 ライセンスをインポートするには、チェックボックスの選択が必要です。選択しないと、残 りのインポート オプションがグレー表示されます。 このフィールドに名前とパスが表示されている場合、ライセンスの詳細情報が [ライセンス情 報] に表示されます。 [変更の保存] をクリックすると、ライセンスが有効になります。 [参照] ローカル ファイル システムが開き、ライセンス ファイルを選択できます。 ライセンス情報 インポートされたライセンスの情報とデータ利用方針の確認オプションが表示されます。 表 3-6 ライセンス情報 オプション 定義 [ステータス] ライセンス ファイルの名前が表示されます。 [作成] ライセンス ファイルの作成日が表示されます。 [有効期限] ライセンス ファイルの有効期限が表示されます。 [ライセンス ID] ライセンス ID が表示されます。 [顧客] ライセンス所有者の名前が表示されます。 [顧客 ID] ライセンス所有者の ID が表示されます。 [シート] ライセンス所有者の組織でライセンスが適用されるワークプレースの数が表示されま す。 [評価版] ライセンスが評価版かどうかが表示されます。 [機能] ライセンスで使用できる Web Gateway の機能が表示されます。 [データ利用方針を確認し、 データ利用方針のリンクが表示されます。 理解しました] 40 McAfee Web Gateway 7.6.0 製品ガイド システム構成 一般的なアプライアンス機能に対するシステム設定 3 利用統計の設定 利用統計の設定は、不正な可能性のある Web オブジェクトのフィードバック データの収集方法を設定する場合に使 用します。また、ポリシー設定に関するデータの収集にも使用します。 フィードバックの設定 フィードバック データの収集のための設定 以下のオプションを個別に有効にしたり、無効にすることができます。 表 3-7 フィードバックの設定 オプション 定義 [システム情報と不審な URL に関するフ 選択すると、フィードバック データが収集され、特別な McAfee フィー ィードバックを McAfee に送信して、脅 ドバック サーバーに送信されます。 威の予測や保護サービスを改善する] McAfee はこのデータを収集してそれを分析し、Web Gateway の脅威 の予測と保護機能を改善します。 詳細については、 『データ使用状況のステートメント』を参照してくださ い。 [不正 Web サイトに関するフィードバッ 選択すると、ウイルスとマルウェアのフィルタリングに関連するデータ クを McAfee に送信する] が収集され、特別な McAfee フィードバック サーバーに送信されます。 [動的に分類された Web サイトに関する 選択すると、Web サイトを分類するために関連するデータが収集され、 フィードバックを McAfee に送信する] 特別な McAfee フィードバック サーバーに送信されます。 [製品向上のため、ポリシー設定に関する 選択すると、ポリシー設定に関連するデータが収集され、特別な McAfee フィードバックを McAfee に送信する] フィードバック サーバーに送信されます。 詳細情報 データ使用状況のステートメントへのリンク 表 3-8 詳細情報 オプション 定義 [データ使用状況 のステートメン ト] 以下を説明するデータ使用状況のステートメントへのリンクを提供します。 • McAfee が収集されたフィードバック データを収集する目的 • 収集されたデータの種類 • データの種類によってデータの収集をオフにする方法 データの使用状況のステートメントは、アプライアンスの最初のセットアップ時にも示されま す。 詳細設定 フィードバック データの収集のための詳細設定 表 3-9 詳細設定 オプション 定義 [アップストリーム プ 選択すると、McAfee にフィードバック データを送信するためにプロキシ サーバーが使用 ロキシを使用] されます。 [プロキシの IP また は名前] McAfee Web Gateway 7.6.0 プロキシ サーバーの IP アドレスまたはホスト名を指定します。 製品ガイド 41 3 システム構成 一般的なアプライアンス機能に対するシステム設定 表 3-9 詳細設定 (続き) オプション 定義 [プロキシのポート] フィードバック データを送信するためのリクエストを待機するプロキシ サーバーのポー トのポート番号を指定します。 ポート番号の範囲は 1 から 65635 です。 デフォルトのポート番号は 9090 です。 [ユーザー名] プロキシ サーバーにログインするために必要なユーザー名を指定します。 [パスワード] プロキシ サーバーにログインするために必要なパスワードを指定します。 [設定] をクリックすると、パスワードを設定するウィンドウが開きます。 [フィードバック サー 選択すると、IP アドレスとポート番号をフィードバック データが送信されるサーバーに対 バーを選択する] して構成できます。 [サーバーの IP] フィードバック サーバーの IP アドレスを指定します。 [サーバーのポート] データの送信要求を待機するフィードバック サーバーのポートのポート番号を指定しま す。 ポート番号の範囲は 1 から 65635 です。 デフォルトのポート番号は 443 です。 [サーバーのポート] 選択すると、フィードバック送信アクティビティがログされます。 日付と時刻の設定 [日付と時刻] では、アプライアンス システムの日付と時刻の同期を行うタイム サーバーを設定します。 システム時 間を手動で設定することもできます。 日付と時刻 アプライアンス システムの日時の設定 表 3-10 日付と時刻 オプション 定義 [NTP サーバーと 選択された場合、アプライアンスは時間の同期のために NTP(Network Time Protocol)の時 の時刻同期を有 刻サーバーを使用します。 効にする] アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間差 が大きすぎる場合、これは失敗します。 そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動することを 推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定され ます。 [NTP サーバー リスト] NTP プロトコルで時間の同期に使用するサーバーを入力するためのリストを提供します。 リスト要素は以下のとおりです。 • [文字列] — NTP サーバーの名前を指定します。 • [コメント] — NTP サーバーの平文コメントを提供します。 [タイムゾーンを 選択する] 42 タイム ゾーンを選択するリストを提供します。 NTP サーバーによって実行された時刻の同期、または手動で設定された時刻は、ここで選択す るタイム ゾーンを参照します。 McAfee Web Gateway 7.6.0 製品ガイド システム構成 一般的なアプライアンス機能に対するシステム設定 3 手動によるシステム時刻の設定 アプライアンス システムの時刻および日付を構成するための設定 表 3-11 手動でのシステム時刻の設定 オプション 定義 [現在の日付と時刻] アプライアンス システムの日付および時刻の設定の要素を提供します。 • [日付] — フィールドに入力またはカレンダーを使用して日付を入力できます。 • カレンダー アイコン - カレンダーを開いて日付を選択します カレンダーで日付を選択した後、[OK]をクリックすると日付フィールドに日付が表示され ます。 • [時間] — 時間を入力して指定できます。 アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間 差が大きすぎる場合、これは失敗します。 そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動すること を推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定 されます。 [今すぐ設定] 入力した日付と時刻を対応するフィールドに設定します。 ファイル サーバーの設定 [ファイル サーバー] では、アプライアンス専用のファイル サーバー ポート (クライアントによるファイルのダウン ロードで使用するポートなど) を有効にします。 HTTP コネクタ ポート アプライアンスの専用ファイル サーバー ポートの設定 McAfee Web Gateway 7.6.0 製品ガイド 43 3 システム構成 一般的なアプライアンス機能に対するシステム設定 表 3-12 HTTP コネクタ ポート オプション 定義 [HTTP 経由の専用ファ イル サーバー ポートを 有効にする] 選択されていると、下に構成されている専用 HTTP ファイル サーバー ポートが有効にな ります。 [HTTP コネクター] 専用 HTTP ファイル サーバー ポートのポート番号を指定します。 ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は 1024 ~ 65335 までです。 ポート 1 から 1023 に要求を転送する場合は、ポート転送ルールをセットアップできま す。 ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力すること ができます。これは、このポート経由のアプライアンスへの接続は、指定アドレスを使用 した場合にのみ有効という意味です。 例: アプライアンスには以下のとおり、IP アドレスを持つ 2 つのインターフェースがありま す。 eth0: 192.168.0.10, eth1: 10.149.110.10 次の数字を HTTP コネクタに入力します。 4711, 192.168.0.10:4722 ポート 4771 経由のアプライアンスへの接続では両方の IP アドレスを使用することが 許可される一方で、ポート 4772 経由で接続する場合は、IP アドレス 192.168.0.10 が使用されます。 後者の方法による接続の制約は、イントラネットのセット アップに使用することができ ます。 [HTTPS 経由の専用ファ 選択されていると、専用 HTTPS ファイル サーバー ポートが有効になります。 イル サーバー ポートを 有効にする] [HTTPS コネクター] 専用 HTTPS ファイル サーバー ポートのポート番号を指定します。 ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は 1024 ~ 65335 までです。 ポート番号とともに IP アドレスを入力することは、HTTP コネクタと同様に行うことが 可能で、同じ意味を持ちます。 ポート 1 から 1023 に要求を転送する場合は、ポート転送ルールをセットアップできま す。 ユーザー インターフェースの設定 [ユーザー インターフェース] の設定は、アプライアンスのローカル ユーザー インターフェースの要素を設定する場 合に使用します。 これらの要素の中には、ポート、ログオン ページ、SSL セキュア通信の証明書などがあります。 UI アクセス アプライアンスのユーザー インターフェースのアクセス方法の設定 44 McAfee Web Gateway 7.6.0 製品ガイド 3 システム構成 一般的なアプライアンス機能に対するシステム設定 表 3-13 UI アクセス オプション 定義 [HTTP コネク ター] HTTP プロトコルでユーザー インターフェースにアクセスするためのオプションが表示されます。 • [HTTP でローカル ユーザー インターフェースを有効にする] - 選択すると、HTTP プロトコル でユーザー インターフェースに接続できます。 • [HTTP コネクター] - HTTP でユーザー インターフェースに接続するときに使用するポートを 指定します。 • [HTTP で REST インターフェースを有効にする] - 選択すると、HTTP プロトコルで REST イ ンターフェースに接続できます。 [HTTPS コネ クター] HTTPS プロトコルでユーザー インターフェースにアクセスするためのオプションが表示されま す。 • [HTTPS でローカル ユーザー インターフェースを有効にする] - 選択すると、HTTPS プロト コルでユーザー インターフェースに接続できます。 • [HTTPS コネクター] - HTTPS でユーザー インターフェースに接続するときに使用するポー トを指定します。 • [HTTPS で REST インターフェースを有効にする] - 選択すると、HTTPS プロトコルで REST インターフェースに接続できます。 [HTTPS クラ クライアント証明書コネクターの設定オプションが表示されます。 イアント証明 書コネクター] • [クライアント証明書による認証を有効にする] - 選択すると、クライアント証明書で認証が行 われます。 • [クライアント証明書による認証に使用する HTTPS コネクター] - クライアント証明書による 認証でユーザー インターフェースとの接続に使用するポートを指定します。 • [認証後に対象をリダイレクトする] - 選択すると、クライアント証明書による認証が正常に実 行されると、要求がリダイレクトされます。 • [リダイレクト先のホストとポート] - 要求のリダイレクト先になっているホスト システムと ポート番号を指定してください。 [その他] ユーザー インターフェースへのアクセスの設定に必要な他のオプションが表示されます。 • [セッション タイムアウト] - ユーザー インターフェースのセッションを閉じるまでの時間 (分) を指定します。指定した時間が経過してもアクティビティが発生しない場合、セッションを 終了します。 セッション タイムアウトに設定可能な値は、1 分から 99,999 分までです。 デフォルトのタイムアウトは 30 分です。 ログイン ページのオプション アプライアンスのユーザー インターフェースにログオンするために使用されるページに対する設定 表 3-14 ログイン ページ オプション オプション 定義 [ログイン認証情報の保存をブラウ ザーに許可する] 選択すると、アプライアンスへログオンするためにユーザーが入力した認証情 報がブラウザーで保存されます。 [ユーザーの IP アドレスにブラウ ザー セッションを制限する] 選択すると、ユーザー インターフェースを操作するためのセッションは、ユ ーザーによってこのセッションが開始されたクライアントの IP アドレスが変 更されない限り有効となります。 [IP アドレスに対してセッション を制限するかどうかをユーザーに 決定させる] 選択すると、ユーザー インターフェースを操作するためのセッションをこの セッションが開始されたクライアントの IP アドレスに対してのみ有効にする かどうかについては、このセッションを開始したユーザー次第になります。 McAfee Web Gateway 7.6.0 製品ガイド 45 3 システム構成 一般的なアプライアンス機能に対するシステム設定 表 3-14 ログイン ページ オプション (続き) オプション 定義 [ログイン名ごとに複数のログイン を許可する] 選択すると、同じユーザー名とパスワードを使用して複数のユーザーがユーザ ー インターフェースにログオンできます。 [HTTPOnly セッション cookie を 選択すると、ユーザー インタフェースに関するセッションに対して 使用する (アプレットの読み込みに HTTPOnly cookie が使用されます。 は時間がかかることがある)] [アクティブなアプレット ユーザー アプライアンスのユーザー インターフェースに同時にログオン可能なユーザ の最大数] ー数を制限します。 デフォルトの最大数は 20 です。 [ログイン メッセージ] ユーザー インターフェースのログオンに使用するページに追加メッセージを 表示する場合、次のオプションを使用できます。 たとえば、内部のポリシーや外部の規制に対する遵守を表すメッセージを表 示するには、これらのオプションを使用します。 • [ログイン ページに表示する] - 選択すると、[HTML メッセージ] フィー ルドに入力したテキストがログオン ページに表示されます。 • [HTML メッセージ] - このフィールドに入力したテキストがログオン ペ ージに表示されます。 ユーザー インターフェース証明書 ユーザー インターフェース用の HTTPS ポートを経由した SSL セキュア通信で使用される証明書に対する設定 表 3-15 ユーザー インターフェース証明書 オプション 定義 [サブジェクト、発行者、有効性、延 長] 現在使用中の証明書に関する情報が表示されます。 [インポート] 新しい証明書をインポートするために、[証明機関のインポート]ウィンドウ を開きます。 [証明書チェーン] 証明書とともにインポートされる証明書チェーンを表示します。 [証明機関のインポート] ウィンドウ SSL セキュア通信で使用される証明書をインポートするための設定 表 3-16 [証明機関のインポート] ウィンドウ オプション 定義 [証明書] 証明書ファイルの名前を指定します。 ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで きます。 [参照] 証明書ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き ます。 [秘密鍵] 秘密鍵の名前を指定します。 ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで きます。 ここでは、AES 128 ビットの暗号化鍵または非暗号化鍵である鍵のみを使用できます。 46 McAfee Web Gateway 7.6.0 製品ガイド 3 システム構成 一般的なアプライアンス機能に対するシステム設定 表 3-16 [証明機関のインポート] ウィンドウ (続き) オプション 定義 [参照] 秘密鍵ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き ます。 [パスワード] 秘密鍵を使用できるパスワードを設定します。 [インポート] 新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開きます。 [OK] 指定した証明書に対するインポート プロセスを開始します。 [証明書チェー ン] 証明書チェーン ファイルの名前を指定します。 [参照] 証明書チェーン ファイルを参照して選択できるようにするために、ローカル ファイル マネージ ャーを開きます。 ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで きます。 証明書を証明書チェーンとともにインポートすると、ユーザー インターフェース証明書設定の[証 明書チェーン]フィールドに証明書チェーンが表示されます。 メモリー設定 アプライアンスのユーザー インターフェースで使用可能なメモリー設定 表 3-17 メモリー設定 オプション 定義 [GUI アプレットで使用可能な ユーザー インターフェースのアプレットで使用可能なメモリーの量 (MiB) を指 メモリーの最大量] 定します。 使用可能な最大数の範囲は、100 から 999 MiB です。 デフォルトでは、最大 512 MB が使用可能です。 [MWG UI バックエンドで使用 ユーザー インターフェースのバックエンドで使用可能なメモリーの量 (MiB) を 可能なメモリーの最大量] 指定します。 使用可能な最大数の範囲は、100 から 9999 MiB です。 ここで値を使用しないと、デフォルトの最大数である 512 MiB が使用されます。 REST の設定 アプライアンスで REST インターフェースを設定する場合の設定 McAfee Web Gateway 7.6.0 製品ガイド 47 3 システム構成 ネットワーク機能に対するシステム設定 表 3-18 REST の設定 オプション 定義 [REST 要求の最大サイズ] REST インターフェースに送信する要求のサイズ (MiB) を制限します。 REST インターフェースの実行時に使用可能な最大メモリー量は 200 MiB です。 デフォルトの最大サイズは 2 MiB です。 [REST セッションごとの最大 REST インターフェースの実行時に使用可能なメモリーの量 (MiB) を指定します。 メモリ] REST インターフェースの実行時に使用可能な最大メモリー量は 200 MiB です。 デフォルトの最大サイズは、セッションあたり 10 MiB です。 [アクティブな REST ユーザ ーの最大数] REST インターフェースを同時に使用できるユーザー数を指定します。 デフォルトの最大数は 20 です。 ネットワーク機能に対するシステム設定 一部のシステム設定は、アプライアンス システムをネットワークに統合する機能に対して構成されます。 ネットワーク機能に対するシステム設定には、プロキシ設定と以下の設定が含まれます。 • ネットワーク インターフェースの設定 • 静的ルート設定 • ドメイン名サービスの設定 • ポート転送設定 • ネットワーク保護の設定 関連トピック: 110 ページの「プロキシ設定」 ネットワーク インターフェースの設定 [ネットワーク インターフェース] の設定では、アプライアンスのネットワーク インターフェースを設定します。 ネットワーク インターフェース設定 ネットワーク インターフェースの 表 3-19 ネットワーク インターフェース設定 48 オプション 定義 [ホスト名/完全修飾 ドメイン名] アプライアンスのホスト名を指定します。 [デフォルト ゲート ウェイ (IPv4)] IPv4 の Web トラフィックに使用するデフォルトのゲートウェイを指定します。 [デフォルト ゲート ウェイ (IPv6)] IPv6 の Web トラフィックに使用するデフォルトのゲートウェイを指定します。 [次のネットワーク インターフェースを 有効にする] 有効または無効にするネットワーク インターフェースのリストが表示されます。 名前は、完全修飾ドメイン名で指定する必要があります。 デフォルトでは、eth0 ネットワーク インターフェースにリストに表示され、有効になって います。 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ネットワーク機能に対するシステム設定 3 表 3-19 ネットワーク インターフェース設定 (続き) オプション 定義 [IPv4] ネットワーク インターフェースの IPv4 設定オプションが表示されます。 各オプションは、それぞれ別のタブに表示されます。 [IPv6] ネットワーク インターフェースの IPv6 設定オプションが表示されます。 各オプションは、それぞれ別のタブに表示されます。 [詳細] ネットワーク インターフェースの追加メディアまたはブリッジを設定する場合のオプショ ンが表示されます。 各オプションは、それぞれ別のタブに表示されます。 [VLAN の追加] VLAN トラフィックを処理するネットワーク インターフェースを追加します。 このオプションを使用すると、IPv4 または IPv6 で VLAN を実行できます。 ネットワーク インターフェースを追加するには、ID として番号を追加し、[OK] をクリッ クします。 インターフェース名は、ドットで区切られた 2 つの部分から構成されます。 最初の部分は、使用可能なネットワーク インターフェースで有効になっているインターフェ ースの名前と番号を表します。 2 つ目の部分はユーザー指定の番号です。 たとえば、eth0 インターフェースが有効で 1 を指定すると、VLAN トラフィックのネット ワーク インターフェースが eth0.1 として追加されます。 初期設定では有効になってい ません。 VLAN ネットワーク インターフェースの番号範囲は 1 ~ 4094 です。 VLAN トラフィックに 1 つ以上のネットワーク インターフェースを追加したら、 この ID を使用中のネットワーク モード (たとえば、透過型ブリッジ モード) の ポート リダイレクト パラメーターに追加する必要があります。 ポート リダイレクトの追加または編集に使用するウィンドウで、[オプションの 802.1Q VLAN] フィールドに VLAN ID を入力します。 複数エントリはカンマ で区切ります。 [削除] VLAN トラフィックに選択したネットワーク インターフェースが削除されます。 以下の表では、[IPv4]、[IPv6]、[詳細] タブのオプションについて説明します。 IPv4 ネットワーク インターフェースの IPv4 を設定するタブ 表 3-20 IPv4 オプション 定義 [IP 設定] ネットワーク インターフェースの IP アドレスを設定する方法を選択します。 • [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ スが自動的に取得されます。 • [手動設定] — IP アドレスを手動で設定します。 • [IPv4 を無効にする] - このインターフェースでは IPv4 を使用しません。 [IP アドレス] McAfee Web Gateway 7.6.0 ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。 製品ガイド 49 3 システム構成 ネットワーク機能に対するシステム設定 表 3-20 IPv4 (続き) オプション 定義 [サブネット マ スク] ネットワーク インターフェースのサブネット マスクが表示されます (手動設定)。 [デフォルト ル ート] ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され ます (手動設定)。 [MTU] 1 回の転送単位で送信するバイト数を指定された値に制限します。 [IP エイリアス] IP アドレスのエイリアス リストが表示されます。 • [エイリアスの追加] - エイリアスを追加する入力ウィンドウを開きます。 • [削除] - 選択したエイリアスを削除します。 IPv6 ネットワーク インターフェースの IPv6 を設定するタブ 表 3-21 IPv6 オプション 定義 [IP 設定] ネットワーク インターフェースの IP アドレスを設定する方法を選択します。 • [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ スが自動的に取得されます。 • [ルーターから収集する] - IP アドレスをルーターから取得します。 • [手動設定] — IP アドレスを手動で設定します。 • [IPv6 を無効にする] - このインターフェースでは IPv6 を使用しません。 [IP アドレス] ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。 [デフォルト ル ート] ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され ます (手動設定)。 [MTU] 1 回の転送単位で送信するバイト数を指定された値に制限します。 [IP エイリア ス] IP アドレスのエイリアス リストが表示されます。 • [エイリアスの追加] - エイリアスを追加するウィンドウを開きます。 • [削除] - 選択したエイリアスを削除します。 詳細 ネットワーク インターフェースの詳細機能を設定するタブ。 現在選択されているネットワーク インターフェースがボンディング インターフェースの場合、異なるオプションが表 示されます。 これらのオプションについては、2 つ目の表で説明します。 50 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ネットワーク機能に対するシステム設定 3 表 3-22 詳細 オプショ ン 定義 [メディ ア] ネットワーク インターフェースと一緒に使用する追加メディアを選択できます。 • [自動的に検出する] - アプライアンスのネットワーク環境で使用可能な場合、ネットワーク インタ ーフェースとともに使用するメディアが自動的に検出されます。 • [1000BaseT-FD、1000Base-HD、...]- 選択したメディア項目がネットワーク インターフェース とともに使用されます。 [ブリッジ 有効] 選択すると、Web トラフィックが透過型ブリッジ モードのネットワーク インターフェースからルーテ ィングされます。 • [名前] - 透過型ブリッジの名前が表示されます。 [ボンディ ング有効] 現在選択されているネットワーク インターフェース (たとえば、[eth2]) がボンディングされたインタ ーフェースとして設定され、ボンディング インターフェースに従属します。 • [名前] - ボンディング インターフェースの名前を指定します。 以下の表では、ボンディング インターフェースの選択時に [詳細] タブに表示されるオプションについて説明します。 McAfee Web Gateway 7.6.0 製品ガイド 51 3 システム構成 ネットワーク機能に対するシステム設定 表 3-23 詳細 オプション 定義 [ボンディング ボンディング オプションのオプションが表示されます。 オプション] • [モード] - ボンディング構成のインターフェースでアクティブにするモードを指定します。 • [アクティブ/パッシブ] - ボンディングされた 1 つのインターフェースが常にアクティブに なります。 アクティブなインターフェースで障害が発生した場合にのみ、ボンディングされた別のインタ ーフェースがアクティブになります。 ネットワーク スイッチでの混乱を防ぐため、外部からはボンディング インターフェースの MAC アドレスしか見えません。 一部のシステム メッセージでは、このモードがモード 1 として表示されます。 デフォルトでは、このモードが選択されていません。 • [802.3ad/LACP] - ボンディング構成のすべてのインターフェースがアクティブになりま す。 送信トラフィックのインターフェースは、設定済みのハッシュ ポリシーに従って選択されま す。 一部のシステム メッセージでは、このモードがモード 4 として表示されます。 このモードを選択すると、[LACP レート] オプションと [ハッシュ ポリシー] オプションが使 用可能になります。 • [Miimon] - MII 監視プログラムのポーリング メッセージを送信する間隔 (ミリ秒) を設定し ます。 デフォルトの間隔は 100 ミリ秒です。 • [LACP レート] - 802.3ad モードで LACP-DU データ パケットを送信する場合の転送率を設 定します。 • [低速] - 30 秒間隔でデータ パケットを送信します。 デフォルトでは、この転送率が選択されています。 • [高速] - 1 秒ごとにデータ パケットを送信します。 • [ハッシュ ポリシー] - ボンディング構成のハッシュ値を計算する方法を設定します。 • [レイヤー 2] - ハッシュ値の計算にレイヤー 2 値の組み合わせが使用されます。 この組み 合わせでは、ハードウェアの MAC アドレスとパケット タイプの ID アドレスが使用されま す。 デフォルトでは、このハッシュ ポリシーが選択されています。 • [レイヤー 2 +3] - ハッシュ値の計算にレイヤー 2 とレイヤー 3 のプロトコル情報が使用 されます。 ネットワーク保護設定 ネットワーク保護システム設定は、ネットワークからアプライアンスへのトラフィックの保護ルールを構成するため に使用されます。 ネットワーク保護ルール ネットワーク保護ルールを構成するための設定 52 McAfee Web Gateway 7.6.0 製品ガイド 3 システム構成 ネットワーク機能に対するシステム設定 表 3-24 ネットワーク保護ルール オプション 定義 [ネットワーク保護の 有効化] これが選択されている場合、以下のネットワーク保護で構成されている設定が有効になり ます。 [ポリシーの入力] 受信トラフィックに対して実行されるアクションを選択できます。 受信トラフィックはドロップするか、受け入れることができます。 [Ping リクエストの許 可] これが選択されている場合、アプライアンスは Ping リクエストを受け入れて応答します。 [デフォルト ポリシー からの例外] アプライアンス システムにトラフィックを送信するネットワーク デバイスを入力するた めのリストを提供します。 これらのデバイスからのトラフィックは、現在実装されているルールに従って処理されて いません。これらのルールが受信トラフィックをドロップした場合、ここにリストされて いるデバイスから送信されるトラフィックは受け入れられ、逆の場合も同様になります。 次の表は、デフォルト ポリシーからの例外のリストにあるエントリを示します。 表 3-25 デフォルト ポリシーからの例外 - リスト エントリ オプション 定義 [デバイス] アプライアンスにトラフィックを送信するネットワーク デバイスの名前を指定します。 * の入力、または入力ないことは、すべてのデバイスが対象であることを意味します。 [プロトコル] トラフィックの送信に使用されるプロトコルを指定します。 [ソース] ネットワーク デバイスまたはアプライアンスにトラフィックを送信するデバイスの IP アドレスま たはアドレス範囲を指定します。 [宛先ポート] ネットワーク トラフィックの宛先であるアプライアンスのポートを指定します。 [コメント] 例外に平文テキストのコメントを提供します。 ポート転送設定 [ポート転送] 設定は、アプライアンスが特定のホストの特定のポートから別のポートに送信される Web トラフィッ クを転送できるようにルールを設定するために使用します。 ポート転送 ポート転送ルールを構成するための設定 表 3-26 ポート転送 オプション 定義 [ポート転送ルール] ポート転送ルールのリストを提供します。 次の表では、ポート転送ルールのリストのエントリを説明しています。 表 3-27 ポート転送ルール - リスト エントリ オプション 定義 [送信元ホスト] ポート転送ルール内で Web トラフィックの送信元であるホストの IP アドレスを指定しま す。 [バインド IP] バインド IP アドレスを指定します。 [ターゲット ポート] 送信元ホストからの Web トラフィックが転送される先のポートを指定します。 McAfee Web Gateway 7.6.0 製品ガイド 53 3 システム構成 ネットワーク機能に対するシステム設定 表 3-27 ポート転送ルール - リスト エントリ (続き) オプション 定義 [宛先ホスト] 送信元ホストから送信される Web トラフィックの宛先であるホストの IP アドレスを指定 します。 [宛先ポート] 送信元ホストから受信する Web トラフィックを待機するために使用される宛先ホストのポ ートを指定します。 [コメント] ポート転送ルールに関するテキスト形式のコメントを提供します。 [ポート転送] の設定を続行します。 表 3-28 ポート転送 (続き) オプション 定義 [拡張接続ロギ ポート転送のすべてのログがアプライアンス システムの /var/log/mwg_fwd.log に保存さ ングを有効にす れます。 る] ここで選択したロギング オプションは、設定済みのポート転送ルールで実行されるすべてのポー ト転送に適用されます。 保存されたログ ファイルは、ユーザー インターフェースの [トラブルシューティング] トップレ ベル メニューでも確認できます。 ログ ファイルを表示するアプライアンスを選択して [ログ ファイル] を選択し、[システム] フォ ルダーを開きます。 [拡張ロギング 選択すると、ログに記録するデータ タイプを設定する入力フィールドが使用可能になります。 フィールドをカ スタマイズす る] [成功時に記録] Web トラフィックが正常に転送されたときに記録するデータ タイプを入力します。 1 つ以上のデータ タイプ (PID、HOST、USERID、EXIT、DURATION、TRAFFIC など) を入力 できます。タイプは大文字で入力します。複数のタイプを入力する場合には、カンマで区切りま す。 [失敗時に記録] Web トラフィックの転送に失敗したときに記録するデータ タイプを入力します。 1 つ以上のデータ タイプ (HOST、USERID、ATTEMPT) を入力できます。タイプは大文字で入 力します。複数のタイプを入力する場合には、カンマで区切ります。 HOST データはデフォルトでログに記録されます。 静的ルーティングの設定 [静的ルーティング] の設定は、Web トラフィックがアプライアンスから特定のホストにルーティングされるときに、 同じゲートウェイとこのゲートウェイのインターフェースを常に使用するルートを設定する場合に使用します。 静的ルーティング IPv4 または IPv6 の静的ルーティングの設定 表 3-29 静的ルーティング オプション 定義 [静的ルーティング リスト] IPv4 または IPv6 で Web トラフィックを転送する静的ルーティングのリストが表 示されます。 次の表では、静的ルートのリストのエントリを説明しています。 54 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ネットワーク機能に対するシステム設定 3 表 3-30 静的ルーティング リスト - リスト項目 オプション 定義 [宛先] 静的ルーティングの送信先となるホストの IP アドレスを指定します。ホストのネットマスクを指 定することもできます。 [ゲートウェイ] アプライアンスからホストへ Web トラフィックをルーティングするためのゲートウェイの IP ア ドレスを指定します。 [デバイス] 静的ルートに対してゲートウェイで使用されるインターフェースを指定します。 [説明] 静的ルートのテキスト形式の説明を提供します。 [コメント] 静的ルートのテキスト形式のコメントを提供します。 ソースベースのルーティング IPv4 または IPv6 のソースベースのルーティングの設定 表 3-31 ソースベースのルーティング オプション 定義 [IPv4 でのソースベースのルーティ ング] 選択すると、IPv4 でソースベースのルーティングが実行されます。 [IPv6 でのソースベースのルーティ ング] 選択すると、IPv6 でソースベースのルーティングが実行されます。 [静的ソース ルーティング テーブル 番号] 管理ユーザー インターフェースで送受信されるトラフィックのルーティン グに使用するソース ルーティング テーブルの項目リストが表示されます。 [IPv4 でのソースベースのルーティ ング リスト] 管理ユーザー インターフェースで送受信されるトラフィックのルーティン グに使用するルーティング項目のリストが表示されます。 このルーティング項目は、IPv4 を使用するネットワーク用です。 [IPv6 でのソースベースのルーティ ング リスト] このルーティング項目は、IPv6 を使用するネットワーク用です。 以下の表では、静的ソース ルーティング テーブルのリスト項目について説明します。 表 3-32 静的ソース ルーティング テーブル番号 - リスト項目 オプション 定義 [ルーティング テーブルの検索に 使用するソース情報] 設定済みの静的ソース ルーティング テーブルに従って転送されるトラフィッ クの送信元 IP アドレスが表示されます。 [ルーティング テーブル番号] 管理ユーザー インターフェースで送受信されるトラフィックのルーティング に使用するルーティング テーブルの番号が表示されます。 [コメント] 静的ソース ルーティング テーブルのコメントがテキスト形式で表示されま す。 以下の表では、IPv4 でのソースベースのルーティングのリスト項目について説明します。 表 3-33 IPv4 でのソースベースのルーティング リスト - リスト項目 オプション 定義 [宛先] 管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP アドレス範 囲 (CIDR 形式) が表示されます。 [ルーティング テー 管理ユーザー インターフェースで送受信されるトラフィックのルーティングに使用するルー ブル番号] ティング テーブルの番号が表示されます。 [ゲートウェイ] McAfee Web Gateway 7.6.0 管理ユーザー インターフェースで送受信されるトラフィックが通過するゲートウェイの IP アドレスが表示されます。 製品ガイド 55 3 システム構成 ネットワーク インターフェースのボンディング 表 3-33 IPv4 でのソースベースのルーティング リスト - リスト項目 (続き) オプション 定義 [デバイス] 管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの 名前が表示されます。 [ソース IP] 管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの IP アドレスが表示されます。 このアドレスが、ルーティング テーブルに従って転送されるトラフィックの送信元 IP アドレ スになります。 [コメント] ソースベースのルーティングに関するコメントがテキスト形式で表示されます。 以下の表では、IPv6 でのソースベースのルーティングのリスト項目について説明します。 表 3-34 IPv6 でのソースベースのルーティング リスト - リスト項目 オプション 定義 [宛先] 管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP アドレス範 囲 (CIDR 形式) が表示されます。 [ルーティング テー 管理ユーザー インターフェースで送受信されるトラフィックのルーティングに使用するルー ブル番号] ティング テーブルの番号が表示されます。 [ゲートウェイ] 管理ユーザー インターフェースで送受信されるトラフィックが通過するゲートウェイの IP アドレスが表示されます。 [デバイス] 管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの 名前が表示されます。 [ソース IP] 管理ネットワーク インターフェースとして設定されているネットワーク インターフェースの IP アドレスが表示されます。 このアドレスが、ルーティング テーブルに従って転送されるトラフィックの送信元 IP アドレ スになります。 [コメント] ソースベースのルーティングに関するコメントがテキスト形式で表示されます。 ネットワーク インターフェースのボンディング 2 つ以上のネットワーク インターフェースをボンディングすると、これらの 1 つのインターフェースとして扱うと、 帯域幅を向上し、高可用性を実現できます。 Web Gateway のネットワーク インターフェース (たとえば、[eth2] と [eth3]) をボンディングして、1 つのチャ ネルとして使用できます。 ボンディング カーネル モジュールをこのように作成し、共通のネットワーク インターフ ェースからアクセスできるようにします。このインターフェースをボンディング インターフェースといいます。 ボンディング インターフェースでバインドされたネットワーク インターフェースは、ボンディングされたネットワ ークといいます。 これらのインターフェースは、別々の NIC で提供できます。 ボンディング インターフェースをマスター インターフェース、ボンディングされたインターフェースを下位インタ ーフェースという場合もあります。 一部のシステム メッセージでは、ボンディングされたインターフェースがスレ ーブと表示されることがあります。 関連するコンポーネントとプロセスから見て、ネットワーク インターフェースのボンディングを NIC のボンディン グ、Ethernet ボンディング、チャネル ボンディングという場合もあります。 ネットワーク インターフェースのボンディングは、Web Gateway のユーザー インターフェースで設定できます。 ボンディング インターフェースが正常に設定されているかどうか確認するには、システム コンソールからコマンド を実行します。 56 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ネットワーク インターフェースのボンディング 3 通常のネットワーク インターフェースと同様に、ボンディング インターフェースでも VLAN を設定できます。この 設定を行うには、ユーザー インターフェースの設定オプションを使用します。 ネットワークに透過型ブリッジ モードまたは透過型ルーター モードが設定されている場合、ネットワーク インターフ ェースはボンディングできません。 ネットワーク インターフェースのボンディングを設定する ネットワーク インターフェースのボンディングを設定するには、ボンディング インターフェースを作成して、この インターフェースとボンディング構成のパラメーターを選択します。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ネットワーク インターフェースのボンディングを設定するアプライアンスを選択し、 [ネットワーク インターフェース] をクリックします。 設定ペインに [ネットワーク インターフェース] の設定が表示されます。 3 ボンディング インターフェースを作成します。 a [次のネットワーク インターフェースを有効にする] で、ボンディングされたインターフェースとして実行す るネットワーク インターフェースを選択します (例: [eth2])。 b [詳細設定] タブで [ボンディング有効] を選択し、作成するボンディング インターフェースの名前を [名前] フィールドに入力します (例: bond1)。 このボンディング構成で実行する別のネットワーク インターフェースに手順 a と b を繰り返します。 ボンディングされたインターフェースとして別のネットワーク インターフェースを追加し、3 つ以上のインタ ーフェースからボンディングを構成することもできます。 c [変更の保存] をクリックします。 d ログアウトして再度ログオンします。 ログオン後、新しいボンディング インターフェースが [次のネットワーク インターフェースを有効にする] のリストに表示されます。 4 ボンディング インターフェースのパラメーターを設定します。 a ボンディング インターフェースを選択し、ネットワークで使用するプロトコル バージョンに合わせて [IPv4] または [IPv6] タブをクリックします。 b [手動設定] を選択します。[IP アドレス] に IP アドレスを入力し、[サブネット マスク] にサブネット マス クの値を入力します。 1 つの転送単位での最大バイト数を指定する [MTU] はデフォルト値のまま使用できます。 McAfee Web Gateway 7.6.0 製品ガイド 57 3 システム構成 ネットワーク インターフェースのボンディング 5 ボンディング構成のパラメーターを設定します。 a ボンディング インターフェースを選択して、[詳細設定] タブをクリックします。 b [モード] で、次のいずれかのボンディング モードを選択します。 • [アクティブ/パッシブ] - このモードでは、ボンディング構成で 1 つのインターフェースが常にアクティ ブになります。 アクティブなインターフェースで障害が発生した場合にのみ、ボンディングされた別のイ ンターフェースがアクティブになります。 ネットワーク スイッチでの混乱を防ぐため、外部からはボンディング インターフェースの MAC アドレス しか見えません。 一部のシステム メッセージでは、このモードがモード 1 として表示されます。 デフォルトでは、このモードが選択されていません。 • [802.3ad/LACP] - このモードでは、ボンディング構成のすべてのインターフェースがアクティブにな ります。 送信トラフィックのインターフェースは、設定済みのハッシュ ポリシーに従って選択されます。 一部のシステム メッセージでは、このモードがモード 4 として表示されます。 このモードを選択すると、[LACP レート] オプションと [ハッシュ ポリシー] オプションが使用可能にな ります。 c [Miimon] で、ボンディング インターフェースの監視を設定します。 ここで設定した値により、MII 監視プログラムのポーリング メッセージを送信する間隔 (ミリ秒) が設定され ます。 デフォルトの間隔は 100 ミリ秒です。 d ボンディング モードで [802.3ad/LACP] を選択した場合には、このモード固有のオプションを選択します。 [LACP レート] で、ボンディング構成内での LACP-DU データ パケットの転送率を選択します。 • [低速] - この転送率を選択すると、30 秒間隔でデータ パケットが送信されます。 デフォルトでは、この転送率が選択されています。 • [高速] - この転送率を選択すると、1 秒ごとにデータ パケットが送信されます。 [ハッシュ ポリシー] で、次のいずれかのオプションを選択します。 • [レイヤー 2] - このポリシーでは、ハッシュ値の計算にレイヤー 2 値の組み合わせが使用されます。 こ の組み合わせでは、ハードウェアの MAC アドレスとパケット タイプの ID アドレスが使用されます。 デフォルトでは、このハッシュ ポリシーが選択されています。 • 6 [レイヤー 2 +3] - このポリシーでは、ハッシュ値の計算にレイヤー 2 とレイヤー 3 のプロトコル情報 が使用されます。 [変更の保存] をクリックします。 関連トピック: 48 ページの「ネットワーク インターフェースの設定」 58 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ネットワーク インターフェースのボンディング 3 ボンディング構成の確認 ボンディング ネットワーク インターフェースが正しく設定されているかどうかをシステム コンソールから確認す ることができます。 設定したパラメーターでボンディング構成が稼動しているかどうか確認するには、適切なネットワーク スクリプトを 使用します。 ボンディング インターフェースとボンディングされたネットワーク インターフェースの状態は、コマ ンドでも確認できます。 構成パラメーターの確認 ifcfg ネットワーク スクリプトを使用すると、設定したパラメーター (ボンディング モード、ボンディング インタ ーフェースの IP アドレスなど) でボンディング構成のネットワーク インターフェースが動作しているかどうか確認 できます。 ボンディング インターフェース (例: bond 1) のパラメーターを表示するには、次のコマンドを使用してネットワ ーク スクリプトを実行します。 cat /etc/sysconfig/network-scripts/ifcfg-bond1 次のような行が戻されます。 ### BEGIN AUTOGENERATED CONFIG BONDING_OPTS:='mode=1 miimon=600' BOOTPROTO='none' DEVICE='bond1' IPADDR='10.11.12.12' ... ボンディングされたインターフェース (例: eth2 1) のパラメーターを表示するには、次のコマンドを実行します。 cat /etc/sysconfig/network-scripts/ifcfg-bond1 次のような行が戻されます。 ### BEGIN AUTOGENERATED CONFIG BOOTPROTO='none' MASTER='bond1' SLAVE:'yes' DEVICE='eth2' ... ネットワーク インターフェースの状態確認 ボンディングされたネットワークがボンディング ネットワークで正しく動作しているかどうか確認できます。また、 ボンディングされたインターフェースの中で現在アクティブ (スレーブ) なインターフェースの状態も確認できま す。 次のコマンドを実行してください (ボンディング インターフェースを bond1 とします): cat /proc/net/bonding/bond1 次のような行が戻されます。 ### Ethernet Channel Bonding Driver: v. 3.7.1 (April 27, 2015) Bonding Mode: fault-tolerance (active-backup) Primary Slave: None MII Status: up MII Polling Interval (ms): 600 Up Delay (ms): 0 Down Delay (ms): 0 Slave Interface: eth2 MII Status: up Speed: 1000 Mbps Duplex: full Link Failure Count: 0 Permanent HW Addr: 00:0c:29:e0:a7:37 Slave Queue ID: 0 Slave Interface: eth3 MII Status: up ... McAfee Web Gateway 7.6.0 製品ガイド 59 3 システム構成 ソースベースのルーティング ソースベースのルーティング ネットワークのトラフィック ルーティングを設定するときに、送信元の IP アドレスに基づいてルーティングを行う ように設定できます。 このルーティング方法をソースベースのルーティングといいます。 この方法を使用すると、管理者が Web Gateway アプライアンスのユーザー インターフェースにアクセスするとき に発生した管理トラフィックと、管理者またはエンドユーザーが Web にアクセスするときに発生したトラフィック を分離できます。 この 2 種類のトラフィックは、それぞれ別のファイアウォールで保護できます。 この方法を実装するには、アプライアンスの特定のネットワーク インターフェースを経由した場合のみ、管理者にユ ーザー インターフェースに対するアクセスを許可する必要があります。 このネットワーク インターフェースが管 理ネットワーク インターフェースとなり、他のネットワーク インターフェースは Web へのアクセス用に設定され ます。 また、監視情報 (SNMP メッセージなど) が管理ネットワーク インターフェース経由でアプライアンスに送信される ように設定することもできます。 管理インターフェースを通過したトラフィックを送信元の IP アドレスに従ってさらにルーティングすることができ ます。このアドレスが管理インターフェースのアドレスになります。 このトラフィック ルーティングを設定するには、次の 2 つの手順を行う必要があります。 • ルーティング テーブルの設定 • このテーブル内でのルートの設定 送信元の IP アドレスは両方の手順で指定します。これにより、このアドレスから送信されたトラフィックが特定の テーブルとルートに従ってルーティングされます。 別のルーティング テーブルを設定して、Web Gateway のリストに入力し、各テーブルに別のルートを設定するこ ともできます。 ネットワークで使用されているプロトコルのバージョンに応じて、IPv4 または IPv6 で使用するルートを設定でき ます。 管理ネットワーク インターフェースにソースベースのルーティングを設定する 管理ネットワーク インターフェースからのトラフィックを他のトラフィックと分離するには、ソースベースのルーテ ィングを設定します。 タスク 60 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ソースベースのルーティングを設定するアプライアンスを選択します。 3 管理ネットワーク インターフェースの使用方法を設定し、ユーザー インターフェースに対する管理者アクセスを 定義します。 a [ユーザー インターフェース] をクリックします。 b [HTTP コネクター] で次の操作を行います。 • [HTTP でローカル ユーザー インターフェースを有効にする] が選択されていることを確認します。 • [HTTP コネクター] フィールドに、管理ネットワーク インターフェースの IP アドレスとリスナー ポート を入力します。 McAfee Web Gateway 7.6.0 製品ガイド 3 システム構成 ソースベースのルーティング 4 SNMP メッセージ用に管理ネットワーク インターフェースを設定します。 a [SNMP] をクリックします。 b [SNMP ポート設定] で、[リスナー アドレス リスト]のツールバーにある [追加] アイコンをクリックします。 [SNMP リスナーの追加] ウィンドウが開きます。 c [リスナー アドレス] フィールドに、管理ネットワーク インターフェースの IP アドレスとリスナー ポートを 入力します。 d [OK] をクリックします。 ウィンドウが閉じて、リストにリスナー アドレスが表示されます。 5 管理ユーザー インターフェースで送受信されるトラフィックにソースベースのルーティングを設定します。 a [静的ルーティング] をクリックします。 b [ソースベースのルーティング] で、ネットワークで使用されている IP バージョンに応じて [IPv4 でのソー スベースのルーティング] または [IPv6 でのソースベースのルーティング] を選択します。 ソースベースのルーティングを設定する 2 つのリストが表示されます。 c [静的ソース ルーティング テーブル番号] リストのツールバーで [追加] アイコンをクリックします。 [ApplianceSourceBasedRoutingTable の追加] ウィンドウが開きます。 d e 次のようにルーティング テーブルの項目を設定します。 • [ルーティング テーブルの検索に使用するソース情報] フィールドに、管理ネットワーク インターフェー スの IP アドレスを入力します。 • [ルーティング テーブル番号] フィールドに、管理ネットワーク インターフェースで送受信されるトラフ ィックに使用するルーティング テーブルの番号を入力します。 [OK] をクリックします。 ウィンドウが閉じて、リストにルーティング テーブルの項目が表示されます。 f [IPv4 でのソースベースのルーティング リスト] (または IPv6 用のリスト) のツールバーで [追加] アイコ ンをクリックします。 [ApplianceSourceBasedRoutingIPv4 の追加] ウィンドウ (または IPv6 用のウィンドウ) が開きます。 g 次のようにルーティング項目を設定します。 • [宛先] フィールドに、管理ネットワーク インターフェース経由で送信されるトラフィックの宛先の IP ア ドレス範囲を CIDR 形式で入力します。 • [ルーティング テーブル番号] フィールドに、管理ネットワーク インターフェースで送受信されるトラフ ィックに使用するルーティング テーブルの番号を入力します。 • [ゲートウェイ] フィールドに、管理ユーザー インターフェースで送受信されるトラフィックが通過するゲ ートウェイの IP アドレスを入力します。 McAfee Web Gateway 7.6.0 製品ガイド 61 3 システム構成 システム ファイル h • [デバイス] フィールドに、管理ネットワーク インターフェースとして設定するネットワーク インターフ ェースの名前を入力します。 • [送信元 IP] フィールドに、管理ネットワーク インターフェースとして設定するネットワーク インターフ ェースの IP アドレスを入力します。 [OK] をクリックします。 ウィンドウが閉じて、リストにルーティング項目が表示されます。 6 [変更の保存] をクリックします。 関連トピック: 54 ページの「静的ルーティングの設定」 システム ファイル システム ファイルには、アプライアンス システムの機能に対する設定が含まれます。これらの設定は、ファイル エ ディターを使用して編集できます。 システム ファイルに保存される設定には、IP アドレス、最大メッセージ サイズ、キューに入れることのできる最大 メッセージ数など、ネットワーク通信用にアプライアンス システムが使用するパラメーターの設定が含まれます。 ログやアクセス制限など、アプライアンス システムの機能を構成するには、他の設定が使用されます。 システム ファイルの例は /etc/hosts ファイルで、IP アドレスとホスト名のエントリ(アプライアンス自体のロ ーカル IP アドレスとホスト名を含む)が含まれます。 ユーザー インターフェースのタブからアクセスできるファイル エディターでは、これらのファイル内の設定を編集 できます。 システム ファイルを編集するために、ファイル エディターのみを使用します。ファイル エディターの外部でこれらの ファイルを開いて手動で編集する場合、変更したものは Web Gateway の新しいバージョンへのアップグレードが行 われるときに上書きされます。 関連トピック: 63 ページの「ファイル エディター タブ」 62 McAfee Web Gateway 7.6.0 製品ガイド システム構成 ファイル エディター タブ 3 ファイル エディター タブ [ファイルエディター]タブは、アプライアンスのシステム ファイルの編集を可能にします。 ファイル エディター タブの主要要素 以下の表で、[ファイル エディター]タブの主要要素について説明します。 表 3-35 ファイル エディター タブの主要要素 要素 説明 [ファイル] 各アプライアンスのシステム設定を含むアプライアンスのツリー構造 [エディター ] システム ファイルを編集するための項目、およびファイル エントリ を表示するためのコンテンツ ペインがあるツールバー ([ファイル]でシステム ファイルが選択さ れているときに表示される) エディター ツールバー エディター ツールバーには、次のオプションがあります。 McAfee Web Gateway 7.6.0 製品ガイド 63 3 システム構成 キャッシュ ボリュームのサイズ変更 表 3-36 ファイル エディター ツールバー オプション 定義 [編集] システム ファイル エントリのテキストを編集するためのオプションがあるメニュ-を開きます。 • [切り取り] — 選択されたテキストを切り 取ります • [削除] — 選択されているテキストを削除 します • [コピー] — 選択されているテキストをコ ピーします • [すべて選択] — テキスト全体を選択しま す • [貼り付け] — コピーまたは切り取られた テキストを貼り付けます。 [変更を破棄] テキストの変更を破棄します。 ウィンドウが開き、破棄の確認が行われます。 キャッシュ ボリュームのサイズ変更 ウィザードを使用すると、アプライアンスで Web キャッシュに使用する論理ボリュームと、一時ファイルとログ フ ァイルを保存する論理ボリュームのサイズを変更できます。 アプライアンスに Web Gateway をインストールすると、一時ファイルやログ ファイルを保存する論理ボリューム よりも、Web キャッシュ用の論理ボリュームのほうが大きくなります。アプライアンスのボリューム ウィザードを 使用すると、このサイズを変更し、一時ファイルとログ ファイルを保存するディスク容量を増やすことができます。 ウィザードのページで、ボリューム サイズは GiB で表示されます。たとえば、サイズ変更前のサイズは次のように なります。 • Web キャッシュ ボリューム:197 GiB • 一時ファイルとログ ファイルのボリューム:40 GiB サイズ変更後は、次のようにサイズが逆になります。 • Web キャッシュ ボリューム:40 GiB • 一時ファイルとログ ファイルのボリューム:197 GiB 初めて Web Gateway アプライアンスをセットアップするときに、ウィザードに従ってサイズを変更することがで きます。設定ウィザードでシステムの初期設定を行った後でアプライアンスを再起動すると、ウィザードが表示され ます。 ウィザードのプロセスを中断した場合、システム コンソールのコマンドラインから次のコマンドを実行すると、プロ セスを再開することができます。 mwg-cache-wizard yum upgrade コマンドでアプライアンスがセットアップされている場合には、ウィザードを手動で開始する必要が あります。 ウィザードの処理はメインのログに記録されます。このログのパスとファイル名は /var/log/ resize-cache.log です。 アプライアンスでサイズの変更をすでに実行している場合には、対応するメッセージがウィザードに表示されます。 アプライアンスのボリューム サイズをさらに変更する必要がある場合には、McAfee サポートに連絡してください。 64 McAfee Web Gateway 7.6.0 製品ガイド システム構成 データベースの更新 3 データベースの更新 フィルタリング プロセスに使用される、外部データベースから取得される情報は、適宜、更新が必要です。 Web オブジェクトはアプライアンスでルールベースのプロセスに基づいてフィルタリングされます。フィルタリン グ ルールは、オブジェクトへのアクセスをブロックするまたは許可するなどのアクションをトリガーする前にこれら のオブジェクトの情報が必要です。それらは、特別なモジュール(エンジンとも呼ばれる)のこの情報に依存します。 例えば、ウイルスおよびマルウェア フィルタリング ルールは、オブジェクトがウイルスに感染しているか、または URL カテゴリ情報の URL フィルター モジュール(モジュール)に URL フィルタリング ルールが依存しているかを 調べるために、マルウェア対策モジュール(エンジン)に依存します。 モジュールはこの情報、例えば DAT ファイルに保管されているウイルス シグネチャなどを外部データベースから取 得します。アプライアンスでのデータベースの更新は、この情報に適用されます。 アプライアンスのデータベース情報は、さまざまな方法を使用して、更新できます。 • 手動エンジン更新 — 現在ログオンしているアプライアンスのモジュールのデータベース情報は手動で更新でき ます。 • 自動エンジン更新 — また、現在ログオンしているアプライアンスのモジュールを定期的に自動更新するように構 成することもできます。 これらの更新で情報を取得できます。 • インターネットから — 情報は関連する外部データベースからダウンロードされます。 データベース情報はアプライアンスの初期セットアップの後、この方法で直ちに初めて更新されます。 • 集中管理構成のその他のノードから — 情報はこれらのノードからダウンロードされます。すべてのノード は、そのノードからその他のノードへの情報のアップロードが許可されるかどうかに関わらず、同様に構成で きます。 集中管理構成をセット アップするとこれらの更新を構成し、自動更新に関する動作方法を各ノードに対し、 指定できます。 データベース情報の手動更新 アプライアンスのモジュールに対して、データベース情報を手動で更新することができます。 更新は、ログオンしたアプライアンスのモジュールと、集中管理構成でノードとして含めた他のアプライアンスのモ ジュールに適用されます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツールバーで、[手動エンジン更新]をクリックします。 更新が実行されます。 自動エンジン更新のスケジュール アプライアンスのモジュールに対して、データベース情報の自動更新をスケジュールすることができます。 集中管理構成でノードとして複数のアプライアンスを実行している場合、この構成に対する設定を構成する一環とし て、これらのノードのモジュール(エンジンとも呼ばれる)に対して更新をスケジュールできます。 McAfee Web Gateway 7.6.0 製品ガイド 65 3 システム構成 閉鎖されたネットワークの更新 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、自動更新をスケジュールするアプライアンスを選択し、[集中管理]をクリックします。 3 [自動エンジン更新]まで下にスクロールし、必要に応じて更新設定を構成します。 4 [変更の保存]をクリックします。 閉鎖されたネットワークの更新 Web Gateway アプライアンスは、セキュリティまたはその他の理由でインターネット接続がないネットワークで操 作でき、更新できます。これらのネットワークは「閉鎖された」または「隔絶された」ネットワークとも呼ばれます。 これらのネットワークで実行されるアプライアンスで更新が必要な場合には、通常の McAfee のアップデート サー バーに接続できません。代わりにオフラインの更新手順を実行する必要があります。 McAfee ポータルからこの目的の更新パッケージを選択し、ダウンロードして、それをポータブル メディアに保管 し、メディアを使用して閉鎖されたネットワークの 1 個以上のアプライアンスに更新パッケージを適用することがで きます。 更新パッケージにはモジュール(エンジン)の更新情報とアプライアンスのフィルタリングに使用されるマルウェア のパターンが含まれます。ポータルには完全な更新(差分更新ではなく)のみを行うことができます。 ポータルに入った後で、更新するアプライアンスの Web Gateway のバージョン ナンバーを送信する必要がありま す。その後更新情報が現在利用できる機能のリストが示されます。 選択に従って、更新に必要なすべてのファイルを含む更新パッケージの zip 形式が作成され、ダウンロードできま す。 閉鎖ネットワークのアプライアンスの更新 インターネット接続なしでネットワークのアプライアンスを更新するために、更新パッケージをダウンロードし、ポ ータブル メディアに保管して、メディアを使用して更新を実行します。 タスク 1 更新パッケージをダウンロードします。 a ブラウザーを使用して、Content & Cloud Security の更新ページに進みます。 https://contentsecurity.mcafee.com/update b 更新ページで、更新するアプライアンスのバージョン ナンバーを入力します。 更新された情報を表示できる機能のリスト。 c 更新する機能を選択します。 選択内容に従って、更新パッケージが作成されます。 d 2 66 更新パッケージをシステムにダウンロードします。 USB ドライブなどのポータブル メディアを使用して、ダウンロードしたシステムから閉鎖ネットワークの管理シ ステムに更新パッケージを転送します。 McAfee Web Gateway 7.6.0 製品ガイド システム構成 閉鎖されたネットワークの更新 3 3 閉鎖ネットワークで更新する各アプライアンスで次の操作を実行します。 a [構成] 、 [アプライアンス] の順に選択します。 b [エンジンの更新] をクリックして、[更新ファイルのアップロード] を選択します。 [ファイルのアップロードによるエンジンの更新] ウィンドウが開きます。 c [参照] をクリックして、管理システムで更新パッケージを保存した場所に移動し、更新パッケージ ファイル を選択します。 d [更新] をクリックします。 アプライアンスは、更新パッケージから情報を使用して更新されます。 e [閉じる] をクリックして、ウィンドウを閉じます。 McAfee Web Gateway 7.6.0 製品ガイド 67 3 システム構成 閉鎖されたネットワークの更新 68 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ アプライアンスは Web トラフィックをインターセプトし、フィルタリング ルールが拒否する場合にそれを転送する ためにそのプロキシ機能を使用します。ネットワークの要件に対応するように、これらの機能を構成することが可能 です。 プロキシのキー設定は次の通りです。 • ネットワーク モード — 明示的プロキシ モードまたは透過的モード 特定の設定は、これらの各モードに対して構成できます。 • ネットワーク プロトコル — HTTP、HTTPS、FTP、ICAP、およびインスタント メッセージング プロトコル プロトコル設定は、各ネットワーク モードに対して設定できる共通のプロキシ設定です。 その他の共通プロキシ設定を構成し、リバース HTTPS プロキシまたはプロキシ自動構成など、特別なプロキシ ソリ ューションも実装します。 目次 プロキシの構成 明示的プロキシ モード ベスト プラクティス - プロキシ HA モードの設定 ベスト プラクティス - 高可用性構成でのサイズ制限 ベスト プラクティス - WCCP での明示的プロキシ モードの設定 透過型ルーター モード 透過型ブリッジ モード パケット サイズの処理 セキュア ICAP SOCKS プロキシ インスタント メッセージング XMPP プロキシ 共通のプロキシ設定の構成 プロキシ設定 送信元 IP アドレスの制御 WCCP による FTP トラフィックのリダイレクト FTP ログオンでの Raptor 構文の使用 ノード通信プロトコル ドメインに応じた DNS サーバーの使用 DXL メッセージによる Web セキュリティ情報の交換 ベスト プラクティス - user-agent ヘッダーの使い方 Office 365 と他の Microsoft サービスのバイパス リバース HTTPS プロキシ プロキシ自動構成 Helix プロキシの使用 McAfee Web Gateway 7.6.0 製品ガイド 69 4 プロキシ プロキシの構成 プロキシの構成 アプライアンスのプロキシ機能を、ネットワークに適切なように構成できます。 以下の高レベル手順を完了します。 タスク 1 プロキシ設定を確認します。 以下のキー設定は、デフォルトで構成されます。 2 • ネットワーク モード:明示的プロキシ • ネットワーク プロトコル:HTTP 必要に応じて、これらの設定を変更します。 たとえば、以下の操作を実行できます。 • 異なるネットワーク モードを構成します。 以下のいずれかを選択します。 • • 高可用性機能の明示的プロキシ モード • 透過型ルーター モード • 透過型ブリッジ モード 異なるネットワーク プロトコルを構成します。 以下のうち 1 つ以上を HTTP(またはそれらを追加するか HTTP を無効にする)に追加できます。 • • HTTPS • FTP • IFP • ICAP • インスタント メッセージ プロトコル:Yahoo、ICQ、Windows Live Messenger、XMPP(Jabber およ びその他サービス用) タイムアウトまたはクライアント接続の最大数など、他のプロキシ設定を変更します。 3 リバース HTTPS プロキシまたはプロキシ自動構成など、必要な場合特別なプロキシ ソリューションを構成しま す。 4 変更を保存します。 明示的プロキシ モード 明示的なプロキシ モードで、アプライアンスによりフィルタリングされる Web トラフィックをもつクライアント は、それらが接続されていることを「知っています」。明示的にそれらを構成して、Web トラフィックをアプライア ンスに仕向けるようにする必要があります。 これが保証される場合、アプライアンスがネットワーク内で配備される場所はあまり重要ではありません。一般的に、 これはファイアウォールの背後に置かれ、ルーター経由でクライアントとファイアウォールに接続されます。 70 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 明示的プロキシ モード 4 以下のダイアグラムは、明示的プロキシ モードでの構成を表示します。 図 4-1 明示的プロキシ モード 明示的プロキシ モードの構成 明示的プロキシ モードでアプライアンスのプロキシ機能を構成でき、これはこれらの機能のデフォルト モードです。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、明示的プロキシ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、 FTP、ICAP、および IM)]をクリックします。 3 [ネットワークのセットアップ]の下で、明示的プロキシ モードのオプション 2 つのうち 1 つを選択します。 • [プロキシ] — これは、明示的プロキシ モードです。 これはデフォルトのプロキシ モードです。 これが選択されると、明示的プロキシ モードの透過機能を構成する特定の設定は、[ネットワーク セットアッ プ]設定の下に表示されます。 • [プロキシ HA] — 高可用性機能の明示的プロキシ モード用 このオプションを選択した後で、特定の[プロキシ HA] 設定が[ネットワーク設定]の設定の下に表示されま す。 4 必要に応じて、選択されたオプションに対して特定または共通の設定を構成します。 5 [変更の保存]をクリックします。 関連トピック: 101 ページの「パケット サイズの処理」 78 ページの「ベスト プラクティス - プロキシ HA モードの設定」 72 ページの「透過型プロキシ設定」 77 ページの「プロキシ HA 設定」 110 ページの「プロキシ設定」 McAfee Web Gateway 7.6.0 製品ガイド 71 4 プロキシ 明示的プロキシ モード 透過型プロキシ設定 透過型プロキシ設定は、明示的なプロキシ モードの透過型機能を構成するために使用されます。 透過型プロキシ 透過型機能をもつ明示的なプロキシ モードの設定 表 4-1 透過型プロキシ オプション 定義 [サポートされている クライアントのリダ イレクション方法] Web トラフィックのインターセプトとそれをアプライアンスに仕向ける方法を提供しま す。 • [WCCP] — これが選択されると、追加ネットワーク デバイスによりインターセプトさ れ、WCCP プロトコルを使用してアプライアンスに仕向けられる IPv4 プロトコルの下 で HTTP クライアント要求が Web サーバーに送信されます。 クライアントはリダイレクションを認識せずに、引き続き透過的になります。 クライアント要求に対して同様の方法で、Web サーバーからの応答はアプライアンスに 戻されます。 WCCP リダイレクションの方法を使用する場合は、リダイレクションが実行できるよう に、1 つまたは複数の WCCP サービスをアプライアンス上で構成する必要があります。 クライアント要求とサーバー応答をインターセプトするネットワーク デバイスを構成す る必要もあります。このデバイスは、ルーティング機能によりルーターまたはスイッチと して構成できます。 このオプションを選択した後で、[WCCP サービス] インライン リストが WCCP サービ スを設定し、追加するために表示されます。 • [L2 透過型] — これが選択されると、クライアント要求は IPv4 の下で Web サーバーに 送信され、IPv5 プロトコルは追加ネットワーク デバイスによりインターセプトされ、 Layer 2 リダイレクション方法を使用してアプライアンスに仕向けられます。 この方法の下で、宛先アドレスがアプライアンスのアドレスでない場合でも、クライアン ト要求はアプライアンスで受け付けられます。リダイレクションはクライアントに対し て「透過型」となります。 インターセプトされ、アプライアンスのリストにリダイレクトされるクライアント要求の 元のポートを、これらの要求がリダイレクトされるポートと共に入力する必要がありま す。 追加のネットワーク デバイスを適宜、構成する必要があります。 このオプションが選択されると、要求はアクティブな FTP モードの接続を使用して層御 進できません。パッシブ FTP モードのみが利用できます。 このオプションを選択した後で、[ポート転送] インライン リストがポート入力のために 表示されます。 次の 2 つの表では、WCCP サービスとポート転送のリストのエントリーを説明しています。 表 4-2 WCCP サービス ― リスト エントリー オプション 定義 [サービス ID] Web トラフィックを WCCP プロトコル下のアプライアンスに仕向けるサービスを識別しま す。 [WCCP ルーター 定義] Web トラフィックを WCCP サービスを使用してアプライアンスにリダイレクトするマルチキ ャスト IP アドレスと DNS 名(またはルーティング機能を備えたスイッチ)を指定します。 ここで複数のルーターを、それぞれのエントリーをカンマで区切って構成することができます。 72 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 明示的プロキシ モード 4 表 4-2 WCCP サービス ― リスト エントリー (続き) オプション 定義 [リダイレクトす るポート] データ パケットがリダイレクトする宛先アドレスにもっていなければならない Web サーバー のポートのリストを示します。 ここで最大 8 個のポートを、カンマで区切って、指定できます。 [リダイレクトす リダイレクトするポートが元のポートであるかどうかを指定します。 るポートは、元の WCCP サービスを構成する場合、Web サーバーからアプライアンスへの応答をリダイレクトす ポートです] るためにサービスが使用されるときには、このオプションを選択する必要があります。 [プロキシ リスナ ー IP アドレス] クライアント要求に応じる場合にアプライアンスの IP アドレスを指定します。 [プロキシ リスナ ー ポート] クライアント要求をリスンするためのポートを指定します。 [MD5 認証キー] 制御データ パケットを署名し、検証するための MD5 アルゴリズム下で使用されるパスワード を設定します。 デフォルトのポート番号は 9090 です。 [設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。 パスワードは最大 8 文字です。 割り当て方法 主要項目はこのリストには表示されませんが、 [追加]および[編集]ウィンドウでは表示され ます。以下の 2 つの要素がそれに関係し、割り当て方法を指定します。 • [マスクで割り当て] ― 選択すると、送信元または宛先の IP アドレスのマスキングは負荷分 散に使用されます。 • [ハッシュで割り当て] — 選択すると、上記で指定されたハッシュ アルゴリズムが負荷分散 に使用されます。 McAfee Web Gateway 7.6.0 製品ガイド 73 4 プロキシ 明示的プロキシ モード 表 4-2 WCCP サービス ― リスト エントリー (続き) オプション 定義 負荷分散のための 主要アイテムはこのリストには表示されませんが、 [追加]および[編集]ウィンドウでは表示 入力 されます。以下の要素がそれに関係しており、負荷分散の基準としてデータ パケットで使用さ れているものを指定します。 マスクまたはハッシュのいずれによる割り当てを選択したかに応じて、異なる要素が提供され ます。 複数のアプライアンスを実行するときに、負荷分散はそれらのプロキシに対して構成すること ができます。データ パケットは、送信元または宛先 IP アドレスおよびポート番号に基づいて これらのプロキシに分散できます。 送信元または宛先 IP アドレスを負荷分散に使用する場合は、マスクしたり、ハッシュ アルゴ リズムを適用したりすることができます。割り当て方法のオプションを参照してください。 送信元または宛先ポートを使用する場合は、ハッシュ アルゴリズム法のみを選択できます。 マスクによる割り当ての負荷分散オプション: • [ソース IP マスク] — ソース IP アドレスのマスクを指定します。 デフォルトのマスク値は 0x15 です。 • [宛先 IP マスク] — 宛先 IP アドレスのマスクを指定します。 デフォルトのマスク値は 0x15 です。 マスクの最大長は 4 桁です。例: 0xa000。 両方のマスクではともに、6 ビットを最大値として設定できます。 マスクを 0x0 に設定すると、負荷分散に対する影響はなくなります。 たとえば、負荷分散に発信元 IP アドレスのみを使用する場合、この値を宛先 IP アドレスのマ スクに設定する必要があります。 ハッシュによる割り当ての負荷分散オプション: • [送信元 IP] — 選択すると、負荷分散は送信元 IP アドレスに基づきます。 • [宛先 IP] — 選択すると、負荷分散は宛先 IP アドレスに基づきます。 • [送信元ポート] — 選択すると、負荷分散は送信元のポート番号に基づきます。 • [ 宛先ポート] — 選択すると、負荷分散は 宛先のポート番号に基づきます。 クライアント要求を処理するために 1 つの WCCP サービスを構成し、さらに Web サーバー応 答を処理するために別のサービスを構成する場合は、"crosswise" の対応する方法で[送信元 IP]および[宛先 IP]を選択する必要があります。 これは、クライアント要求サービスに [発信元 IP]を選択すると、Web サーバーの応答サービ スに [宛先 IP] を選択する必要があることを意味しています。Web サーバーの応答サービス に[発信元 IP] を選択すると、クライアント要求サービスに [宛先 IP] を選択する必要がありま す。 [発信元ポート]および[宛先ポート]を選択すると、同じものが適用されます。 [割り当ての加重] プロキシに割り当てられる負荷の大きさを判別する値を設定します。 この値を使用して、他のものよりも大きな CPU 容量をもつアプライアンスのプロキシにより大 きな負荷を割り当てることができます。0 はプロキシに負荷を分散しないことを意味します。 74 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 明示的プロキシ モード 4 表 4-2 WCCP サービス ― リスト エントリー (続き) オプション 定義 転送方法 主要項目はこのリストには表示されませんが、 [追加]および[編集]ウィンドウでは表示され ます。以下の 2 つの要素がそれに関係し、転送方式を指定します。 • [GRE-カプセル化] — これを選択すると、データ パケットは、リダイレクトされる前に、ル ーターによりカプセル化されます • [L2-ローカル NIC の書き換え] — これを選択すると、データ パケットは(Web サーバーへ のルート上で)次のデバイスの MAC アドレスをアプライアンスの MAC アドレスで置換する ことによりアプライアンスにリダイレクトされます [L2-リダイレクト データ パケットがリダイレクトするアプライアンスのネットワーク インターフェースを指定 ターゲット] します。 [マジック (マス ク割り当て)] アプライアンスがルーターに送信するマスクの未知のフィールドを設定できます。 [コメント] WCCP サービスの平文テキストのコメントを提供します。 この設定は、ルーターに使用される、さまざまなバージョンのベンダーのオペレーティング シ ステムとの互換性を確保する必要があります。 表 4-3 ポート転送 - リスト エントリー オプション 定義 [元の宛先ポート] クライアント要求に属するデータ パケットが最初に送信されるポートを指定します。 [宛先プロキシ ポート] データ パケットがリダイレクトされるポートを指定します。 [コメント] ポート転送に関するテキスト形式のコメントを提供します。 高度な送信接続設定 アプライアンスのネットワーク環境の要件である Web サーバーに送信されるクライアント要求に含まれる情報の処 理方法を指定する設定 McAfee Web Gateway 7.6.0 製品ガイド 75 4 プロキシ 明示的プロキシ モード 表 4-4 高度な送信接続設定 オプション 定義 [IP スプーフィング これを選択すると、アプライアンスはクライアント要求にソース アドレスとして含まれ (HTTP、HTTPS、FTP)] ているクライアント IP アドレスを維持し、それを種々のプロトコルの下で要求された Web サーバーとの通信に使用できます。 WCCP サーバーが Web トラフィックをインターセプトし、それをアプライアンスに仕 向けるために使用されるとき、クライアント要求をリスンするアプライアンスの各ポー トに対して 2 つのサービスを構成する必要があります。クライアントからくる要求に対 して 1 つ、Web サーバーにより送信される要求に対して 1 つです。 このオプションが選択されていないとき、アプライアンスは送信元ポートを選択し、こ の通信でそれを使用します。 • [明示的なプロキシ接続のための IP スプーフィング] — これが選択されると、クライ アント アドレスは明示的なプロキシ モードに維持され、Web トラフィックは追加デ バイスによりインターセプトされません。 • [IP スプーフィングのクライアントと同じ送信元ポートを使用する] — これが選択さ れると、クライアントの Web サーバーとの通信のための送信元アドレスに加えて、ク ライアントの送信元ポートが使用されます。 このオプションが選択されていないとき、アプライアンスはランダムな送信元ポート を選択し、この通信でそれを使用します。 [HTTP:ホスト ヘッダー 選択すると、要求された Web サーバーとの通信のために HTTP プロトコルの下でクラ は、元の宛先アドレス(透 イアント要求にホスト ヘッダーとして含まれている宛先アドレスが使用されます。 過型プロキシ)よりも優 透過型プロキシ構成では、クライアント要求を転送するために接続を供給するため、Web 先順位があります] サーバーとの通信で TCP プロトコルの下で指定される宛先アドレスを使用することも できます。このアドレスは、元のの宛先アドレスとしても知られています。 クライアント要求をインターセプトするアプライアンスの透過型プロキシ、または要求 をインターセプトしてアプライアンスにリダイレクトする WCCP サービスに対して、両 方の通信方法を使用できます。 HOST ヘッダーの宛先アドレスを使用するのはよい方法ですが、一部の構成では、Web サーバーとの通信のため、このオプションの選択を解除して、元の宛先アドレスを使用 することが必要である可能性があります。 • Web トラフィックは実行中の透過型プロキシの複数のアプライアンスで処理されて おり、宛先のアドレスに従ってクライアント要求がルーティングされる場合、Web サ ーバーに接続すると、プロキシで元の宛先 ID アドレスを使用できる必要があります。 • これは、WCCP サービスがクライアント要求をインターセプトし、負荷分散のために 宛先アドレスを使用して複数のアプリケーションにそれらをリダイレクトする場合に も適用されます。 IP スプーフィングのサンプル WCCP サービス設定 IP スプーフィングをもつ WCCP サービスを構成するためのサンプル設定 IP スプーフィングを実行する場合のみ、これらの設定を構成します。通常は、WCCP プロトコルの下でアプライアン スに Web トラフィックをリダイレクトするために 2 つのサービスを構成する必要はありません。 Web トラフィックをインターセプトし、それをアプライアンスに仕向ける WCCP サービスをもつ構成で IP スプー フィングを使用できます。この場合、リスンするアプライアンスのすべてのポートに対して 2 つのサービスを構成す る必要があります。 クライアントからの要求に対して 1 つのサービス、Web サーバーにより送信される要求の応答に対してもう 1 つの サービスです。 以下の表は、これらのサービスのサンプル パラメーター値を示しています。 76 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 明示的プロキシ モード 4 表 4-5 IP スプーフィングで構成された 2 つの WCCP サービスのサンプル パラメーター値 オプション クライアント要求のサービス Web サーバー応答のサービス [サービス ID] 51 52 [WCCP ルーター定義] 10.150.107.254 10.150.107.254 [リダイレクトするポート] 80, 443 80, 443 [リダイレクトするポート は、元のポートです] false true [プロキシ リスナー IP ア ドレス] 10.150.107.251 10.150.107.251 [プロキシ リスナー ポー ト] 9090 9090 [MD5 認証キー] ***** ***** 負荷分散のためのインプッ ト この主要項目はこの設定リストには表示されませんが、 [追加]および[編集]ウィン ドウでは表示されます。以下の 4 つの要素がそれに関係しています [送信元 IP] true false [宛先 IP] false true [送信元ポート] true false [宛先ポート] false true 割り当て方法 この主要項目はこの設定リストには表示されませんが、 [追加]および[編集]ウィン ドウでは表示されます。以下の 4 つの要素がそれに関係しています [マスク割り当て] true true [ハッシュによる割り当て] false false [割り当ての重みづけ] 100 100 転送方法 この主要項目はこの設定リストには表示されませんが、 [追加]および[編集]ウィン ドウでは表示されます。ローカルの NIC 要素に対する GRE カプセル化と L2 書き 換えがそれに関係しています。 [GRE カプセル化] false false [ローカル NIC への L2 書 き換え] true true [L2-リダイレクト ターゲ ット] eth1 eth1 [マジック(マスク割り当 て)] -1 -1 [コメント] プロキシ HA 設定 プロキシ HA 設定は、高可用性機能を備えた明示的なプロキシ モードでアプライアンスのプロキシ機能を構成するた めに使用されます。 プロキシ HA 高可用性機能を備えた明示的プロキシ モードの設定 McAfee Web Gateway 7.6.0 製品ガイド 77 4 プロキシ ベスト プラクティス - プロキシ HA モードの設定 表 4-6 プロキシ HA オプション 定義 [ポート転送] ユーザーが送信した要求が転送されるポートを入力するためのリストを提供します。 [ディレクター データ パケットを仕向けるアプライアンスの優先順位 (0 ~ 99 の範囲) を設定します。 の優先順位 ] 最高値が表示されます。0 はアプライアンスがデータ パケットをフィルターするだけで、仕向ける ことはないことを意味します。 高可用性の構成で、2 つのアプライアンスは、互いにフェールオーバー機能を備えながら、データ パケットを仕向けるために一般的にゼロよりも高い優先順位をもつディレクター ノードとして設 定されます。 残りのノードは、ゼロ優先順位で構成されます(「スキャンイング ノード」と呼ばれます )。 この優先順位の値は、スライダーのスケールで設定されています。 [管理 IP] ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプライ アンスのソース IP アドレスを指定します。 [仮想 IP] 仮想 IP アドレスのリストが表示されます。 Web Gateway で高可用性機能 (プロキシ HA) 機能を有効にし、明示的プロキシ モードを設定して いる場合には、仮想 IP を使用してユーザー インターフェースにログインしないでください。 以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。 表 4-7 ポート転送 - リスト エントリー オプション 定義 [プロトコル名] ユーザーが要求を送信した時に受信するデータ パケットに使用されるプロトコル 名を指定します。 [元の宛先ポート] 転送されたデータ パケットの最初の送信先のポートを指定します。 [宛先プロキシ ポート] 上記ポートに送信されたデータ パケットが最初に転送されたポートを指定しま す。 [オプションの 802.1Q VLAN] 設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表 示されます。 [コメント] 表 4-8 ポート転送に関するテキスト形式のコメントを提供します。 仮想 IP - リスト エントリー オプション 定義 [仮想 IP アドレス] 仮想 IP アドレス(CIDR 通知)を指定します。 [ネットワーク インターフェー ス] VRRP(仮想ルーター冗長性プロトコル)の下のハートビートに使用されるアプ ライアンスのネットワーク インターフェースを指定します。 [コメント] 仮想 IP アドレスの標準テキスト形式のコメントを提供します。 ベスト プラクティス - プロキシ HA モードの設定 Web Gateway で設定可能なプロキシ HA ネットワーク モードは、高可用性機能を使用した明示的なプロキシ モー ドです。 これにより、外部の負荷分散装置を使用せずにフェールオーバーと負荷分散を実行できます。 このセットアップは、Web Gateway のユーザー数が 1000 以下のネットワークでのみ使用してください。 大規模 なネットワークの場合には、外部の負荷分散装置を使用してください。 78 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ベスト プラクティス - プロキシ HA モードの設定 4 ディレクター ノードとスキャン ノード プロキシ HA 構成のアプライアンスの 1 つをディレクター ノードとして設定します。 残りのアプライアンスは、ス キャン ノードとして設定します。 優先度を設定することで、各アプライアンスに役割が割り当てられます。 ディレクター ノードは、スキャン ノードに負荷を分散させ、高可用性クラスター内の負荷分散を実行します。 通 常、ディレクター ノードもスキャン ノードとして機能します。 スキャン ノードは、バックアップ ノードとしても 機能し、ディレクトリ ノードに障害が発生した場合に切り替わります。 バックアップ機能を実行しない単純なスキ ャン ノードを設定することもできます。 特定の時間内にディレクター役割を持っているノードをアクティブ ディレクターといいます。 アクティブ ディレ クターは、インターフェースの別名 IP アドレスとして仮想 IP アドレス (VIP) を使用し、クライアントとの通信を 行います。 プロキシ HA 構成に追加するアプライアンスは、集中管理構成のメンバーにすることをお勧めします。 この構成は、他のアプライアンスの実行状況に左右されません。 ただし、アプライアンスが集中管理機能で管理さ れ、同期されていない場合、アプライアンスごとに異なる Web セキュリティ ルールが実行される可能性がありま す。 負荷分散 プロキシ HA 構成で負荷分散を行う場合には、リソースの使用状況とアクティブな接続数を考慮する必要がありま す。 1 つのスキャン ノードの負荷が過剰になった場合、他のノードが処理するトラフィックも増加します。 負荷分散を実行すると、同じクライアントからの要求は同じスキャン ノードに送信されます。 フェールオーバー ディレクター ノードで障害が発生した場合、優先度の最も高いバックアップ ノードにディレクター役割が引き継が れます。 元のディレクター ノードが復旧すると、ディレクター役割を再び引き継ぎます。 使用可能なノードを確認するため、正常性検査で VRRP (Virtual Router Redundancy Protocol) が使用されます。 正常性検査を有効にするには、高可用性クラスターのすべてのメンバーが同じ VRRP インターフェースと仮想ルータ ー ID を使用するように、各アプライアンスで VRRP を設定します。 各ノードは 1 秒ごとにマルチキャスト パケットを IP アドレス 224.0.0.18 に送信します。 3–4 秒間、アクティブ ディレクターからマルチキャスト パケットを受信しないと、フェールオーバーが実行されます。 フェールオーバー により、優先度が最も高いバックアップ ノードがディレクター ノードになります。 このノードは、高可用性クラス ターの仮想 IP アドレスの所有権を取得し、新しいディレクター役割に関する情報を他のノードに通知します。 参加しているクライアントとルーターの ARP テーブルを更新する場合、Gratuitous ARP (Address Resolution Protocol) メッセージが使用されます。 共通の仮想 IP アドレスの所有権が変更されると (フェールオーバーが発生 すると)、新しいディレクター ノードが Gratuitous ARP メッセージを送信します。 後続の TCP/IP パケットはこ のノードに転送されます。 関連トピック: 81 ページの「ベスト プラクティス - 高可用性構成でのサイズ制限」 プロキシ HA モードを設定する 外部の負荷分散装置を使用せずに負荷分散とフェールオーバーを実行するには、プロキシ HA モードを設定します。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、プロキシ HA 構成に追加するアプライアンスを選択して、[プロキシ (HTTP、 HTTP(S)、FTP、SOCKS、ICAP...)] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド 79 4 プロキシ ベスト プラクティス - プロキシ HA モードの設定 3 [ネットワークのセットアップ] で [プロキシ HA] を選択します。 [プロキシ HA] の設定が [ネットワークのセットアップ] のすぐ下に表示されます。 4 プロキシ HA 構成の各アプライアンスで Web Gateway の設定を行います。 a [ポート リダイレクト] - ポート リダイレクトのリストに、以下のパラメーターを指定して項目を追加しま す。 • [プロトコル名] - HTTP • [元の宛先ポート] - ネットワークのユーザーがブラウザーで選択するプロキシ ポート • [宛先のプロキシ ポート] - Web Gateway が使用するプロキシ ポート ユーザーがブラウザーで選択するプロキシ ポートと Web Gateway が使用するプロキシ ポートには同 一の値 (9090 など) を設定できます。 この場合、リストにポート リダイレクトを入力します (例:ポート 9090 からポート 9090)。 b [ディレクターの優先順位] - ディレクター役割を引き継ぐ優先度を数値で設定します。 • 最も高い優先度 (例: 99) - ディレクター ノード • これより低い優先度 (0 より大きい値。例: 89) - バックアップ ノード ディレクター ノードに障害が発生し、優先度の高いノードが他にない場合、バックアップ ノードがフェ ールオーバーを実行してディレクター役割を引き継ぎます。 それ以外の場合、バックアップ ノードはス キャン ノードとして機能します。 • c 0 - スキャン ノードとしてのみ機能するノード [管理 IP] - アプライアンスのローカル IP アドレスを指定します。 この IP アドレスは、スキャン ノードの自動検出に使用されます。 自動検出を使用するには、すべてのノー ドが同じサブネット上に存在する必要があります。 d [仮想 IP] - 高可用性クラスターの共有 IP アドレスを指定します。 このアドレスはアクティブ ディレクターが所有し、すべてのノードで一致していなければなりません。 ユー ザーは、このアドレスをブラウザーで選択する必要があります。 e VRRP 正常性検査を設定します。 • [仮想ルーター ID] - VRRP 正常性検査で使用する ID この ID は、すべてのノードで一致している必要があります。 デフォルトは 51 です。 ID が 51 のネットワークで VRRP を使用していない限り、デフォルトの ID を使用できます。 プロキシ HA 構成で一意になるように、ここで値を変更します。 • [VRRP インターフェース] - 正常性検査の VRRP で使用されるインターフェース デフォルトのインターフェースは eth0 です。 アプライアンスで eth0 インターフェースを使用していない限り、デフォルトのインターフェースを使用 できます。複数のインターフェースを使用する場合にもデフォルトを使用できます。 5 [変更の保存] をクリックします。 パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟 に処理される場合、プロキシ HA モードで追加の設定が必要になります。 80 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ベスト プラクティス - 高可用性構成でのサイズ制限 4 関連トピック: 101 ページの「パケット サイズの処理」 77 ページの「プロキシ HA 設定」 Proxy HA 構成の問題の解決 Proxy HA 構成で問題が発生した場合、いくつかの方法で解決することができます。 VRRP 正常性検査メッセージの確認 VRRP 正常性検査のメッセージがアプライアンス システムの次の場所に記録されています。 /var/log/messages このメッセージにより、アプライアンスのステータスがディレクター ノードかバックアップ ノードかを確認できま す。 要求をブロックしたノードの検索 高可用性クラスターで要求をブロックしたノードを確認するには、ブロック アクションのユーザー メッセージ テン プレートを編集します。 System.HostName プロパティを挿入します。 特定のノードのテスト 特定のノードの動作をテストするには、そのノードのポート リダイレクトリストにだけ新しいプロキシ ポート (例: 9091) を入力します。 ノードをテストするクライアント システムのブラウザーで <Web Gateway の IP アドレス>:9091 を参照し ます。 アクティブ ディレクターの識別 高可用性クラスターの仮想 IP アドレスを所有するアクティブ ディレクトリ ノードを識別するには、各ノードで SSH セッションをセットアップします。 次に、各ノードで ip addr show コマンドを実行します。 Web トラフィックの分散エラーの確認 他のノードに分散せず、ディレクター ノードまたは 1 つのノードですべての Web トラフィックが処理されている 場合、次の原因が考えられます。 • ディレクター ノードでポート リダイレクトが設定されていません。 ポート リダイレクトが存在しない場合、デ ィレクター ノードはトラフィックを他のノードにリダイレクトせず、ローカルで処理します。 • 同じサブネットでない IP アドレスが設定されているため、ディレクター ノードが他のノードの存在を確認でき ません。 • ダウンストリーム プロキシまたは NAT でアイスが配置されているため、すべてのトラフィックが同じ送信元 IP アドレスから転送されています。 負荷分散の通常の動作では、同じノードにトラフィックを繰り返し転送します。 ベスト プラクティス - 高可用性構成でのサイズ制限 プロキシ HA (高可用性) ネットワーク モードを設定する場合、構成に追加する Web Gateway アプライアンスの数 を検討する必要があります。 多くの場合、1 つのネットワークで複数のアプライアンスが実行されています。これらのアプライアンスはノードと して構成され、集中管理機能で管理されています。 McAfee Web Gateway 7.6.0 製品ガイド 81 4 プロキシ ベスト プラクティス - 高可用性構成でのサイズ制限 通常、ノードの 1 つがディレクター ノードになり、受信トラフィックを他のノードに送信します。トラフィックを 受信したノードではスキャンを実行するため、これらのノードをスキャン ノードといいます。 特定のアプライアンスでは、ネットワーク インターフェースが二重に構成され、受信トラフィックと送信トラフィッ クに別々のインターフェースが使用されます。三重構成では、この他に集中管理通信用のインターフェースが用意さ れています。 このようにネットワークを構成する場合には、次の点を考慮する必要があります。 • 全体のスループットの合計がディレクター ノードの最大スループットを超えないようにスキャニング ノードの 数を選択する必要があります。ディレクター ノードの最大スループットは、デフォルトで 1 1 GBit/s です。 これにより、次のような内部制限が発生します。ディレクター ノードがデフォルトで使用するネットワーク イン ターフェースは、1 GBit/s のデータ処理に制限されます。 Web Gateway アプライアンスで実行される MLOS オペレーティング システムのカーネル モード ドライバー で処理可能なデータ量は最大で 1 GBit/s までとなります。 • この条件で理論的な可能な数のスキャニング ノードを構成する場合には、安全のため余裕のある構成にすること をお勧めします。 • たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、理論上では 10 ノードが可能 ですが、5 ノードにすることをお勧めします。 • 300 MBit/s の場合、理論上 3 ノードが可能ですが、2 ノードにしてください。 1 つのスキャニング ノードの最大スループットは、ノードに使用するアプライアンスのモデルとノードの構成方法に よって異なります。たとえば、マルウェア対策フィルタリングや Web キャッシュを有効にするかどうかによって異 なります。サイズ計算ツールを使用すると、ノードに適切な値を見つけることができます。 ディレクター ノードで、デフォルトの 1G ではなく 10G ネットワーク インターフェースが使用されている場合や、 構成で IP スプーフィングが有効になっている場合には計算が異なるかもしれません。その理由は次のとおりです。 10G ネットワーク インターフェース ディレクター ノードのアプライアンスに 10G ネットワーク インターフェースが装着されている場合、このノードの 最大スループットが大きくなります。ただし、MLOS カーネル モード ドライバーの制限に変わりはありません。 • たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、5 つ以上のノードが可能ですが、 10 ノードは超えないようにしてください。 • スループットが 300 MBit/s の場合、3 ノードが可能ですが、それ以上は使用しないことをお勧めします。 IP スプーフィング IP スプーフィングを設定すると、データ パケットはディレクター ノードを 2 回通過します。ディレクター ノード からスキャニング ノードに転送されるときと、スキャニング ノードからディレクター ノードに戻されるときの 2 回 です。 1G ネットワーク インターフェースを使用している場合、ディレクター ノードの最大スループットは 500 MBit/s になります。また、MLOS カーネル モード ドライバーの制約は変わりません。 82 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ベスト プラクティス - WCCP での明示的プロキシ モードの設定 4 この条件に合わせてスキャニング ノードの数を設定する必要があります。 • たとえば、スキャニング ノードのスループットが 100 MBit/s で、ディレクター ノードで 1G ネットワーク イ ンターフェースを使用している場合、スキャニング ノードの数は 5 つより少なくするする必要があります。 10G ネットワーク インターフェースを使用している場合、スキャニング ノードの数を増やすことができますが、 5 つにすることをお勧めします。 • スキャニング ノードのスループットが 300 MBit/s で、ディレクター ノードで 1G ネットワーク インターフェ ースを使用している場合、スキャニング ノードは 1 つになります。 10G ネットワーク インターフェースを使用している場合には、4 つ以上のスキャニング ノードを設定しないで ください。 関連トピック: 78 ページの「ベスト プラクティス - プロキシ HA モードの設定」 ベスト プラクティス - WCCP での明示的プロキシ モードの設定 Web Gateway アプライアンスで明示的プロキシ モードを実装するときに、WCCP (Web Cache Communication Protocol) で Web トラフィックを Web Gateway にリダイレクトするように設定できます。 このプロトコルを使 用すると、負荷分散とフェールオーバーの機能が大幅に強化されます。 WCCP でのリダイレクトを有効にするには、ネットワーク内のユーザーのクライアント システムと Web の間に適 切なルーターを配置する必要があります。 ルーターは、クライアントからの Web アクセス要求を Web Gateway アプライアンスの特定のポートにリダイレクトします。 このルーターは WCCP デバイスともいいます。 ルーターの代わりにスイッチを WCCP デバイスとして使用するこ ともできます。 アプライアンスで WCCP サービスを設定する必要があります。 このサービスを設定するときに、サービス ID、ル ーターの IP アドレス、リダイレクト前のポートなどの情報を指定します。 複数のアプライアンスを同じルーターに接続して、WCCP で負荷分散とフェールオーバーを行うこともできます。 これらのアプライアンスを集中管理構成でノードとして設定し、それぞれに WCCP サービスを設定する必要があり ます。 リダイレクトは透過的に実行されます。ユーザーが要求のリダイレクトに気づくことはありません。 Web サーバー から要求に対する応答を受信すると、Web Gateway が Web サーバーの IP アドレスを使用してクライアントに転 送します。 ルーターを使用するには、Web Gateway にルーターを登録する必要があります。 登録を行わないと、ルーターが Web Gateway に認識されません。 ルーター側で Web Gateway に関する情報を設定する必要はありません。 Web Gateway とルーター間の通信 WCCP では、登録のためにデータ パケットが交換され、設定のネゴシエーションが実行され、正常性が検査されま す。 Web Gateway が "Here I Am" パケットをルーターに送信し、設定を転送します。 この設定には、リダイレ クトのポート、WCCP サービスの ID、リダイレクトする IP アドレスなどの情報が含まれます。 ルーターが "I See You" パケットで応答すると登録が完了し、ルーター ID (ルーターで最も高位のインターフェー ス IP アドレス) を送信します。 ルーターが 25 秒以内に "Here I Am" パケットを受信しないと、削除クエリーを送信し、迅速な応答を Web Gateway に要求します。 5 秒以内に応答がないと、Web Gateway がオフラインであると判断し、WCCP パート ナー プールから削除します。 McAfee Web Gateway 7.6.0 製品ガイド 83 4 プロキシ ベスト プラクティス - WCCP での明示的プロキシ モードの設定 負荷分散とフェールオーバー 複数の Web Gateway アプライアンスが存在する WCCP 構成の場合、ルーターに最初に接続したアプライアンスが 他のアプライアンスに負荷を分散します。 WCCP では、分散される負荷の部分をバケットといいます。 アプライアンスがオフラインになるか、オンラインに戻ると、バケットの再割り当てがすぐに実行されます。 現在バ ケットを割り当てているアプライアンスがオフラインになると、他のアプライアンスが役割を引き継ぎます。 ルーター、クライアント システムまたは Web Gateway アプライアンスが、ソース NAT でクライアント トラフィ ックを処理するデバイスで分離されている場合には、WCCP の使用をお勧めしません。 これは、WCCP での負荷分 散のパフォーマンスに影響を及ぼします。 また、時間またはクライアント IP アドレスに基づくユーザー認証ルール を作成できなくなります。 フェールオープンとフェールクローズ ルーターで WCCP プロトコルの使用が設定されていても、使用可能な Web Gateway アプライアンスがない場合、 ルーターはリダイレクトせずに Web アクセス要求を通過させます。 この処理をフェールオープンといいます。 ネットワーク内にファイアウォールが存在している場合には、送信元 IP アドレスのある Web アクセス要求にこの 方法が実行されるようにファイアウォールを設定する必要があります。 これにより、要求が直接 Web に送信されま す。 フェールクローズでは、リダイレクト先の Web Gateway アプライアンスが使用できない場合、要求がブロックさ れます。この方法を実行するには、Web Gateway に所属する送信元 IP アドレスを含む要求のみを許可するように、 ファイアウォールを設定する必要があります。 単独またはフォールバックとしての WCCP の使用 他のネットワーク モードが使用できない場合、WCCP で明示的プロキシ モードを使用できます。この場合、すべて の Web トラフィックがこのモードで処理されます。 また、明示的プロキシ構成で特別な要件がある場合 (プロキシ 設定を認識しないアプリケーションを扱う場合など) にはフォールバックとして使用することもできます。 また、ユ ーザーが個人所有のデバイスを持ち込む Wi-Fi ネットワーク セグメントの Web トラフィックを処理する場合もこ れに該当します。 ベスト プラクティスとして、2 つの異なるプロキシ ポートの使用をお勧めします。 明示的プロキシ モードの Web トラフィックを WCCP で処理するポートと、WCCP を使用せずに処理するポートを設定します。 これにより、Web セキュリティ ルールの条件でプロキシ ポートのプロパティを使用できます。 WCCP プロトコルの使用を設定する WCCP プロトコルの使用を設定するには、この製品に従って Web トラフィックを処理するように、ルーターと 1 つ以上の Web Gateway アプライアンスを設定します。 タスク 1 WCCP プロトコルに応じて Web トラフィックを処理するルーターを設定します。 ルーターの設定では、WCCP サービスの ID を指定します。 詳細については、ルーターのマニュアルを参照して ください。 2 WCCP プロトコルに応じて Web トラフィックを処理する Web Gateway アプライアンスを設定します。 アプライアンスの設定では、WCCP サービスの設定を行います。 84 a [設定] 、 [アプライアンス] の順に選択します。 b アプライアンス ツリーで、WCCP の使用を選択するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、 SOCKS、ICAP ...)] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ベスト プラクティス - WCCP での明示的プロキシ モードの設定 c 4 Und[ネットワーク設定] で、[プロキシ (オプションの WCCP 付き)] が選択されます。 [透過型プロキシ] で [WCCP] を選択します。 [WCCP サービス] リストが表示されます。 d リストのツールバーで [追加] アイコンをクリックします。 [WCCP サービスの追加] ウィンドウが開きます。 e サービスを追加するには、サービスのパラメーターに値を入力します。 完了したら [OK] をクリックします。 新しいサービスが [WCCP サービス] リストに表示されます。 f [変更の保存] をクリックします。 WCCP 構成には複数のアプライアンスを追加できます。 追加するアプライアンスごとに WCCP サービスを設定 してください。 別のネットワーク モード (プロキシ HA モード、透過型ルーター、ブリッジ モードなど) を使用して いる場合、WCCP で明示的プロキシ モードを設定すると、アプライアンスの再起動が必要になりま す。 再起動すると、Web トラフィックを透過的にインターセプトしてリダイレクトするためのネットワー ク ドライバーがアップロードされます。 再起動が必要になるのは 1 回だけです。 以降は、再起動な しで WCCP プロトコルの使用を有効または無効にできます。 関連トピック: 85 ページの「WCCP サービスの設定」 WCCP サービスの設定 WCCP サービスを設定するときに、いくつかのサービス パラメーターの値を指定します。 これらのパラメーターについては、以下のベスト プラクティス情報を検討してください。 サービス ID サービス ID で WCCP サービスが識別されます。 このサービスはルーターの設定でも指定します。このサービスの ID は同一でなければなりません。 0 から 50 までのサービス ID は WCCP 用で固定され、標準設定では既知のサービス用に予約されています。 51 から 255 までのサービス ID は可変で、WCCP 構成のパートナー間でのネゴシエーションにも使用します。 WCCP サービスを使用する場合には、51 から 98 の値をお勧めします。 WCCP ルーター定義 WCCP 構成で使用するルーターの IP アドレスは、ルーター定義に指定されています。 あるいは、ドメイン名サーバ ーで解決される名前を指定することもできます。 複数のルーターを設定する場合には、各ルーターの IP アドレスまたは DNS 名を指定するか、マルチキャスト IP ア ドレスを使用します。 複数のルーターで IP アドレスをマルチキャスト IP アドレスとして使用する場合には、それ ぞれのルーターの設定で group-address と group-listen というキーワードを指定します。 リダイレクト先のポート Web Gateway プロキシ ポートから Web トラフィックをリダイレクトするポートが表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 85 4 プロキシ ベスト プラクティス - WCCP での明示的プロキシ モードの設定 HTTP プロトコルと HTTPS ではトラフィックのリダイレクトが機能します。 FTP または他のプロトコルのリダイ レクトは実行できません。 ここに表示されるポートはすべて、HTTP または HTTPS トラフィック用のポートになり ます。 このリストでは、HTTP トラフィックにポート 80 が、HTTPS トラフィックにはポート 443 がデフォルトで 定義されています。 また、HTTPS トラフィックに別のポートを追加するには、HTTP プロキシ構成で SSL として処理されるポートとし て追加する必要があります。 WCCP のバージョン 1 を使用している場合、ポート 80 のトラフィックだけがリダイレクトされます。 他のポートを リダイレクト用に追加することはできません。 プロキシ リスナー アドレス プロキシ リスナーのアドレスは、Web トラフィックをリダイレクトする Web Gateway アプライアンスのネットワ ーク インターフェース カードの物理 IP アドレスになります。 プロキシ リスナー ポート プロキシ リスナー ポートは、リダイレクトされた要求を待機する Web Gateway 上のポートです。 リダイレクトを実行するには、プロキシ リスナー ポートを IP アドレス 0.0.0.0 にバインドする必要があります。 たとえば、デフォルト ポート 9090 を使用している場合には、0.0.0.0:9090 を指定してバインドします。 ポート (localhost で指定) と実行中のアプライアンスの IP アドレス、他の IP アドレスをバインドする必要があり ます。 この操作を行わないと、リダイレクトは機能せず、トラフィックが処理されません。 割り当て方法 割り当て方法とは、複数のアプライアンスから構成されている環境で WCCP を使用してバケット (処理中のジョブ) を別の Web Gateway アプライアンスに割り当てる方法です。 割り当ては、マスクまたはハッシュによって行いま す。 ルーターによっては、マスクによる割り当てしか使用できない場合があります。 詳細については、ルーターの マニュアルを参照してください。 負荷分散のための入力 負荷分散は、要求の送信元または宛先の IP アドレス、あるいは送信元または宛先ポートに基づいて行うことができ ます。 送信元の IP アドレスに基づいて負荷分散を行うことをお勧めします。 これにより、ユーザーが特定のクライ アント システムから送信した要求に対して常に同じアプリケーションを使用することができます。 また、セッショ ンの切断を回避することもできます。 割り当ての加重 割り当ての加重は、WCCP 構成でトラフィックの負荷を異なる Web Gateway アプライアンスに割り当てる場合に 使用します。 すべてのアプライアンスにデフォルト値の 1000 を設定すると、負荷は均等に分散されます。 構成内の 1 つのアプライアンスのパフォーマンスを上げるばあには、このアプライアンスの値を高くし、他のアプラ イアンスの値を低くします。 すべてのアプライアンスの負荷を均等にするには、それぞれのアプライアンスでデフォ ルト値を使用してください。 GRE カプセル化 データ パケットの送信に GRE (Generic Routing Encapsulation) を使用すると、元のデータ パケットが新しいパ ケットの中にカプセル化され、新しいヘッダーが追加されます。 この新しいパケットが GRE トンネルという接続を 介してルーターから Web Gateway に送信されます。 この方法ではオーバーヘッドが増えますが、サブネットでは 有効です。 86 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ベスト プラクティス - WCCP での明示的プロキシ モードの設定 4 ローカル NIC に対する L2 再書き込み データ パケットの送信に L2 再書き込み (レイヤー 2 再書き込み) を使用すると、宛先の MAC アドレスがプロキシ の MAC アドレスに書き換えられます。 パケットは、アプライアンスのネットワーク インターフェースにリダイレ クトされます。 この方法は、ルーターとアプライアンスが同じサブネット上にある場合にのみ使用できます。 L2 リダイレクト ターゲット L2 再書き込みでデータ パケットをリダイレクトする宛先は、実行中のアプライアンスに装着されている NIC のネッ トワーク インターフェースになります。 このインターフェースを選択するには、インターフェース名 (例: etho) を選択します。 WCCP 関連のトラブルシューティング アプライアンスのダッシュボードで WCCP 関連の情報を確認できます。この情報は、アプライアンスに接続してい るシステム コンソールのコマンドラインでコマンドを実行して取得することもできます。 ダッシュボードで WCCP 関連情報を確認する ダッシュボードに表示された WCCP 関連情報を使用すると、トラブルシューティングが必要かどうか確認できます。 タスク 1 [ダッシュボード] 、 [グラフおよび表] の順に選択します。 2 ナビゲーション ペインで [システム サマリー] をクリックし、下にスクロールして [WCCP サービスの現状レポ ート] テーブルを表示します。 この表には WCCP パラメーターの値が表示されます。たとえば、アプライアンスが利用している WCCP サービスの ID、ルーターの IP アドレス、転送方法とリターン方法、割り当て済みのバケットなどの値が表示されます。 また、最後の "Here I Am" データ パケットと "I See You" データ パケットのタイムスタンプも表示されます。こ れにより、正常性検査が機能しているかどうか確認できます。 コマンドラインでの WCCP 関連情報の取得 コマンドラインで WCCP 関連情報を取得するために、いくつかのコマンドが用意されています。 設定した Web Gateway アプライアンス ポートに Web トラフィックがリダイレクトされているかどうか確認する には、次のコマンドを入力します。 iptables -t mangle -L たとえば、redirect 10.10.73.72:9090 を含む行に chain WCCP0 という項目が表示されたとします。 10.10.73.72 は、トラフィックのリダイレクト先に指定した Web Gateway アプライアンスの NIC に割り振られ た IP アドレスです。 9090 は、設定したポート番号です。 アプライアンスが "Here I Am" と "I See You" データ パケットを送信しているかどうか確認できます。 次のコマ ンドを入力します。 tcpdump -npi eth0 port 2048 表示されたデータ パケットで次のことを確認します。 • Web キャッシュに表示された IP アドレスが Web Gateway アプライアンスの IP アドレスかどどうか。 • バケットの割り当て方法が Web Gateway に設定済みの方法かどうか。 • リダイレクト方法が Web Gateway に設定済みの方法かどうか。 McAfee Web Gateway 7.6.0 製品ガイド 87 4 プロキシ 透過型ルーター モード GRE でカプセル化されたデータ パケットまたは L2 で書き換えられたデータ パケットが Web Gateway アプライ アンスで受信されているかどうか確認できます。 • GRE のカプセル化を確認するには、次のコマンドを入力します。 tcpdump -npi eth0 ip proto 47 データ パケットの送信元 IP アドレスが、Web Gateway のルーターに設定済みの IP アドレスかどうか確認し ます。 • L2 の書き換えを確認するには、次のコマンドを入力します。 tcpdump -npi eth0 not host <アプライアンスの IP アドレス> データ パケットの送信元 IP アドレスが、要求を送信したクライアントの IP アドレスかどうか確認します。 ifconfig コマンドでも、リダイレクトされたデータ パケットが Web Gateway で受信されているかどうか確認でき ます。 透過型ルーター モード 透過型ルーター モードは、明示的モードを使用しない場合に Web Gateway アプライアンスのプロキシ機能で設定 可能な 2 つの透過型モードの 1 つです。 透過型ルーター モードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンス にリダイレクトするように設定する必要はありません。 アプライアンスは、ファイアウォールのすぐ背後にルーターとして配置されます。アプライアンスとクライアントの 接続にスイッチを使用できます。トラフィックの転送にはルーティング テーブルが使用されます。 ディレクター ノードとスキャン ノード 複雑な構成のノードとして複数のアプライアンスを実行している場合 (集中管理クラスターなど)、通常、1 つのノー ドがディレクターとして設定され、残りのノードがスキャン ノードとして設定されます。 ディレクター ノードは、クライアントから Web トラフィックを受信し、スキャン ノードに配信します。スキャン ノードは、実装されたルールに従ってトラフィックをフィルタリングします。 ディレクトター ノードとスキャン ノ ードでトラフィックを処理する方法は、設定によって異なります。 ディレクトター ノードでもフィルタリングを行うことができます。 ノードがオフラインになったときの問題を回避 するため、ディレクター ノードを 2 つ以上設定することをお勧めします。 ネットワーク上で実行されている Web Gateway アプライアンスが 1 台だけで、このアプライアンスを透過型ルータ ー モードに設定する場合には、Web トラフィックの受信、フィルタリング、転送ができるように、アプライアンスに ディレクター役割を設定する必要があります。 透過型ルーター モードを設定する アプライアンスのプロキシ機能を透過型ルーター モードに設定するには、次の操作を行う必要があります。 タスク 88 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、透過型ルーター モードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、 FTP、ICAP、IM)] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ルーター モード 3 4 [ネットワークのセットアップ] で [透過型ルーター] を選択します。 このモードを選択した後で、特定の [透過型ルーター] の設定が [ネットワーク設定] の設定の下に表示されます。 特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。 4 必要に応じて、特定の設定と共通の設定を行います。 5 [変更の保存] をクリックします。 集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ル ーター モードを設定できます。 パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟 に処理される場合、透過型ルーター モードで追加の設定が必要になります。 関連トピック: 101 ページの「パケット サイズの処理」 92 ページの「透過型ルーターの設定」 透過型ルーター モードでノードを設定する 集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ルーター モードを設定できます。 ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ トの送信を行います。 ノードの設定では、ネットワークとプロキシを設定します。 タスク • 89 ページの「透過型ルーター モードで実行するディレクター ノードのネットワークを設定する」 ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネッ トワーク インターフェースを設定します。 • 90 ページの「ディレクター ノードのプロキシを透過型ルーター モードに設定する」 ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役 割を設定し、ポート リダイレクトとプロキシ ポートを指定します。 • 91 ページの「スキャン ノードを透過型ルーター モードに設定する」 スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネ ットワーク インターフェースを設定する必要があります。プロキシの設定方法はディレクター ノード に設定する場合と同じですが、ディレクター役割ではなく、スキャン役割を使用します。 透過型ルーター モードで実行するディレクター ノードのネットワークを設定する ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネットワーク イ ンターフェースを設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ ーフェース] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 89 4 プロキシ 透過型ルーター モード 3 ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。 Web トラフィックの受信用に 1 つ以上のインターフェースが必要です。また、送信用にも 1 つ以上のインター フェースを設定する必要があります。 4 [変更を保存] をクリックします。 ログオフして、アプライアンスに再度ログインします。 ディレクター ノードのプロキシを透過型ルーター モードに設定する ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役割を設定し、 ポート リダイレクトとプロキシ ポートを指定します。 ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、 FTP、ICAP、および IM)] を選択します。 3 [ネットワーク設定] で、[透過型ルーター] を選択します。 [透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。 4 Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ ート リダイレクトを設定します。 a [ポート リダイレクト] で [追加] をクリックします。 [ポート リダイレクトの追加] ウィンドウが開きます。 b HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。 • [プロトコル名] — http http は HTTP と HTTPS の両方の接続に使用できます。 • [元の宛先ポート] — 80. 443 これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。 HTTPS トラフィックもフィルタリングする場合には、 「SSL スキャナー」ルール セットを有効にします。 このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効になっています。 • [宛先のプロキシ ポート] — 9090 9090 は、アプライアンスのデフォルトのプロキシ ポートです。 ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。 FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事 前に設定されていますが、必要に応じて変更することができます。 90 5 [ディレクターの優先順位] に 0 より大きい値を設定します。 6 [管理 IP] フィールドに、ディレクターが接続するスキャン ノードの IP アドレスを入力します。 7 [仮想 IP] で、空いている仮想 IP アドレスを受信と送信用のネットワーク インターフェースに入力します。 8 [仮想ルーター ID] に表示されている番号をそのまま使用します。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ルーター モード 9 4 [VRRP インターフェース] リストで、このプロトコルで行うハートビートのインターフェースを選択します。 10 必要に応じて、IP スプーフィングを設定します。 11 [HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。 デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて います。 • このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド ウを開くと、プロキシ ポートを追加できます。 • 1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。 [FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが 2020 に設定されています。 12 [変更を保存] をクリックします。 スキャン ノードを透過型ルーター モードに設定する スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネットワーク イ ンターフェースを設定する必要があります。プロキシの設定方法はディレクター ノードに設定する場合と同じです が、ディレクター役割ではなく、スキャン役割を使用します。 スキャン役割を設定するには、ノードの優先順位を 0 に設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、スキャン ノードとして設定するアプライアンスを選択し、[ネットワーク インターフ ェース] をクリックします。 3 ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。 Web 送信トラフィックを処理するインターフェースが 1 つ以上必要です。 4 [変更を保存] をクリックします。 5 ログオフして、アプライアンスに再度ログインします。 6 アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、 SOCKS、ICAP ...)] を選択します。 7 [ネットワーク設定] で [透過型ルーター] を選択します。 [透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。 8 ディレクター ノードと同じポート リダイレクトを設定します。 9 [ディレクトリの優先順位] に 0 を設定します。 10 ディレクター ノードと同じ方法で IP スプーフィングを設定します。 11 ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。 12 [変更を保存] をクリックします。 透過型ルーター モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。 McAfee Web Gateway 7.6.0 製品ガイド 91 4 プロキシ 透過型ルーター モード 透過型ルーターの設定 透過型ルーターの設定では、アプライアンスのプロキシ機能を透過型ルーター モードに設定します。 透過型ルーター 透過型ルーター モードの構成の設定 表 4-9 透過型ルーター オプション 定義 [ポート リダイレク ト] ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリスト から選択します。 [ディレクターの優先 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0 順位] から 99) を設定します。 複雑な構成のノードとして複数のアプライアンスを実行している場合 (集中管理クラスター など)、優先順位が最も高いノードはディレクター ノードです。残りのノードはスキャン ノ ードとなり、フィルタリングだけを行います。 ディレクター ノードはデータ パケットを受信して他のノードに配信し、フィルタリングを 行います。また、フィルタリングを通過したデータ パケットを Web に転送します。 複雑な構成の場合、ディレクター役割に 0 より大きい値を設定し、スキャン ノードに 0 を 設定します。 ネットワーク上で実行されている Web Gateway アプライアンスが 1 台だけで、このアプ ライアンスを透過型ルーター モードに設定する場合には、データ パケットの受信、フィルタ リング、転送ができるように、アプライアンスの優先順位に 0 より大きい値を設定する必要 があります。 [管理 IP] ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるア プライアンスのソース IP アドレスを指定します。 [仮想 IP] 仮想 IP アドレスを入力するためのリストを提供します。 [仮想ルーター ID] 仮想ルーターを識別します。 [VRRP インターフェ ハートビート メッセージの送受信のためのアプライアンスのネットワーク インターフェー ース] スを指定します。 [IP スプーフィング (HTTP、HTTPS)] 選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アド レスとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用 します。 アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。 [IP スプーフィング (FTP)] 選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。 アクティブな FTP の場合、このオプションを有効にする必要があります。 以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。 表 4-10 92 ポート転送 - リスト エントリー オプション 定義 [プロトコル名] 要求の送受信で使用されるプロトコル名が表示されます。 [元の宛先ポート] 要求がリダイレクトされる場合、元の宛先ポートが表示されます。 [宛先プロキシ ポー ト] リダイレクト先のポートが表示されます。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ブリッジ モード 表 4-10 4 ポート転送 - リスト エントリー (続き) オプション 定義 [発信元 IP による除 外] 指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。 • IP アドレスだけでなく、ネット マスクも指定する必要があります。 • リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま せん。 • この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処 理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと ができます。 [宛先 IP による除外] 指定した IP アドレスに送信される要求をリダイレクトの対象外にします。 • IP アドレスだけでなく、ネット マスクも指定する必要があります。 • リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま せん。 • この方法でリダイレクトの対象外を設定すると、信頼できる宛先に送信する要求の処理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことがで きます。 [オプションの 802.1Q VLAN] 設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま す。 [コメント] ポート転送に関するテキスト形式のコメントを提供します。 表 4-11 仮想 IP - リスト エントリー オプション 定義 [仮想 IP アドレス] 仮想 IP アドレス(CIDR 通知)を指定します。 [ネットワーク インター ここで構成されている仮想 IP アドレスが割り当てられているアプライアンスのネットワ フェース] ーク インターフェースを指定します。 この仮想 IP アドレスがインターフェースに割り当てられるのは、現在のノードにアクテ ィブ ディレクターの役割がない場合だけです。 [コメント] 仮想 IP アドレスの標準テキスト形式のコメントを提供します。 透過型ブリッジ モード 透過型ブリッジ モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと ができる透過型モードの 1 つです。 このモードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンスにリダイレ クトするように設定する必要はありません。通常、アプライアンスはファイアウォールとルーターの間に配置され、 ブリッジとして機能します。 McAfee Web Gateway 7.6.0 製品ガイド 93 4 プロキシ 透過型ブリッジ モード 以下のダイアグラムは、透過型ブリッジ モードでの構成を表示します。 図 4-2 透過型ブリッジ モード 透過型ブリッジ モードを設定する アプライアンスのプロキシ機能を透過型ブリッジ モードに設定するには、次の操作を行う必要があります。 タスク 1 [構成] 、 [アプライアンス]の順に選択します。 2 アプライアンス ツリーで、透過型ブリッジ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、 FTP、ICAP、および IM)]をクリックします。 3 [ネットワークのセットアップ] で [透過型ブリッジ] を選択します。 このモードを選択した後で、[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。 特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。 4 必要に応じて、特定の設定と共通の設定を行います。 5 アプライアンスを再起動します。 再起動すると、ネットワーク ドライバーが再度読み込まれ、このネットワーク モードに必要なドライバーが適用 されます。 透過型ブリッジ モードから別のネットワーク モードに切り替えた場合にもアプライアンスを再起動することをお 勧めします。 6 [変更の保存]をクリックします。 集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ブ リッジ モードを設定できます。 パス MTU 検出という方法で、Web Gateway アプライアンスとクライアントの間でデータ パケットのサイズが柔軟 に処理される場合、透過型ブリッジ モードで追加の設定が必要になります。 関連トピック: 101 ページの「パケット サイズの処理」 99 ページの「透過型ブリッジの設定」 94 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ブリッジ モード 4 透過型ブリッジ モードでノードを設定する 集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ブリッジ モードを設定できます。 ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ トの送信を行います。 ノードの設定では、ネットワーク、集中管理、プロキシを設定します。 タスク • 95 ページの「透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設 定する」 ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク イ ンターフェースを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。 • 96 ページの「ディレクター ノードのプロキシを透過型ブリッジ モードに設定する」 ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役 割を設定し、ポート リダイレクトとプロキシ ポートを指定します。 • 97 ページの「スキャン ノードを透過型ブリッジ モードに設定する」 スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設 定しますが、ディレクター役割ではなく、スキャン役割を使用します。 透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設定する ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク インターフェー スを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ ーフェース] をクリックします。 3 透過型ブリッジ機能に使用するネットワーク インターフェースを準備します。 a アプライアンスで未使用のネットワーク インターフェースを選択します。ここではまだ有効にしないでくだ さい。 b [詳細設定] タブで [ブリッジの有効化] を選択します。 c [名前] フィールドに、インターフェース名として ibr0 と入力します。 d [IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。 e [変更を保存] をクリックします。 ログオフして、アプライアンスに再度ログインします。 4 透過型ブリッジ機能に使用するネットワーク インターフェースを設定します。 a [設定] 、 [アプライアンス] の順に選択します。 アプライアンスを再度選択し、[ネットワーク インターフェ ース] をクリックします。 [ibr0] という追加のネットワーク インターフェースが使用可能になります。 b [ibr0] インターフェースを選択します。 c [IPv4] タブで、このインターフェースの IP アドレス、サブネット マスク、デフォルト ルートを設定しま す。 d 有効にするインターフェースの横にあるチェックボックスを選択します。 McAfee Web Gateway 7.6.0 製品ガイド 95 4 プロキシ 透過型ブリッジ モード 5 現在アプライアンスとの接続に使用しているネットワーク インターフェースを透過型ブリッジ機能のネットワー ク インターフェースとして設定します。 a 現在アプライアンスとの接続に使用しているネットワーク インターフェースを選択します。 b [詳細設定] タブで [ブリッジの有効化] を選択します。 c [名前] フィールドに、インターフェース名として ibr0 と入力します。 d [IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。 6 手順 3 で未使用のネットワーク インターフェースから選択した [ibr0] を有効にします。 7 集中管理を設定します。 8 a [集中管理] を選択します。 b [集中管理設定] で、[ibr0] ネットワーク インターフェースに設定した IP アドレスをリストに追加します。 [変更を保存] をクリックします。 透過型ブリッジ機能に複数のネットワーク インターフェースを使用する場合には、同様の方法でアプライアンスの未 使用ネットワーク インターフェースを設定します。 ディレクター ノードのプロキシを透過型ブリッジ モードに設定する ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役割を設定し、 ポート リダイレクトとプロキシ ポートを指定します。 ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、 FTP、ICAP、および IM)] を選択します。 3 [ネットワーク設定] で、[透過型ブリッジ] を選択します。 [透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。 96 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ブリッジ モード 4 4 Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ ート リダイレクトを設定します。 a [ポート リダイレクト] で [追加] をクリックします。 b HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。 • [プロトコル名] — http http は HTTP と HTTPS の両方の接続に使用できます。 • [元の宛先ポート] — 80. 443 これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。 HTTPS トラフィックもフィルタリングする場合には、「SSL スキャナー」ルール セットを有効にする必 要があります。このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効に なっています。 • [宛先のプロキシ ポート] — 9090 9090 は、アプライアンスのデフォルトのプロキシ ポートです。 ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。 FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事 前に設定されていますが、必要に応じて変更することができます。 5 [ディレクターの優先順位] に 0 より大きい値を設定します。 6 [管理 IP] フィールドで、ネットワークの設定時に [ibr0] に指定した IP アドレスを入力します。 7 必要に応じて、IP スプーフィングを設定します。 8 [HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。 デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて います。 9 • このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド ウを開くと、プロキシ ポートを追加できます。 • 1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。 [FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが 2020 に設定されています。 [変更を保存] をクリックします。 スキャン ノードを透過型ブリッジ モードに設定する スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設定しますが、 ディレクター役割ではなく、スキャン役割を使用します。 スキャン役割を設定するには、ノードの優先順位を 0 に設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、 SOCKS、ICAP ...)] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド 97 4 プロキシ 透過型ブリッジ モード 3 [ネットワーク設定] で、[透過型ブリッジ] を選択します。 [透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。 4 ディレクター ノードと同じポート リダイレクトを設定します。 5 [ディレクトリの優先順位] に 0 を設定します。 6 ディレクター ノードと同じ方法で IP スプーフィングを設定します。 7 ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。 8 [変更を保存] をクリックします。 透過型ブリッジ モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。 ベストプラクティス - 透過型ブリッジ構成の調整 Web Gateway を透過型ブリッジ モードで構成した場合、基本的な手順以外の操作を行うと、構成を強化すること ができます。 次の操作を行います。 • ポート リダイレクトの設定 • 複数のアプライアンスのセットアップ • STP プロトコルの適切な処理 ポート リダイレクトの設定 デフォルトの構成では、Web Gateway は、ポート 80 と 443 で受信した Web アクセス要求をスキャンし、フィ ルタリングします。 追加のポートを指定しない限り、これ以外のポートで受信した要求はすべてフィルタリングされ ずに Web に転送されます。 特定のクライアント IP アドレスから受信した要求または特定の宛先 IP アドレスに送信する要求をポート リダイレ クトの除外対象として設定できます。 これらの除外対象は、フィルタリングされずに Web に転送されます。 複数のアプライアンスのセットアップ Web Gateway を透過型ブリッジ モードで構成する場合には、複数のアプライアンスをセットアップするようにし てください。 このモードで構成した Web Gateway アプライアンスが 1 台の場合、このアプライアンスはネットワーク内でイン ラインに配置されます。 この場合、トラフィックを受信し、フィルタリングを有効にするポートを設定していない場 合でも、すべてのトラフィックがこのアプライアンスを通過することになります。 1 台のアプライアンスしかセット アップしていない場合、このアプライアンスに障害が発生すると、すべてが停止します。 2 台以上のアプライアンスをセットアップすると、1 台のアプライアンスをフェールオーバー デバイスとして使用で きます。 また、フェールオーバー機能だけでなく、負荷分散を行い、送受信する Web トラフィックを制御できま す。 STP でのポート シャットダウンの回避 スパニング ツリー プロトコル (STP) を使用するスイッチにネットワーク内の Web Gateway アプライアンスが直 接接続している場合、このプロトコルで負荷分散通信に必要なポートがシャットダウンする場合があります。 大半のネットワーク スイッチの場合、STP はループを回避し、単一通信パスを確保するために使用されています。 このようなループは、冗長ポートがシャットダウンすると発生します。 98 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 透過型ブリッジ モード 4 このプロトコルは、2 台以上の Web Gateway アプライアンスが透過型ブリッジ モードで構成されている場合にも 使用されます。 アプライアンスの 1 つがディレクター役割を引き継ぐと、発生した Web トラフィックが他のアプ ライアンスに送信され、処理されます。 STP は、この役割のアプライアンスと通信し、アプライアンス間の負荷分散を行うために使用されます。 STP を使用するネットワーク スイッチが Web Gateway アプライアンスと直接接続していると、この負荷分散通信 に必要なポートがシャットダウンする可能性が非常に高くなります。 このシャットダウンは、以下のいずれかの方法で回避できます。 • Web Gateway アプライアンスに直接接続している各スイッチで STP を無効にする。 ネットワークの他のコンポーネントがこのようなスイッチと STP に依存している場合には、この方法を使用しな いでください。 • 各 Web Gateway アプライアンスと、STP を使用してアプライアンスに接続しているスイッチの間に、STP を 使用しない別のスイッチを設置する。 この方法でネットワークをセットアップすると、Web Gateway アプライアンスと、STP を使用するスイッチに 依存する他のネットワーク コンポーネントの負荷分散に影響を及ぼすことはありません。 関連トピック: 94 ページの「透過型ブリッジ モードを設定する」 透過型ブリッジにポート リダイレクトを設定する 透過型ブリッジにポート リダイレクトを設定すると、特定の要求をフィルタリングせずに Web に転送できます。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、ポート リダイレクトを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、 FTP、SOCKS、ICAP ...)] をクリックします。 3 [ネットワークのセットアップ] で [透過型ブリッジ] を選択します。 [ネットワークのセットアップ] の下に [透過型ブリッジ] の設定が表示されます。 4 [ポート リダイレクト] のリストで、設定するポート リダイレクトの IP アドレスとサブネット マスクを指定し ます。 5 [変更の保存] をクリックします。 透過型ブリッジの設定 透過型ブリッジの設定では、アプライアンスのプロキシ機能を透過型ブリッジ モードに設定します。 透過型ブリッジ 透過型ブリッジ モードの構成の設定 McAfee Web Gateway 7.6.0 製品ガイド 99 4 プロキシ 透過型ブリッジ モード 表 4-12 透過型ブリッジ オプション 定義 [ポート リダイレ クト] ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリストか ら選択します。 [ディレクターの優 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0 先順位] から 99) を設定します。 最高値が表示されます。0 はアプライアンスがスキャニング ノードと呼ばれるものであるこ とを意味し、データ パケットをフィルターするだけで、仕向けることはないことを意味しま す。 このオプションは、スキャニング ノード(優先順位 = 0)またはディレクター ノー ド(優先順位 > 0)としてノードを構成するためにのみ使用できます。 0 より大きいノードの優先順位の違いは評価されません。 透過型ブリッジ モードで複数のアプライアンスについて 0 より大きいノード優先 順位を構成した後で、その動作を観察して、データ パケットを仕向けるディレクタ ー ノードになるものが実際にどれであるかを調べる必要があります。 [管理 IP] ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプ ライアンスのソース IP アドレスを指定します。 [IP スプーフィン グ (HTTP、 HTTPS)] 選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アドレ スとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用しま す。 アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。 [IP スプーフィン グ (FTP)] 選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。 アクティブな FTP の場合、このオプションを有効にする必要があります。 次の表では、ポート転送のリストのエントリーを説明しています。 表 4-13 ポート転送 - リスト エントリー オプション 定義 [プロトコル名] 要求の送受信で使用されるプロトコル名が表示されます。 [元の宛先ポート] 要求がリダイレクトされる場合、元の宛先ポートが表示されます。 [宛先プロキシ ポー ト] リダイレクト先のポートが表示されます。 [発信元 IP による除 外] 指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。 • IP アドレスだけでなく、ネット マスクも指定する必要があります。 • リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま せん。 • この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処 理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと ができます。 100 McAfee Web Gateway 7.6.0 製品ガイド プロキシ パケット サイズの処理 表 4-13 4 ポート転送 - リスト エントリー (続き) オプション 定義 [宛先 IP による除外] 指定した IP アドレスに送信される要求をリダイレクトの対象外にします。 • IP アドレスだけでなく、ネット マスクも指定する必要があります。 • リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま せん。 • この方法でリダイレクトの対象外を設定すると、信頼された宛先に送信される要求を処理 の対象外にすることができます。 [オプションの 802.1Q VLAN] 設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま す。 [コメント] ポート転送に関するテキスト形式のコメントを提供します。 パケット サイズの処理 アプライアンスの Web Gateway とクライアントの通信でデータ パケットのサイズを柔軟に処理する必要がある場 合、明示的プロキシ モードは通常どおり設定できます。 以下のモードの場合、追加の設定が必要になります。 • プロキシ HA (高可用性) モード • 透過型ルーター モード • 透過型ブリッジ モード データ パケットのサイズは MTU (最大転送単位) パラメーターで測定されます。これにより、1 つのパケットで送信 可能なバイト数が制限されます。 このパラメーターの値を通信パートナー間で交換する方法をパス MTU 検出といいます。 これは、前述の 3 つのモ ードでは使用できません。 たとえば、Web Gateway が VPN (仮想プライベート ネットワーク) トンネル経由で接続しているクライアントに データ パケットを送信するときに、VPN トンネルが処理可能な MTU が 1412 で、データ パケットの MTU が 1500 とします。 この場合、VPN ゲートウェイは ICMP プロトコルでメッセージを送信し、通信パートナーに必要なサイズを通知し ます。ただし、ネットワーク モードが明示的プロキシ モードに設定されるまで、このメッセージは処理されません。 他のモードでこの問題を解決するには、通信 (この場合、VPN トンネルの内側にあるクライアントの通信) に使用す る Web Gateway のネットワーク インターフェースの MTU パラメーター値を小さくする必要があります。 この パラメーターに必要な値 (たとえば、1412) を設定します。 MTU パラメーターは、IPv4 または IP6 プロトコルの [ネットワーク インターフェース] の設定と一緒にユーザー インターフェースで設定します。インターフェースにアクセスするには、[設定] 、 [アプライアンス] の順に移動し ます。 McAfee Web Gateway 7.6.0 製品ガイド 101 4 プロキシ セキュア ICAP セキュア ICAP アプライアンスが ICAP プロトコルの下でサーバーとクライアントのロールをとるとき、コミュニケーションを SSL セキュア モードで実行できます。 このモードを使用するには、アプライアンスでクライアントから SSL 保護要求を受信する ICAP ポートのサーバー 証明書をインポートする必要があります。クライアントが証明書を送信する必要はありません。 ICAP クライアントして機能しているアプライアンスから ICAP サーバーに送信された要求の場合、サーバーとの SSL セキュア通信を有効にするため、サーバー アドレスに ICAPS が含まれている必要があります。 アプライアンスはクライアント証明書を ICAP サーバーに送信しません。 SOCKS プロキシ SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、Web Gateway をプロキシとして実行でき ます。 Web トラフィックを SOCKS プロトコルを送信すると、HTTP または HTTPS などの埋め込みプロトコルも使用さ れます。 Web Gateway では埋め込みプロトコルも検出できます。このプロトコルで送信される Web トラフィックがフィ ルタリングされる場合、このトラフィックで設定済みのフィルタリング ルールが処理されます。フィルタリングがサ ポートされていない場合、トラフィックは適切なルールによってブロックされます。 Web Gateway のプロキシ機能に SOCKS プロトコルを使用する場合には、次のような制限があります。 • SOCKS プロトコルのバージョンが 5、4 または 4a でなければなりません。 • SOCKS プロトコルで接続をセットアップする場合、BIND を使用できません。 SOCKS プロトコルでネクスト ホップ プロキシが転送する Web トラフィックは、レベル 1 または 2 の Kerberos 認証方法で保護できます。 この場合、このトラフィックを SSL で保護する暗号化は適用されません。このため、SSL スキャンは不要です。デ フォルトの SSL スキャナー ルール セットには、このトラフィックが SSL スキャンをスキップするための条件が含 まれています。 SOCKS プロキシの設定 Web Gateway を SOCKS プロキシとして設定するには、いくつかの作業を行う必要があります。 • SOCKS プロキシを有効にします。 • Web Gateway に要求を送信するときに SOCKS プロキシ クライアントが待機するプロキシ ポートを 1 つ以 上指定します。 これらのポートは、Web Gateway の共通プロキシ設定で指定します。 • SOCKS プロキシの動作を制御するルールを作成します。 これらの設定は、Web Gateway の共通プロキシ設定で行います。 102 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ SOCKS プロキシ SOCKS プロキシ ルールでのプロパティとイベントの使用 SOCKS プロキシとしての Web Gateway の動作を制御するルールを作成する場合、2 つのプロパティとイベントが 使用できます。 デフォルトのルール セットまたはルール セット ライブラリに、事前設定の SOCKS プロキシ ルール セット セット はありません。このようなルールを使用する場合には、ルールを作成して既存のルール セットに挿入するか、新しい ルール セットを作成する必要があります。 • ProtocolDetector.DetectedProtocol - このプロパティは、Web トラフィックが SOCKS プロトコルで 転送される場合に埋め込みプロトコル (HTTP、HTTPS など) の検出に使用できます。 この値は、プロトコル名を文字列形式で表したものです。埋め込みプロトコルを検出できない場合、文字列は空 になります。 • ProtocolDetector.ProtocolFilterable - このプロパティは、検出された埋め込みプロトコルで Web トラ フィックにフィルタリングがサポートされているかどうかを確認できます。 フィルタリングが可能であれば、値は true になります。それ以外の場合には、false になります。 ルールでこのプロパティが処理されると、ProtocolDetector.DetectedProtocol プロパティにも値が設定 されます。後者のプロパティでこの値に空の文字列が設定されている場合、埋め込みプロトコルが検出できない ことを意味します。この場合、ProtocolDetector.ProtocolFilterable プロパティの値が false に設定され ます。 • ProtocolDetector.ApplyFiltering - このイベントは、検出されたプロトコルで Web フィルタリングを行 う Web Gateway で、設定済みの他のルールを有効にする場合に使用できます。 以下のルールを使用すると、埋め込みプロトコルが検出され、フィルタリング可能な場合に、SOCKS プロトコルで Web トラフィックをフィルタリングする他のルール処理が有効になります。 名前 フィルタリング可能な埋め込みプロトコルの後で SOCKS トラフィックのフィルタリングを有効にする 条件 ProtocolDetector.ProtocolFilterable is true アクション –> StopCycle イベント ProtocolDetector.ApplyFiltering 埋め込みプロトコルが検出されない場合、次のルールが SOCKS トラフィックをブロックします。 名前 埋め込みプロトコルが検出できない場合に、SOCKS トラフィックをブロックする 条件 ProtocolDetector.DetectedProtocol equals " " アクション –> Block SOCKS トラフィックを有効にするルールが設定されていない場合や、埋め込みプトロコルを検出されずにブロック された場合、このトラフィックは許可されます。 Web アクセス要求を Web Gateway の SOCKS クライアントから受信すると、何も処理は実行されず、要求された Web サーバーに転送されます。 McAfee Web Gateway 7.6.0 製品ガイド 103 4 プロキシ SOCKS プロキシ SOCKS プロキシを設定する Web Gateway の共通プロキシの一部で、SOCKS プロキシを設定できます。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、SOCKS プロキシを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、 ICAP、および IM)] を選択します。 設定ペインにプロキシ機能の設定が表示されます。 3 下にスクロールして [SOCKS プロキシ] を選択します。 4 必要に応じて、これらの項目を設定します。 5 [変更の保存] をクリックします。 関連トピック: 110 ページの「プロキシ設定」 SOCKS での UDP の使用 SOCKS プロトコルで Web Gateway がプロキシとして実行されている場合、UDP (User Datagram Protocol) を 設定できます。 SOCKS プロトコルで送信されたトラフィックが Web Gateway のプロキシ機能で処理されるときに、UDP のトラ フィックも検出し、転送することができます。 このトラフィックはフィルタリングされず、そのまま転送されます。 UDP トラフィックをこのように処理するには、以下の設定を行う必要があります。 • UDP トラフィックを待機するポートの範囲を設定します。 • UDP トラフィックの接続タイムアウトを設定します。 これらの設定を行うだけで、UDP トラフィックの処理を明示的に有効にする必要はありません。この機能はデフォル トで有効になっています。 Web Gateway のクライアントが SOCKS で UDP 接続の確立要求を送信すると、要求で送信されたコマンド名がプ ロパティの値として保存されます。 プロパティの名前は [Command.Name] で、値は SOCKSUDPASSOCIATE です。 このプロパティは、モニタ リングまたは他の目的のルールで使用できます。 また、Web Gateway で UDP トラフィックの処理を無効にするルールでも使用できます。 UDP の使用もモニタリングされ、ダッシュボードの [SOCKS トラフィック サマリー] に表示されます。 SOCKS の UDP を設定する Web Gateway が SOCKS プロトコルでプロキシとして実行されている場合、UDP を設定すると、このプロトコル で送信されたトラフィックのフィルタリングを有効にできます。 タスク 104 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、UDP を設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、SOCKS、 ICAP ...)] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ SOCKS プロキシ 4 3 設定ペインで下にスクロールし、[SOCKS プロキシ] を表示します。 [UDP のポート範囲] で、UDP トラフィッ クを待機するポート範囲を設定します。 4 [HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト] が表示されるまで下にスクロールします。 [UDP タイ ムアウト] で、UDP に接続タイムアウトを設定します。 5 [変更の保存] をクリックします。 関連トピック: 114 ページの「SOCKS プロキシ」 115 ページの「HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト」 SOCKS プロキシ ルール セット SOCKS プロキシ ルール セットは、SOCKS プロトコルで転送されるトラフィックをフィルタリングするライブラリ ルール セットです。 ライブラリ ルール セット - SOCKS プロキシ 条件 - Always サイクル — 要求 (IM)、応答 このルール セットには、以下のルールが含まれます。 フィルタリング可能なプロトコルが埋め込まれている SOCKS プロトコルのトラフィックのフィルタリング ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle — ProtocolDetector.ApplyFiltering このルールは、ProtocolDetector.ProtocolFilterable プロパティを使用して、SOCKS トラフィックに埋め 込まれているプロトコルが Web Gateway でフィルタリング可能かどうか検査します。フィルタリング可能なプ ロトコルは HTTP と HTTPS です。 いずれかのプロトコルが検出されると、ルール イベントがフィルタリングを有効にします。埋め込みプロトコルが 検出されないと、このルールは適用されず、次のルールが処理されます。 埋め込みプロトコルが検出されない場合、SOCKS トラフィックをブロック ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block <Default> 埋め込みプロトコルが検出されない場合、このルールが要求をブロックします。 検出したプロトコルがホワイトリストにない場合に SOCKS トラフィックをブロック ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol Whitelist –> Block <Default> 埋め込みプロトコルが検出されても特定のホワイトリストに存在しない場合、このルールが要求をブロックします。 このルールは、デフォルトでは有効になっていません。 McAfee Web Gateway 7.6.0 製品ガイド 105 4 プロキシ インスタント メッセージング インスタント メッセージング インスタント メッセージ ング プロキシは、インスタント メッセージング (IM) チャットとファイル転送をフィルタリン グするために、アプライアンスにセットアップできます。 ネットワークのユーザーがインスタント メッセージング通信に参加するとき、たとえば、インスタント メッセージ ング サーバーにチャット メッセージを送ったり、そのメッセージに対する返信を受け取ったり、ファイルを送受信 したりします。アプライアンスのインスタント メッセージング プロキシは、実装したフィルタリング ルールに従っ てこのフィルタリングをインターセプトしたり、フィルタリングできます。このために、インスタント メッセージン グ トラフィックは、アプライアンスにリダイレクトされます。 以下のネットワーク コンポーネントがフィルタリング プロセスに含まれています。 • インスタント メッセージングのプロキシ — プロキシは Yahoo プロキシ、Windows Live Messenger プロキシ やその他などさまざまなプロトコルの元でインスタント メッセージングをフィルタリングするために、アプライ アンスをセットアップできます。 • インスタント メッセージングのクライアント — これらのクライアントはネットワーク内のユーザーのシステム 上で実行され、インスタント メッセージング サーバーとの通信を可能にします。 • インスタント メッセージングのサーバー — これらは、ネットワーク内からクライアントによりアドレス指定さ れる宛先です。 • ネットワークのその他のコンポーネント — インスタント メッセージング フィルターーに含まれる他のコンポ ーネントには、たとえば、インスタント メッセージング トラフィックをアプライアンスにリダイレクトするファ イアウォールやローカル DNS サーバーなどがあります。 インスタント メッセージング フィルタリングを設定するときには、インスタント メッセージング プロキシやインス タント メッセージング トラフィックをインターセプトとフィルタリングできるようにするプロキシへの設定操作を 完了する必要があります。 また、インスタント メッセージング トラフィックがインスタント メッセージング プロキシに確実にリダイレクトさ れるようにする必要もあります。しかし、この設定操作はクライアント上で行うものではなく、ネットワークの他の コンポーネント上で行われます。たとえば、DNS のリダイレクトやファイアウォール ルールは適切な方法で設定さ れます。 アプライアンスのインスタント メッセージング プロキシは、Yahoo、Microsoft、ICQ、Google により提供された ベンダー IM クライアント ソフトウェアと共に主に使用されることを意図しています。しかし、クライアント ソフ トウェアは、隠れた更新が行われた後で事前の警告なしに、新しいログオン サーバーを使用するなど、操作を変更す る可能性があります。 サードパーティのクライアント ソフトウェアを使用するときは、一般的にログオン サーバー、プロトコル バージョ ン、または認証方式が元のクライアント ソフトウェアのものに比べて変更されている可能性があることを理解してお く必要があり、このことによりアプライアンスのインスタント メッセージング プロキシがインスタント メッセージ ング トラフィックをインターセプトしたり、フィルタリングできなくなる可能性があります。 インスタント メッセージング プロキシの設定 アプライアンスでインスタント メッセージング プロキシを設定する場合、[構成]トップレベル メニューの[プロキ シ]設定の関連する部分を構成する必要があります。 主に以下の設定があります。 106 • インスタント メッセージング プロキシの有効化 • インスタント メッセージング クライアントにより送信される要求を待機する IP アドレスとポート McAfee Web Gateway 7.6.0 製品ガイド プロキシ インスタント メッセージング • インスタント メッセージング サーバーの設定 • インスタント メッセージング通信のタイムアウト 4 デフォルト値は、アプライアンスの初期セットアップ後にこれらのすべての設定に対して事前設定されます。 以下のプロトコルの下のインスタント メッセージングを以下のとおり、フィルタリングすることができます。 • Yahoo • ICQ • Windows Live Messenger • XMPP。Google Talk、Facebook チャット、Jabber、その他のインスタント メッセージング サービスに使用さ れるプロトコル インスタント メッセージング トラフィックのフィルタリングのために、アプライアンスで処理されるルールは、こ れらのルール セットの設定で処理サイクルとして設定される要求 (および IM) をもつものです。 しかし、応答サイクルは Yahoo プロトコルの下でインスタント メッセージングがフィルタリングされるときにも関 係します。このプロトコルの下では、要求されたファイルが通常の Web トラフィックでファイルを転送するために 使用される応答と同じ種類の応答で、クライアントに転送されます。ファイルはサーバーに保管され、HTTP のもと で、クライアントにより取得されます。たとえば、適切な URL を使用するなどです。 インスタント メッセージング クライアントと特定のプロトコルの下のプロキシとの間の通信に問題が発生した場 合、クライアントは別のプロトコルを使用して切り替え、このようにプロキシをバイパスすることもできます。クラ イアントは通常の Web トラフィックに対するプロトコルを使用することさえできます。アプライアンスのダッシュ ボード上で、これは表示される IM トラフィックの減少と Web トラフィックの増大が導かれます。 セッションの開始 クライアントとサーバー間のインスタント メッセージング セッションの初期化中に、クライアントの要求はアプラ イアンスでのみ受信できますが、応答を返信することはできません。この状態が続く限り、 IM.Message.CanSendBack プロパティはルールで使用されるときの値として false をもつことになります。 インスタント メッセージング トラフィックを完全にブロックしない限り、セッション初期化に関するブロッキング ルールを施行しないことをお勧めします。必要なヘルパー接続を許可することも必要です。通常は、DNS 要求や HTTP 転送が該当します。 認証されたユーザーのみを許可するなど、施行する制限はチャット メッセージやファイル転送など、セッション自体 が進行中の間のトラフィックに適用されます。 インスタント メッセージング フィルタリングのためのその他のネットワーク コンポーネントの構成 インスタント メッセージング フィルタリングのその他のネットワーク コンポーネントの構成の目的は、クライアン トとサーバーの間で進行中のインスタント メッセージング トラフィックを、1 つ以上のインスタント メッセージン グ プロキシを実行中のアプライアンスにリダイレクトすることです。 たとえば、ICQ プロトコルの下で、クライアントはホスト名 api.icq.net をもつサーバーに要求を送信します。イ ンスタント メッセージング フィルタリングの場合は、ホスト名をアプライアンスの IP アドレスではなく、ICQ サ ーバーの IP アドレスに解決しない DNS リダイレクト ルールを作成する必要があります。 同様に、ファイアウォール ルールを作成して、インスタント メッセージング トラフィックをインスタント メッセー ジング サーバーではなく、アプライアンスにダイレクトすることができます。 Windows Live Messenger の下でのインスタント メッセージング トラフィックのフィルタリング Windows Live Messenger プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリン グを設定するとき、以下の知識が役立ちます。 McAfee Web Gateway 7.6.0 製品ガイド 107 4 プロキシ インスタント メッセージング インスタント メッセージング サーバーのホスト名は messenger.hotmail.com です。これは、インスタント メ ッセージング プロキシをもつアプライアンスの IP アドレスによるリダイレクト ルールにより解決される必要があ るホスト名です。 時々、クライアントは DNS ルックアップで解決されるホスト名を要求せずに、サーバーに接続します。この場合、 クライアント設定内の以下のレジストリ エントリーを検索し、削除することを助けます。 geohostingserver_messenger.hotmail.com:1863, REG_SZ サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま せん。 http://login.live.com このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を 挿入する必要があります。 ICQ の下でのインスタント メッセージング トラフィックのフィルタリング ICQ プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以下 の知識が役立ちます。 インスタント メッセージング サーバーのホスト名は次のようになります。 • api.icq.net (サービス要求サーバー: AOL から 独立以来新規) • ars.oscar.aol.com (古いファイル転送プロキ シ) • ars.icq.com (ファイル転送プロキシ: AOL か ら独立以来新規) • login.icq.com (新しいログオン手順の場合) • api.oscar.aol.com (古いサービス要求サーバ ー) • login.oscar.aol.com (古いログオン手順の場 合) ICQ クライアントは、アプライアンスのインスタント メッセージング プロキシによりインターセプトできない暗号 化プロセスのサーバーにログオンします。 しかし、これ以降、ICQ クライアントはログオン後に受け取るマジック トークンを使用して、セッション サーバー に関する情報をサービス要求サーバーに求めます。ここで、インスタント メッセージング プロキシがインターセプ トします。フィルタリング プロセスはその後、セッション サーバーとの通信でクライアント名が発表された後で、 別のログオン手順を使用します。 ベンダー Yahoo クライアントとは対照的に、ベンダー ICQ クライアントは Internet Explorer 接続設定を無視し ます。 Yahoo の下でのインスタント メッセージング トラフィックのフィルタリング Yahoo プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以 下の知識が役立ちます。 要求が送信されるインスタント メッセージング サーバーのリストが非常に長くなることがあります。以下は使用さ れている、または使用されたことがあるサーバーのホスト名のリストです。これまでに現れた新しいサーバーはリス トに追加することが必要な場合があります。 108 • vcs.msg.yahoo.com • scs.msg.yahoo.com • vcs1.msg.yahoo.com • scs-fooa.msg.yahoo.com • vcs2.msg.yahoo.com • scs-foob.msg.yahoo.com • scs.yahoo.com • scs-fooc.msg.yahoo.com McAfee Web Gateway 7.6.0 製品ガイド プロキシ インスタント メッセージング • cs.yahoo.com • scs-food.msg.yahoo.com • relay.msg.yahoo.com • scs-fooe.msg.yahoo.com • relay1.msg.dcn.yahoo.com • scs-foof.msg.yahoo.com • relay2.msg.dcn.yahoo.com • scsd.msg.yahoo.com • relay3.msg.dcn.yahoo.com • scse.msg.yahoo.com • mcs.msg.yahoo.com • scsf.msg.yahoo.com • scs.msg.yahoo.com • scsg.msg.yahoo.com • scsa.msg.yahoo.com • scsh.msg.yahoo.com • scsb.msg.yahoo.com 4 サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま せん。 • http://vcs1.msg.yahoo.com/capacity • http://vcs2.msg.yahoo.com/capacity このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を 挿入する必要があります。 [インターネットに直接接続]オプションが Yahoo クライアントの設定の中で有効になっている場合でも、Internet Explorer の接続設定を引き続き使用している場合があります。これが原因となり、プロセスの後の段階でログオン が失敗することがあります。したがって、ホワイトリストに URL *login.yahoo.com* も挿入することをお勧め します。 インスタント メッセージング フィルタリングの問題 インスタント メッセージング フィルタリングの問題には、たとえば、クライアントとサーバー間の接続や施行され たフィルタリング ルールの適用などが含まれる場合があります。 キープアライブ データ パケットはインスタント メッセージ トラフィックの一部として定期的な間隔で送信され、通 信パートナーが引き続き接続され、応答可能であることを示します。IM プロトコルとクライアント ソフトウェアに 応じて、間隔は 20 ~ 80 秒間の間で変動します。これらのデータ パケットは、アプライアンスで施行されるフィル タリング ルールにより処理されません。 トラブルシューティングの状況でそのようなデータ パケットを検出した場合、どのルールが引き続き実行されている のかを確認するために、ルール エンジン トレーシング機能を使用することができます。 クライアントがサーバーにログインのために要求を送信するとき、適切な設定が行われている場合は、アプライアン スにリダイレクトされます。しかし、クライアントは同時に、SSL セキュア認証を必要とする別のサーバーにログイ ンを試みることもできます。これが失敗した場合、クライアントはアプライアンスへの接続を停止することもできま す。 一部のクライアントはまた、サーバーへのログオンの失敗後に基本的なトラブルシューティング テストを実行するた めのオプションも提供しています。 McAfee Web Gateway 7.6.0 製品ガイド 109 4 プロキシ XMPP プロキシ XMPP プロキシ アプライアンスのインスタント メッセージ通信をフィルタリングするとき、使用できるメソッドの 1 つは、XMPP (拡張されたメッセージングおよび存在の有無に関するプロトコル) の下でプロキシをセットアップすることです。 このプロトコルは、Jabber の名前でも知られます。たとえば、Facebook チャットや Google トークに参加する際 に XMPP クライアントとサーバーの間で行き来するために使用されます。 [構成] 、 [プロキシ] の下でユーザー インターフェースの XMPP プロキシの設定を構成できます。 SSL スキャナー ルール セットがアプライアンスで有効に設定されていない場合、XMPP クライアントとこのアプラ イアンスの間で行き来するトラフィックは暗号化されませんが、アプライアンスで有効なすべてのルールによりフィ ルタリングされます。クライアントが暗号化されていなトラフィックを受け付けない場合、接続は閉じます。 SSL スキャナー ルールが有効に設定されているとき、アプライアンスの他のルールによりフィルタリングするため に使用できるように、SSL スキャニングを使用してトラフィックは暗号化され、検査されます。 共通のプロキシ設定の構成 ネットワーク モードに固有の設定だけでなく、共通のプロキシを設定できます。たとえば、Web Gateway で設定 可能なプロキシの設定を行うことができます。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、共通のプロキシ設定を構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、 ICAP、および IM)]をクリックします。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 プロキシ設定 [プロキシ] の設定は、Web Gateway に実装可能なネットワーク モードのパラメーターを設定する場合に使用され ます。また、これらのモードに適用される共通のパラメーターを設定する場合にも使用されます。ルール エンジンの 定期的な実行も設定できます。 [ネットワークのセットアップ] ネットワーク モードの実装設定 ネットワーク モードを選択すると、この設定の下にモード固有の設定が表示されます。 表 4-14 [ネットワークのセットアップ] 110 オプション 定義 [プロキシ モード (オプションの WCCP 付き)] 明示的プロキシ モードが使用されます。WCCP サービスが Web トラフ ィックをアプライアンスにリダイレクトできます。 [プロキシ HA] 明示的プロキシ モードで高可用性機能が使用されます。 [透過型ルーター] 透過型ルーター モードが使用されます。 [透過型ブリッジ] 透過型ブリッジ モードが使用されます。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ プロキシ設定 4 HTTP プロキシ アプライアンスのプロキシを HTTP プロトコルで実行する場合の設定 このプロトコルは、Web ページとその他のデータ転送に使用されます (セキュリティを強化する SSL 暗号化でも使 用されます)。 表 4-15 HTTP プロキシ オプション 定義 [HTTP プロキシを有効にする] 選択すると、アプライアンスのプロキシが HTTP プロトコルで実行されます。 [HTTP ポート定義リスト] クライアント要求を待機するアプライアンスのポートを入力するためのリスト を提供します。 [FTP over HTTP の匿名ログイン] アプライアンスの HTTP プロキシが FTP サーバーに要求を送信するときに、 匿名ログオンで使用されるユーザー名を指定します。 [FTP over HTTP の匿名ログイン のパスワード] ユーザー名のパスワードを設定します。 [Via HTTP ヘッダーを追加する] 選択すると、アプライアンスで処理される要求に Via HTTP ヘッダーが追加さ れます。 このオプションはデフォルトで選択されています。 [コンテンツ エンコーディングに 応じて、アーカイブ要求の content-type ヘッダーを調整す る] 選択すると、このヘッダーがアーカイブのコンテンツ エンコーディングと一致 しない場合に、アーカイブ ファイルに対するアクセス要求の content-type ヘ ッダーが調整されます。 [ホスト ヘッダーの優先度を元の 宛先アドレスよりも高くする (透 過型プロキシ)] 選択すると、透過型プロキシ モードで動作しているアプライアンスのプロキシ に送信された要求が明示的プロキシのトラフィックとして認識され、処理され ます。 たとえば、負荷分散装置が転送した要求を透過型モードのアプライアンスで受 信できます。 プロキシで要求を明示的プロキシ モードのトラフィックとして 認識されないと、この要求はフィルタリングされずに Web に転送されます。 このオプションは、アプライアンスで明示的プロキシ モードが設定されていな い場合にのみ使用できます。 このオプションが使用可能な場合、デフォルトで選択されています。 FTP プロキシ アプライアンスのプロキシを FTP プロトコルで実行する場合の設定 このプロトコルは、制御機能とデータ転送用の個別の接続を使用してファイルを転送する場合に使用されます。 該当するルールに [FTP アップロード進捗状況表示]イベントを挿入すると、FTP クライアントから Web にファイルがアップロードされ、Web Gateway で処理されたときに、進行状況インジケーターがクライ アントに送信されます。 ウイルスやマルウェアのスキャンで処理に時間がかかる場合があります。この設定を行うと、このような 場合でもクライアントでのタイムアウトを防ぐことができます。 McAfee Web Gateway 7.6.0 製品ガイド 111 4 プロキシ プロキシ設定 表 4-16 FTP プロキシ オプション 定義 [FTP プロキシを有効にする] 選択すると、アプライアンスのプロキシが FTP プロトコル で実行されます。 [FTP ポート定義リスト] クライアント要求を待機するアプライアンスのポートを入 力するためのリストを提供します。 [FTP サーバー名に @ 文字の使用を許可 (USER ftpserveruser@ftpserver を使用する認証)] 選択すると、この文字をユーザー名で使用できます。 [USER proxyuser@ftpserveruser@ftpserver を使 用した認証を有効にする] 選択すると、この構文をユーザー名で使用できます。 [USER ftpserveruser@proxyuser@ftpserver を使 用した認証を有効にする] 選択すると、この構文をユーザー名で使用できます。 [ウェルカム メッセージのカスタマイズを有効にする] 選択すると、FTP プロトコル経由で Web アクセス要求を 送信したユーザーに表示するウェルカム メッセージを編 集できます。 [カスタマイズされたウェルカム メッセージ] テキスト フ ィールドにウェルカム メッセージを入力し、メッセージ内 で使用される変数に適切な値を設定します。 §MWG-ProductName$ $MWG-Version$ - ビルド $MWG.BuildNumber$ へようこそ $System.HostName$ - $System.UUID$ $Proxy.IP$:$Proxy.Port$ で実行中 [ネクスト ホップ プロキシ ログインで使用するコマン FTP プロトコルでネクスト ホップ プロキシに接続したと ドを選択する] きに Web Gateway がログインで送信するコマンドを選 択できます。 次のコマンドを選択できます。 • SITE • OPEN • USER@Host 以下の表では、[FTP ポート定義リスト]の項目について説明します。 表 4-17 FTP ポート定義リスト - リスト項目 オプション 定義 [リスナー アドレス] FTP 要求を待機するポートの IP アドレスとポート番号を指定します。 [データ ポート] FTP プロトコルでのデータ転送に使用するポートの番号を指定します。 [クライアント リスナーのポート範 囲] クライアントから受信する FTP 要求を待機するポート番号の範囲を設定し ます。 この範囲は、開始ポートと終了ポートの番号を指定して設定します。 [サーバー リスナーのポート範囲] 要求の転送先となる Web サーバーから受信する FTP 応答を待機するポー ト番号の範囲を設定します。 [クライアントにパッシブ FTP 接続の 選択すると、FTP プロトコルのパッシブ接続でクライアントからの要求を 使用を許可する] 送信できます。 [McAfee Web Gateway がクライア ントと同じ接続 (アクティブ/パッシ ブ) を使用する] 112 McAfee Web Gateway 7.6.0 選択すると、Web Gateway に要求を送信したクライアントと同じ種類の 接続で Web Gateway が Web トラフィックを送信します。 製品ガイド 4 プロキシ プロキシ設定 表 4-17 FTP ポート定義リスト - リスト項目 (続き) オプション 定義 [McAfee Web Gateway でパッシブ FTP 接続を使用する] 選択すると、FTP プロトコルのパッシブ接続で Web Gateway が Web ト ラフィックを送信します。 [コメント] FTP 要求を待機するポートの説明をテキスト形式で入力します。 ICAP サーバー アプライアンスで ICAP サーバーを実行し、ICAP クライアントとの通信で要求と応答を変更する場合の設定 表 4-18 ICAP サーバー オプション 定義 [ICAP サーバーを有効に 選択すると、アプライアンスで ICAP サーバーが実行されます。 する] [ICAP ポート定義リス ト] ICAP クライアントからの要求を待機するアプライアンスのポートを入力するためのリ ストを提供します。 ネットワーク内の複数のアプライアンスで異なる ICAP サーバーを設定している場合、 ラウンドロビン方式で ICAP クライアントからの要求がサーバーに配信されます。 IFP プロキシ アプライアンスのプロキシを IFP プロトコルで実行する場合の設定 このプロトコルは、Web ページの転送に使用されます。 表 4-19 IFP プロキシ オプション 定義 [IFP プロキシを有効にする] 選択すると、IFP プロトコルでアプライアンス上でプロキシが実行されます。 [IFP ポート定義リスト] IFP プロキシのクライアント要求を待機するアプライアンスのポートを入力する ためのリストを提供します。 [同時に許可される IFP 要求の 最大数] 同時に処理される IFP 要求の最大数を指定します。 この設定を使用すると、IFP プロキシの過負荷を防ぐことができます。 以下の表では、[IFP ポート定義リスト] の項目について説明します。 表 4-20 IFP ポート定義リスト - リスト項目 オプション 定義 [リスナー アドレス] IFP 要求を待機するポートの IP アドレスとポート番号を指定します。 [リダイレクトでエラー メッ true に設定すると、要求をエラー メッセージ ページにリダイレクトして、要求を送 セージを送信する] 信したユーザーに通知します (たとえば、要求がブロックされた理由など)。 それ以外の場合には、関連情報が通常のメッセージとして IFP プロトコルで送信さ れます。 [コメント] McAfee Web Gateway 7.6.0 IFP 要求を待機するポートの説明をテキスト形式で入力します。 製品ガイド 113 4 プロキシ プロキシ設定 SOCKS プロキシ アプライアンスのプロキシを SOCKS (ソケット) プロトコルで実行するための設定 表 4-21 SOCKS プロキシ オプション 定義 [SOCKS プロキシを有効にする] 選択すると、アプライアンスのプロキシが SOCKS プロトコルで実行されます。 [SOCKS ポート定義リスト] SOCKS プロキシのクライアント要求を待機するアプライアンスのポートを入 力するためのリストを提供します。 以下の表では、[SOCKS ポート定義リスト] の項目について説明します。 表 4-22 SOCKS ポート定義リスト - リスト項目 オプション 定義 [リスナー アドレス] SOCKS 要求を待機するポートの IP アドレスとポート番号を指定します。 [UDP のポート範囲] SOCKS プロキシを設定している場合に、UDP プロトコルで送信された要求を待機するポー トの範囲を設定します。 [コメント] SOCKS 要求を待機するポートの説明をテキスト形式で入力します。 Data Exchange Layer DXL (Data Exchange Layer) 技術を使用して異なるセキュリティ製品間で情報を交換する場合の設定 表 4-23 Data Exchange Layer オプション 定義 [購読トピック] セキュリティ製品が関連メッセージを受信するために購読できるトピックのリストが表示されま す。 [サービス] トピック関連のメッセージをセキュリティ製品に送信するサービスのリストが表示されます。 以下の表では、[購読トピック] リストと [サービス] リストの項目について説明します。 表 4-24 購読トピック - リスト項目 オプション 定義 [文字列] トピックの名前が表示されます。 [コメント] トピックに対するコメントがテキスト形式で表示されます。 表 4-25 サービス - リスト項目 オプション 定義 [サービス] トピック関連のメッセージを送信するサービスの名前が表示されます。 [コメント] サービスに対するコメントがテキスト形式で表示されます。 Web キャッシュ アプライアンスで Web キャッシュを有効にする場合の設定 Web キャッシュを有効にするだけでなく、キャッシュの読み書きを制御するルール セットを実装する必要がありま す。 表 4-26 Web キャッシュ 114 オプション 定義 [キャッシュを有効にする] 選択すると、アプライアンスで Web キャッシュが有効になります。 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ プロキシ設定 HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト HTTP、HTTPS、FTP、ICAP、SOCKS、UDP プロトコルでの通信の接続タイムアウトの設定 表 4-27 HTTP(S)、FTP、ICAP、SOCKS、UDP のタイムアウト オプション 定義 [初期接続のタイムアウト] 接続を閉じるまでの時間 (秒) を指定します。この時間が経過しても、新規に開いた 接続が要求を受信しない場合、接続を終了します。 [接続タイムアウト] 未完了要求の通信中に接続を閉じるまでの時間 (秒) を指定します。指定した時間 が経過しても、クライアントまたは Web サーバーが非アクティブな状態を継続し ている場合、接続を終了します。 [クライアント接続のタイムア 要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな ウト] い場合、アプライアンスからクライアントへの接続を終了します。 [HTTP サーバーの未使用接続 要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな の最大アイドル時間] い場合、アプライアンスからサーバーの HTTP 接続を終了します。 [UDP タイムアウト (非アク ティブ タイムアウト)] 要求間の許容時間 (秒) を設定します。この時間が経過しても次の要求を受信しな い場合、アプライアンスからクライアントの UDP 接続を終了します。 DNS 設定 ドメイン名システムのサーバーと通信を行う場合の設定 表 4-28 DNS 設定 オプション 定義 [IP プロトコル バー ジョンの基本設定] 通信に使用する IP プロトコルのバージョンを選択できます。 • (バージョン オプション) • [受信接続と同じ] - 選択すると、受信接続ですでに使用しているプロトコル バージョ ンが使用されます • [IP4] - 選択すると、IP プロトコルのバージョン 4 が使用されます。 • [IP6] - 選択すると、IP プロトコルのバージョン 6 が使用されます。 • [他のプロトコル バージョンをフォールバックとして使用する] - 選択すると、2 つのバ ージョンのいずれかが使用不能な場合、他のプロトコル バージョンが使用されます。 [DNS キャッシュの 最小 TTL] キャッシュ内のデータを削除するまでの最小期間 (秒単位) で設定します。 [DNS キャッシュの 最大 TTL] キャッシュ内のデータを削除するまでの時間 (秒単位) を指定します。指定した時間が経過 すると、キャッシュ内のデータが削除されます。 Yahoo アプライアンスのインスタント メッセージング プロキシで Yahoo プロトコルを使用する場合の設定 表 4-29 Yahoo オプション 定義 [Yahoo プロキシを有効にする] 選択すると、アプライアンスでインスタント メッセージングのプロキシが Yahoo プロトコルを使用します。 [リスナー アドレス] プロキシの IP アドレスとクライアント要求の待機ポートを指定します。 [0.0.0.0:80 経由のファイル転 選択すると、ファイル転送要求でこの IP アドレスとポートを使用できます。 送をサポート] [ログイン サーバー] McAfee Web Gateway 7.6.0 要求の送信前にユーザーがログオンするサーバーのホスト名とポート番号を指定 します。 製品ガイド 115 4 プロキシ プロキシ設定 表 4-29 Yahoo (続き) オプション 定義 [リレー サーバー (日本)] ファイル転送時に中継局として使用されるサーバーのホスト名とポート番号を指 定します。 [Yahoo クライアント接続タイ ムアウト] インスタント メッセージング プロキシからクライアントへの接続を閉じるまで の時間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブ にならない場合、接続を終了します。 [Yahoo サーバー接続タイムア ウト] インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時 間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにな らない場合、接続を終了します。 ICQ アプライアンスの OSCAR (Open System for Communication in Real Time) プロトコルでインスタント メッ センジャー プロキシーを実行する場合の設定 表 4-30 ICQ オプション 定義 [ICQ プロキシを有効 選択すると、アプライアンスでインスタント メッセージングのプロキシが OSCAR を使用 にする] します。 [ログインとファイル 転送プロキシのポー ト] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレスを 指定します。また、ログオンとファイル転送を処理するポート番号も指定します。 • [追加のファイル転送プロキシ ポートを有効にする] - これを選択すると、ファイル転送 の処理に追加ポートを使用できます • [追加のファイル転送プロキシ ポート] - ファイル転送を処理する追加の IP アドレス とポート番号を指定します。 [BOS リスナー ポー ト] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレスを 指定します。また、BOS (Basic OSCAR Service) 要求を待機するポート番号も指定しま す。 これらの要求は、ファイル転送などではなく、チャット メッセージの送信要求です。 [ICQ ログイン サー バー] 要求の送信前にユーザーがログオンするサーバーのホスト名とポート番号を指定します。 [ICQ サービス要求サ 要求を処理するサーバーのホスト名とポート番号を指定します。 ーバー] [ICQ ファイル転送プ ファイル転送を処理するサーバーのホスト名とポート番号を指定します。 ロキシ] [ICQ クライアント接 インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時間 続タイムアウト] (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、 接続を終了します。 [ICQ サーバー接続タ インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間 (秒) を イムアウト] 設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、接続を終 了します。 116 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ プロキシ設定 Windows Live Messenger アプライアンスのインスタント メッセージング プロキシで Windows Live Messenger プロトコルを使用する場合 の設定 表 4-31 Windows Live Messenger オプション 定義 [Windows Live Messenger プロキシを有 効にする] 選択すると、アプライアンスでインスタント メッセージングのプロキシが Windows Live Messenger プロトコルを使用します。 [Windows Live Messenger NS プロキシ リスナー 1] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ スを指定します。また、NS (通知サーバー) モードでクライアント要求を待機する最 初のポート番号も指定します。 [Windows Live Messenger NS プロキシ リスナー 2] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ スを指定します。また、NS (通知サーバー) モードでクライアント要求を待機する 2 番目のポート番号も指定します。 [Windows Live Messenger SB プロキシ ポート] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレ スを指定します。また、SB (スイッチボード) モードでクライアント要求を待機するポ ート番号も指定します。 [Windows Live Messenger クライアント 接続タイムアウト] インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時 間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならな い場合、接続を終了します。 [Windows Live Messenger サーバー接続 タイムアウト] インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間 (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場 合、接続を終了します。 XMPP アプライアンスのインスタント メッセージング プロキシで XMPP プロトコルを使用する場合の設定 これは、Jabber、Google Talk、Facebook Chat などのインスタント メッセージング サービスで使用されている プロトコルです。 表 4-32 XMPP オプション 定義 [XMPP プロキシを有効 選択すると、アプライアンスでインスタント メッセージングのプロキシが XMPP プロト にする] コルを使用します。 [プロキシ ポート] インスタント メッセージング プロキシが実行されているアプライアンスの IP アドレス を指定します。また、XMPP プロトコルで要求を待機するポート番号も指定します。 [クライアント接続のタ インスタント メッセージング プロキシからクライアントへの接続を閉じるまでの時間 イムアウト] (秒) を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、 接続を終了します。 [サーバー接続のタイム インスタント メッセージング プロキシからサーバーへの接続を閉じるまでの時間 (秒) アウト] を設定します。ここで指定した時間が経過しても接続がアクティブにならない場合、接続 を終了します。 McAfee Web Gateway 7.6.0 製品ガイド 117 4 プロキシ プロキシ設定 詳細設定 プロキシ機能の詳細設定 表 4-33 詳細設定 オプション 定義 [クライアント接続の最大 数] アプライアンスのプロキシとクライアント間の接続数を制限します。 [コンテンツを圧縮してクラ イアントに送信する] Web サーバーからの応答を Web Gateway 経由でクライアントに転送するときの コンテンツの圧縮オプションが表示されます。 0 を指定すると、制限が設定されません。 • [実行しない] - サーバーの応答をクライアントに転送するときに、コンテンツは 圧縮されません。 • [サーバーの応答が圧縮されている場合] - サーバーからの応答でコンテンツがす でに圧縮されている場合にコンテンツを圧縮します。 • [クライアントが圧縮に対応している場合] - 転送先のクライアントが圧縮に対応 している場合にのみ、コンテンツを圧縮します。 [クライアントから圧縮形式 で受信した要求を処理する] Web Gateway クライアントから圧縮形式で要求を受信した場合の処理オプション が表示されます。 • [抽出] - 圧縮されたコンテンツを展開またはフィルタリングせずに、Web サーバ ーに要求をそのまま送信します。 • [抽出] - 圧縮されたコンテンツを抽出して、フィルタリングできるようにします。 Web サーバーに転送する前に再度圧縮することはありません。 • [抽出して再度圧縮] - 圧縮されたコンテンツを抽出して、フィルタリングできる ようにします。Web サーバーに転送する前に再度圧縮します。 [作業用スレッドの数] アプライアンスでプロキシが実行されているときに Web オブジェクトのフィルタ リングと転送に使用するスレッド数を指定します。 [ウイルス スキャンのスレッ アプライアンスでプロキシが実行されているときに Web オブジェクトのマルウェ ド数] ア スキャンに使用するスレッド数を指定します。 [TCP 遅延なしを使用] 選択すると、データ パケットの構築に Nagle アルゴリズムが使用されないため、プ ロキシ接続の遅延を回避できます。 このアルゴリズムは、指定された量のデータが収集されるまで、パケットが送信され ないようにします。 [DNS キャッシュの最大 TTL (秒)] 118 McAfee Web Gateway 7.6.0 ホスト名情報を DNS キャッシュに保存する時間 (秒) を制限します。 製品ガイド 4 プロキシ プロキシ設定 表 4-33 詳細設定 (続き) オプション 定義 [長時間接続によるタイムア ウト エラー] 別のネットワーク コンポーネントとの長時間接続を許可する時間 (時間) を設定し ます。この期間を経過してもアクティブ状態に戻らない場合、Web Gateway が接続 を終了します。 デフォルトは 24 時間です。 この設定を行うと、極端に長く継続している接続による Web Gateway アプライア ンスのパフォーマンス低下を防ぐことができます。 タイムアウトを判定するための時間は接続プロトコルによって測定方法が異なりま す。 • HTTP、HTTPS (コンテンツ検査あり)、ICAP、類似プロトコル: 接続で送信され た要求ごとに時間が測定されます。 • SOCKS (埋め込みプロトコルがない場合)、トンネル化された HTTP、HTTPS (コ ンテンツ検査なし)、類似プロトコル: 接続全体で時間が測定されます。 • FTP: 制御接続の時間が測定されます。 接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ルー ル セットのルールで処理できます。 [長時間接続の実行間隔を確 認] 長時間接続で確認メッセージが送信される間隔 (分) を設定します。 [接続または要求あたりの最 大データ量] Web Gateway が接続を終了する前に、長時間接続で他のネットワーク コンポーネ ントに送信可能なデータ量 (MB) を設定します。 デフォルトの量は 10,240 MB です。 この設定を行うと、極端に長く継続し、大量のデータを送信している接続で Web Gateway アプライアンスのパフォーマンスが低下しないように防ぐことができま す。 最大容量を判定するためのデータ量は接続プロトコルによって測定方法が異なりま す。 • HTTP、HTTPS (コンテンツ検査あり)、ICAP、類似プロトコル: 接続で送信され た要求ごとにデータの負荷が測定されます。 • SOCKS (埋め込みプロトコルがない場合)、トンネル化された HTTP、HTTPS (コ ンテンツ検査なし)、類似プロトコル: 接続全体でデータの負荷が測定されます。 • FTP: データ接続の負荷が測定されます。 接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ルー ル セットのルールで処理できます。 Bytes.ToClient、Bytes.ToServer、Bytes.FromClient、 Bytes.FromServer プロパティに、エラー処理ルールで使用可能な測定データの 値が設定されます。 [接続のボリューム間隔] 長期間接続のボリューム間隔を設定します。 [内部パス ID] エラー メッセージを表示するスタイル シートの要求など、内部要求 (クライアント から受信する要求でない) の転送にアプライアンスが使用するパスの ID が表示され ます。 [本文を含めることができな い応答で RESPmod をバイ パスする] 選択すると、ICAP プロトコルで送信される応答に本文が存在しない場合、 RESPMOD モードに従って応答が変更されません。 McAfee Web Gateway 7.6.0 製品ガイド 119 4 プロキシ プロキシ設定 表 4-33 詳細設定 (続き) オプション 定義 [進行状況ページの更新とエ ラー テンプレートに埋め込 まれたオブジェクトのログ ハンドラーを呼び出す] 選択すると、アプライアンスに実装されているログ ハンドラー ルール セットのルー ルが実行され、指定した更新またはオブジェクトが処理されます。 [プロキシ経由でのローカル ポートの使用を接続に許可 する] 選択すると、プロキシが実行されているアプライアンスのローカル ポートが要求の 処理に使用されます。 [Proxy.IP プロパティ値と して仮想 IP を使用する] 選択すると、高可用性モードの Proxy.IP プロパティの値が構成内のすべてのノード の仮想 IP アドレスとなります。 プロキシに接続するためにクライアントが使用する仮想 IP アドレスです。 ダイレクター ノードがクライアントからスキャン ノードに送信された要求をリダイ レクトするとき、このアドレスもスキャン ノードにある [Proxy.IP] プロパティの値 になります (スキャニング ノードの物理的アドレスではありません)。 [HTTP(S): ホップごとのヘ ッダーをすべて削除する] 選択すると、HTTP または HTTPs プロキシが実行されているアプライアンスで受信 した要求からホップごとのヘッダーがすべて削除されます。 [HTTP(S): via ヘッダーを 検査してプロキシ ループを 検出する] 選択すると、HTTP または HTTPS プロキシが実行されているアプライアンスで via ヘッダーを含む要求を受信した場合、このヘッダーを検査してループを検出します。 [HTTP(S): 絶対 URL のホ ストにホスト ヘッダーより も高い優先度を設定する] 選択すると、HTTP または HTTPS プロキシが実行されているアプライアンスで絶対 URL を含む要求を受信した場合、この URL に対応するホスト名の優先度が要求ヘッ ダーのホスト名よりも高くなります。 [進行状況ページの ID で組 選択すると、進行状況ページ ID で組織の IP アドレスがエンコーディングされます。 織の IP アドレスをエンコー ディングして負荷分散を有 効にする] [HTTP(S): ヘッダーの最大 サイズ] HTTP(S) トラフィックで送信される要求または応答のヘッダーにサイズ制限 (MB) を設定します。 デフォルトのサイズは 10 MB です。 [リスン バックログ] リスン バックログの値を指定します。 デフォルト値は 128 です。 [Web キャッシュの IO を実 Web キャッシュの作業用スレッド数に制限を設定します。 行する作業用スレッドの制 デフォルトの数は 25 です。 限] [進行状況ページの制限] 進行状況ページのサイズに制限 (KB) を設定します。 デフォルトのサイズは 40,000 KB です。 120 McAfee Web Gateway 7.6.0 製品ガイド プロキシ プロキシ設定 4 表 4-33 詳細設定 (続き) オプション 定義 [TCP ウィンドウ スケーリ ングを有効にする] 選択すると、TCP 通信レベルでデータ パッケージを受信するウィンドウが [TCP ウ ィンド スケール] に指定されたスケール ファクターで拡大されます。 このオプションはデフォルトで有効になっています。 このオプションを無効にすると、ウィンドウ スケーリングは実行されませ ん。 この方法で受信ウィンドウを設定する場合にのみ、このオプションを 無効にしてください。 [TCP ウィンドウ スケール (形式: 0-14) ] TCP 通信レベルでデータ パッケージを受信するウィンドウのサイズを設定します。 受信ウィンドウの初期サイズは、スケール ファクターで拡大されます。このファク ターは 2 の乗数で、ここで指定した値が乗数となります。 たとえば、1 を指定すると、ファクターは 2^1 = 2 となり、ウィンドウ サイズは 倍になります。 指定可能な値の範囲は 0 から 14 までです。 0 を指定すると、スケーリング ファクターは 1 になります。 この場合、受信ウィン ドウは初期サイズのままになります。 通信相手の受信ウィンドウにもウィンドウ スケーリングを使用できます。 デフォルト値は 2 です。 定期的なルール エンジン トリガー リスト ルール エンジンをコールし、データをダウンロードする Web サーバーへの接続の設定 表 4-34 定期的なルール エンジン トリガー リスト オプション 定義 [定期的なルール エンジン 選択すると、[URL 定義リスト] に指定されている Web サーバーとの接続が定期的に トリガー リストを有効にす セットアップされます。 る] 各 Web サーバーの接続の間隔も、リストで指定されます。 間隔が経過すると、アプライアンスのルール処理モジュール (ルール エンジン) が呼 び出され、Web サーバーとの接続がセットアップされます。さらに、Web サーバー からデータがダウンロードされ、処理を行うルール エンジンに渡されます。 データは HTTP と HTTPS プロトコルでのみダウンロードされます。 接続がこのようにセットアップされる Web サーバーは、次のネクストホップ プロキ シ サーバーと Web で特定のサービスを提供するために使用されるその他のサーバ ーが含まれます。 [URL 定義リスト] 接続がセットアップできる Web サーバーのリストを提供します。 次の表では、[URL 定義リスト] の項目について説明します。 表 4-35 URL 定義リスト - リスト項目 オプション 定義 [ホスト] 接続をセットアップする Web サーバーの IP アドレスとポート番号または URL を指定します。 [トリガー間隔] 次回、Web サーバーへの接続のセットアップを試みるまでの間隔 (秒数) を指定します。 [コメント] McAfee Web Gateway 7.6.0 Web サーバー接続のコメントをテキスト形式で入力します。 製品ガイド 121 4 プロキシ 送信元 IP アドレスの制御 送信元 IP アドレスの制御 Web Gateway から Web サーバーまたはネクスト ホップ プロキシへの送信接続で異なる送信元 IP アドレスを使 用すると、接続問題が発生する可能性があります。 これらのアドレスを 1 つのアドレスで置き換えると、このよう な問題を回避できます。 たとえば、複数の Web Gateway アプライアンスで負荷分散を設定していると、異なる送信元 IP アドレスが使用さ れる可能性があります。 負荷分散では、関係する Web サーバーまたはネクスト ホップ プロキシ側で接続問題が発 生する場合があります。 たとえば、セッション中に送信元 IP アドレスが変更されると、問題が発生します。 変化する送信元 IP アドレスを 1 つのアドレスに置換するルールを設定すると、このような問題を回避できます。 この単一アドレスは固定する必要はありません。 IP アドレスのリストを設定して、リスト内の特定のアドレスをル ールで選択できるようにします。 置換後のアドレスはリスト内の位置に応じて変わります。 送信元 IP アドレスを制御できるネットワーク 送信元 IP アドレスを制御できるのは、次の構成のネットワークです。 • IPv4 または IPv6 • HTTP、HTTPS、FTP または SOCKS プロキシ インスタント メッセージングはサポートされていません。 • プロキシ モード (オプションの WCCP 付き) 他のアドレスの置換に使用する送信元 IP アドレスが別名として設置されている場合には、透過型ルーター モー ドがサポートされます。 プロキシ HA モードと透過型ブリッジ モードはサポートされていません。 送信元 IP アドレスの制御を実装する場合でも、定期的にルール エンジンをトリガーすることは可能です。 送信元 IP アドレス制御のサンプル ルール たとえば、ネクスト ホップ プロキシとの接続をセットアップする場合、送信元 IP アドレスを 1 つのアドレスに置 き換えるルールは次のようになります。 名前 宛先に応じてプロキシを使用する 条件 アクション イベント URL.Destination.IP がネクスト ホップ プロキ –> 続行 シの IP 範囲リストにある場合 ネクスト ホップ プロキシ <内部プロキシ> を有効にする または 送信元 IP のオーバーライドを有効にする (Proxy.OutboundIP(2)) URL.Destination.IP がネクスト ホップ プロキ シの IP リストにある場合 ルールの条件に、ネクスト ホッププロキシを使用するタイミングを指定します。 最初のイベントでネクスト ホップ プロキシとの接続をセットアップします。 2 番目のイベント (送信元 IP のオーバーライドを有効にする) で、送信元 IP アドレスの制御を行います。 これに より、要求内で送信された送信元 IP アドレスをリストから取得した IP アドレスで置換 (上書き) します。 イベント パラメーター (プロパティ) で IP アドレスを指定します。 プロパティの名前は Proxy.OutboundIP です。 この値は、リスト内でプロパティのパラメーターによって識別された位置にある IP アドレスです。 122 McAfee Web Gateway 7.6.0 製品ガイド プロキシ 送信元 IP アドレスの制御 4 送信元 IP アドレス制御に使用する IP アドレスのリスト 送信元 IP アドレスの置換に使用する IP アドレスのリストは、プロキシの設定に含まれます。 これは、送信接続の 詳細設定で設定します。 名前は 送信元 IP リスト です。 リスト内の IP アドレスの位置について、次のルールが適用されます。 • リスト インデックスは 0 から始まります。 たとえば、Proxy.OutboundIP プロパティのパラメーターに 2 を指定すると、リストの 3 番目の IP アドレスが選択されます。 • リストの項目数より多い値をパラメータに指定すると、<パラメーター値> から <リストの項目数> を引いた値 で位置が決まります。 たとえば、リストの項目数が 3 のときに 5 を指定すると、計算式の結果は 2 になります。 したがって、リスト の 3 番目の IP アドレスが選択されます。 ネットワーク ルーティングと IP アドレス スプーフィング 送信元 IP オーバーライドを有効にする イベントでデータ パケットに挿入された IP アドレスは、ローカル以外の送 信元 IP アドレスです。 したがって、ネットワーク ルーティングを適切な方法で設定する必要があります。 Web サーバーからクライアントに戻されるデータ パケットは、Web Gateway プロキシにルーティングする必要が あります。 たとえば、静的ルーティングでデータ パケットをルーティングできます。 送信元 IP のオーバーライドを有効にする イベントの開始時に IP アドレス スプーフィングが有効になっていると、 この設定も上書きされます。 使用された送信元 IP アドレスのロギング 送信接続 (Web Gateway が Web サーバーまたはネクスト ホップ プロキシーに接続するときに使用した送信元 IP アドレスとポートなど) に関するデータを記録する場合、複数のプロパティを使用できます。 単一の送信元 IP アドレスが設定されているかどうかに関わらず、これらのプロパティは 送信元 IP のオーバーライ ドを有効にする イベントによって特定の値が設定されます。 この場合、次のプロパティも使用できます。 • Proxy.Outbound.IP - Web Gateway が Web サーバーとネクスト ホップ プロキシに接続するときに使用 する送信元 IP アドレスを保存します。 このプロパティと Proxy.OutboundIP を混同しないでください。後者は IP の前にドットがなく、送信元 IP のオーバーライドを有効にする イベントと一緒に使用してリストから単一の送信元 IP アドレスを選択します。 • Proxy.Outbound.Port - Web Gateway が Web サーバーまたはネクスト ホップ プロキシに接続するとき に使用する送信元ポートを保存します。 • Proxy.Outbound.IPList - Web サーバーまたはネクスト ホップ プロキシとの接続時に Web Gateway が 選択できる送信元 IP アドレスのリストを保存します。 このリストは、送信接続の詳細設定 の プロキシ で設定します。 名前は 送信元 IP リスト です。 送信接続に設 定した単一の送信元 IP アドレスは、このリストから取得されます。 送信ソース IP アドレスの制御を設定する 接続の問題を回避するため、異なる送信ソース IP アドレスを 1 つのアドレスで置換します。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 IP アドレスの置換を設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、SOCKS、ICAP...)] を選 択し、[送信接続の詳細設定] までスクロールします。 McAfee Web Gateway 7.6.0 製品ガイド 123 4 プロキシ WCCP による FTP トラフィックのリダイレクト 3 [送信ソース IP リスト] で、送信要求のソース IP アドレスのリストに 1 つ以上の IP アドレスを追加します。 4 Web サーバーまたはネクスト ホップ プロキシとの接続ルールに次のイベントを追加します。「送信ソース IP のオーバーライドを有効にする」にパラメーターとして Proxy.OutboundIP プロパティを指定します。 このルールは、設定したリストを使用して、異なる送信ソース IP アドレスの置換に使用する IP アドレスを選択しま す。 WCCP による FTP トラフィックのリダイレクト Web Gateway のクライアントが FTP プロトコルでサーバーに送信した要求は、WCCP (Web Cache Control Protocol) リダイレクトで Web Gateway にリダイレクトできます。 FTP プロトコルでサーバーに要求を送信する場合、Web Gateway のクライアントは最初の FTP 接続をオープンし ます。 クライアントは、この接続にサーバーの IP アドレスを使用します。 Web Gateway をプロキシとして機能 させるため、Web Gateway が実行されているアプライアンスの IP アドレスに要求がリダイレクトされます。 デフォルトの設定では、クライアントはこのリダイレクトをセキュリティ リスクを見なします。このため、FTP デ ータ接続を継続することはできません。 WCCP プロトコルでリダイレクトを行う場合、次のように設定を変更する とこの問題を解決できます。 • クライアントからプロキシへの接続でアクティブ FTP モードを使用する デフォルトでは、クライアントはパッシブ FTP モードを使用できます。 Web Gateway のユーザー インターフ ェースでプロキシ設定のオプションを無効にすると、アクティブ FTP モードを施行できます。 • プロキシへのリダイレクトで使用するポートを設定する WCCP でリダイレクトするポートのリストに、このポートを入力する必要があります。 • プロキシが自身の IP アドレスではなく、FTP サーバーの IP アドレスを使用するように設定する 特定のパラメーターを設定すると、プロキシがこのアドレスを使用します。 このような設定を変更すると、クライアントがアクティブ FTP モードを使用します。 プロキシに接続先の IP アド レスとポート番号を送信します。プロキシが同期メッセージを戻します。 このメッセージで、FTP サーバーの IP ア ドレスがプロキシの送信元 IP アドレスとして使用されています。 ポート番号は 21 または 2020 です。 クライアントが宛先 IP アドレスとして FTP サーバーの IP アドレスを使用して応答します。ポート番号は同じ番号 を使用します。 WCCP プロトコルにより、クライアントから FTP サーバーへの要求がプロキシにリダイレクトされ ます。 WCCP リダイレクトは、透過型ブリッジまたはルーター モードの FTP トラフィックに使用できません。 FTP トラフィックのリダイレクトに WCCP の使用を設定する FTP プロトコルでクライアントがサーバーに送信する要求で WCCP リダイレクトを有効にするには、次のようにプ ロキシを設定します。 タスク 1 124 クライアントによるアクティブ FTP モードの使用を施行します。 a [設定] 、 [アプライアンス] の順に選択します。 b アプライアンス ツリーで、WCCP の使用を有効にするアプライアンスを選択して、[プロキシ (HTTP(S)、 FTP、SOCKS、ICAP ...)] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ FTP ログオンでの Raptor 構文の使用 4 c [FTP プロキシ] までスクロールし、[FTP プロキシを有効にする] が選択されていることを確認します。 d [FTP ポート定義リスト] で項目を選択して [編集] をクリックします。[FTP プロキシ ポート] で [クライア ントにパッシブ接続の使用を許可する] の選択を解除します。 この手順をリスト内のすべての項目に行います。 2 WCCP リダイレクトに使用するポートにポート 21 と 2020 を追加します。 a [プロキシ] 設定で [透過型プロキシ] にスクロールし、[サポートされるリダイレクト方法] で [WCCP] が選 択されていることを確認します。 b [WCCP サービス] リストの項目を選択して [編集] をクリックし、[リダイレクトするポート] で 21,2020 と入力します。 この手順をリスト内のすべての項目に行います。 3 [変更の保存] をクリックします。 4 関連する設定で ftp.match.client.data パラメーターに yes を設定します。 これにより、Web Gateway がクライアントに応答するときに、クライアントから受信した IP アドレスを送信 元の IP アドレスとして使用します。 このアドレスは、関連する FTP サーバーの IP アドレスです。Web Gateway アプライアンスの IP アドレスで はありません。 クライアントはセキュリティ リスクを心配する必要はありません。 FTP プロトコルでクライアントからサーバーに送信された要求は、WCCP リダイレクトによって Web Gateway に リダイレクトされ、問題なく処理されます。 FTP ログオンでの Raptor 構文の使用 FTP プロキシとして実行されるように Web Gateway を設定すると、プロキシとして Web Gateway の FTP サー バーにログオンするときに Raptor 構文を使用できます。 このログオンを実行する場合、FTP サーバーにアクセスするユーザーは、適切な FTP クライアントから USER、 PASS、ACCEPT コマンドを実行できます。これらのコマンドでは、FTP サーバーと一緒に、FTP サーバーと Web Gateway プロキシの両方のユーザー名とパスワードを指定します。 コマンドの構文は次のとおりです。 USER <ftpuser>@<ftpserver> <proxyuser> PASS <ftpuserpass> ACCT <proxyuserpass> 以下の表では、コマンド パラメーターの意味について説明します。 表 4-36 FTP ログオンのコマンド パラメーター オプション 定義 ftpserver アクセスを要求する FTP サーバー ftpuser FTP サーバーのユーザー名 ftpuserpass FTP サーバーのパスワード proxyuser Web Gateway プロキシのユーザー名 proxyuserpass Web Gateway プロキシのパスワード McAfee Web Gateway 7.6.0 製品ガイド 125 4 プロキシ ノード通信プロトコル ノード通信プロトコル Web Gateway アプライアンスが集中管理構成のディレクターまたはスキャン ノードとして実行されるとき、ノー ド間の通信には VRRP(Virtual Router Redundancy Protocol)と MWG Management Protocol を使用します。 プロトコルの使用は、ノードとして実行するアプライアンスで構成したプロキシ設定によって異なります。プロトコ ルは、対象とするアクティビティがディレクター ノードであるか、スキャン ノードであるかにおいて異なります。 Virtual Router Redundancy Protocol Virtual Router Redundancy Protocol は、Web Gateway を透過型ルーター モードまたは高可用性プロキシ モー ドとして構成したときに使用されます。 このプロトコルの下で、仮想 IP アドレスはアクティブなディレクター ノードおよびバックアップ ディレクター ノ ードに割り当てられます。プロトコルはまた、ディレクター ノードがアクティブなディレクター ノードの役割をも つかどうかも判別します。 MWG Management Protocol MWG Management Protocol は透過型ルーター、透過型ブリッジ、高可用性プロキシ モードで使用されます。こ のプロトコルの下で、スキャン ノードが Web トラフィックの処理に使用できることを識別します。 アクティブなディレクターの役割をもつノードはスキャン ノードにブロードキャスト メッセージを送信します。そ の際にそれぞれのプロキシ設定の Management IP オプションの下でソース IP アドレスとして構成された IP を使用します。 このプロトコルは同じネットワーク セグメント内で使用可能なスキャン モードに、ディレクター ノードの検出メッ セージに定期的な間隔で応答させます。 セキュリティの考察事項 Virtual Router Redundancy Protocol および MWG Management Protocol のセキュリティ機能は、Address Resolution Protocol(ARP)のセキュリティ機能と同様です。 Virtual Router Redundancy Protocol は、ローカル ブロードキャスト ドメインを超えてルーティングされない IP アドレスをもつマルチキャストを使用します。MWG Management Protocol はブロードキャスト メッセージを使 用します。 同じネットワーク セグメントの不正ノードは VRRP メッセージを送信し、結果としてそれぞれの仮想 IP アドレスを 保持するアクティブなディレクター ノードになりすます可能性があります。そのノードは仮想 IP アドレスに対し て受け取るすべてのデータ パケットをドロップした場合、ネットワーク接続が Web Gateway プロキシに接続され ているクライアントで停止します。 Web Gateway プロキシの操作を疎外しないように、 Virtual Router Redundancy Protocol および MWG Management Protocol に従ってプロキシ設定を構成するとき、保護されたネットワーク セグメントの IP アドレス を使用するようにお勧めします。 ドメインに応じた DNS サーバーの使用 Web Gateway で Web アクセス要求を処理するときに URL の情報を IP アドレスに変換する DNS (ドメイン名シ ステム) サーバーは、要求された宛先のドメインに応じて設定することができます。 このような DNS サーバーの使い方を条件付きの DNS 前方参照といいます。 ドメイン (たとえば、testnet.webwasher.com) は、URL 情報の解決に使用する DNS サーバーの IP アドレスと一 緒にリストに入力されます。この方法では、1 つのドメインに複数の DNS サーバーを指定できます。 126 McAfee Web Gateway 7.6.0 製品ガイド プロキシ ドメインに応じた DNS サーバーの使用 4 Web 上の特定の宛先に対する要求が Web Gateway に送信されると、このリストに従って DNS サーバーに要求が 転送されます。 DHCP (動的ホスト構成プロトコル) を使用すると、使用する DNS サーバーを動的に設定できます。Web Gateway アプライアンスの初期セットアップ後には、デフォルトの値が設定されています。 DHCP と条件付きの DNS 前方参照の両方を設定すると、DHCP が優先され、条件付きの DNS 前方参照は回避され ます。 DNS サーバーとして BIND サーバーを設定すると、Web Gateway の設定ファイルに保存されている DNS サーバー の設定が上書きされます。これらの値をドメイン名の解決で引き続き使用するには、手動で値を再度入力する必要があ ります。 ドメインに応じて DNS サーバーを設定する Web の宛先のドメインに応じて DNS サーバーを有効にするには、ドメイン名サービスを設定します。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、DNS サーバーを設定するアプライアンスを選択して [ドメイン名サービス] をクリッ クします。 3 [条件付き DNS 前方参照の設定] セクションで、必要に応じて設定を行います。 4 [変更を保存] をクリックします。 ドメイン名サービスの設定 ドメイン名サービスの設定では、DNS サーバーを構成します。条件付きの DNS 前方参照を設定して、特定のドメイ ンに従って DNS サーバーを使用することもできます。 ドメイン名サービスの設定 DNS サーバーの設定 表 4-37 ドメイン名サービスの設定 オプション 定義 [プライマリ ドメイン名サーバー] 最初のサーバーの IP アドレスを指定します。 [セカンダリ ドメイン名サーバー] 2 番目のサーバーの IP アドレスを指定します。 [テリタリ ドメイン名サーバー] 3 番目のサーバーの IP アドレスを指定します。 条件付き DNS 前方参照の設定 ドメインに応じた DNS サーバーの使用を設定します。 McAfee Web Gateway 7.6.0 製品ガイド 127 4 プロキシ ドメインに応じた DNS サーバーの使用 表 4-38 条件付き DNS 前方参照の設定 オプション 定義 [条件付きの前方参 照を有効にする] 選択すると、[条件付き前方参照リスト] の DNS サーバーが、Web Gateway に対する要求 で送信されたドメイン情報を IP アドレスに変換します。 • 要求された宛先のドメインに従って、リストから DNS サーバーが選択されます。 • リスト内で、DNS サーバーは IP アドレスで表示されます。 • 1 つのドメインに対して最大 5 つまでの DNS サーバーを指定できます。 このオプションを有効にすると、次の 5 つのオプションが使用可能になります。 [デフォルト リゾル ドメイン情報の解決でデフォルトで使用される DNS サーバーの IP アドレスを指定します。 バー] 最大で 5 つの DNS サーバーの IP アドレスを指定できます。 [肯定応答の TTL] 特定の値に対する条件付き DNS 前方参照で肯定応答がキャッシュに保存される時間を秒単 位で制限します。 • 指定可能な値の範囲は 1 から 604800 秒です。 • デフォルトの時間は 604800 秒です。 [否定応答の TTL] 特定の値に対する条件付き DNS 前方参照で否定応答がキャッシュに保存される時間を秒単 位で制限します。 • 指定可能な値の範囲は 1 から 604800 秒です。 • デフォルトの時間は 10800 秒です。 [条件付き前方参照 リスト] 条件付き前方参照の対象となる DNS サーバーのドメインと IP アドレスが表示されます。 [条件付き前方逆引 き参照リスト] 条件付き前方参照で逆引き参照が実行されたときの対象となる DNS サーバーのドメインと IP アドレスが表示されます。 以下の表では、条件付き前方参照リストの項目について説明します。 表 4-39 条件付き前方参照リスト - リスト項目 オプション 定義 [前方参照ゾーン] ドメイン名が表示されます。 特定のドメイン宛ての要求が Web Gateway に送信されると、このドメインに指定された DNS サーバーが参照に使用されます。 [DNS サーバー] DNS サーバーが IP アドレスで表示されます。 最大で 5 つの DNS サーバーの IP アドレスを指定できます。 [コメント] このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。 以下の表では、条件付き前方逆引き参照リストの項目について説明します。 128 McAfee Web Gateway 7.6.0 製品ガイド プロキシ DXL メッセージによる Web セキュリティ情報の交換 4 表 4-40 条件付き前方逆引き参照リスト - リスト項目 オプション 定義 [前方参照ゾーン] ドメインの IP アドレスが表示されます。 • IP アドレスは CIDR 表記で指定されます。 • IP アドレスに逆引き参照が実行されると、このアドレスの DNS サーバーが使用されます。 [DNS サーバー] DNS サーバーが IP アドレスで表示されます。 最大で 5 つの DNS サーバーの IP アドレスを指定できます。 [コメント] このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。 DXL メッセージによる Web セキュリティ情報の交換 DXL 技術を使用すると、共通セキュリティ アーキテクチャの Web Gateway に接続している Web セキュリティ製 品間で情報を交換することができます。 ® McAfee Data Exchange Layer (DXL) は、情報をリアルタイムで交換するメッセージング技術です。 この技術は、 相互に接続された Web Gateway と他の Web セキュリティ製品の間でセキュリティ関連の情報 (ファイル レピュ テーション スコアなど) を交換する場合に使用されます。 McAfee では、このような情報交換を Security Connected という Web セキュリティ アーキテクチャの一部と して行っています。 DXL では 2 つの方法で情報を交換します。1 つは、セキュリティ トピックに関するメッセージを公開し、このトピ ックの購読している製品にメッセージを配信する方法です。 もう 1 つは、セキュリティ トピックの情報を検索する クエリーをサービスに送信し、このサービスから応答を受信する方法です。 Web Gateway など、相互に接続された Web セキュリティ製品は、これらのシナリオで様々な役割を果たしていま す。 各製品は情報の公開者であり、購読者にもなります。また、クエリーの送信元にも、クエリーに応答するサービ スにもなります。 情報の発信者から購読者に DXL メッセージを送信した場合、応答は戻しません。 DXL メッセージがセキュリティ関 連の情報を取得するクエリーとしてサービスに送信された場合、サービスは応答を戻し、クエリーで指定されたトピ ックの情報を提供します。 Web Gateway は、イベントとして DXL メッセージを配信することも、サービスにクエリーを送信することもでき ます。 また、DXL メッセージを受信して、サービスとして Web セキュリティ トピックの情報を提供することもで きます。 Web セキュリティ情報を交換するための設定 Web Gateway で Web セキュリティ トピックの情報を交換するには、いくつかの設定を行う必要があります。 McAfee ePO サーバーが DXL アーキテクチャの一部を管理するため、この管理製品の認証情報を設定する必要があ ります。 Web Gateway のプロキシ機能の設定で、トピックとサービスを設定します。 トラブルシューティングのために DXL メッセージの追跡を行うには、[トラブルシューティング] の設定で関連する オプションを有効にする必要があります。 イベントで DXL メッセージを送信するサンプル ルール 以下のサンプル ルールでは、イベントを使用してトピックに関するメッセージを購読者に送信しています。 McAfee Web Gateway 7.6.0 製品ガイド 129 4 プロキシ DXL メッセージによる Web セキュリティ情報の交換 Web Gateway のクライアントから Web アクセス要求を受信し、要求された URL が不正なカテゴリに該当するこ とが分かると、メッセージが送信されます。 不正なクライアントに関する情報を収集するため、このクライアントの IP アドレスが、「不正なクライアント」というトピックを購読しているすべての製品にイベントが送信されます。 このようなルールの作成に [DXL.Event] イベントが使用されます。 このイベントには 2 つのパラメーターがあり ます。1 つはトピックで、もう 1 つはトピックに関連する情報です。 このルールは次のようになります。 [名前] [イベントを使用して DXL メッセージを購読者に送信す る] [条件] [アクション] [イベント] [URL.Categories<Default> at least one in list Bad Categories ] –> [Continue] [DXL.Event ("Bad Client", "IP.ToString(Client.IP))] クエリーとして DXL メッセージをサービスに送信するサンプル ルール 次のサンプル ルールでは、要求されたファイルのレピュテーション スコアを取得し、スコアが特定の値の場合に要 求をブロックします。 このルールでは、条件に [DXL.Query] プロパティを使用します。 このプロパティは、DXL メッセージをクエリー としてサービスに送信し、取得したレピュテーション スコアを提供します。 サービスとして機能する Web セキュ リティ製品は McAfee Threat Intelligence Exchange (TIE) サーバーです。 ® プロパティ パラメーターの 1 つが、クエリーで取得するトピックになります。 他のパラメーターは、クエリーで取 得したトピックの情報になります。 この情報は、クエリーを受信したサービスからの応答として戻されます。 クエリーが TIE サーバーに送信されると、このサーバーからの応答として取得した情報が [TIE.Filereputation] プ ロパティに保存されます。 このルールは次のようになります。 [名前] [DXL メッセージをクエリーとして サービスに送信する] [条件] [DXL.Query ("File Reputation", TIE.Filereputation) matches *reputation=15* ] 130 McAfee Web Gateway 7.6.0 [アクション] –> [Block <FileReputation>] 製品ガイド プロキシ DXL メッセージによる Web セキュリティ情報の交換 4 DXL を使用した情報交換を設定する DXL との情報交換を有効にするには、McAfee ePO サーバーとの通信で使用する認証情報を設定し、DXL メッセー ジに入れるトピックとサービスを設定します。 タスク 1 McAfee ePO サーバーに接続して DXL メッセージングを有効にするときに、Web Gateway が送信する認証情 報を設定します。 a [設定] 、 [アプライアンス] の順に選択します。 b アプライアンス ツリーで情報交換を設定するアプライアンスを選択し、[ePolicy Orchestrator] をクリック します。 c [ePO DXL の設定] で、McAfee ePO との接続時に Web Gateway が使用するホスト名、ユーザー アカウン ト、パスワードを設定します。 2 [プロキシ (HTTP(S)、FTP、SOCKS、ICAP...)] をクリックします。設定ペインを下にスクロールして [Data Exchange Layer] に移動します。 3 DXL メッセージのトピックを設定します。 a [購読トピック] リストのツールバーで [追加] (または [複数追加]) アイコンをクリックします。 b 表示されたウィンドウでトピック名を入力します (複数の名前を入力する場合には名前をカンマで区切る必 要があります)。[OK] をクリックします。 ウィンドウが閉じて、リストにトピックが表示されます。 4 DXL メッセージを受信するサービスに次の設定を行います。 a [サービス] リストのツールバーで [追加] アイコンをクリックします。 [DXL サービスの追加] ウィンドウが開きます。 b [サービス] フィールドにサービス名を入力します。 c [トピック] リストのツールバーで [追加] (または [複数追加]) アイコンをクリックします。 d 表示されたウィンドウで、トピックの名前を入力します (複数の名前を入力する場合にはカンマで区切ってく ださい)。[OK] をクリックします。 ウィンドウが閉じて、リストにトピックが表示されます。 e [OK] をクリックして、[DXL サービスの追加] ウィンドウを閉じます。 リストにサービスが表示されます。 5 [変更の保存] をクリックします。 TIE サーバーによる情報交換を設定する TIE サーバーで収集された Web セキュリティ情報を交換する場合の設定を行います。 Web Gateway が TIE サー バーから取得できる Web セキュリティ情報は、ファイル レピュテーション スコアです。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーの [エンジン] ブランチで [TIE フィルター] を選択し、[追加] をクリックします。 [設定の追加] ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 131 4 プロキシ ベスト プラクティス - user-agent ヘッダーの使い方 3 [名前] フィールドに設定名を入力します。 4 [製品の優先順位] で、次のいずれかのオプションを選択します。 • [製品のデフォルトの優先順位を使用する] デフォルトでは、まず最初に TIE サーバーの情報を使用します。 この情報が使用できない場合、接続してい る製品の中で最も低いレピュテーション スコアの製品から情報が取得されます。 このオプションを選択した場合には、手順 6 に進みます。 • [製品の優先順位をカスタマイズする] このオプションを選択した場合には、手順 5 に進みます。 5 製品の優先順位をカスタマイズします。 a 製品リストのツールバーで [追加] アイコンをクリックします。 b 表示されたウィンドウの [製品 ID] フィールドに、情報を取得する順序で製品を指定したカンマ区切りの製品 リストを入力します。 リストの要素としてアスタリスクを使用すると、製品が送信した最も低いレピュテーション スコアが使用さ れます。 [コメント] フィールドに、製品 ID の説明を入力できます。 c [OK] をクリックします。 ウィンドウが閉じ、リストの各行に製品 ID が表示されます。 6 [OK] をクリックして、[設定の追加] ウィンドウを閉じます。 ウィンドウが閉じて、設定ツリーの [TIE フィルター] に新しい設定が表示されます。 7 [変更の保存] をクリックします。 ベスト プラクティス - user-agent ヘッダーの使い方 user-agent は、HTTP プロトコルで送信される Web アクセス要求に含まれるヘッダーです。 このヘッダーにより、 要求の送信に使用されたソフトウェア プログラムを識別できます。 このヘッダーを使用すると、このヘッダーを含 む要求に特定のアクションを実行するルールを作成できます。 要求の送信には、ブラウザー、メディア プレイヤーあるいは類似のプログラムを使用できます。 たとえば、特定の ブラウザーから送信された要求が原因で Web Gateway のユーザー認証で問題が発生した場合、これらの要求で認 証をスキップするルールや要求をブロックするルールを作成します。 このルールの条件には user-agent ヘッダーの値や、実行されるアクションを指定します。 Web Gateway で要求 が処理されると、この値が要求から取得され、問題の原因となっているソフトウェア プログラムかどうか確認されま す。 問題の原因となっているプログラムが他にもある場合や、複数のプログラムが関係している可能性がある場合には、 user-agent のリストを使用できます。 この場合、要求の user-agent ヘッダー値がリストの項目と比較され、該当 する項目があるかどうか確認されます。 132 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ ベスト プラクティス - user-agent ヘッダーの使い方 user-agent の検索 ルールを作成して user-agent が原因で問題が発生する要求のアクションを指定するには、該当する user-agent を 知っていなければなりません。 検索の方法はいくつかあります。 • アクセス ログ - Web Gateway が管理するアクセス ログを調べます。 このログには、デフォルトで要求の user-agent ヘッダーが記録されます。 • オンライン リソース - クライアント システムで user-agent として実行されるブラウザー、メディア プレイヤ ーあるいは類似のプログラムの情報をオンライン リソース (オンライン検索など) から取得します。 よく利用されている user-agent やクライアントで現在使用されているブラウザーを指定して情報を検索できる Web サイトがあります。 • TCP ダンプ - ユーザー インターフェースでトラブルシューティング機能を使用して、Web Gateway が実行す る要求処理の TCP ダンプを作成します。 これらの機能の詳細については、 『トラブルシューティング』を参照し てください。 TCP ダンプを作成すると、Wireshark などのパケット追跡ツールを使用して TCP ストリームを調査できます。 Web アクセスで送信された GET 要求を選択して、この要求のデータ パケットとヘッダーを検査します。 問題の原因となる user-agent に関する情報をすでに取得している場合には、Wireshark で出力をフィルタリン グできます。 たとえば、次の行を入力すると、"Mozilla" というテキスト文字列を含むすべてのデータ パケット が戻されます。 http.user_agent matches "Mozilla" ブラウザーの user-agent ヘッダーの大半は "Mozilla" というテキスト文字列で始まっています。 これは、 user-agent が Mozilla Firefox であることを表しているとは限りません。 Firefox や別のブラウザーの場合もあ ります。 一般的な user-agent ヘッダー Web Gateway で作成された TCP ダンプでよく見つかるソフトウェア プログラムの user-agent ヘッダーは次の とおりです。 user-agent ヘッダーの説明の他に、関連情報として Wireshark パケット追跡ツールのコード行も示します。 • Firefox - Mozilla Firefox の user-agent ヘッダーです。"Firefox/" というテキスト文字列の後にバージョ ン番号が続きます。 Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1 • Internet Explorer - Microsoft Internet Explorer の user-agent ヘッダーです。"MSIE" というテキスト 文字列の後にバージョン番号が続きます。 Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0) • Chrome - Google Chrome の user-agent ヘッダーです。"AppleWebKit" というテキスト文字列が含まれ ます。 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/ 25.0.1364.172 Safari/537.22 このヘッダーは、Apple iPhone の user-agent ヘッダーと間違えやすいので注意してください。 McAfee Web Gateway 7.6.0 製品ガイド 133 4 プロキシ ベスト プラクティス - user-agent ヘッダーの使い方 • Windows Media Player - Windows Media Player の user-agent ヘッダーです。このサンプル コード では 2 つのテキスト文字列が存在します。 Windows-Media-Player/10.0.0.xxxx NSPlayer/10.0.0.xxxx WMFSDK/10.0 • iTunes - Apple iTunes の user-agent ヘッダーです。"iTunes/" というテキスト文字列の後にバージョン番 号が続きます。 Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1 • Safari on iPhone - iPhone で動作するアプリ (Apple Safari など) の user-agent ヘッダーです。 "iPhone" というテキスト文字列が含まれます。 Mozilla/6.0 (Windows NT 6.2; WOW64; rv:16.0.1) Gecko/20121011 Firefox/16.0.1 user-agent ヘッダーを操作するサンプル ルール 特定のソフトウェア プログラムの user-agent ヘッダーを含む要求にアクションを実行するルールで、user-agent はルール条件に記述されています。 ルールが複数の user-agent に適用される場合、user-agent のリストを使用で きます。 現時点で関係する user-agent が 1 つだけであってもリストの使用をお勧めします。 リストを使用すると、解決する user-agent が増えたときに、値の変更が簡単になります。 ルールが処理されると、ルール条件のプロパティに user-agent ヘッダーの user-agent 値が設定されます。 この 値が user-agent リストのいずれかの項目に一致すると、ルールが適用されます。また、単独で指定している場合に は、その user-agent に一致した場合に適用されます。 Microsoft Internet Explorer のバージョン 10 としてリストに "MSIE 10" という項目を追加したとします。 こ のブラウザーの user-agent ヘッダーが要求に含まれている場合、リストに入力した文字列が user-agent ヘッダー にも含まれているため、ルール条件に一致します。 要求の user-agent ヘッダーから e user-agent の値を取得するプロパティは [Header.Request.Get] です。 こ の値を取得するプロパティを使用するには、プロパティのパラメーターとして "User-Agent" という文字列を設定し ます。 ここでは、要求で SSL スキャンをスキップすることを目的としているので、サンプル ルールは次のようになります。 [名前] [リストにある user-agent で SSL スキャナーをスキップする] [条件] [アクション] [Header.Request.Get("User-Agent") matches in list User Agent Whitelist ] –> [Stop Rule Set ] このように、ルールに他の条件部分も残しておくことをお勧めします。 user-agent の情報を提供するクライアントや マルウェアが信頼された user-agent を装い、フィルタリングを回避しようとする場合もあります。 次のように、user-agent の偽装から保護する条件も追加してください。 [名前] [リストにある user-agent で SSL スキャナーをスキップする] [条件] [Header.Request.Get("User-Agent") matches in list User Agent Whitelist AND URL.Host matches *samplesite.com ] 134 McAfee Web Gateway 7.6.0 [アクション] –> [Stop Rule Set ] 製品ガイド プロキシ ベスト プラクティス - user-agent ヘッダーの使い方 4 サンプル ルールでは、アクションとして [Stop Rule Set] が設定されています。 user-agent が原因で Web Gateway の機能に発生する問題を解決するため、この機能のルール セットにルールを挿入します。 たとえば、user-agent で SSL スキャンの問題が発生する場合には、[SSL Scanner] ルール セットの先頭に挿入し ます。 ルールが適用されると、このルール セットの処理が停止し、関連する要求で SSL スキャンがスキップされま す。 ユーザー認証をスキップする場合も同様の方法でルールを使用できます。 user-agent が原因で問題が発生してもルールをスキップしない場合には、アクションを [Stop Rule Set] ではなく [Block] に設定します。 これにより、ルール セット システムに存在しない場合に、要求を全体でブロックするルー ル セットを作成し、ルールを挿入することができます。 user-agent ヘッダーを操作するルールを作成する 要求の user-agent ヘッダーに応じて user-agent の問題を解決するようにアクションを実行するルールを作成し ます。 以下の手順では、特定の user-agent が原因で SSL スキャンの問題が発生していることを前提としています。 作成 するルールでは、この user-agent が要求の user-agent ヘッダーに含まれている場合に SSL スキャンをスキップ し、問題を回避します。 タスク 1 問題の原因となっている user-agent を含む要求でスキップする機能のルール セットを選択します。 a [ポリシー] 、 [ルール セット] の順に選択します。 b ルール セット ツリーで、[SSL スキャナー] ルール セットを選択します。 c 設定ペインで [ビューのロック解除] をクリックし、[はい] を選択して確認します。 ネストしている [SSL スキャナー] ルール セットが編集可能になり、ルールを挿入できるようになります。 2 ルール セットの中でスキップするルールの名前を設定します。 a [ルールの追加] をクリックします。 [ルールの追加] ウィンドウが開き、[名前] が選択されます。 b 3 [名前] フィールドにルールの名前 (例: リストの user-agent で SSL スキャナーをスキップする) を入 力します。 user-agent の取得に使用するプロパティを設定します。 a [ルールの条件]、[追加] の順にクリックします。 b ドロップダウン メニューから [詳細条件] を選択します。 [条件の追加] ウィンドウが開きます。 c [フィルター] をクリックし、[エンジン] 、 [ヘッダー] の順にクリックし、フィルタリングされたプロパティ リストから [Header.Request.Get] を選択します。 d プロパティの [パラメーター] をクリックします。 e 表示されたウィンドウで、[パラメーター値] が選択され、タイプが [User-Agent] になっていることを確認 し、[OK] をクリックしてウィンドウを閉じます。 McAfee Web Gateway 7.6.0 製品ガイド 135 4 プロキシ Office 365 と他の Microsoft サービスのバイパス 4 プロパティと値の比較に使用する演算子とリストを設定します。 a 推奨の [リストの比較] 演算子を使用します。 b [比較] のリストから [ユーザー エージェントのホワイトリスト] を選択します。 初期状態では、このリストは空になっています。問題の原因となっている user-agent の項目を挿入する必要 があります。 c [OK] をクリックします。 [条件の追加] ウィンドウが閉じて、完成した条件が [ルールの追加] ウィンドウに表示されます。 5 6 ルール アクションを設定します。 a [アクション] をクリックします。 b [アクション] リストから [ルール セットの停止] を選択します。 設定を完了します。 a [完了] をクリックします。 [ルールの追加] ウィンドウが閉じて、ルールが [SSL スキャナー] ルール セットに表示されます。 デフォルトでは、[SSL スキャナー] ルール セットは空の状態になります。スキャン機能のルールは、ネスト するルール セットに含まれます。 ネストするルール セットに初期セットアップ後に挿入されたルールが含ま れている場合には、新しいルールを先頭に移動してください。 b [変更の保存] をクリックします。 Office 365 と他の Microsoft サービスのバイパス Web Gateway での負荷の増加を回避するため、Office 365 と他の Microsoft サービスに送信される要求あるいは これらのサービスから受信した応答のフィルタリングをバイパスするように設定できます。 これらの要求と応答のバイパスは、ルールで処理されます。 デフォルトのルール セット システムとルール セット ライブラリに、適切なルールを含むルール セットが用意されています。 Office 365 と他の Microsoft サービスの要求と応答をバイパスするように設定するには、次のものを使 用します。 • ルールのキー要素 - バイパス ルールを含むルール セットを開くと、これらのルールのキー要素を表 示し、設定できます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、バイパス ルールをすべ て表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルールの削除を行う ことができます。 変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 Office 365 と他の Microsoft サービス Microsoft は、Office 365 アプリケーション スイートでクラウド ベースのアプリケーションをいくつか提供してい ます。 これらのアプリケーションは、ユーザー エクスペリエンスを向上させるため、HTML5 の機能を使用していま す。 136 McAfee Web Gateway 7.6.0 製品ガイド プロキシ Office 365 と他の Microsoft サービスのバイパス 4 このため、一部のアプリケーションでは接続数が多くなり、接続状態が常時維持され、Web Gateway アプライアン スに過剰な負荷がかかる場合があります。 負荷が過剰になると、Web Gateway のプロキシ機能に影響が及び、Web アクセスの遅延やタイムアウトなどの問題が発生します。 Office 365 と他の Microsoft サービスの要求と応答が Web Gateway でフィルタリングされないように設定する と、このような問題を回避できます。 これらの要求と応答の多くは、Microsoft 専用で未公開のフォーマットやプロ トコルを使用しているため、Web Gateway でスキャンし、フィルタリングすることはできません。 Microsoft サービスをバイパスするルール セット [Microsoft (Office 365) サービスのバイパス] ルール セットには、Office 365 と他の Microsoft サービスの要求 と応答をバイパスするルールが含まれています。 Microsoft が公開している IP アドレスと URL のリストにより、これらのサービスに対するアクセスで送信される要 求が認識されます。 このルール セットは、デフォルトのルール セット システムの先頭にあります。 ドメイン名システムの使用 バイパス ルール セットを使用するには、Web Gateway がドメイン名システム (DNS) にアクセスする必要があり ます。 たとえば、ネクスト ホップ プロキシを使用している場合には、Web Gateway は DNS へのアクセスを必要 としないため、このようなアクセスがルールでブロックされる可能性があります。 ルール セットの大半のルールは、[URL.Destination.IP] プロパティを評価し、関連する要求を認識します。 DNS は、処理中の要求の宛先 IP アドレスの解決に使用されます。 DNS が設定されていないか、設定に誤りがあると、ルール セットの使用中にタイムアウトが発生したり、パフォー マンスが低下する可能性があります。 Microsoft サービスのバイパスに使用するキー要素 Office 365 と他の Microsoft サービスのバイパスを処理するルールのキー要素は、要求と応答を送受信するサービ スに関連しています。 Microsoft サービスのバイパス Microsoft サービスのバイパスを処理するオプション 表 4-41 Microsoft サービスのバイパス オプション 定義 [Exchange Online のバイパス]、 選択すると、Exchange Online または他の Microsoft サービスに対する [Microsoft Federation Gateway の Web Gateway クライアントからのアクセス要求は、フィルタリングされず バイパス]、Microsoft サービスのバ にサービスに転送されます。 イパスを処理する他のオプション サービスから受信した応答もフィルタリングされずにクライアントに転送 されます。 これらのオプションは、デフォルトで有効になっていません。 McAfee Web Gateway 7.6.0 製品ガイド 137 4 プロキシ Office 365 と他の Microsoft サービスのバイパス Microsoft (Office 365) サービスのバイパス ルール セット [Microsoft (Office 365) サービスのバイパス] ルール セットはデフォルトのルール セットです。Web Gateway でのフィルタリングで、Office 365 と他の Microsoft サービス間で発生するトラフィックの要求と応答がバイパス されます。 デフォルト ルール セット -Microsoft (Office 365) サービスのバイパス [条件] - [Always] [サイクル] - [要求 (IM)]、[応答] このルール セットには、以下のルールが含まれます。 [応答での Microsoft サービスのショートカット] [Cycle.Name equals "Response" AND User-Defined.Shortcut_Microsoft_Service equals true] – [Stop Cycle] このルールは、[Cycle.Name] プロパティを使用して、Web Gateway の処理が応答サイクルかどうかを確認しま す。 また、ユーザー定義のプロパティを使用して、このサイクルで処理する応答が、Office 365 または他の Microsoft サービスに対するクライアントのアクセス要求によってトリガーされたかどうかを確認します。 このような要求を Web Gateway で受信すると、要求サイクルで処理される特定のルールがユーザー定義のプロパ ティを true に設定します。 現在のルールが、条件の 2 番目の部分を使用して、応答サイクルでのプロパティの設 定状況を確認します。 両方の条件を満たすと、ルールが適用され、応答サイクルが停止します。 この応答は、フィルタリングされずに要 求側のクライアントに転送されます。 このルールはデフォルトで有効になっています。 このルール セットの最初のルールに続くすべてのルールが同様に機能します。 これにより、Web Gateway クライアントが特定の Microsoft サービスに送信した要求がフィルタリングされずに転送さ れます。 このような要求を受信すると、最初のルールが評価したプロパティに true を設定します。 ここでは、後続のルールの最初の部分を詳しく説明します。 残りのルールは概要のみを示します。 [Exchange Online のバイパス] [URL.Destination.IP is in range list Exchange Online IP Addresses OR URL.Destination.IP is in range list Exchange Online Protection P Addresses OR URL.Host matches in list Exchange Online URLs] – [Stop Cycle] – [Set User-Defined.Shortcut_Microsoft_Service = true] このルールは、[URL.Destination.IP] プロパティと [URL.Host] プロパティを使用して、要求と一緒に送信され た IP アドレスと URL が特定のリストに含まれているかどうかを確認します。 含まれている場合、要求サイクルが停止し、要求は指定された宛先である Microsoft Exchange Online サービス に転送されます。 イベントによって [User-Defined.Shortcut_Microsoft_Service] プロパティに true が設定されます。 このプ ロパティは、応答サイクルでルール セットの最初のルールによって評価されます。 このルールは、デフォルトでは有効になっていません。 [Microsoft Federation Gateway のバイパス]、[Microsoft Lync/Skype for Business Online のバイパス]、 Microsoft サービスをバイパスする他のルール [Exchange Online のバイパス] ルールと同様に、これらのルールは [URL.Destination.IP] プロパティまたは [URL.Host] プロパティ、あるいはその両方 ([URL] プロパティの場合もあり) を使用して、要求と一緒に送信され た IP アドレスまたは URL が特定のリストに含まれているかどうかを確認します。 関連するサービスによってリ ストが異なります。 138 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ 4 IP アドレスまたは URL がリストにある場合、要求サイクルが停止し、要求は指定された宛先である Microsoft サ ービスに転送されます。 イベントによって [User-Defined.Shortcut_Microsoft_Service] プロパティに true が設定されます。 このプ ロパティは、応答サイクルでルール セットの最初のルールによって評価されます。 これらのルールは、デフォルトで有効になっていません。 リバース HTTPS プロキシ リバース HTTPS プロキシ構成を使用して、クライアントが、マルウェアや特定のメディア タイプなどの不必要なデ ータを HTTPS プロトコルの下で、Web サーバーにアップロードできないようにすることができます この構成で、HTTPS トラフィックはプロキシが実行されているアプライアンスにリダイレクトされます。それは検 査され、最終的にアプライアンスで施行されたルールに従って、転送またはブロックされます。 以下のようにこれを構成することができます。 • 透過型ブリッジまたはルーターをセットアップします。 • 特定の Web サーバーへのアクセスが要求されたときにアプライアンスを直接参照するように、DNS 構成をセッ トアップします。 アプライアンスへのリダイレクションはまた、CONNECT ヘッダーの使用に依存するプロキシ認識接続を構成するこ とによっても達成できます。 しかし、この方法では受信リクエストのヘッダーを整理するために追加ネットワーク デバイスが必要となります。し たがって、お勧めしません。 ネットワークを構成するのに加え、SSL 証明書の処理を構成する必要があります。 任意に、リバース HTTPS プロキシのスムーズな操作を確保するために、SSL 関連でない追加の設定を構成できま す。 透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト 透過型ブリッジまたはルーター モードでは、ポート リダイレクト ルール(ポート転送ルールとも呼ばれる)を使用 して HTTPS トラフィックをアプライアンスのプロキシ ポートに仕向けることができます。 リダイレクトされたリクエストは SSL セキュア通信として取り扱われるように保証する必要もあります。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、トラフィックをリダイレクトするアプライアンスを選択し、[プロキシ (HTTP(S)、 FTP、ICAP、および IM)]を選択します。 3 [ネットワーク設定]セクションで、[透過型ブリッジ](または[透過型ルーター])を選択してください。 特定の透過型ブリッジ(またはルーター)設定のセクションが表示されます。 4 [ポート転送]の[追加]をクリックします。 [ポート転送の追加]ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 139 4 プロキシ リバース HTTPS プロキシ 5 新しいポート転送ルールに対して、以下のとおり構成します。 • [プロトコル名] — HTTP この設定により、HTTP および HTTPS プロトコルの両方の接続が対象になります。 • [元の宛先ポート] — 443 リクエストの宛先となる Web サーバーが HTTP プロトコルでも同様に到達できる場合、ここにポート 80 を 追加できます(カンマで区切る)。このタイプのトラフィックはまた、アプライアンスにも仕向けられます。 • [宛先のプロキシ ポート] — 9090 これは、アプライアンスのデフォルト プロキシ ポートです。 6 [OK]をクリックします。 ウィンドウが閉じ、リストに新しいルールが表示されます。 7 [HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ クします。 [HTTP プロキシ ポートの追加]ウィンドウが開きます。 8 9 以下の項目が構成されていることを確認してください。 • [透過型 SSL 接続を設定] — 選択済み • [SSL として扱われるポート] — 443 ほかの設定はデフォルト値のままにして、[OK]をクリックします。 ウィンドウが閉じ、リストに新しい HTTP プロキシ ポートが表示されます。 10 [変更の保存]をクリックします。 アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる HTTPS プロトコル下の要求が DNS エントリに従ってアプライアンスにリダイレクトされる場合、アプライアンスの プロキシを適切なポートで直接待機するように設定できます。また、SSL セキュア接続のみが有効になるようにする 必要もあります。 開始する前に このような方法でプロキシを構成する前に、以下の点を確認してください。 • アプライアンスが DNS ルックアップを行うとき、要求された Web サーバーのホスト名がアプライ アンスに解決されません。 アプライアンスの /etc/hosts ファイルに Web サーバーの IP アドレスを直接入力するか、適切に 構成された内部 DNS サーバーを使用してください。 • コンテンツの検査を処理するルール セットがアプライアンスに施行され、有効に設定あsれます。 SSL スキャナー ルール セットのネストされたルール セットとして、デフォルトのルール セットで 適切なルール セットが指定されます。 DNS エントリを使用するとき、ポート転送ルールの目的はほかの宛先の要求をアプライアンスに転送することなの で、ポート転送ルールは適用できません。しかし、DNS エントリのため、アプライアンスはすでに宛先となります。 また、SSL セキュア接続のみが有効になるようにする必要もあります。 140 McAfee Web Gateway 7.6.0 製品ガイド 4 プロキシ リバース HTTPS プロキシ タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、要求を待機するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、ICAP、お よび IM)] をクリックします。 3 [HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ クします。 [HTTP プロキシ ポートの追加]ウィンドウが開きます。 4 新しい HTTP プロキシ ポートに以下の設定を行います。 • [リスナー アドレス ]— 0.0.0.0:443 この設定により、アプライアンスは IP アドレスにかかわらず、任意の Web サーバーの要求を待機するよう になります。ここに特定の IP アドレスを指定して、該当するサーバーの要求を待機するアプライアンスに限 定することもできます。 複数のネットワーク インターフェース カードをアプライアンス上で実行している場合、ネットワーク インタ ーフェース カードと同じ数だけの Web サーバーを、IP アドレスをカンマで区切って指定できます 5 • [透過型 SSL 接続を設定] — 選択済み • [SSL として扱われるポート] — * 他の設定はデフォルト値のままにして、[OK] をクリックします。 ウィンドウが閉じ、リストに新しいプロキシ ポートが表示されます。 Web サーバーが HTTPS プロトコルでアクセスできるように設定されている場合は、リスナー アドレス 0.0.0.0:80 または特定の Web サーバーのアドレスをもつ別の HTTP プロキシを追加する必要があります。 6 [変更の保存]をクリックします。 リバース HTTPS プロキシ構成の SSL 証明書 リバース HTTPS プロキシ構成は通常、クライアントによる不必要なデータのアップロードに対して、制限された数 の Web サーバーを保護するようにセットアップされます。これらのサーバーの SSL 証明書をインポートし、それら をアプライアンス構成に追加する必要があります。 リバース HTTPS プロキシ構成では、アプライアンスは SSL セキュア モードでクライアントと通信します。しかし、 SSL ハンドシェイク中にアプライアンスがクライアントに送信した SSL 証明書は、SSL Scanner モジュールでは 発行できません。したがって、アプライアンスは、クライアントがアクセスをリクエストしている Web サーバーの 元の証明書を使用します。 SSL クライアント コンテンツの設定を構成するときに、これらの証明書をインポートできます。 アプライアンスはクライアントに送信するための適切な証明書を見つけるために、いくつかの方法を使用します。 クライアントを送信するための証明書の選択 指定された状況で、どの証明書を送信するかを確認するために、アプライアンスはインポートされた証明書のリスト をスキャンします。このリストで、証明書は、それらが属する Web サーバーのホスト名にマップされます。アプラ イアンスは、クライアントがアクセスをリクエストしたホストの名前にマップされる証明書を送信します。 明示的プロキシ セットアップで、このホスト名は CONNECT リクエストのヘッダーで送信され、アプライアンスに 認識されます。 McAfee Web Gateway 7.6.0 製品ガイド 141 4 プロキシ リバース HTTPS プロキシ 透過型セットアップでは、アプライアンスはホスト名を検出するために、以下の方法を使用します。 • クライアントが SNI 拡張を送信する場合、ホスト名は明示的プロキシ構成でそれを検出するのと同様の方法で見 つけることができます。 • クライアント リクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、ホスト名は転 送を構成するときに指定される IP アドレスにより判明します。 この場合、アプライアンスがリスンするように構成されたすべての IP アドレスに対する適切な値に、URL.Host プロパティを設定するというルールで、ルール セットを作成することも必要になります。これにより、アプライ アンスはフィルタリングまたは許可されたときに、リクエストを転送する場所を知ることができます。 • 透過型セットアップが DNS エントリーによるリダイレクションを使用しない場合、アプライアンスはハンドシ ェイク メッセージをクライアントがリクエストした Web サーバーに送信し、Web サーバーから受信した証明書 から共通名を抽出し、この共通名を使用して、適切なホスト名を検出します。 この方法では、アプライアンスと Web サーバーも SSL セキュア モードで通信することを必要とします。このモ ードが使用されることを保証するために、アプライアンスの設定を構成することができます。 リバース HTTPS プロキシ構成での SSL 証明書設定の作成 これらの設定を構成する場合、リバース HTTPS プロキシ構成で Web サーバーに使用される SSL 証明書の設定を作 成し、証明書をインポートできます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[CA なしで SSL クライアント コンテキストを有効にする]を選択します。 3 設定ツリーの上の[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 4 [名前]フィールドで、追加する設定の名前を入力します。たとえば、Imported web server certificates などです。 5 [オプション][コメント] フィールドで、設定の平文コメントを入力します。 6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。 7 [SSL クライアント コンテキストの定義(証明書認証なし)]セクションで、設定パラメーターを構成します。 a インライン リスト[ホストまたは IP によりサーバー証明書を選択する]のツールバーで、[追加]をクリックし ます。 [証明書マッピングへのホストの追加]ウィンドウが開きます。 b [インポート]をクリックし、[サーバー証明書のインポート] ウィンドウのオプションを追加して、Web サー バーの SSL 証明書をインポートます。 c 必要に応じて[証明書マッピングへのホストの追加]ウィンドウのその他パラメーターを構成します。 d [OK]をクリックします。 ウィンドウが閉じ、SSL 証明書を Web サーバーのホスト名にマッピングする新しいエントリがインライン リストに表示されます。 e 142 より多くのマッピング エントリをインライン リストに追加する場合、サブステップ a から d を繰り返しま す。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ f 4 Web サーバーへの接続が SSL セキュアか否かに従って、[SSL Scanner 機能はクライアント接続にのみ適 用]を選択または選択解除します。 この接続を保護しない場合、HTTPS から HTTP へネットワーク プロトコルを変更するルールを作成する必要 があります。 g 必要に応じて SSL クライアント コンテキストのその他設定パラメーターを構成します。 h [OK]をクリックします。 [設定の追加]ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。 8 [OK]をクリックします。 ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。 9 [変更の保存]をクリックします。 デフォルト ルール セット システムの、SSL スキャナー ルールで提供されるクライアント コンテキスト設定のた め、ルールのこれらの設定を使用できます。 リバース HTTPS プロキシ構成での URL.Host プロパティの設定 クライアント リクエストが リバース HTTPS プロキシ構成の DNS エントリーによりアプライアンスにリダイレク トされる場合、転送要求するアプライアンスに Web サーバーの IP アドレスを URL.Host プロパティの値としてセ ットする必要があります。 リクエストのフィルタリングが許可される結果を導いた後で、アプライアンスは要求された Web サーバーにそれを 転送するために、リクエストと共に送信された URL.Host プロパティを使用します。 リクエストが DNS エントリーに従ってリダイレクトされる場合、Web サーバーは IP アドレスでアプライアンスに 認識されます。URL.Host プロパティが値として Web サーバーの IP アドレスをもつ場合、アプライアンスはリク エストを適切な宛先に転送します。 URL.Host プロパティの値を IP アドレスに設定することは、ルールによって行うことができます。アプライアンス がリクエストを転送する各 Web サーバーに対してそのようなルールを作成する必要があります。 これらのルールは、独自のルール セットに含むことができます。 タスク • 143 ページの「URL.Host プロパティの設定のためのルール セットの作成」 URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セ ットを作成できます。 • 144 ページの「URL.Host プロパティを設定するためのルールの作成」 URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。 URL.Host プロパティの設定のためのルール セットの作成 URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セットを作成で きます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。 3 ツリーの上の[追加]をクリックし、[ルール セット]を選択します。 [新しいルール セットの追加]ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 143 4 プロキシ リバース HTTPS プロキシ 4 [名前]の下で、新しいルール セットに適した名前を入力します。たとえば、[Set value of URL.Host to IP address]などです。 5 [有効にする]が選択されていることを確認します。 6 [適用先]の[リクエストと IM] を選択します。 7 [このルール セットを適用]の[常に]を選択します。 8 [オプション][コメント]の下に、ルール セットに関する平文テキストのコメントを入力します。 9 [オプション][権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。 10 [OK]をクリックします。 ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。 URL.Host プロパティを設定するためのルールの作成 URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、新しいルールを作成したルール セットを選択します。たとえば、[Set value of URL.Host to IP address]などです。 3 [ルールの追加]をクリックします。 [ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。 4 [名前]フィールドで、URL.Host の値を 10.141.101.51 を設定するなど、新しいルールの名前を入力します。 5 [ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。 [条件の追加]ウィンドウが開きます。 6 7 以下のように、ルール条件を設定します。 a 左列のプロパティのリストから、[URL.Destination.IP] を選択します。 b 中央列のオペレーターのリストから、[イコール]を選択します。 c 右列の[比較]の下の演算子フィールドに「、IP アドレスを入力します。 [OK]をクリックします。 ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。 8 [アクション]をクリックし、[続行]を選択して、このアクションのデフォルト設定をそのまま使用します。 9 [イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[プロパティ の値を設定]を選択します。 [プロパティ設定の追加]ウィンドウが開きます。 144 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ 4 10 以下のように、プロパティを設定します。 a [このプロパティのセット]の下で、[URL.Host]を選択します。 b [この文字列の結合]の下で、[追加]をクリックします。 [文字列を入力してください]ウィンドウが開きます。 c [パラメーター値)]フィールドで、このルールで使用する IP アドレスを持つ Web サーバーのホスト名を入力 します。 d [OK]をクリックします。 ウィンドウが閉じ、ホスト名が[プロパティ設定の追加]ウィンドウに表示されます。 11 [OK]をクリックします。 ウィンドウが閉じ、URL.Host プロパティを設定するイベントが[イベント]の下に表示されます。 12 [完了]をクリックします。 [ルールの追加]ウィンドウが閉じ、値の設定ルールで作成したルール セット内に新しいルールが表示されます。 13 [変更の保存]をクリックします。 リバース HTTPS プロキシ構成のための完全なオプション アクティビティ ネットワーク設定と SSL 証明書の取り扱いを構成するのに加えて、いくつかのほかのアクティビティを行い、リバ ース HTTPS プロキシのスムーズな操作を保証することができます。 • プロキシ ループ検出のアクティブ化解除 • アプライアンス ポートへのアクセス制限 • Web サーバーへのアクセス制限 • 複数 Web サーバーへの対応 タスク • 146 ページの「プロキシ ループ検出のアクティブ化解除」 アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを 検出できます。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお 勧めします。 • 146 ページの「アプライアンス ポートへのアクセス制限」 リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユー ザー インターフェースとファイル サーバー設定を適宜、構成する必要があります。 • 146 ページの「Web サーバーへのアクセス制限」 リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、 制限された数の特定の Web サーバーを保護することです。したがって、この構成のためには、これらの サーバーのみにアクセスを許可し、他のサーバーはブロックする必要があります。 • 149 ページの「複数 Web サーバーへの対応」 アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリク エストを転送します。 McAfee Web Gateway 7.6.0 製品ガイド 145 4 プロキシ リバース HTTPS プロキシ プロキシ ループ検出のアクティブ化解除 アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを検出できま す。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお勧めします。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、プロキシ ループ検出のアクティブ化を解除するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、ICAP、および IM)]をクリックします。 3 [詳細設定]セクションで、[HTTP(S):プロキシ ループ検出のために、経由ヘッダーを検査]の選択を解除します。 4 [変更の保存]をクリックします。 アプライアンス ポートへのアクセス制限 リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユーザー インタ ーフェースとファイル サーバー設定を適宜、構成する必要があります。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、ポート アクセスを制限するアプライアンスを選択し、[ユーザー インターフェース] を選択します。 3 [HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。 4 [ファイル サーバー]を選択します。 5 [HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。 6 [変更の保存]をクリックします。 Web サーバーへのアクセス制限 リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、制限された数 の特定の Web サーバーを保護することです。したがって、この構成のためには、これらのサーバーのみにアクセス を許可し、他のサーバーはブロックする必要があります。 他のサーバーへのアクセスがリクエストされ、ブロックされたら、アプライアンスにこれらの接続を閉じさせること もお勧めします。 制限付きアクセス: 146 • 保護する Web サーバーのリストを作成します。 • ブロック ルールのルール セットを作成します。 • 他の Web サーバーへのアクセスをブロックし、要求をブロックした後でクライアントの接続を閉じるルールを作 成します。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ 4 タスク • 147 ページの「保護された Web サーバー リストの作成」 リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。 • 148 ページの「ブロック ルールのルール セットの作成」 ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックす るルールを追加できます。 • 148 ページの「Web サーバーへのアクセスをブロックするルールの作成」 Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサ ーバーへのアクセスをブロックするルールを作成できます。 保護された Web サーバー リストの作成 リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーの上で、[追加]をクリックします。 [リストの追加]ウィンドウが開きます。 3 リストに以下の設定を構成します。 • [名前] — リストの名前、たとえば、 保護された Web サーバーなど • [オプション][コメント ]— 新しいリストに関するテキスト形式のコメント • [タイプ ]— ワイルドカード式 4 [オプション]権限タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 5 [OK]をクリックします。 このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [WildcardExpression] の下のリスト ツリーに表 示されます。 6 エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。 [ワイルドカード式の追加]ウィンドウが開きます。 複数のエントリを一度に追加するためには、[複数を追加]をクリックします。 7 保護する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで 区切ります。 8 [OK]をクリックします。 ウィンドウが閉じ、リストに新しいエントリが表示されます。 9 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 147 4 プロキシ リバース HTTPS プロキシ ブロック ルールのルール セットの作成 ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールを追 加できます。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。 3 ツリーの上の[追加]をクリックし、[ルール セット]を選択します。 [新しいルール セットの追加]ウィンドウが開きます。 4 [名前]の下で、新しいルール セットの名前を入力します。たとえば、リバース HTTPS プロキシ構成で Web サ ーバーをブロックするなどです。 5 [有効にする]が選択されていることを確認します。 6 [適用先]の下で、[要求と IM]を選択します。 7 [このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。[追加]をクリックします。 [条件の追加]ウィンドウが開きます。 8 9 以下のとおり、ルール セット条件を設定します。 a [プロパティ] リストから、[URL.Protocol]を選択します。 b [演算子]リストから、[等しい] を選択します。 c [オペランド]で、https と入力します。 d (オプション) [コメント ]で、新しいルール セットに平文テキストのコメントを入力します。 (オプション) [権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。 10 [OK]をクリックします。 ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。 Web サーバーへのアクセスをブロックするルールの作成 Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサーバーへのア クセスをブロックするルールを作成できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ブロック ルールに作成するルール セットを選択します。たとえば、[リバース HTTPS プロキシ構成で Web サーバーをブロックする]です。 3 [ルールの追加]をクリックします。 [ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。 4 [名前]フィールドで、ルールの名前を入力します。たとえば、保護された Web サーバーにのみアクセスを許可 するです。 5 [ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。 [条件の追加]ウィンドウが開きます。 148 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ 6 7 4 以下のように、ルール条件を設定します。 a 左列のプロパティのリストから、[URL.Host] を選択します。 b 中央列のオペレーターのリストから、[リストで一致する]を選択します。 c 右列の演算子のリストから、構成する Web サーバーを選択します。たとえば、[保護された Web サーバー] などです。 [OK]をクリックします。 ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。 8 [アクション]をクリックし、[ブロック]を選択して、このアクションのデフォルト設定をそのまま使用します。 9 [イベント]、[追加] の順にクリックし、表示されたドロップダウン リストから [イベント] を選択します。 [イベントの追加] ウィンドウが開きます。 10 次の手順でイベントを設定します。 a [イベント] リストから [プロキシ制御を有効にする] を選択します。 b [設定リスト]から、[クライアントとの接続を維持しない]を選択します。 11 [OK]をクリックします。 ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。 12 [完了]をクリックします。 [ルールの追加]ウィンドウが閉じ、作成した新しいルール セット内にルールが表示されます。 13 [変更の保存]をクリックします。 複数 Web サーバーへの対応 アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリクエストを転 送します。 これを行うためには、 • ルール セット ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートする • 次のホップ プロキシ リストを作成する • 次のホップ プロキシ設定の作成 • 保護されたサーバーのリストの Web サーバーが要求されたときに、リストと設定を使用し、 「次のホップ プロキ シを有効にする」イベントをトリガーするルールを作成します リストは保護サーバーのリストも使用します。このリストに対して、これらのサーバーへのアクセスを制限する ために作成されたリストを使用できます。 McAfee Web Gateway 7.6.0 製品ガイド 149 4 プロキシ リバース HTTPS プロキシ タスク • 150 ページの「次のホップ プロキシ リストを作成する」 適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プ ロキシとしてアドレス指定される Web サーバーのリストを作成できます。 • 151 ページの「次のホップ プロキシ設定の作成」 保護された Web サーバー リストからサーバーが要求されたときに、 「ネクスト ホップ プロキシを有効 にする」イベントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。 • 151 ページの「 「ネクスト ホップ プロキシを有効にする」イベントのルールの作成」 保護された Web サーバーのリストのサーバーが要求されたときに、[ネクスト ホップ プロキシを有効 にする] イベントをトリガするルールを作成できます。 次のホップ プロキシ リストを作成する 適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プロキシとし てアドレス指定される Web サーバーのリストを作成できます。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーの上で、[追加]をクリックします。 [リストの追加]ウィンドウが開きます。 3 リストに以下の設定を構成します。 • [名前] — リストの名前、たとえば、 次のホップ プロキシとして保護された Web サーバーなど • [オプション][コメント] — 新しいリストに関するテキスト形式のコメント。 • [入力] — NextHopProxy 4 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 5 [OK]をクリックします。 このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [NextHopProxy]の下のリスト ツリーに表示され ます。 6 エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。 [ワイルドカード式の追加]ウィンドウが開きます。 複数のエントリを一度に追加するためには、[複数を追加]をクリックします。 7 解決する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで 区切ります。 8 [OK]をクリックします。 ウィンドウが閉じ、リストに新しいエントリが表示されます。 9 150 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ リバース HTTPS プロキシ 4 次のホップ プロキシ設定の作成 保護された Web サーバー リストからサーバーが要求されたときに、 「ネクスト ホップ プロキシを有効にする」イベ ントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[ネクスト ホップ プロキシを有効にする]を選択し、[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 3 以下の設定パラメーターを構成します。 • [名前] — 設定名、たとえば、 保護された Web サーバーなど • (オプション)[コメント ]— 新しい設定に関するテキスト形式のコメント 4 5 [ネクスト ホップ プロキシ サーバーー]で、次のように構成します。 a [ネクスト ホップ プロキシ サーバーのリスト]から、作成したネクスト ホップ プロキシ リストを選択しま す。たとえば、ネクスト ホップ プロキシとして保護された Web サーバーーなどです。 b [ラウンド ロビン]が選択されていることを確認してください。 c [プロキシ スタイル リクエスト]の選択を解除します。 [OK]をクリックします。 ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。 6 [変更の保存]をクリックします。 「ネクスト ホップ プロキシを有効にする」イベントのルールの作成 保護された Web サーバーのリストのサーバーが要求されたときに、[ネクスト ホップ プロキシを有効にする] イベ ントをトリガするルールを作成できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、[ネクスト ホップ プロキシ] ルール セットを選択します。 このルール セットのルールは設定パネルに表示されます。 3 [ルールの追加]をクリックします。 [ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。 4 [名前]フィールドで、たとえば、保護された Web サーバーをネクスト ホップ プロキシとしてアドレス指定す る などのルールの名前を入力します。 5 [ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。 [条件の追加]ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 151 4 プロキシ プロキシ自動構成 6 7 以下のように、ルール条件を設定します。 a 左列のプロパティのリストから、[URL.Host] を選択します。 b 中央列のオペレーやーのリストから、[リストで一致しない]を選択します。 c 右列の演算子のリストから、構成した Web サーバー リストを選択し、[保護された Web サーバー]など、こ れらのサーバーへのアクセスを制限します。 [OK]をクリックします。 ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。 8 [アクション]をクリックして、デフォルトの[続行]のままにします。. 9 [イベント]、[追加] の順にクリックし、表示されたドロップダウン リストから [イベント] を選択します。 [イベントの追加] ウィンドウが開きます。 10 次の手順でイベントを設定します。 a [イベント] リストから、[ネクスト ホップ プロキシを有効にする]を選択します。 b [設定]リストから、このルールに構成した設定を選択します。たとえば、[保護された Web サーバー]などで す。 11 [OK]をクリックします。 ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。 12 [完了] をクリックします。 [ルールの追加] ウィンドウが閉じて、新しいルールが [ネクスト ホップ プロキシ] ルール セットに表示されま す。 13 [変更の保存]をクリックします。 プロキシ自動構成 クライアントの Web ブラウザーのアプライアンスで 1 つ以上のプロキシ自動設定(PAC)ファイルを利用可能にす ることができます。ブラウザーは、特定の Web ページにアクセスできるようにするプロキシを検索するために、そ れらを使用できます。 プロキシ自動構成ファイルのファイル拡張子は通常、.pac です。アプライアンスにいくつか設定できます。たとえ ば、「proxy.pac」や「webgateway.pac」などです。 プロキシ自動構成ファイルが WPAD (Web Proxy Auto-Discovery) プロトコルに準拠している場合、ファイル名は 「wpad.dat」になります。したがって、アプライアンスには 1 度しか存在できません。 .pac ファイルを使用可能にする プロキシー自動構成に対してクライアントのブラウザーに「.pac」ファイルを使用可能にします。 タスク 152 1 アプライアンスの「/opt/mwg/files」フォルダーに「.pac」ファイルを保管します。 2 ブラウザーを開始し、ネットワーク構成設定に進みます。 3 [接続]セクションで、[設定]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド プロキシ プロキシ自動構成 4 4 [自動プロキシー構成 URL]を選択し、「 .pac」ファイルのパスとファイル名を入力します。 たとえば、以下のように使用します。 http://mwgappl.webwasher.com:4711/files/proxy.pac クライアントにファイルをダウンロードするための専用ポートを使用させたい場合、このポートを最初に構成す る必要があります。 専用ポートが使用されない場合、クライアントはユーザー インターフェースに対して HTTP ポートに仕向けられ ます(デフォルトのポート番号は 4711 です)。 5 [OK]をクリックします。 wpad.dat ファイルをダウンロードするルールの作成 クライアントの Web ブラウザーにより wpad.dat のダウンロードを有効にするためには、アプライアンスの適切な ポートにダウンロード リクエストを転送するルールを構成する必要があります。 タスク 1 アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、wpad.dat ファイルを作成するアプライアンスを選択し、[ポート転送]をクリックし ます。 3 [ポート転送ルール]の[追加]をクリックします。 [AppliancePortForwarding の追加]ウィンドウが開きます。 4 ポート転送ルールが以下のとおりの設定で構成されます。 • [ソース ホスト] — 0.0.0.0 • [ターゲット ポート] — 80 • [宛先ホスト ]— 127.0.0.1 • [宛先ポート] — <ファイル ダウンロード ポート> <ファイル ダウンロード ポート>として、ユーザー インターフェースの HTTP ポート(デフォルト:4711) または構成された専用ポートのいずれかを入力します。 5 [OK]をクリックします。 ウィンドウが閉じて、リストにルールが表示されます。 wpad ホストの自動検出の構成 wpad.dat ファイルが保管されるホストとして、Web ブラウザーにアプライアンスを検索するために自動検出を使 用させます。 タスク 1 Web ブラウザーを開始し、ネットワーク構成設定に進みます。 2 [接続]セクションで、[設定]をクリックします。 3 [このネットワークの自動検出プロキシ設定]を選択します。 4 [OK]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 153 4 プロキシ Helix プロキシの使用 Helix プロキシの使用 Helix プロキシ-は、リアルタイム ストリーミング データを取り扱うサードパーティのプロキシです。 これはアプライアンスのユーザー インターフェースから最初にアクセスされませんが、管理システムにより提供され たものなど、コマンド ライン インターフェースからアクセスできます。 Helix プロキシにアクセスした後で、固有のユーザー インターフェースのプロキシを管理できます。 Helix プロキシの使用の構成 コマンド ライン インターフェースから、Helix プロキシの使用を構成できます。 タスク 1 コマンド ライン インターフェースで、Helix プロキシのアクティベーション コマンドを入力します。 このコマンドは、以下のようなことが実行可能です。 service helix-proxy activate 初期管理者アカウントのユーザー名とパスワードを入力するように求められます。 2 両方を入力します。 Helix プロキシが開始します。 開始後に、アプライアンスの「 /opt/helix-proxy」フォルダーのプロキシの構成ファイルを検索でき、必要 に応じて個別に修正できます。 3 以下のコマンドとともに Helix プロキシのユーザー インターフェースを接続します。 http://<Helix プロキシの IP アドレス>:21774/admin/index.html ユーザー インターフェースがログオン ウィンドウに表示されます。 4 ステップ 2 のユーザー名とパスワードを入力します。 ログオンが成功したら、プロキシのユーザー インターフェースが使用できるようになります。 5 必要に応じて、Helix プロキシの詳細構成のためこのインターフェースを使用します。 6 リアル プレイヤー アプリケーションを構成して、プロキシとしてアプライアンスを使用します。 以下のような方法でこれを完了します。 154 a リアル プレイヤーを開始します。 b ユーザー インターフェースで、プロキシ設定に進みます。 c 例えば、[RTSP](Real-Time Streaming Protocol)フィールドなどの適切な入力フィールドで、ポート番 号として 554 をもつアプライアンスの IP アドレスを入力します。 McAfee Web Gateway 7.6.0 製品ガイド 5 一元管理 一元管理は、共通の設定でノードとしてネットワーク内でセットアップした複数のアプライアンスを管理できます。 一元管理の設定を管理するときは、主に以下の項目で作業を行います。 • ノード - アプライアンスをノードとしてセットアップすると、他のノードに接続してデータの送受信を行い、更 新、バックアップ、ダウンロードなどのアクティビティを実行できます。 • ノード グループ — ノードは別の方法でデータ転送を許可するさまざまなタイプのノード グループに割り当てら れます。 • スケジュール設定されたジョブ — データは設定できる異なる種類のスケジュールに従って転送できます。 更新スケジュールは、更新を実行するときと、しないときを指定する一元管理設定のノードに対しても設定できます。 目次 一元管理構成 一元管理の構成 一元管理構成にアプライアンスを追加 一元管理設定の構成 ノード グループにノードを割り当てる ベスト プラクティス - 集中管理構成でのノード グループの設定 ノードの同期を確認する スケジュール設定されたジョブを追加 一元管理構成でのアプライアンス ソフトウェアの更新 一元管理設定 McAfee Web Gateway 7.6.0 製品ガイド 155 5 一元管理 一元管理構成 一元管理構成 一元管理構成では、複数のアプライアンスがノードとして実行され、構成したものにしたがって、すべてのノードか ら管理できます。 一元管理構成のノードは、以下のネットワーク内で接続されています。 • 各ノードは、Web トラフィックを向けるネットワークのクライアント システムに接続されています。 • ノード グループにノードを割り当てる • ノード グループを使用すると、たとえば、別のノードや他の複数のノードに更新データを転送するなど、グ ループ メンバーに共通の管理作業を行うことができます。 複数のアプライアンスをノードとして設定する場合、アプライアンスが相互に接続可能であること を確認する必要があります。 他のアプライアンスからのメッセージを待機するデフォルト ポー トは 12346 です。 アプライアンスが接続可能かどうか確認するには、ping コマンドを実行します。 ただし、すべて のネットワークでこの方法を使用できるとは限りません。 • グループ メンバーとの間で異なる種類のデータ転送が可能な、異なるタイプのノード グループがあります。 複数の Web Gateway アプライアンスが存在する集中管理構成はクラスターともいいます。 ただし、フェールオーバー機能を実装した高可用性クラスターを構成するには、関連するアプライアンス のプロキシ機能にプロキシ HA (高可用性) モードを設定する必要があります。 以下の図は、一元管理構成のノードとして実行される、いくつかのアプライアンスを示しています。 図 5-1 一元管理構成 ノード グループのタイプ 一元管理構成のノードは、ノード グループに割り当て可能です。 156 McAfee Web Gateway 7.6.0 製品ガイド 一元管理 一元管理の構成 5 ノード グループには名前があり、タイプを考慮して異なります。次のノード グループのタイプがあります。 • ランタイム グループ — ランタイム グループのメンバーであるノードは、ランタイム データをグループ内のその 他すべてのノードと共有できます。 ランタイム データは、アプライアンスのランタイムに作成されるデータです。たとえば、クォータ制限が Web の使用状況に課された場合、与えられた時点でユーザーに残される時間は、ランタイム データです。 ノードは、1 つ特定のランタイム グループのメンバーにのみできます。 • 更新グループ — 更新グループのメンバーであるノードは、更新をグループ内のその他すべてのノードと共有でき ます。 ノードは、1 つ特定の更新グループのメンバーにのみできます。 • ネットワーク グループ — ネットワーク グループのメンバーであるノードは、グループ内のその他すべてのノー ドにすぐに接続できます。 ノードは同時に異なるネットワーク グループのメンバーになります。 ノードは、グループ A や B など異なるノード グループのメンバーです。ノードを通して、データの転送が可能 です。グループ B の中のノードによって、グループ B のメンバーでないグループ A 内の他のノードから、グル ープ A のメンバーでないノードまでデータを転送することが可能です。 スケジュール設定されたジョブ アプライアンスで、構成バックアップの作成、またはファイルのダウンロードなどを特定の時間および日付、または 一定の間隔に実行する、ジョブをスケジュール設定できます。、 また、現在作業しているアプライアンスのユーザー インターフェースでスケジュール設定の構成もでき、同じ一元管 理構成のその他ノードでジョブを実行しました。 一元管理の構成 ネットワーク内の複数のアプライアンスの一元管理を構成し、共通設定のノードとして管理できます。 以下の高レベル手順を完了します。 タスク 1 ネットワーク内のアプライアンスのユーザー インターフェースで一元管理の構成を開始し、共通構成のノードと して他の 1 つ以上のアプライアンスを追加します。 アプライアンスは、ノードとしてはデフォルトで一元管理構成に含まれていないため、すべての関連アクティビ ティは管理者によって実行される必要があります。 これらすべてのアクティビティに対して、[構成]トップレベル メニューの[アプライアンス] タブのオプションで 作業します。 構成にノードを追加するには、少なくとも以下を構成する必要があります。 • ノードとして追加するアプライアンスのホスト名または IP アドレス • ネットワーク ノード グループのノードのメンバーシップ ノードの以下の設定も構成できます。 • 他のノードとの通信に使用される IP アドレスおよびポート • ランタイムおよび更新ノード グループのメンバーシップ McAfee Web Gateway 7.6.0 製品ガイド 157 5 一元管理 一元管理構成にアプライアンスを追加 • スケジュール設定されたジョブ • 更新 構成にノードとして追加する他のアプライアンスに、これらのアクティビティを繰り返します。 2 一元管理構成の初期設定後、必要に応じてさらに構成アクティビティを実行します。 たとえば、以下の操作を実行できます。 • 構成ノードの一元管理の設定を確認し、変更する 構成のその他ノードのユーザー インターフェース上にあるノードの設定を確認および変更する • 3 構成に 1 つ以上の新しいノードを追加する 変更を保存します。 一元管理構成にアプライアンスを追加 アプライアンスをノードとして一元管理構成に追加し、ネットワーク グループに割り当てられます。 タスク 1 アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツールバーの[追加]をクリックします。 [アプライアンスの追加]ウィンドウが開きます。 3 [ホスト名または IP アドレス] フィールドで、ホスト名またはネットワーク内のその他のアプライアンスの IP ア ドレスを入力します。 4 [ネットワーク グループ] リストから、アプライアンスのネットワーク グループを選択します。 5 [OK]をクリックします。 ウィンドウが閉じ、アプライアンス ツリーにアプライアンスが表示されます。 これで、作業するアプライアンスの一元管理構成のノードになり、追加を完了します。 一元管理設定の構成 一元管理設定を構成し、共通構成でノードとして複数のアプライアンスを管理できるようにします。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[一元管理]をクリックします。 一元管理設定が設定パネルに表示されます。 158 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 一元管理 ノード グループにノードを割り当てる 5 ノード グループにノードを割り当てる 一元管理構成のノードのアプライアンスをを異なるタイプのノード グループに割り当て、異なる種類のデータ転送を 可能にします。 ランタイムまたは更新グループにノードを割り当てる手順も、ほとんど同じです。 ネットワーク グループの手順は、ノードが 1 つ以上のネットワーク グループのメンバーになる場合があるため、異 なります。 タスク • 159 ページの「ランタイム グループにノードを割り当てる」 適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられま す。 • 160 ページの「更新グループにノードを割り当てる」 適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。 • 160 ページの「ネットワーク グループにノードを割り当てる」 グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに 割り当てられます。 ランタイム グループにノードを割り当てる 適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられます。 タスク 1 アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、ノードとしてランタイム グループに割り当てるアプライアンスを選択し、[一元管理] をクリックします。 3 [このノードは次のグループのメンバーです]セクションの[グループ ランタイム] フィールドで、ノードを割り当 てるランタイム グループの名前を入力します。 名前を入力したら、すべてを上書きします。これは、ランタイム グループのデフォルト名としてフィールドに表 示されます。 デフォルト名は、異なるランタイム グループで使用しないオプションを提供しますが、すべてのノードの 1 ラン タイム グループのみあります。 デフォルトのすべてを削除し、名前を入力しない場合、名前として空の文字列のグループにノードを割り当てるこ とになります。 4 同じランタイム グループにその他のノードを含むには、アプライアンス ツリーのこのノードを選択し、[一元管 理]を再度クリックして、[グループ ランタイム] フィールドに同じ名前を入力します。 同じランタイム グループに含むすべてのノードに、この手順を繰り返します。 5 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 159 5 一元管理 ノード グループにノードを割り当てる 更新グループにノードを割り当てる 適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。 タスク 1 アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、ノードとして更新グループに割り当てるアプライアンスを選択し、[一元管理]をクリ ックします。 3 [このノードは次のグループのメンバーです]セクションの[グループ更新]フィールドで、ノードを割り当てるラン タイム グループの名前を入力します。 手順は、ランタイム グループにノードを割り当てるのと同じです。 また。グループにその他のノードを含み、ランタイム グループと同じ方法で続行します。 4 [変更の保存]をクリックします。 ネットワーク グループにノードを割り当てる グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに割り当てら れます。 タスク 1 アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、ノードとして 1 つ以上のネットワーク グループに割り当てるアプライアンスを選択 し、[一元管理]をクリックします。 3 デフォルトのすべてグループ以外にノードをネットワーク グループに割り当てるには、[グループ ネットワーク] インライン リストのツールバーの[追加]アイコンをクリックします。 デフォルト グループは、異なるネットワーク グループで使用しないオプションを提供しますが、すべてのノード の 1 ネットワーク グループのみあります。 1 つ以上のネットワーク グループを持つ場合は、すべてグループを削除するか、名前を変更する必要があります。 [文字列の追加]ウィンドウが開きます。 4 新しいネットワーク グループを構成します。 a [名前]フィールドで、ネットワーク グループ名を入力します。 b [オプション][コメント]フィールドで、ネットワーク グループの平文コメントを入力します。 c [OK]をクリックします。 ウィンドウが閉じられ、新しいネットワーク グループが[グループ ネットワーク] インライン リストに表示 されます。 ノードがこのネットワーク グループのメンバーに追加されます。 [複数の追加]アイコンをクリックし、開いた[文字列の追加]ウィンドウで作業することで、複数のネットワーク グループを 1 度に追加できます。 ウィンドウで、各自の新しい行を使用して、複数のグループ名を入力できます。 ウィンドウにはまた、同じコメントをすべてのグループに追加するか、異なるコメントを各グループに追加する オプションもあります。 160 McAfee Web Gateway 7.6.0 製品ガイド 5 一元管理 ベスト プラクティス - 集中管理構成でのノード グループの設定 5 同じネットワーク グループまたはグループにその他のノードを含むには、アプライアンス ツリーのこのノードを 選択し、[一元管理]を再度クリックして、[グループ ネットワーク] インライン リストに同じグループ名または名 前を入力します。 同じネットワーク グループまたはグループに含むすべてのノードに、この手順を繰り返します。 6 [変更の保存]をクリックします。 ベスト プラクティス - 集中管理構成でのノード グループの設定 集中管理構成では、ノードをノード グループに割り当て、ノード間の通信を異なる方法で行うことができます。 ノード グループには、物理的に異なる場所のノードを割り当てることもできます。 グループを設定する前に、次の条件を満たしているかどうか確認してください。 • ネットワークに適切なルーターが構成され、ノード間の通信が可能になっている。 異なる場所のノードをファイアウォールで保護している場合、各ノードで設定されているポート (デフォルト ポ ート: 12346) を使用してノード間の通信を行う必要があります。 • 時間が同期されている。同期されていないと、最新の構成になっているノードを確認するときに問題が発生しま す。 各ノードで NTP サーバーの使用を設定して、同期が自動的に行われるようにしてください。この設定は、[構成] トップレベル メニューの [日付と時刻] で行うことができます。 ネットワークで NTP サーバーを使用していない場合には、McAfee が提供するデフォルト サーバー (ntp.webwasher.com) を設定できます。 • ノードとして設定されているすべてのアプライアンスで、同じバージョン/ビルドの Web Gateway が実行され ている。 小規模なサンプル構成 このサンプル構成では、2 つのノードが別々の場所 (東京とニューヨーク) に存在しています。いずれの場所でも、 ノードはランタイム、更新、ネットワークの固有のグループに割り当てられています。グループの種類に関わらず、 グループ名はそれぞれ tokyo と newyork に設定されています。 各場所の 1 つのノードが transit ネットワーク グループに割り当てられています。 以下の図はこの構成を表しています。 McAfee Web Gateway 7.6.0 製品ガイド 161 5 一元管理 ベスト プラクティス - 集中管理構成でのノード グループの設定 この構成では、次の処理が実行されます。 • それぞれの場所に transit グループ ノードが存在するため、管理者が任意のノードで行ったポリシー変更は他の すべてのノードに送信されます。これにより、すべてのノードで同じ Web セキュリティ ポリシーが適用されま す。 transit ノードと transit 以外のノードは同じネットワーク グループに属しているため、ニューヨークの transit 以外のノードで行われた変更が transit ノードに送信されます。次に、この transit ノードから東京の transit グループのノードに送信されます。 最後に、東京の transit ノードから東京の他のノードに変更が送信されます。 • Web Gateway のモジュール (エンジン) のマルウェア対策と URL フィルタリング情報の更新は、同じ場所 (東 京またはニューヨーク) のノード間でのみ配布されます。 これにより、場所によるネットワーク構造の違いを考慮することができます。大量の更新ファイルをダウンロー ドする可能性がある場合、この点は重要です。 たとえば、高速接続と LAN リンクが使用可能な場所のノードでは、これらの更新を共有できますが、低速の WAN リンクの場所では、ノード間でこれらの更新を配布することはできません。 1 つの更新グループには同じ場所のノードだけを割り当てるようにしてください。 • ユーザーのクォータ時間などのランタイム データは、同じ場所 (東京またはニューヨーク) のノード間でのみ配 布されます。 同じ場所のユーザーは Web アクセスを要求するときにローカル ノードに接続します。東京にいるユーザーのク ォータの残り時間をニューヨークのノードに通知する必要はありません。 Web アクセスに対して、同じ場所のノードが異なるユーザー グループに割り当てられている場合、 これらのノードを異なるランタイム グループに設定すると、ノードでのオーバーヘッドを回避するこ とができます。 大規模なサンプル構成 ノード数が 10 を超える場合には、ネットワーク グループに transit ノードを設定しません。大規模な場所の場合、 transit ネットワーク グループに複数のノードを設定する必要があります。 このサンプル構成では、東京に 22 のノードがあり、これを 2 つのネットワーク グループ (toknet1 と toknet2) に分割しています。いずれのグループにも transit グループのメンバーであるノードが 1 つ含まれています。 ニューヨークには 18 のノードがあり、同じように構成されています。また、パーダーボルンには 9 のコードがあ り、これらはすべて 1 つのネットワーク グループに属しています。このグループ内の 1 つのノードが transit グル ープに設定されています。 162 McAfee Web Gateway 7.6.0 製品ガイド 一元管理 ノードの同期を確認する 5 以下の図はこの構成を表しています。 ランタイムと更新のノード グループに関係なく、それぞれの場所にそれぞれのタイプが 1 つずつ存在します。 ポリシーの変更、マルウェア対策と URL フィルタリング情報の更新、ランタイム データの共有は、小規模のサンプ ル構成と同じ方法で処理されます。 ノードの同期を確認する ユーザー インターフェースには、他の全般情報と一緒に、集中管理構成の各ノードのタイムスタンプが表示されま す。これにより、すべてのノードが同期されているかどうか確認することができます。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、[アプライアンス (クラスター)] を選択します。 設定ペインに、構成のステータスと全般情報、構成内のノードが表示されます。 [アプライアンス情報] に、各ノードの情報が 1 行で表示されます。タイムスタンプは各行の最後に表示されま す。 3 すべてのノードのタイムスタンプを比較します。 すべてのノードで一致している場合には、集中管理構成が同期されています。 スケジュール設定されたジョブを追加 スケジュール設定されたジョブをアプライアンスのリストに追加し、構成したタイム スケジュールに従って実行でき ます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、スケジュール設定されたジョブを追加するアプライアンスを選択し、[一元管理]をク リックします。 McAfee Web Gateway 7.6.0 製品ガイド 163 5 一元管理 一元管理構成でのアプライアンス ソフトウェアの更新 3 設定パネルで、[詳細スケジュール設定ジョブ]を展開します。 スケジュール設定ジョブ リストがが表示されます。 4 リスト上のツールバーの[追加]をクリックします。 [スケジュール設定ジョブの追加]ウィンドウが開きます。 5 スケジュール設定ジョブの設定を構成します。 6 [OK]をクリックします。 ウィンドウが閉じ、新しいスケジュール設定ジョブがジョブ リストに表示されます。 7 [変更の保存]をクリックします。 一元管理構成でのアプライアンス ソフトウェアの更新 一元管理構成のノードでアプライアンス ソフトウェアを更新するためには、最後に更新するノードの 1 つのユーザ ー インターフェースから更新手順を実行できます。 開始する前に 現在の設定のバックアップを作成していることを確認します。 タスク 1 更新する製品バージョンのリポジトリを構成内のノードにあるアプライアンスにインストールします。 a SSH を使用してシステム コンソールからアプライアンスにログオンします。 b 以下のコマンドを実行します。 yum install yumconf-<version number>-mwg yumconf-<version number>-mwg はリポジトリーの名前です。バージョン番号の桁はドットで区切る必 要があります。 2 この構成の 1 つのアプライアンスのユーザー インターフェースにログオンします。 3 [構成] 、 [アプライアンス]を選択します。 アプライアンス ツリーで、ログインしたアプライアンス以外のものを選択します。 4 164 作業中のアプライアンスを除き、アプライアンス ツリーの各アプライアンスを更新します。 a アプライアンス ツリーでアプライアンスを選択します。 b 設定ペインの上にあるツール バーで、[アプライアンス ソフトウェアの更新] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 5 一元管理 一元管理設定 5 構成内のノードにある作業中以外のすべてのアプライアンスで更新が実行されたら、作業中のアプライアンスで 更新を実行します。 a アプライアンス ツリーのアプライアンスを選択します。 b [アプライアンス ソフトウェアの更新]をクリックします。 構成のノードが、一部のノードが複数のグループのメンバーになっているときに、別のネットワーク グループに割り当てられる場合、以下のように行うことを推奨します。 • 複数のメンバーシップをもつノードの 1 つから、更新手続きを実行します。 • 手続きの最後に、複数のメンバーシップをもつその他のノードを更新します。 • 最後に操作したノードを更新します。 たとえば、ノード 1、2、3、4 をもつネットワーク グループ A およびノード 3、4、5、6 をもつネ ットワーク グループ B をもつ場合、ノード 3 または 4 を選択して、更新手順を実行してください。 最初にノード 1、2、5、6 を更新してから、4 (手順を実行するために 3 を選択した場合) を更新し、 最後に 3 を更新します。 アプライアンス ソフトウェアが更新されます。 一元管理設定 一元管理設定は、一般構成のノードとして管理するアプライアンスの構成に使用されます。 一元管理設定 一元管理構成でのノードの基本通信パラメーターの設定 表 5-1 一元管理設定 オプション 定義 [一元管理通信のこのノードの IP アドレスおよびポート] 一元管理構成でその他ノードとの通信に使用するノードである IP アドレス およびポート番号を入力するためのリストを提供します。 [その他のノードへメッセージを配 信するタイムアウト] その他のノードが現在のノードからメッセージに応答できる時間(秒)を指定 値に制限します。 時間範囲は 10 秒から 600 秒です。 スライダーのスケールに設定されます。 以下の表は、IP アドレスおよびポート リストのエントリの要素を説明しています。 表 5-2 IP アドレスおよびポート – リスト エントリ オプション 定義 [文字列] ノードの IP アドレスおよびポート番号を指定します。 [コメント] IP アドレスおよびポート番号の平文コメントを提供します。 詳細管理設定 一元管理構成の詳細管理設定 McAfee Web Gateway 7.6.0 製品ガイド 165 5 一元管理 一元管理設定 表 5-3 詳細管理設定 オプション 定義 [複数のノードへ配信 [一元管理設定]セクションのその他のノードへメッセージを配信するタイムアウトで構成さ するときのタイムア れた時間間隔を増加させる係数を設定します。 ウトの乗算] 時間間隔を増加させることは、1 つのノードからその他まで、そこから次のノードなどまで メッセージを処理する時間をより多く提供します。。 間隔は 1 ~ 2 の値ずつ長くすることが可能です。 値は、スライダーのスケールで設定されます。 [ノードの優先順位] ノード グループ内で取得するノードの優先順位を設定します。 最高優先順位は 1 です。 ノードの構成データは、その他ノードとこれ以上同期しません。たとえば、ノードが少しの 間ダウンしたため、ノードが最高優先順位のノードからもっとも最近の構成データを受け取 るなどです。 これを意図していない場合は、すべてのノードが同じ優先順位で、推奨されている設定であ ることを確認します。 ノードの優先順位は 1 から 100 の範囲です。 スライダーのスケールに設定されます。 [GUI サーバーにこ のノードの添付を許 可] 選択されると、サーバーは追加のユーザー インターフェースをアプライアンスに提供し、ノ ードに接続できます。 [非ローカル ホスト 選択されると、現在のノードで実行していない追加のユーザー インターフェースを備えたサ からの GUI サーバー ーバーは、ノードに接続できます。 の接続を許可する] [GUI コントロール アドレス] 現在のノードに接続するために使用する追加ユーザー インターフェースの IP アドレスお よびポート番号を指定します。 [GUI 要求アドレス] 要求を送信するときに使用されるこのサーバーの IP アドレスおよびポート番号を指定しま す。 [暗号化されていない 選択すると、構成内でこのノードから他のノードに送信されるメッセージが暗号化されませ 他のノードへの接続] ん。 しかし、証明書を使用した認証は実行されています。 [その他のノードの 選択されると、構成でこのノードからその他のノードにメッセージを送信するとき IP アド IP の確認を有効にす レスを確認できます る] この機能で Web セキュリティは強化されますが、NAT セットアップなど、いくつかのネッ トワーク セットアップの問題を引き起こす可能性があります。 166 McAfee Web Gateway 7.6.0 製品ガイド 5 一元管理 一元管理設定 表 5-3 詳細管理設定 (続き) オプション 定義 [時間の差異を許可] 構成の変更を受け入れることを許可する時間の差異(秒)を指定値に制限します。 秒数の範囲は 10 秒から 600 秒です。 スライダーのスケールに設定されます。 [その他のノードのバ 選択されると、構成の変更がノード間に配布される前に、アプライアンス ソフトウェアのバ ージョンの確認を有 ージョンが確認されます。 効にする] このノードのアプライアンス ソフトウェアのバージョンが、変更を配布するノードのバージ ョンと一致しない場合、構成の変更はノードに配布されません。 • [バージョン確認のレベル ]— 更新バージョンを確認するときの徹底レベルを設定しま す。 レベルはスライダーのスケールに設定されます。次の値を選択できます。 • 1 - メジャー バージョン ナンバーのみ(7.3.0 の 7)が一致する必要があります。 • 2 - マイナー バージョン ナンバー(7.3.0 の 3)が一致する必要があります。 • 3 - フィーチャー バージョン ナンバー(7.3.0 の 0)が一致する必要があります。 • 4 - メンテナンス バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 1)も一致する必 要があります。 • 5 - Hotfix バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 2)も一致する必要があ ります。 • 6 - ビルド ナンバー(たとえば 14379)も一致する必要があります。 このノードは次のグループのメンバーです ノードをグループ内のノードに含める設定 表 5-4 このノードは次のグループのメンバーです オプション 定義 [グループ ランタイ ム] ランタイム データをグループ内のすべてのノードと共有できるノードのグループ、たとえ ば、時間のクォータを判別します。 [グループ更新] 更新をグループ内すべてのノードと共有できるノードのグループを判別します。 [グループ ネットワー ク] グループ内のその他すべてのノードに直ちに接続できるノードのグループを判別します。 ノードは複数のネットワーク グループのメンバーになれます。 この場合ノードは、このノードもメンバーである別のグループのノードにこのノードを通 して接続できるメンバーである 1 つのノードのグループです。 ノードがメンバーであるすべてのグループはグループ ネットワーク リストにリストされ ています。 以下の表は、グループ ネットワーク リストのリスト エントリの要素を説明しています。 表 5-5 グループ ネットワーク – リスト エントリ オプション 定義 [文字列] ネットワーク ノード グループの名前を指定します。 [コメント] ネットワーク ノード グループの平文コメントを提供します。 McAfee Web Gateway 7.6.0 製品ガイド 167 5 一元管理 一元管理設定 自動エンジン更新 フィルタリング プロセスで使用されるモジュールのデータベース情報の自動更新をスケジュール設定する設定 表 5-6 自動エンジン更新 オプション 定義 [自動更新を有効にする] 選択されると、データベース情報が自動的に更新されます。 [インターネットからの 更新のダウンロードを 許可する] 選択されると、データベース更新がインターネットからダウンロードされます。 [その他ノードからの更 新のダウンロードを許 可する] 選択されると、データベース更新が一元管理構成のその他ノードからダウンロードされま す。 [更新間隔] データベース情報が再び更新される前に経過する時間(分)を指定値に制限します。 時間はスライダーのスケールに設定されます。 許可されている値の範囲は 15 ~ 360 です。 [CRL 更新間隔] フィルタリング SSL セキュア Web トラフィックに使用される証明失効リストが更新さ れる前に経過する時間(分)を指定値に制限します。 この更新はその他の更新とは異なる方法を使用するため別々に構成される必要がありま す。 時間はスライダーのスケールに設定されます 許可されている値の範囲は 3 ~ 168 です。 [更新プロキシを有効に する] 選択した場合、プロキシ サーバーは更新されたデータベース情報のルーティングに使用 されます。 [プロキシの更新(フェー 更新されたデータベース情報のルーティングに使用するプロキシ サーバーを入力するた ルオーバー)] めのリストを提供します。 プロキシ サーバーはフェールオーバー モードで使用されます。リストの最初のサーバ ーが最初に試行され、構成されたタイムアウトが経過した場合のみ次のサーバーが試行さ れます。 以下の表は、更新プロキシ リストのエントリの要素を説明しています。 表 5-7 更新プロキシ – リスト エントリ オプション 定義 [ホスト] ルーティング更新のプロキシとして使用されるサーバーのホスト名または IP アドレスを指定しま す。 [ポート] 更新要求をリスンするプロキシのポートを指定します。 [ユーザー] ルーティング更新のためプロキシへのアクセスが許可されたユーザーのユーザー名を指定します。 [パスワード] このユーザーのパスワードを設定します。 コメント プロキシの平文テキストのコメントを提供します。 詳細な更新設定 詳細更新機能の設定 168 McAfee Web Gateway 7.6.0 製品ガイド 一元管理 一元管理設定 5 表 5-8 詳細な更新設定 オプション 定義 [その他ノードへの更新のアッ プロードを許可する] 選択されると、更新されたデータベース情報が、アプライアンス(一元管理構成の ノードとして)から他のノードへアップロードされます。 [初めて更新を開始するとき 更新が開始される前に経過する時間(秒)を指定値に制限します。 は、開始する前に適切な時間待 5 から 1200 までの値を使用できます。 つ] [1 回目の自動更新の開始時、 更新の起動間隔を使用する] 自動更新を最初に開始する試行間に経過する時間(秒)を指定値に制限します。 更新中、更新された情報をアプライアンスに保管するコーディネーター サブシス テムは、この情報を使用するモジュールのあるアプライアンス コアへ接続を試み ます。 この間隔に対しての低い値は、コアがデータを受信する準備ができるまでの待ち時 間を短縮できるため、更新をスピード アップできます。 5 から 600 までの値を使用できます。 [起動間隔を使って更新する] 更新を開始したときにアプライアンスが行った試行の数(1 から 9)を指定値に制 限します。 [代替 URL を使用] デフォルト サーバーの代わりに使用される更新 サーバーの URL を指定します。 [SSL トンネルを確認する] 選択されると、 SSL セキュア通信の更新 サーバーが確認されたことで、証明書が ノードに送信されます。 [更新サーバーの特別なカスタ URL フィルタリング情報のアップデートは、ここに入力されている URL で指定さ マー パラメーター シーケンス れた URL フィルター データベース サーバーから取得されます。 を入力する] [定義された時間枠で更新され ない] データベース情報が更新されない間の毎日のタイム スロットを入力するためのリ ストを提供します。 以下の表は、タイム スロット リストのエントリの要素を説明しています。 表 5-9 タイム スロット – リスト エントリ オプション 定義 [タイム スロットの開始(時間)] 毎日のタイム スロットを開始する時間を設定します。 [タイム スロットの開始(分)] 毎日のタイム スロットを開始する分を設定します。 [タイム スロットの開始(秒)] 毎日のタイム スロットを開始する秒を設定します。 [タイム スロットの終了(時間)] 毎日のタイム スロットを終了する時間を設定します。 [タイム スロットの終了(分)] 毎日のタイム スロットを終了する分を設定します。 [タイム スロットの終了(秒)] 毎日のタイム スロットを終了する秒を設定します。 コメント タイム スロットの平文テキストのコメントを提供します。 詳細な契約リスト設定 詳細な契約リスト機能の設定 McAfee Web Gateway 7.6.0 製品ガイド 169 5 一元管理 一元管理設定 表 5-10 詳細な契約リスト設定 オプション 定義 [顧客の契約リストの 選択されると、顧客契約リストが現在のアプライアンスからダウンロードできます。 ダウンロードを許可す アプライアンすが一元管理構成のノードであり、このオプションが他のノードでも選択され る] ている場合、ノードの 1 つがリストをダウンロードします。 特定のノードをリストにダウンロードする場合、他のすべてのノードのオプションが選択解 除されていることを確認する必要があります。 ノードが再起動され、1 つ以上の契約リストがこのノードで構成されている場合、リスト コンテンツがダウンロードされ、有効な構成を確認します。 ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま す。 ノードが契約リストが構成された他のノードとともに追加されるとき、リスト コンテンツ が新しいノードのこれらのリストにダウンロードされます。 内部トラフィックを軽減するため、他のノードとの優先的な通信がなくダウンロードが実行 されます。 ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま す。 手動エンジン更新 フィルタリング プロセスで使用されるモジュールのデータベース情報の手動更新を実行する設定 表 5-11 手動エンジン更新 オプション 定義 [手動エンジン更新] フィルター処理で使用されているモジュールのデータベース情報をすぐに更新します。 データベース情報は、現在作業しているアプライアンスのモジュールにのみ更新されます。 処理保管構成ファイル ディスクの構成ファイル フォルダーの保管設定 表 5-12 処理保管構成ファイル オプション 定義 [最小限の時間で保管され 構成ファイル フォルダーがディスクに保管される最低限の時間(日数)を指定値に制限 た構成フォルダーを維持] します。 日数の範囲は 1 秒から 100 秒です。 [最小限の構成フォルダー いつでもディスクに保管できる最小限の構成ファイル フォルダー数を指定値に制限し 数を維持] ます。 数の範囲は 1 から 100 です。 [最小限の圧縮フォルダー いつでもディスクに保管できる最小限の圧縮構成ファイル フォルダー数を指定値に制 数を維持] 限します。 ディスクでそれらを保管するために構成された最小限の時間が経過したとき、構成フォ ルダーは圧縮されます。そして常にディスクに保管している最小限のフォルダー数は、 圧縮されないでいると超過してしまいます。 フォルダー数の範囲は 1 から 100 です。 170 McAfee Web Gateway 7.6.0 製品ガイド 一元管理 一元管理設定 5 詳細スケジュール設定ジョブ スケジュール設定ジョブの設定 表 5-13 詳細スケジュール設定ジョブ オプション 定義 [ジョブ リスト] スケジュール設定ジョブ リストを提供します。 以下の表はリスト エントリの要素を説明しています。 表 5-14 ジョブ リスト エントリ オプション 定義 [ジョブの開始] スケジュール設定ジョブを開始する時間の設定、たとえば、時間別、日別、 1 回を指定します。 [オリジナルのスケジュールで開始し オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジ なかった場合、直ちにジョブを開始し ュール設定ジョブが直ちに開始されます。 ます] [ジョブ] ジョブのタイプ、たとえば、バックアップ構成を指定します。 [固有のジョブ ID] スケジュール設定されたジョブを識別します。 [このジョブが ID でジョブの実行を 終了したとき] このジョブの後に直ちに実行するジョブの ID を提供します。 コメント スケジュール設定ジョブの平文テキストのコメントを提供します。 スケジュール設定ジョブ ウィンドウの追加 スケジュール設定ジョブの追加のウィンドウの設定 • 時間設定 - スケジュール設定ジョブの開始時間の設定 • ジョブの設定 - スケジュール設定ジョブのタイプと ID の設定 • パラメーターの設定 - スケジュール設定ジョブの追加パラメーターの設定 これらの設定は各ジョブ タイプによって以下のように異なります: • (構成のバックアップの設定) - アプライアンス構成のバックアップを作成するスケジュール設定ジョブの設 定 • (バックアップの復元の設定) - アプライアンス構成のバックアップを復元するスケジュール設定ジョブの設 定 • (ファイルのアップロードの設定) - HTTP または HTTPS プロトコルで外部サーバーにファイルをアップロ ードするスケジュール設定ジョブの設定 • (ファイルのダウンロードの設定) - HTTP または HTTPS プロトコルでアプライアンスにファイルをダウン ロードするスケジュール設定ジョブの設定 yum 更新を実行するスケジュール設定ジョブに対して追加のパラメーター設定があります。 McAfee Web Gateway 7.6.0 製品ガイド 171 5 一元管理 一元管理設定 表 5-15 時間の設定 オプション 定義 [ジョブの開始] 時間設定を選択することができます。 (時間パラメータ ーの設定) • [時間別] — 毎時間スケジュール設定ジ ョブを開始します。 • [月別] — スケジュール設定ジョブを 1 か月に 1 回開始します。 • [日別] - スケジュール設定ジョブを 1 日に 1 回開始します。 • [1 回] — 1 回のみスケジュール設定ジ ョブを開始します。 • [週別] — スケジュール設定ジョブを 1 週間に 1 回開始します。 • [その他のジョブによる有効化] — その 他のジョブが完了した後にスケジュール 設定ジョブを開始します。 時間設定のパラメーターを指定する設定。例:時間別に実行されるジョブのスケジュール設定が 開始されるときの 1 時間内の分 どのパラメーター設定が選択された時間設定によって表示されますか。 例:時間別を選択した場合、時間内で分を構成できますが、月内で日は構成できません。 [オリジナルのス ケジュールで開 始しなかった場 合、直ちにジョブ を開始します] • [分] - 分を設定します。 • [曜日の入力] - 曜日を設定します。 • [時間] - 時間を設定します。 • [月] — 月を設定します。1 から 12 の 数字で指定します。 • [日にち] - 日にちを設定します。 • [年] - 年を 4 桁で設定します。 選択されると、オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジュー ル設定ジョブが直ちに開始されます。 このケースの場合は、例えば、アプライアンスが負荷がかかりすぎたため一時的にシャットダウ ンし、ダウンタイム中にジョブがスケジュールを実行したときなどです。 ジョブはアプライアンスが再びアップされてからすぐに実行されます。 表 5-16 ジョブ設定 オプション 定義 [ジョブ] スケジュール設定されたジョブのタイプを選択できます。 • [構成のバックアップ] — アプライアンス構成のバックアップを作成します。 • [バックアップの復元] — アプライアンス構成のバックアップを復元します。 • [ファイルのアップロード] — HTTP または HTTPS プロトコルでファイルを外部サーバーに アップロードします。 • [ファイルのダウンロード] — HTTP または HTTPS プロトコルでファイルをアプライアンス にダウンロードします。 • [Yum の更新] — アプライアンス構成で yum 更新を実行します このタイプのスケジュール設定ジョブは、アプライアンスが FIPS 対応モードで実行している場 合に利用できません。 172 [固有のジョブ ID] スケジュール設定されたジョブを識別します。 [ジョブ説明] 標準テキスト形式でのスケジュール設定ジョブのオプション説明を提供します。 ここに入力する文字は大文字と小文字が区別されます。 McAfee Web Gateway 7.6.0 製品ガイド 5 一元管理 一元管理設定 表 5-16 ジョブ設定 (続き) オプション 定義 [このジョブが ID でジョブの 実行を終了した とき] ここで構成したジョブを完了した後、直ちに実行するスケジュール設定ジョブの ID を提供しま す。 [リモート ノー ドでジョブを実 行する] スケジュール設定されたジョブを実行する構成の他のノードのリストを提供します。 このジョブに、[その他のジョブによって有効化]時間設定を構成する必要があります。 リストは他のノードのホスト名を表示します。 このアプライアンスで構成するスケジュール設定ジョブは、選択されたノードの時間およびパラ メーターで実行されます。 メッセージはその他のノードに送信され、スケジュール設定ジョブについて通知します。 表 5-17 パラメーター設定 – バックアップ構成 オプション 定義 [一番最近の構成 選択されると、スケジュール設定されたジョブは、もっとも最近のアプライアンス構成からバッ を使用する] クアップを作成します。 形式:|<path name>/<file name with extension> [バックアップ構 バックアップに使用される必要がある構成が保管されている場所のフォルダーへのパス名を提 成パス] 供します。 形式:/opt/mwg/storage/default/configfolder [一番最近の構成を使用する]が選択解除された場合、この設定のみ利用できます。 [パスの構成を保 バックアップ構成のパスおよびファイル名を指定します。 存する] 形式:/<path name>/<file name with file name extension> フォルダーにデータを書き込める所有者にアプライアンスを作成して、バックアップ構成を保管 するフォルダーに対しユーザー権限を設定する必要があります。 コマンド ラインが提供され、例えば、シリアル コンソールによって、適切なコマンド実行し、 フォルダーを作成または既存のフォルダーの権利を変更します。 表 5-18 パラメーター設定 – バックアップ復元 オプション 定義 [ファイルからバッ バックアップの復元に使用されるファイルのパスおよびファイル名を指定します。 クアップを復元す 形式:|<path name>/<file name with extension> る] [ポリシーのみ復 元] 選択されると、スケジュール設定ジョブはアプライアンスで実行された Web セキュリティ ポ リシーに関連した設定のみバックアップします その他の設定。例:アプライアンスのネットワークへの接続に必要な設定は復元しません。 [復元中のロック保 選択されると、スケジュール設定ジョブがバックアップ構成を完全に復元するまで他のファイ ルはアプライアンスに保管できません 管] [パスワード] 基本認証に送信するパスワードを設定します。 [設定] [新しいパスワード]ウィンドウを開いてパスワードを設定します。 パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開 き、[設定]ボタンが[変更]ボタンに代わります。 この設定は[基本認証を有効化]が選択された場合のみ利用できます。 McAfee Web Gateway 7.6.0 製品ガイド 173 5 一元管理 一元管理設定 表 5-19 パラメーター設定 – ファイルのアップロード オプション 定義 [アップロードするフ アップロードするファイルのパスおよびファイル名を指定します。 ァイル] 形式:|<path name>/<file name with extension> [ファイルをアップロ HTTP または HTTPS プロトコルでファイルをアップロードするサーバーのパス名およびサ ードする送信先] ーバーにファイルを保管するファイル名を指定します。 形式:http|https://<URL>/<file name with extension> [基本認証を有効にす 選択されると、ファイルをアップロードするために基本認証が必要になります。 る] [ユーザー名] 基本認証に送信するユーザー名を設定します。 この設定は[基本認証を有効化]が選択された場合のみ利用できます。 [パスワード] 基本認証に送信するパスワードを設定します。 [設定] [新しいパスワード]ウィンドウを開いてパスワードを設定します。 パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開 き、[設定]ボタンが[変更]ボタンに代わります。 この設定は[基本認証を有効化]が選択された場合のみ利用できます。 表 5-20 パラメーター設定 – ファイルのダウンロード オプション 定義 [ダウンロードする URL] HTTP または HTTPS プロトコルでダウンロードされたファイルの場所の URL およびフ ァイル名を指定します。 形式:http|https://<URL>/<file name with extension> [ダウンロードしたフ ァイルを保存する] ダウンロードしたファイルを保管した場所のパスおよび保存するファイルの名前を指定し ます。 形式:|<path name>/<file name with extension> [基本認証を有効にす る] 選択されると、ファイルをダウンロードするために基本認証が必要になります。 [ユーザー名] 基本認証に送信するユーザー名を設定します。 この設定は[基本認証を有効化]が選択された場合のみ利用できます。 [パスワード] 基本認証に送信するパスワードを設定します。 [設定] [新しいパスワード]ウィンドウを開いてパスワードを設定します。 パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが 開き、[設定]ボタンが[変更]ボタンに代わります。 この設定は基本認証を有効化が選択された場合のみ利用できます。 174 McAfee Web Gateway 7.6.0 製品ガイド 6 ルール Web フィルタリングと権限はルールにより制御され、ネットワークのニーズに合わせて実装および変更できます。 ルールはグループ化され、ルール セットで使用可能になり、それぞれは通常はフィルタリング アクティビティの特 定のフィールドを対象としています。たとえば、ウイルスとマルウェア フィルタリング ルール セット、URL フィル タリング ルール セット、認証ルール セットなどがある場合があります。 アプライアンスの初期セットアップ時に、ルール セットのデフォルトのシステムが実装されます。これらのルールと ルール セットを見直し、それらを変更および削除し、固有のルールおよびルール セットをしたり、固有の完全なシ ステムさえも作成できます。 さらに、その他のルール セットと同じ方法でライブラリからルール セットをインポートし、それらを変更できます。 目次 ルールの柔軟性 フィルタリングについて ルール要素 テキスト内でのルールの表記 ルール セット ルール セット システム ルール セット ライブラリ [ルール セット] タブ ルールの作成 ルール セットの作成 ルール セットのインポート ベスト プラクティス - ルールの設定 構成項目へのアクセス制限 ルールの柔軟性 Web Gateway では、セキュリティ ルールを非常に柔軟に使用できます。ネットワークに最適な方法でルールを変 更できます。 Web Gateway の初期セットアップ後にデフォルトのルール セット システムの一部として実装されているルールを サンプルとして使用できます。 このシステムを見ると、Web セキュリティ ルールの体系を把握できます。 このシ ステムをそのまま維持する必要はありません。 同様に、ルール セット ライブラリのルール セットに設定されているルールは、Web Gateway の Web セキュリテ ィ機能を展開する場合のサンプルとして使用できます。 デフォルトのルールと同様に自由に変更できます。 このドキュメントでは、デフォルトのライブラリ ルールについて機能と使用方法が説明されています。 ただし、特定のデフォルト ルール セットを実装したり、特定のライブラリ ルール セットをインポートする必要は必 ずしもありません。 特定のルールやその要素をドキュメントの説明と同じ方法で使用する必要もありません。 McAfee Web Gateway 7.6.0 製品ガイド 175 6 ルール フィルタリングについて ネットワークの要件によっては、マニュアルの説明と異なる方法で実装することができます。 フィルタリングについて フィルタリング処理は、ネットワークの Web セキュリティを保証するために、実装ルールを使用するアプライアン スで実行されます。 この処理は Web トラフィックをフィルターします。茶葉を引っかけて取り除き、すきまを通して液体を流れさせる 茶こしのように、一部のオブジェクトをブロックし、他は通過させます。 この処理は茶葉と液体はどのように区別するのでしょうか?茶こし器の場合は、明らかにサイズが主要な概念として 使用されています。大きすぎるものは通過できません。 同様に、フィルタリングの判断をするために、アプライアンスのフィルタリング処理は Web オブジェクトが持つ、 あるいは Web オブジェクトに何らかの方法で関連する、あらゆる種類のプロパティのルールを使用します。 フィルターされたオブジェクトのプロパティ フィルタリング処理でチェックされた Web オブジェクトのプロパティは、たとえば、ウイルスに感染しています。 Web オブジェクトはウイルスに感染するプロパティを持つ場合があります。さらに簡単に言えば、ウイルスに感染 する可能性があります。 その他の例では、特定の URL カテゴリーまたは特定の IP アドレスを持つプロパティに属するプロパティの場合があ ります。 すると、これらのプロパティおよびその他のプロパティについて、以下のような疑問が生じます。 • 特定の Web オブジェクトにおいて、プロパティ p の値は? • そして、この値が x の場合、どのようなアクションが必要なのだろうか? 2 つめの質問に答えると、以下のルールに導かれます。 プロパティ p の値が x である場合、アクション y が必要。 アプライアンスのすべてのルールにおいて、プロパティは主要な要素です。プロパティを理解することは、ルールを 理解することにおいて不可欠です。 ルールを作成する際は、使用するプロパティについて考慮することから始めることが望ましいです。すでに存在する ルールを例として使用し、たとえば、以下のように考慮することがあるかもしれません。 ウイルスと他のマルウェアをフィルタリングします。 「ウイルスに感染している」プロパティを使用し、それを中心に ルールを作成します。特定の Web オブジェクトにこのプロパティがある場合、このルールにブロック アクション の実行を必要とするようにします。 ルールは、以下のようになる可能性があります。 ウイルスに感染しているが true の値(特定の Web オブジェクトで)である場合は、このオブジェクトへのアクセ スをブロックします。 この Web オブジェクトは、たとえば、ネットワークのユーザーがファイルをリクエストしたことで Web サーバー が送信したファイルであり、アプライアンスでインターセプトおよびフィルタリングされたものである可能性があり ます。 このセクションでは、普通の言葉を使用してプロパティとルールが説明されます。しかし、アプライアンスのユーザ ー インターフェースにある形式はこれとはあまり変わりません。 たとえば、ウイルス感染に関する上記のルールが、以下のようにユーザー インターフェースに表示される場合があり ます。 176 McAfee Web Gateway 7.6.0 製品ガイド 6 ルール フィルタリングについて Antimalware.Infected equals true –> Block (Default) この場合、Antimalware.infected がプロパティで Block がアクションの場合、デフォルトの方法で実行される ものです。 ユーザー インターフェースに矢印が表示されずここに表示されています。特定の Web オブジェクトに疑わしいプ ロパティがある場合、ブロック アクションがトリガーされていることを示します。 ユーザーのフィルタリング プロパティは Web オブジェクトに関連する可能性がありますが、それをリクエストするユーザーにも関連する可能 性があります。 たとえば、ルールで ユーザーがメンバーであるユーザー グループ プロパティを使用して、許可されたグループにい ないユーザーによって送信されたリクエストをブロックすることができます。 ユーザーがメンバーであるユーザー グループ(特定のユーザーで)が許可されているグループのリストにない場合、 このユーザーによって送信されるリクエストをブロックします。 フィルタリング サイクル このアプライアンスでのフィルタリング プロセスには、以下の 3 つのサイクルがあります。リクエスト サイクル、 応答サイクル、埋め込みオブジェクト サイクルいかなる時でも、これらの中から 1 つの処理しかできません。 リクエスト サイクルはネットワークのユーザーが Web に送信するリクエストをフィルタリングするために実行さ れ、応答サイクルはこれらのリクエストにより Web から受信した応答のために使用されます。 埋め込みオブジェクトがリクエストまたは応答とともに送信される場合、埋め込みオブジェクト サイクルは追加の処 理のサイクルとして実行されます。 埋め込みオブジェクトは、たとえば、ファイルをアップロードするというリクエストとともに送信されるファイルで あり、このファイルに埋め込まれるということがあります。フィルタリング プロセスは、リクエスト サイクル、リ クエストのフィルタリング、アップロードのリクエストがあるファイルの確認から開始します。すると、埋め込みフ ァイルに対して埋め込みオブジェクト サイクルが開始されます。 同様に、Web サーバーから応答として送信されて、他のファイルが埋め込まれているファイルでは、応答サイクル と埋め込みオブジェクト サイクルが次々と開始されます。 アプライアンスのすべてのルールにつき、どのサイクルで処理されるかが指定されています。しかし、サイクルは個 々のルールで指定されているのではなく、それを含むルール セットで指定されます。 1 つのサイクルのみ、またはサイクルの組み合わせで、ルール セットを処理できます。 プロセス フロー フィルタリング プロセスでは、実装されているルールがルール セットでの位置に応じて、次々と処理されます。 ルール セット自体は、ユーザー インターフェースの[ルール セット]タブで表示されている、ルール セット システ ムの順序に処理されます。 3 つのサイクルそれぞれで、このサイクルでどれを処理する必要があるかを確認するために、実装されたルール セッ トが次々と参照されます。 ルールが処理されて適用することが判明した場合、アクションをトリガーします。アクションは、Web オブジェク トへのアクセスをブロックしたり、リクエストされたオブジェクトを削除するなどの、フィルタリング手段を取りま す。 これに加え、アクションはフィルタリング プロセスに影響を与えます。フィルタリング プロセスを完全に停止する 必要があると指定、あるいは一部のルールを省いて続行、またはシンプルに次のルールで続行すると指定することが できます。 McAfee Web Gateway 7.6.0 製品ガイド 177 6 ルール フィルタリングについて すべての実装されたルールが処理された後も、処理が停止します。 それにより、プロセス フローは以下のようになります。 構成されたそれぞれのサ –> 処理が止まります。 イクルのすべてのルール リクエスト サイクルでは、リクエストが適切なサーバーに通過することが許可され が処理されたので、適用す ます。 るルールが見つからない。 応答サイクルでは、Web から送信された応答は、適切なユーザーに転送されます。 埋め込みオブジェクト サイクルでは、リクエストまたは応答とともに送信された埋 め込みオブジェクトが一緒に通過することが許可されます。 次のリクエストが受信されるときに、処理は再び開始されます。 ルールが適用され、処理を –> 処理が止まります。 完全に停止する必要があ 処理が完全に止まるルールの例の一例は、ブロック アクションのあるルールです。 る。 たとえば、リクエストされた URL がブラックリストにあるためにリクエストがブ ロックされた場合、他を処理を行うことは無意味になります。 リクエストがブロックされて適切な Web サーバーに渡されていないため、応答は 受信されません。リクエストがブロックされたため、リクエストとともに送信され た埋め込みオブジェクトのフィルタリングも必要ありません。 メッセージは、たとえば、ユーザーにリクエストがブロックされたこととその理由 の通知など、アクションによって影響を受けたユーザーに送信されます。 次のリクエストが受信されるときに、処理は再び開始されます。 ルールが適用され、現在の –> このルール セットの処理が停止します。 ルール セットの処理を停 ルール セットの停止ルールに従うルールは省かれます。 止する必要がある。 ルール セットの処理を停止するルールの例は、同じルール セットにおいてホワイ トリスト ルールにブロック ルールが続く場合です。 リクエストされた Web オブジェクトがホワイトリストで見つかった場合、そのリ クエストは他にフィルタリングされることなく通過が許可されます。そのため、ル ール セットはこれ以上処理されることなく、オブジェクトを最終的にブロックする ルールは省かれます。 次のルール セットで処理が続行されます。 次のルール セットには、たとえば、リクエストが前のルール セットで通過するこ とが許可されていてもそのリクエストをブロックするようなルールを、含むことが できます。 ルールが適用され、現在の –> このサイクルの処理が停止します。 サイクルの処理を停止す ルール セットの停止ルールに従うルールは省かれます。 る必要がある。 サイクルの処理を停止するルールの例は、グローバル ホワイトリスト ルールです。 リクエストされたオブジェクトがグローバル ホワイトリストで見つかった場合、そ のリクエストは適切なサーバーに通過することが許可されます。リクエストが、最 終的に後に続くいかなるルールやルール セットにブロックされないことを保証す るために、リクエスト サイクルはこれ以上処理されません。 次のサイクルで処理が続行されます。 ルールが適用され、次のル –> 処理は次のルールで続行します。 ールで処理が続行される これは現在のルール セットにおける次のルール、あるいは次のルール セットまた 必要がある。 はサイクルの最初のルールである可能性があります。 フィルタリング プロセスを妨げずに続行させるルールの例は、統計ルールです。 このルールは、カウンターを増加させることでリクエストを数えるだけであり、そ れ以外は何もしません。 178 McAfee Web Gateway 7.6.0 製品ガイド ルール ルール要素 6 ルール要素 アプライアンスの Web セキュリティ ルールには、3 つの主要要素があります。条件、アクション、および(オプシ ョン)イベント. 1 [条件] ルールが適用されるかどうかを判別します。 その他のルール構文は条件の代わりに条件を使用します。 URL のカテゴリーがリスト x にある場合、... 条件には、以下の 3 つの要素があります。プロパティ、演算子、演算対象。 • [プロパティ] Web オブジェクトまたはユーザーに関連するものです。 URL のカテゴリー ... • [演算子] 演算対象のプロパティをリンクします。 ... がリストにある • [演算対象] プロパティがもつことができる値を指定します。 ... x(リスト名) 演算対象はユーザー インターフェースではパラメーターとしても知られています。 2 [アクション] 条件が一致した場合に実行されます。 ... URL をブロック 3 [イベント] 条件が一致した場合に実行されます。 ... およびこのアクションをログに記録します。 イベントはルールに対してオプションです。ルールは複数のイベントを持つこともできます。 ユーザー インターフェースでのルールの形式 ユーザー インターフェイスでは、ルールは以下の形式で表示されます。 図 6-1 ユーザー インターフェースでのルールの形式 以下の表で、 ルール要素の意味を説明します。 McAfee Web Gateway 7.6.0 製品ガイド 179 6 ルール ルール要素 表 6-1 ユーザー インターフェースでのルールの要素 オプショ ン 定義 [有効] ルールを有効または無効にすることを可能にします [名前] ルールの名前 • [URL のブロック ...] ― 名前のテキスト • [カテゴリー ブロックリスト] (ルール名) — ルールにより使用されるリスト リスト名をクリックすると、編集のためにリストが開きます。 • リスト名の隣の黄色の三角形 ― このリストが最初に空で、エントリーの入力が必要であることを示 します。 [条件] ルールの条件 条件は、[詳細の表示]切り替えボタンをクリックした後のみに、表示されます。 • [URL.Categories] — プロパティ • [<Default>] — プロパティの値を取得するモジュールの設定 たとえば、URL フィルターー モジュールの設定であるここに表示されるデフォルト設定。 設定名をクリックすると、編集のために設定が開きます。 モジュール名はルールでは表示されません。しかし、ルールの条件の[編集]ウィンドウで表示されま す。 • [リストに少なくとも 1 つある場合] ― 演算子 • [カテゴリー ブラックリスト] — 演算対象、またはパラメーターとして知られています リスト名をクリックすると、編集のためにリストが開きます。 リスト名は、条件が表示されていないときに利用可能にするため、ルール名と条件の両方に表示され ます。 • リスト名の隣の黄色の三角形 ― このリストが最初に空であることを示します。 [アクショ ン] ルールのアクション • [ブロック] — アクションの名前 • [<URLBlocked>] — アクションの名前 設定名をクリックすると、編集のために設定が開きます。 [イベン ト] ルールの 1 つ以上のイベント イベントは、[詳細の表示]切り替えボタンをクリックした後のみに、完全に表示されます。 • [Statistics.Counter. Increment] — イベントの名前 • [“BlockedByURLFilter, 1”] — イベントのパラメーター • [<Default>] — イベントの設定 設定名をクリックすると、編集のために設定が開きます。 180 McAfee Web Gateway 7.6.0 製品ガイド ルール テキスト内でのルールの表記 6 複雑な条件 ルールの条件は、2 つ以上の部分で構成することで複雑にできます。 各部分の複雑な条件には演算子と演算対象のあるプロパティがあります。これらの部分は、AND または OR でリン クされています。 フィルターされた URL が、2 つの指定されたカテゴリ リストのいずれか(または両方)にあるカテゴリに属してい る場合、条件の一致になります。 3 つ以上の部分で条件を構成し、AND と OR の両方を間に使用している場合は、どのように部分が論理的につなが っているかを示すために括弧を入れる必要があります。たとえば、(a AND b) OR c の意味は、a AND (b OR c) と は違います。 3 つめの条件の部分をユーザー インターフェースに追加すると、小文字がその部分の前に表示され、追加のフィール ドが構成ウィンドウの下に挿入されます。 a AND b OR c など、フィールドは条件部分を簡単に表示します。それから、必要に応じてフィールドに括弧を入力 できます。 テキスト内でのルールの表記 Web Gateway のドキュメントでは、ルールの説明にいくつかの表記方法を使用しています。 ルールは長形式または短形式で表記されています。ルールの構造について明示的な説明が付いている場合もありま す。 ルールの個々の要素は、他の要素と区別できるように別のフォントで表記されています。 形式と書式の組み合わせで次の 4 種類の表記方法があります。 • 短形式のルール表記 - ルールを短形式で表記し、要素ごとに異なるフォントを使用します。 • 短形式のルール表記 (統一書式) - ルールを短形式で表記し、すべての要素に同じフォントを使用します。 • 長形式のルール表記 - ルールを長形式で表記し、要素ごとに異なるフォントを使用します。 • 長形式のルール表記 (統一書式) - ルールを長形式で表記し、すべての要素に同じフォントを使用します。 どの形式の場合でも、ルールの後に各ルールの説明がテキスト形式で続きます。 ユーザー インターフェースでのルールの表記 Web Gateway のユーザー インターフェースでは、次のようにルールが表示されます。 ルールの 3 つの主要要素 (条件、アクション、イベント) は、それぞれ別の列に表示されます。 ルール名は、ルールの条件の上に太字で表示 されます。 図 6-2 ユーザー インターフェースでのルールの表記 この例のルール名と要素は次のとおりです。 • 名前 - ウイルスを検出したらブロック • 条件 - Antimalware.Infected<Gateway Anti-Malware> equals true • アクション - Block<Virus Found> • イベント - Statistics.Counter.Increment("BlockedByAntiMalware",1)<Default> テキストの場合と同様に、4 種類の表示方法があります。 McAfee Web Gateway 7.6.0 製品ガイド 181 6 ルール テキスト内でのルールの表記 短形式のルール表記 短形式のルール表記では、ルール名が太字で表示され、その下に主要要素が表示されます。 この表記方法は、ユーザ ー インターフェースでルールを表示する場合によく利用される方法です。 ユーザー インターフェースでは、ルールの主要要素を区別するために、条件がイタリックで表示され、アクションの 前に矢印が表示されます。 この矢印は条件とアクションの関係を表しています。つまり、条件に一致すると、アクシ ョンが実行されることを表しています。 ルール イベントは常にオプションです。 これも条件に一致した場合に実行されますが、アクションの後にダッシュ が続き、その後に表示されます。 ウイルスを検出したらブロック Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> – Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default> 短形式のルール表記 (統一書式) 短形式のルール表記で統一書式の場合には、ルール名と要素がすべて同じフォントで表示されます。 すべて幅の狭い 太字で表示されます。 [ウイルスを検出したらブロック] [Antimalware.Infected<Gateway Anti-Malware> equals true – Block<Virus Found> – Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>] 長形式のルール表記 長形式のルール表記では、ルールが表形式で表示されます。各要素はそれぞれ別の行になり、要素名が最初の列に表 示されます。 ルール名は、セクションのタイトルと同様に表の上に赤字で表示されます。 ウイルスを検出したらブロック ルール要素 定義 [条件] Antimalware.Infected<Gateway Anti-Malware> equals true [アクション] Block<Virus Found> [イベント] Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default> 長形式のルール表記 (統一書式) ルールが長形式の統一書式で表記される場合には、すべてのルール要素が幅の狭い太字のフォントで表示されます。 ウイルスを検出したらブロック 182 ルール要素 定義 [条件] [Antimalware.Infected<Gateway Anti-Malware> equals true] [アクション] [Block<Virus Found>] [イベント] [Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>] McAfee Web Gateway 7.6.0 製品ガイド ルール ルール セット 6 ルール セット ルールは、アプライアンスのルール セットにグループ化されて含まれます。ルールはそのままでは使用できません。 ルールはルール セットに含まれる必要があります。 ルール セットは単一のルールのみか、複数のルールを含むことができます。1 つ以上のネストされた ルール セット を含めることもできます。ルール セットがネストされたルール セットを含む場合、ネストされたルール セットと同 じレベルで個々のルールを含むことができます。 ルール セットは、通常、Web セキュリティを保証する特定の機能を提供するために、一緒に動作するルールを含み ます。 たとえば、ウイルスとマルウェアをフィルタリングするルール セットに、ブロック ルールを省いてユーザーがアク セスできるように、感染したルール セットをブロックするルール、および 1 つ以上のオブジェクトをホワイトリス トするルールを含めます。 施行されたルール セットを変更し、固有のルール セットを作成してネットワークに適した方法で機能的なユニット を構築できます。 ルール セットの条件 ルールと同様にルール セットには条件があり、その条件に一致した場合に適用されます。 通常、ルール セットの条件はルールの条件とは異なります。ルールが適用されるには、条件とルール セットの条件 の両方が一致する必要があります。 ルール セット サイクル ルール セットは、フィルタリング プロセスの 3 つのサイクルでルールとともに処理されます。 ルール セットは、たとえば、リクエスト サイクルのみ、リクエストと応答サイクル、および 3 つのサイクルすべて など、これらのサイクルのいかなる組み合わせでも処理することができます。 ルール セットのサイクルは、これを含み個々のルールのものと同じです。ルールに関しては、そのルール セットか らのサイクルとは異なることはできません。 ネストされたルール セット ルール セットには、他のルール セットをネストできます。ネストされたルール セットには独自の条件があります。 サイクルに関しては、ネストされたルール セットのサイクルで処理できますが、すべてのサイクルで処理する必要は ありません。 この方法だと、ネストされたルール セットで特定のサイクルに特に対応すると同時に、他のルール セットで異なる サイクルに対応するように構成できます。 たとえば、メディア タイプ フィルタリング ルール セットは、すべてのサイクルに適用される可能性がありますが、 有しているすべてのネストされたルール セットでは処理されません。 メディア タイプ フィルタリング ルール セット(リクエスト、応答、および埋め込みオブジェクト) • ネストされたルール セット、メディア タイプ アップロード(リクエストのみ) • ネストされたルール セット、メディア タイプ ダウンロード(応答および埋め込みオブジェクトのみ) McAfee Web Gateway 7.6.0 製品ガイド 183 6 ルール ルール セット システム ルール セット システム ルール セットは、ルール セット システム内のアプライアンスで実装されます。 Web アクセスのリクエストがアプライアンスで受け取られると、このリクエストに対して、システム内のすべての ルール セットは上から下に処理されます。 ルール セット内のルールに一致すると、そのルールのアクションが実行されます。 アクションが [Block] の場合、 処理が停止します。 他のアクションの場合には処理が続行します。 同様に、実装されたシステムのルール セットは、リクエストおよび応答と一緒に送信された応答および埋め込みオブ ジェクトの場合に処理されます。 ルール セット システムの操作 アプライアンスの初期セットアップで、デフォルトのルール セット システムが実装されます。 次の操作を行うと、 このシステムをネットワークの要件に合わせて調整できます。 • ルールとルール セットの変更 • ルール セットのインポート • ルールとルール セットの削除 • ルールとルール セットの新しい位置への移動 • ルールとルール セットの作成 • ルールをコピーし、その他のルール セットに貼り 付ける デフォルト ルール セット システム デフォルトのルール システムは次のようになります(ネストされたルール セットが表示されます)。 表 6-2 デフォルト ルール セット システム ルール セット 説明 [Microsoft (Office 365) サービスの バイパス] フィルタリングで、Office 365 または他の Microsoft サービスと送受信す る要求と応答をバイパスします。 (デフォルトは無効) [SSL スキャナー] (デフォルトは無効) 184 他のフィルタリング機能で処理できるように、SSL で保護された Web ト ラフィックを準備します。 [グローバル ホワイトリスト] ホワイトリストに登録された URL または IP アドレスに対する要求をフ ィルタリングの対象外にします。 [プライバシーを侵害するヘッダーの 削除] プライバシーを侵害するヘッダーを要求から削除し、他のフィルタリング 機能で処理できるようにします。 [共通ルール] Web キャッシング、進行状況の表示、アーカイブの使用など、フィルタリ ング プロセスをサポートする機能を実行します。 [URL フィルタリング] 個々の URL と URL カテゴリのフィルタリングを制御します。 [メディア タイプ フィルタリング] 特定のタイプのメディアをフィルタリングします。 [ゲートウェイ マルウェア対策] ウイルス シグネチャとプロアクティブな方法でウイルスとマルウェアをフ ィルタリングします。 [コンテンツの動的分類] コンテンツの分類を動的に制御します。 McAfee Web Gateway 7.6.0 製品ガイド 6 ルール ルール セット ライブラリ ルール セット ライブラリ ルール セット ライブラリは、実装されたルール セット システムにインポートするためのルール セットを提供しま す。 システムにない機能を追加するため、または実装されているルール セットがネットワークに適していない場合に、ラ イブラリをインポートできます。 • ルール セット ライブラリは、デフォルト ルール セット システムの一部であるルール セットも含みます。 • オンライン ルール セット ライブラリからもっと多くのルール セットが利用可能です。このライブラリへのリ ンクは、標準ルール セット ライブラリのウィンドウに表示されます。 標準ルール セット ライブラリでは、ルール セットは、認証や URL フィルタリングなどのカテゴリーでグループ化 されます。 以下のテーブルでは、標準ルール セット ライブラリのカテゴリーを示します。 表 6-3 ルール セット ライブラリのカテゴリー ルール セット カテゴリー 次のルール セットが含まれます。 [アプリケーション制御] アプリケーションとアプリケーションの個々の機能をフィルタリングします。 [認証] ユーザーの認証 [警告/クォータ] ユーザの Web アクセスにクォータと制限を設定します。 [クラウド サービス] クラウド アプリケーションへのシングル サインオン アクセスを実装します。 [共通ルール] Web キャッシュ、進行状況の表示、アーカイブの使用など、フィルタリング プ ロセスをサポートします。 [DLP] データ損失防止を実装します。 [ePO] ePolicy Orchestrator の使用を可能にします。 [エラー処理] エラー処理を実装します。 [ゲートウェイのマルウェア対策] ウイルスなどのマルウェアに感染した Web オブジェクトをフィルタリングし ます。 [HTML/スクリプト フィルター] HTML ページとスクリプトをフィルタリングします。 [ICAP クライアント] アプライアンスで ICAP クライアントを実行します。 [ロギング] フィルタリングなどの処理をログに記録します。 [メディア タイプ フィルター] 特定のタイプのメディアをフィルタリングします。 [モバイル セキュリティ] モバイル トラフィックをフィルタリングします。 [ネクスト ホップ プロキシ] ネクスト ホップ プロキシを使用してデータ転送を行います。 [プライバシー] プライバシーを保護するため要求を変更します。 [SiteAdvisor Enterprise] SiteAdvisor を使用して要求をフィルタリングします。 [SSL スキャナー] SSL で保護された Web トラフィックを処理します。 [トラブルシューティング] トラブルシューティングを実行します。 [URL フィルター] 個々の URL と URL カテゴリをフィルタリングします。 [Web Hybrid] McAfee SaaS Web Protection サービスとの同期を有効にします。 McAfee Web Gateway 7.6.0 製品ガイド 185 6 ルール [ルール セット] タブ [ルール セット] タブ [ルール セット]タブでは、ルールとルール セットを設定します。 図 6-3 ルール セット タブ [ルール セット] タブの主要要素 以下の表で、[ルール セット]タブの主要な要素について説明します。 表 6-4 [ルール セット] タブの主要要素 要素 説明 ルール セット ツールバー ルール セット ツリーのルール セットを操作できる項目 ルール セット ツリー アプライアンスのルール セットが表示されるツリー構造 ルール セット メニュー ツリー構造で表示されるボタン •(一般的な)ルール セット • ログ ハンドラー ルール セット • エラー ハンドラー ルール セット • ユーザー定義のプロパティ(ルール セットの条件、ルール条件、およびルール イベ ントでの使用のため) ルール ツールバー ルールを操作できる項目 ルール 現在選択されているルール セットのルール ルール セット ツールバー ルール セット ツールバーでは、次のオプションが提供されています。 186 McAfee Web Gateway 7.6.0 製品ガイド ルール [ルール セット] タブ 6 表 6-5 ルール セット ツールバー オプション 定義 [追加 ] ルール セット メニューで現在選択されているものによって、項目を追加するためのメニューまた はウィンドウを開きます。 • (([ルール セット]が選択されている)- メニューを開き、以下の項目を選択できます。 • [ライブラリからのルール セット] — ルール セット ライブラリからのルール セットをイン ポートするための[ルール セット ライブラリから追加]ウィンドウを開きます • [ルール セット] — アプライアンス設定にルール セットを追加できる[新規ルール セットの 追加]ウィンドウが開きます。 • [最上位レベル ルール セット] — ルール セット ツリーの最上位レベルにルール セットを追 加するための[最上位レベル ルール セットの追加]ウィンドウを開きます • (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ ューから[ログ ハンドラー]を選択できます。 • (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ ューから[ログ ハンドラー]を選択できます。 • (([ユーザー定義プロパティ]が選択されている場合)— プロパティを追加する[新規ユーザー定 義プロパティの追加]ウィンドウを開くための[ユーザー定義プロパティ]を選択できます。 [エクスポート] ルール セットをライブラリまたはファイルにエクスポートするための[ルール セットのエクスポ ート]ウィンドウが開きます。 [編集] 選択したルール セットを編集するための[ルール セットの編集]ウィンドウが開きます。 [削除] 選択したルール セットを削除します。 削除を確認するためのウィンドウが開きます。 [上へ] ルール セットを、同じレベルの他のルール セットの上に移動します。 [下へ] ルール セットを、同じレベルの他のルール セットの下に移動します。 [外に移動] ルールをそのネストしているルール セットから、ネストしているルール セットと同じレベルに移 動します。 [中に移動] ルール セットをそのネストしているルール セットから、このルール セットに続くルール セット に移動します。 [すべて展開] ルール セット ツリーで折りたたまれているすべての項目を展開します [すべて折りた たむ] ルール セット ツリーで展開されているすべての項目を折りたたみます ルール ツールバー ルール ツールバーでは、次のオプションが提供されています。 表 6-6 ルール ツールバー オプション 定義 [追加 ] ルールを追加するための[ルールの追加]ウィンドウが表示されます。 [編集] 選択したルールを編集するための[ルールの編集]ウィンドウが開きます。 [削除] 選択したルールを削除します。 削除を確認するためのウィンドウが開きます。 [上へ] McAfee Web Gateway 7.6.0 ルール セット内でルールを上の位置に移動します。 製品ガイド 187 6 ルール ルールの作成 表 6-6 ルール ツールバー (続き) オプション 定義 [下へ] ルール セット内でルールを下の位置に移動します。 [コピー] 選択したルールをコピーします。 [貼り付け] コピーしたルールを貼り付けます。 [詳細情報の表示] 条件を含むルール エントリーの詳細を表示または非表示にします。 ルールの作成 ルールの作成は、ルールの異なる要素に関連するいくつかのアクティビティを含みます。 [ルールの追加]ウィンドウが、ルールの作成のため提供されます。適切な順番でルール要素を構成するアクティビテ ィを完了できます。 たとえば、ルールの名前付けと有効化を開始し、条件、アクション、イベントを追加できます。 タスク • 188 ページの「ルールに名前を付けて有効にする」 ルールに名前を設定し、一般設定として有効にします。 • 191 ページの「ルール条件の追加」 ルール条件を追加して、ルールを適用する場合について決定します。 • 192 ページの「ルール アクションを追加」 ルール条件に一致する場合、実行するアクションを追加します。 • 193 ページの「ルール イベントを追加する」 ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。 ルールに名前を付けて有効にする ルールに名前を設定し、一般設定として有効にします。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、新しいルールのためにルール セットを選択します。 3 設定パネルの上の[ルールの追加]をクリックします。 [ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。 4 ルール セットの以下の一般的な設定を構成します。 a [名前]フィールドで、ルールの名前を入力します。 b [ルールを有効にする]を選択して、ルール セットが処理されたときにルールが処理されるようにします。 c [オプション][コメント]フィールドで、ルールの平文コメントを入力します。 引き続き、ルールの要素を追加します。 188 McAfee Web Gateway 7.6.0 製品ガイド ルール ルールの作成 6 [条件の追加]ウィンドウの操作 ルール条件を追加するためのウィンドウには、適切な条件要素の選択で役立ついくつかの機能があります。 ルール条件の 3 つの要素に従って、ウィンドウは以下のコラムに分割されます。 • プロパティの選択のための左側の列 • 演算子の選択のための中央の列 • 演算対象の選択のための右側の列 1 つの列の中で、プロぱ q ティ、演算子、演算対象がリストに表示されます。 たとえば、次のような操作を選択できます。 • 左側の列:MediaType.EnsuredTypes • 中央の列:リストにはない • 右側の列:マルウェア対策メディア タイプ ホワイトリスト これは、条件 MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist を作成しま す。アクションとしてブロックを追加する場合、指定されたホワイトリストに入力されていないすべてのタイプのメ ディアへのアクセスをブロックするためのルールを取得します。 適切な選択を行うために、ウィンドウでは次のことが行われます。 • 指定したフィルター設定に従ってリストをフィルタリングする • 1 つの列で項目を選択するときに他の列のリストを採用して、選択した項目で構成される適した項目のみを表示 する • 左と右の列のリスト項目を、現在表示されている項目に対して分類が可能な場合は、[推奨]、[候補]、[その他]の カテゴリーにグループ化する • 互いに組み合わせることが推奨できる場合は、2 項目または 3 項目を事前に選択する 左または右の列から開始する 追加する条件がすでに決まっている場合はその条件に応じて、左または右の列から項目の選択を開始できます。 たとえば、条件が感染された Web オブジェクトをフィルタリングするためのルールの一部である場合、左の列から プロパティ Antimalware.Infected を選択することから始め、次に適した項目がなんであるかを見ます。結果は、 以下のようになります。Antimalware.Infected (property) equals (operator) true (operand). 一方で、ネットワークのユーザーが薬を販売する Web サイトにアクセスできないようにするルールの条件を含みた い場合、まず URL カテゴリー リスト Drugs を演算対象として選択することから開始し、適切な演算子とプロパテ ィと組み合わせます。結果は、以下のようになります。URL.Categories (property) at least one in list (operator) Drugs (operand). 左側の列 ウィンドウの左側の列のリストでは、プロパティを選択できます。現在選択されているプロパティは、[選択済みのプ ロパティ] フィールドの一番上の列に表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 189 6 ルール ルールの作成 以下のようにリストを適応できます。 • リストをフィルタリングします。 • 以下に従ってフィルタリングするために、[フィルター]メニューを使用します。 • プロパティ タイプ • プロパティの値を配布するために呼び出されるモジュール(またはエンジン) • マルウェア対策条件、メディア タイプ条件など、条件グループ メニューのこの部分は、ウィンドウが開く直前にも表示されます。条件グループを選択した後で、すべて の列のリストが選択したグループの条件を設定するために適した項目のみを表示します。 • • • ユーザー定義プロパティ (これらのプロパティを表示する) メニューの下の入力フィールドに入力するフィルタリング用語を使用 [ユーザー定義プロパティの追加]ボタンとウィンドウを使用して、リストに自己構成プロパティを追加します。 このリストは右の列のリストから演算対象を選択するときに、自動的に適応されます。次に、この演算対象で構成さ れているものに適したプロパティのみを表示します。 プロパティの選択後に、設定とパラメーターがある場合はそれらを構成できます。[設定]と[パラメーター]ボタンが プロパティと共に表示され、それぞれの項目を構成するためのウィンドウを開きます。 中央の列 ウィンドウの中央の列のリストでは、演算対象を選択できます。現在選択されている演算子は、[選択済みの演算子] フィールドの一番上の列に表示されます。 このリストは左または右の列のリストから項目を選択するときに、自動的に適応されます。次に、選択されている項 目と構成されているものに適した演算子のみが表示されます。 右側の列 ウィンドウの右側の列のリストでは、演算対象を選択できます。現在選択されている演算対象は、[比較対象] フィー ルドの一番上の列に表示されます。 演算対象は種々のタイプの 1 つの項目、項目のリスト、別のプロパティであることがあります。単一の演算対象に は、ブール値、文字列、数値、カテゴリー、および他が含まれます。 以下のようにリストを適応できます。 • 列の一番上のリストから、(リストとプロパティ タイプを含む) 演算対象のタイプを選択します。 このタイプの項目は、メイン リストに表示されます。 • (リストとプロパティのみ:)[フィルターー]ドロップダウン メニューまたは下の入力フィールドを使用して、リス トをフィルタリングします。 リストが演算対象として表示される場合、[追加 <リスト タイプ>] および [編集 <リスト タイプ>] ボタンが列の 一番下に表示されます。通常の方法で、リストの追加および編集のウィンドウを開きます。 このリストは左の列のリストからプロパティを選択するときに、自動的に適応されます。次に、このプロパティで構 成されているものに適した演算対象のみを表示します。 190 McAfee Web Gateway 7.6.0 製品ガイド ルール ルールの作成 6 ルール条件の追加 ルール条件を追加して、ルールを適用する場合について決定します。 タスク 1 [ルールの追加]ウィンドウで、[ルール条件]をクリックします。 2 [このルールを適用] セクションで、ルールの適用条件を設定します。 • [常に] — ルールは常に適用されます。 たとえばルール アクションなど、その他の要素を追加して続行します。 • [次の条件に一致した場合] — 構成された条件に一致したら、ルールが適用されます。 次の手順に続きます。 3 [条件] セクションで [追加] をクリックし、ドロップダウン メニューから条件グループを選択します。 [条件の追加]ウィンドウが開き、選択されたグループから構成する条件に適合する項目を表示します。 すべての条件の項目を表示するには、[詳細条件] を選択します。 ウィンドウには 3 つの列があります。 • プロパティの選択のための左側の列 • 演算子の選択のための中央の列 • 演算対象の選択のための右側の列 現在選択されている要素は、[選択したプロパティ]、[選択した演算子]、[比較]の下の各列上部に表示されます。 ウィンドウは、1 つの列の項目を選択した後、その他の列で自動的に採用して、適合する要素の選択をサポート します。それから、その他の列は選択された項目を構成するのに適合する項目のみを表示します。 左または右列から項目を選択して開始できます。したがって、手順 4 ~ 6 も異なる順番で完了できます。 条件でオペランドとしてリストを使用する場合には、まず最初に、このリストを右側の列から選択してください。 4 プロパティを選択します。 a 左側の列にあるリストから項目を選択するか、事前に選択された項目をそのまま使用します (選択されている 場合)。 リストをフィルターするか、ユーザー設定プロパティを追加できます。 b (条件付き) 設定が必要なプロパティを選択した場合には、プロパティと一緒に表示された [設定] ドロップダ ウン リストから設定を選択するか、事前に設定された項目をそのまま使用します。 c [条件付き]パラメーターの設定が必要なイベントを選択した場合、プロパティ名の下の[パラメーター]をク リックし、開いたウィンドウのオプションで、すべての必要なパラメーターの値を設定します。 5 中央列のリストから、オペレーターを選択するか、事前選択された 1 つを残します(残っている場合)。 McAfee Web Gateway 7.6.0 製品ガイド 191 6 ルール ルールの作成 6 右側の列にあるリストからオペランドを選択するか、事前に選択された項目をそのまま使用します (選択されてい る場合)。 リストが空の場合には、適切な値 (数値など) を入力します。 表示されている演算子のタイプを変更するには、列の上部にあるリストからタイプを選択します。 オペランドを個別に選択するか、オペランドの種類を選択すると、中央と左側の列にあるリストが適用され、適 切な演算子とプロパティが表示されます。 7 [OK] をクリックして、[条件の追加] ウィンドウを閉じます。 新しい条件を[ルールの追加]ウィンドウに表示します。 複雑な条件を構成する場合、手順 3 から 6 を繰り返し、更なる条件の部分を構成します。 オプションとして提供される[AND]または[OR]で条件の部分を接続します。3 つ以上の条件の部分は、括弧を入 力し、[条件の組み合わせ]フィールドで物理的に接続する方法を示してから表示されます。 たとえばルール アクションなど、その他の要素を追加して続行します。 ルール アクションを追加 ルール条件に一致する場合、実行するアクションを追加します。 タスク 1 In the[ルールの追加]ウィンドウで、[アクション]をクリックします。 2 [アクション] リストから、次のいずれかを選択します。 • [続行]— 次のルールの処理で続行します • [ブロック] — オブジェクトへのアクセスをブロックしてルールの処理を停止します • [リダイレクト] — オブジェクトから他のオブジェクトにアクセスをリクエストしたクライアントをリダイレ クトします • [認証] — 現在のサイクルの処理を停止し、認証リクエストを送信します • [ルール セットの停止] — 現在のルール セットの処理を停止し、次のルール セットで続行します • [サイクルの停止] — 現在のサイクルの処理を停止しますが、リクエストされたオブジェクトへのアクセスは ブロックしません • [削除] — リクエストされたオブジェクトを削除し、現在のサイクルの処理を停止します 3 [条件付き]設定(ブロック、リダイレクト、認証)が必要なイベントを選択した場合、[設定]リストから設定を 選択します。 設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた めにウィンドウを開きます。 4 すべての必要なルール要素を作成したが、イベントを追加しない場合は、以下の手順に従ってください。 a [オプション][サマリ]をクリックし構成を確認します。 b [完了]をクリックします。 [ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。 192 McAfee Web Gateway 7.6.0 製品ガイド ルール ルール セットの作成 6 ルール イベントを追加する ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。 タスク 1 [ルールの追加]ウィンドウで、[イベント]をクリックします。 2 [イベント] セクションで [追加] をクリックし、ドロップダウン リストから [イベント] を選択します。 [イベントの追加] ウィンドウが開きます。 3 [イベント] リストから、イベントを選択します。 リストをフィルターするには、リストの上の入力フィールドで用語のフィルタリングを入力します。 4 [条件付き]設定が必要なイベントを選択した場合、[設定]リストから設定を選択します。 設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた めにウィンドウを開きます。 5 [条件付き]パラメーターの設定が必要なイベントを選択した場合、[パラメーター]をクリックし、開いたウィン ドウのオプションで、すべての必要なパラメーターの値を設定します。 6 [OK] をクリックします。 [イベントの追加]ウィンドウが閉じて、新しいイベントが[イベント] リストに表示されます。 7 追加手順をすべて行ったら、次の操作を行います。 a [オプション][サマリ]をクリックし構成を確認します。 b [完了]をクリックします。 [ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。 ルール セットの作成 ルール セットを作成し、構成に追加できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。 3 ルール セット ツリーの上にある [追加] をクリックします。 ドロップダウン リストが開きます。 4 [ルール セット]を選択します。 [新しいルール セットの追加]ウィンドウが開きます。 5 ルール セットで次の全般設定を行います。 • [名前] — ルールの名前 • [有効化] - オンにすると、ルール セットが有効になります。 • [オプション][コメント] — ルール セットに関するテキスト形式のコメント。 McAfee Web Gateway 7.6.0 製品ガイド 193 6 ルール ルール セットの作成 6 7 8 [適用先] セクションで、処理サイクルを設定します。 1 つのサイクルを選択することも、3 つのサイクルの組み 合わせを選択することもできます。 • [リクエスト ]— ネットワークのユーザーからのリクエストがアプライアンスに受信される際に、ルール セッ トが処理されます。 • [応答] — Web サーバーからの応答が受信される際にルール セットが処理されます。 • [埋め込みオブジェクト] — リクエストと応答とともに送信される埋め込みオブジェクトのためにルール セ ットが処理されます。 [このルール セットを適用する] セクションで、ルールの適用条件を設定します。 • [常に] — ルールは常に適用されます。 • [次の条件に一致した場合] — 下で構成された条件に一致したら、ルール セットが適用されます。 [条件]セクションで、[追加]をクリックします。 [条件の追加]ウィンドウが開きます。 9 [プロパティ] 領域では、以下の項目を使用してプロパティを設定します。 • [プロパティ ]— プロパティを選択するためのリスト(プロパティ タイプは括弧で表示されています) • [検索 ]— プロパティを検索できる[プロパティの検索]ウィンドウが開きます。 • [パラメーター ]— 3 つまでのパラメーターを追加できる[プロパティ パラメーター]ウィンドウが開きます。 ステップ 10 を参照してください。 パラメーターがない場合、アイコンはグレーアウトされます。 • [設定 ]— プロパティの値を配信するモジュールの設定を選択するリスト(モジュール名は括弧内に表示され ます) プロパティに設定が必要なくて、(必要なし)が追加されている場合、アイコンはグレーアウトされます。 • [値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。 • [編集 ]— 選択した設定を編集するための[設定の編集]ウィンドウが開きます。 プロパティのためにパラメーターを構成する必要がない場合、[OK ]をクリックし、 ステップ 11 に進みます。 10 プロパティ パラメーターを追加する場合: a [パラメーター]をクリックします。 [プロパティ パラメーター]ウィンドウが開きます。 b 必要に応じていくらでもパラメーターを追加します。 パラメーターは以下のいずれかになります。 • [値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。 • [プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。 11 [演算子]リストから、演算子を選択します。 12 [パラメーター] 領域で、パラメーター (オペランド) を追加します。 これは、以下のいずれかになります。 194 • [値](文字列、ブール、または数値)— これは[値]領域で構成します。 • [プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。 McAfee Web Gateway 7.6.0 製品ガイド 6 ルール ルール セットのインポート 13 [条件の追加]ウィンドウを閉じるには、[OK]をクリックします。 14 [オプション][権限]タブをクリックして、新しいルール セットへのアクセスが許可されるユーザーを構成しま す。 15 [新しいルール セットの追加]ウィンドウを閉じるには、[OK]をクリックします。 [新しいルール セットの追加]ウィンドウが閉じ、ルール セットがルール セット システムに挿入されます。 16 [変更の保存]をクリックします。 ルール セットのインポート ライブラリからルール セットをルール セット システムにインポートできます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。 3 [追加] ドロップダウン リストから [ライブラリのルール セット] を選択します。 ウィンドウが開き、ライブラリ ルール セットのリストが表示されます。 4 インポートするルール セット、たとえば、[Gateway Antimalware ]ルール セットを選択します。 このルール セットをインポートする際に競合が発生した場合、それらはウィンドウに表示されます。 ルール セットがすでにルール セット システムに存在しているリストや設定など構成オブジェクトを使用すると きに競合が発生します。 5 以下のいずれかの方法で競合を解決します。 • • 6 [競合の自動解決] をクリックし、すべての競合に以下のいずれかの解決方法を選択します。 • [既存のオブジェクトを参照することで解決する ]— インポートされたルール セットが、アプライアンス の構成に同じ名前で存在しているオブジェクトを参照している場合、これらの既存のオブジェクトに参照 が適用されます。 • [推奨にコピーと名前変更することで解決する ]— インポートされたルール セットが、アプライアンスの 構成に同じ名前で存在しているオブジェクトを参照している場合、これらのオブジェクトは使用されます が、競合を回避するために名前変更されます。 リストされている競合を次々にクリックして、上記のいずれかの方針を毎回選択することで、個々に解決しま す。 [OK] をクリックします。 ルール セットがルール セット ツリーに挿入されます。これはデフォルトで有効になります。 ルール セットがフィルタリング ジョブを実行する必要があるリストや設定がルール セットで実装され、リスト と設定ツリーで表示できます。 7 必要である場合、ルール セット ツリーの上にある青色の矢印を使用して、ルール セットを移動させます。 8 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 195 6 ルール ベスト プラクティス - ルールの設定 ベスト プラクティス - ルールの設定 Web Gateway では、様々な方法でルールを設定できます。ただし、フィルタリングを効率よく行うには、いくつか のガイドラインに従う必要があります。 • 適切なフィルタリング サイクルでルールとルール セットを使用する - フィルタリング アクティビティによっ て最適な実行サイクル (要求または応答) が異なります。たとえば、送信された URL のカテゴリに基づいて要求 をブロックするルールは、要求サイクルで処理する必要があります。 • 複雑なプロパティはフィルタリング プロセスの終わりの方で使用する - プロパティの中には、フィルタリング プロセスで値を取得するときに多くの時間と帯域幅を消費するものであります。 たとえば、Antimalware.Infected プロパティは複雑なプロパティに該当します。このプロパティを含むルー ルは、複雑でないプロパティ (URL.Categories など) の後で処理する必要があります。最初のルールで要求が ブロックされると、次のルールの処理は回避することができます。 • 可能であれば、ルール 条件に使用するプロパティを 2 つ以下にする - これは、処理リソースを節約するもので はありませんが、ルールの機能が分かりやすくなります。 適切なサイクルでルールとルール セットを使用する Web Gateway のルールは、異なるサイクルで実行されます。フィルタリング アクティビティは、適切なサイクル で実行する必要があります。 以下のサイクルが使用可能です。 • 要求サイクル - Web Gateway クライアントから要求を処理します。 このサイクルでは、クライアントの IP アドレス、URL、ユーザー名 (認証が実行された場合)、ブラウザー関連 のヘッダー情報など、要求で使用可能なデータを処理します。 このサイクルで要求がブロックされると、応答サイクルは実行されません。要求は Web サーバーに転送されない ため、応答は受信されません。 • 応答サイクル - Web Gateway が転送した要求に対して、Web サーバーが戻した応答を処理します。 このサイクルでは、要求されたデータ、サーバー関連のヘッダー情報など、応答で使用可能なデータを処理しま す。 • 埋め込みオブジェクト サイクル - 要求または応答に埋め込まれた Web オブジェクトを処理します。 このサイクルは、要求または応答サイクルでオープナーが呼び出されたときに実行されます。このサイクルでは、 フィルタリング モジュールが Web オブジェクトを詳細に分析します。以下の 2 つのオープナーが使用可能で す。 • コンポジット オープナー - .zip、.exe、他の形式のファイルを検査する標準のオープナーです。 • HTML オープナー - 高度な構成ではあまり使用しません。 要求または応答サイクルの後で埋め込みオブジェクトの検査が必要になると、埋め込みオブジェクト サイクルが 実行されます。埋め込みオブジェクトがない場合、このサイクルは実行されません。 要求サイクル、応答サイクル、埋め込みオブジェクト サイクルが完了すると、ロギング ルールを含むルール セット が Web Gateway で処理され、データがログ ファイルに書き込まれます。このルール セットの処理は、ロギング サ イクルともいいます。 196 McAfee Web Gateway 7.6.0 製品ガイド ルール ベスト プラクティス - ルールの設定 6 要求サイクルを使用する場合のガイドライン できるだけ早い段階で要求をブロックできるように、要求で使用可能な情報は要求サイクルでフィルタリングする必 要があります。このガイドラインを理解するため、次のような場合について考えてみましょう。 • 要求サイクルではなく、応答サイクルで URL カテゴリに基づくフィルタリングが実行された場合、要求されたデ ータは Web サーバーから取得される場合があります。このカテゴリは許可されていないため、クライアントにデ ータを渡すことはできません。 • 要求サイクルでクライアントの IP アドレスに基づくフィルタリングが実行され、要求がブロックされた場合、応 答サイクルは実行されません。したがって、このデータをフィルタリングするルールを応答サイクルで使用して も意味がありません。要求が許可された場合、応答サイクルでデータを再度フィルタリングする必要はありませ ん。 処理サイクルと推奨のフィルタリング アクティビティ 以下の表に、各サイクルで実行する必要のあるフィルタリング アクティビティを示します。 表 6-7 処理サイクルと推奨のフィルタリング アクティビティ 要求サイクル 応答サイクル 埋め込みオブジェクト サイクル ホワイトリストに基づくフィルタリング ホワイトリストに基づくフィルタリング 要求または応答本体の 検査 ブロック リストに基づくフィルタリング サーバーに送信されたヘッダー (Content-Length など) に基づくフィルタ リング メディア タイプ フィ ルタリング クライアントに送信されたヘッダー (User-Agent など) に基づくフィルタリン グ メディア タイプ フィルタリング 埋め込みオブジェクト に対するマルウェア ス キャン ユーザー認証 ダウンロードに対するマルウェア スキャン URL フィルタリング アップロードに対するマルウェア スキャン この概要で説明したように、一部のアクティビティは 1 つのサイクルでのみ推奨されていますが、ホワイトリストや マルウェア スキャンのように 2 つ以上のサイクルで推奨されているものもあります。 フィルタリング プロセスの最後に複雑なプロパティを使用する 複雑なプロパティを処理するには、多くのリソースが必要になります。このようなプロパティを使用するルールは、 ルール セット システムの最後に置く必要があります。 ルールが処理されると、プロパティの値を取得するために、Web Gateway で複数のモジュール (またはエンジン) が呼び出されます。これらのモジュールの一部は、他のモジュールよりも多くの時間と帯域幅を消費します。たとえ ば、マルウェア対策のスキャン エンジンは、URL フィルター モジュールが URL カテゴリ情報を取得する場合より も多くのリソースを消費します。 パフォーマンスを向上させるため、複雑なプロパティを含むルールのルール セットをルール セット システムの最後 に置いてください。これにより、簡単なプロパティを使用するルールが先に処理されます。ルールの 1 つで要求また は応答がブロックされた場合、より複雑なプロパティを使用するルールを処理する必要はありません。 プロパティの複雑さ 以下の表に、ルールでよく使用されるプロパティの複雑さを示します。 * (アスタリスク) の付いたプロパティは、認証サーバーなどの外部のコンポーネントを使用するため、パフォーマン スへの影響が大きくなります。また、プロパティだけでなく、イベントの複雑さも示します。 McAfee Web Gateway 7.6.0 製品ガイド 197 6 ルール ベスト プラクティス - ルールの設定 より簡単 中間 より複雑 URL URL.Destination.IP* Antimalware.Infected URL.Host Media.EnsuredTypes DLP (Data Loss Prevention) フィル タリングで使用されるプロパティ URL.Categories* 認証ユーザーに使用されるプロパティ * HTML オープナーを使用 (イベントで有 効にする) Client.IP コンポジット オープナーを使用 (イベ ントで有効にする) Proxy.IP Proxy.Port System.Hostname HTTP ヘッダー情報の検査で使 用するプロパティ 個々のルールのプロパティの複雑さ 複雑さに基づいてプロパティを使用するためのガイドラインは、ルール セット システム内でのルールとルール セッ トの配置だけでなく、個々のルールでのプロパティの使用にも適用されます。 以下のルールは、特定のホスト名を持つ Web サーバーに対するアクセス要求が特定の IP アドレスを持つクライア ントから送信された場合に要求をブロックします。 名前 IP アドレス 1.2.3.4 のクライアントからホスト abcd.com に対するアクセスをブロックする 条件 Client.IP equals 1.2.3.4 AND URL.Host matches *abcd.com アクション イベント –> Block<Default>Continue ルールが処理されると、Client.IP の値が取得され、要求の送信元が特定されます。設定したオペランドと一致しな い場合、このルールは適用されず、次のルールが処理されます。Client IP の値が 1.2.3.4 の場合に URL.Host の値が取得され、条件を完全に満たすかどうか確認されます。 2 つのクライアントの IP アドレスを比較することは、ワイルドカード式でホスト名を比較する場合よりも簡単なた め、Client.IP が条件の最初に配置されています。 ルールの条件に使用するプロパティを 2 つ以下にする ルールの条件に使用するプロパティを 2 つ以下にすると、分かりやすいルールを作成できます。 以下のサンプル ルールでは、管理者が特定のポートを使用している場合にのみ、特定のドメイン内の宛先に対するア クセスを許可しています。このルール条件では、以下のパラメーターを確認するため、4 つのプロパティを使用して います。 • URL のホスト名 - 設定したドメインに対するアクセス要求かどうかを確認します。 • ユーザー グループ - 要求を送信したユーザーが管理者のユーザー グループに属しているかどうかを確認しま す。 • クライアントの IP アドレス範囲 - 要求を送信したクライアントの IP アドレスが、管理者に予約されたアドレ ス範囲内にあるかどうかを確認します。 • プロキシ ポート - 設定したポートを介してドメインに対するアクセスが要求されているかどうかを確認しま す。 このルールは次のようになります。 198 McAfee Web Gateway 7.6.0 製品ガイド 6 ルール 構成項目へのアクセス制限 名前/条件 アクション イベント ポート 9090 使用した管理者にのみテスト ドメインへのアクセスを許可する URL.Host matches "testdomain.com" AND (Authentication.UserGroups does not contain "Administrator" OR Client.IP is not in range 192.168.42.0/24 OR Proxy.Port does not equal 9090) –> Block <Default> このルールを適用するかどうか判断するため、ルール条件の最初の部分で、テスト ドメインに対するアクセスが実際 に送信されているかどうか確認されます。 その他の条件は否定的な記述になっています。ユーザーが管理者でないか、クライアントの IP アドレスが設定した 範囲内にないか、プロキシ ポートが 9090 でない場合、要求がブロックされます。 つまり、設定した範囲内にある IP アドレスのクライアントから管理者がプロキシ ポート 9090 を使用してテスト ドメインに対する要求を送信した場合にのみ、アクセスが許可されます。 最後の 3 つの条件は括弧で囲まれています。この部分がすべて真になると、最初の条件の値と一緒に比較されます。 このルールは、次のように 3 つの部分に分割しても同じ結果になります。 名前/条件 アクション イベント テスト ドメインに対するアクセス要求かどうかを確認する URL.Host does not match *testdomain.com –> Stop Rule Set プロキシ ポート 9090 経由でない場合にアクセスをブロックする Proxy.Port does not equal 9090 –> Block <Default> ユーザー名とクライアント IP アドレスを比較して管理者以外のユーザーはブロックする Authentication.UserGroups does not contain "Administrator" OR Client.IP is not in range 192.168.42.0/24 –> Block <Default> この 3 つのルールの最初の部分で、テスト ドメインに対するアクセス要求が実際に送信されたかどうかを確認しま す。この条件を満たしていない場合、同じルール セット内の以降のルールは処理されません。 最初のルールの後の 2 つのブロック ルールは処理されません。最初の段階でテスト ドメインに対するアクセス要 求が行われていないため、後のルールは処理する必要がありません。 2 つのブロック ルールを処理する段階では、関連するパラメーターが検査され、テスト ドメインに対するアクセス 要求を許可するかどうか判断されます。4 つのプロパティを 1 つの条件にまとめた前述のルールでも同じ検査が実 行されます。 2 つのプロパティで、ユーザーが管理者かどうかを確認するパラメーターが 1 つのルールに統合されています。 構成項目へのアクセス制限 ルール セットを作成、または設定、または既存のものを操作するときに、それらへのアクセスを制限できます。 タスク 1 [ポリシー] 、 [ルール セット](または[リスト]または[設定])を選択します。 2 ツリー構造で、新しい項目を追加する位置に移動します。 McAfee Web Gateway 7.6.0 製品ガイド 199 6 ルール 構成項目へのアクセス制限 3 ツリー構造の上にある[追加]をクリックします。 [追加]ウィンドウが開きます。 4 新しい項目を追加するための手順を完了させます。次に、[アクセス許可]タブを選択します。 3 つのアクセスのモードが構成できます(読み込みと書き込み、読み込み、アクセスなし)。 5 [読み込みと書き込み]ペインで[追加] をクリックします。 [ロールまたはユーザーの追加]ウィンドウが開きます。 6 対応するペインにあるリストから、ロールまたはユーザーを(または各タイプの 2 つ以上を同時に)選択します。 または、[ワイルドカード]フィールドに、ロールまたはユーザーの名前としてワイルドカード式を入力します。 7 必要に応じて[読み込みと書き込み]リストにいくらでもエントリーを追加します。 エントリーを削除するには、ペインにある[削除]ボタンを使用します。 8 [読み込み]および[アクセスなし]ペインも同様に入力します。 9 タブのリストに含まれていないすべてのロールおよびユーザーのアクセスを構成するには、[他のすべてのロール が有する]の下のラジオ ボタンを使用します。 10 [OK]をクリックしてウィンドウを閉じます。 11 [変更の保存]をクリックします。 200 McAfee Web Gateway 7.6.0 製品ガイド 7 リスト リストは Web オブジェクトおよびユーザーの情報を取得するためにルールで使用されます。 いくつかタイプのリストがあり、それらは作成した人とそれらを含む要素のタイプに関して異なります。適宜、異な る方法でこれらのリストを操作します。 ユーザー インターフェースで異なる場所にリストが表示されます。たとえば、ルールとルール セットの条件、リス ト タブ、および設定内などです。 アプライアンスの初期セットアップ時に、リストはルール セット システムと共に施行されます。 施行されたシステムのリストを見直し、それらを変更および削除し、固有のリストも作成できます。 目次 リスト タイプ リスト タブ リストへのアクセス リストの作成 さまざまなタイプのリストの操作 購読リスト 外部リスト マップ タイプ リスト 共通カタログ JavaScript Object Notation データ McAfee Web Gateway 7.6.0 製品ガイド 201 7 リスト リスト タイプ リスト タイプ Web Gateway の Web セキュリティ ルールでは、いくつかのリストを使用して Web オブジェクトやユーザーの情 報を取得しています。 主なリストは次のとおりです。 • カスタム リスト - ユーザーが変更できるリストです。 [リスト] タブのリスト ツリーで上のブランチに表示さ れます。たとえば、フィルタリングから除外する URL リストなどがあります。 カスタム リストには、文字列、数字、カテゴリ、その他の形式で項目を追加できます。 リストの管理方法は形式 によって異なります。 カスタム リストの中には、ユーザーが項目を一から追加しなければならないものもありま す。 独自のリストを作成して、初期セットアップ後に Web Gateway が提供するカスタム リストに追加することも できます。 • システム リスト - ユーザーが変更できないリストです。 [リスト] タブのリスト ツリーで下のブランチに表示 されます。 システム リストの中には、カテゴリ、メディア タイプ、アプリケーション名などのリストがあります。クラウド シングル サインオンで使用されるコネクターのリストもあります。 Web Gateway の新しいバージョンにアッ プグレードすると、これらのリストも更新されます。 Data Loss Prevention (DLP)、アプリケーション フィルタリング、Dynamic Content Classifier のシステム リストも、スケジュールを設定して自動的に更新できます。 • インライン リスト - リストの変更はできますが、[リスト] タブには表示されません。 これらのリストは、設定 項目の一部としてインライン表示されます (たとえば、プロキシ設定の HTTP ポートのリストなど)。 • 購読リスト - Web Gateway で名前付きのリストをセットアップできます。 これらのリストは空の状態で作成 され、購読しているデータソースから取得したコンテンツが記録されます。購読リストは、リスト ツリーでカス タム リストの最後に表示されます。 購読リストには次の 2 つの種類があります。 • McAfee が管理するリスト - このリストのコンテンツは、McAfee サーバーから取得されます。 McAfee サーバーでは、IP アドレス範囲やメディア タイプなど、多くのリストが使用できます。 • 顧客が管理するリスト - このリストのコンテンツは、ユーザーが指定したデータソースから取得されます。 指定できるソースは、HTTP、HTTPS または FTP で実行されている Web サーバー上のファイルです。 リスト コンテンツは、それぞれのサーバーで管理されます。 このコンテンツの新しいバージョンが Web Gateway 上のリストに転送されるように、手動で更新を実行したり、自動更新を設定することができます。 • 外部リスト - 外部ソースに独自の名前で存在するリストです。 ルールのプロパティ値を使用して、これらのコ ンテンツを Web Gateway に転送できます。 外部リストのコンテンツは実行時に転送されます。つまり、外部リストのプロパティを含むルールが処理された ときにコンテンツが転送されます。 取得されたコンテンツはキャッシュに保存され、有効期間が終了するまで再利用されます。この有効期間はユー ザーが設定できます。 期限切れになり、ルールが再度処理されると、再度転送が実行されます。 コンテンツの取得元は、HTTP、HTTPS、FTP または LDAP で実行されている Web サーバー上のファイルです。 特に、データベースから取得されます。 また、ローカル ファイル システムのファイルから取得することもでき ます。 202 McAfee Web Gateway 7.6.0 製品ガイド リスト リスト タブ • 7 マップ タイプ リスト - これらのリストには、互いにマッピングされたキーと値の組み合わせを保存できます。 Web Gateway でマップ タイプ リストを作成してリスト項目を入力することも、購読リストまたは外部リスト として別のソースから取得することもできます。 初期状態では、マップ タイプ リストのキーと値は文字列形式で保存されます。ルールで適切なプロパティを使用 すると、これらを別の形式に変換できます。 • Common Catalog リスト - これらのリストは、McAfee ePO サーバーから Web Gateway にプッシュでき ます。 Common Catalog リストには、IP アドレス、ドメイン名、文字列、ワイルドカード式が含まれています。 これ らは McAfee ePO サーバーで管理されます。 リスト タブ [リスト] タブを使用して、リストを操作します。 図 7-1 リスト タブ リスト タブの主要要素 以下の表で、[リスト]タブの主要な要素について説明します。 McAfee Web Gateway 7.6.0 製品ガイド 203 7 リスト リスト タブ 表 7-1 リスト タブの主要要素 要素 説明 [リスト ツールバー] [リスト]ツリーにあるリストを操作するための項目 [リスト ツリー] アプライアンス構成のリストを表示するツリー構造 [リスト エントリー ツールバー ] 現在[設定]ツリーで選択されている項目の設定 [リスト エントリー ] 現在選択されているリストのエントリー リスト ツールバー リスト ツールバーでは、次のオプションが提供されています。 表 7-2 リスト ツールバー オプション 定義 [追加 ] リストを追加するための[リストの追加]ウィンドウが開きます。 [編集] 選択したリストを編集するための[リストの編集]ウィンドウが開きます。 [削除] 選択したリストを削除します。 削除を確認するためのウィンドウが開きます [インポート] システムのファイル マネージャーを開いて、リストをインポートできます。 [エクスポート] システムのファイル マネージャーを開いて、リスト ツリーで選択したリストをエクスポート できます。 [表示] さまざまな方法でリストを表示できるようにするためにメニューを開きます(名前昇順、名前 降順、リスト タイプ別、現在リストが存在しない場合に対してリスト タイプありなし) [すべて展開] リスト ツリーで隠されている項目をすべて表示します。 [すべて折りたた む] リスト ツリーで表示されているすべての項目を隠します。 リスト エントリー ツールバー リスト エントリー ツールバーでは、次のオプションが提供されています。 表 7-3 リスト エントリー ツールバー オプション 定義 [追加 ] リスト エントリーを追加するための[<リスト タイプ> の追加]ウィンドウ([文字列の追加]ウィン ドウなど)が表示されます。 [複数追加] 複数のリスト エントリーを追加することが特定のリスト タイプで可能である場合、それを実行する ために、[<リスト タイプ> の追加]ウィンドウを開きます。 [編集] 選択したリスト エントリーを編集するための[<リスト タイプ> の編集]ウィンドウ([文字列の編 集]ウィンドウなど)が表示されます。 [削除] 選択したリスト エントリーを削除します。 削除を確認するためのウィンドウが開きます。 [上へ] リストの上にエントリーを移動します。 [下へ] リストの下にエントリーを移動します。 [フィルター] 一致しあtリスト エントリーのみ表示するために、フィルタリング用語を入力するための入力フィ ールド フィルタリング機能は、フィールドに文字を入力したらすぐ動作します。 204 McAfee Web Gateway 7.6.0 製品ガイド リスト リストへのアクセス 7 リストへのアクセス [リスト] タブのリストにアクセスするか、ルールのリスト名をクリックできます。 タスク • 205 ページの「リスト タブのリストにアクセスする」 [リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。 • 205 ページの「ルールのリストにアクセスする」 ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。 リスト タブのリストにアクセスする [リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーで、アクセスするリストを含むブランチに移動し、リスト名をクリックします。 設定パネルにリストのエントリが表示されます。 リストで作業できます。 ルールのリストにアクセスする ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、アクセスするリストのルールを含むルール セットを選択します。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 アクセスするリストのルールで、次のうちの 1 つを行います。 • この名前に含まれている場合、ルール名のリスト名をクリックする。 • ルール条件のリスト名をクリックする。 <Type>がアクセスするリストのタイプの場合、[編集リスト <Type>]ウィンドウを開きます。 リストで作業できます。 リストの作成 初期設定のアプライアンスで実行したもの、またはライブラリからリストをインポートした場合に加えて、独自のリ ストを作成できます 以下の 2 つのステップを含むリストを作成します。 • 新しいリストの追加 • 新しいリストにエントリを記入する McAfee Web Gateway 7.6.0 製品ガイド 205 7 リスト リストの作成 タスク • 206 ページの「新しいリストの追加」 後でエントリを入力する新しいリストを追加できます。 • 206 ページの「リストのエントリーの入力」 アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。 新しいリストの追加 後でエントリを入力する新しいリストを追加できます。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーで、リストを追加する位置に移動します。 3 ツールバーで、[追加]をクリックします。 [リストの追加]タブが選択されている状態で、[リストの追加]ウィンドウが開きます。 4 リストの一般的な設定を構成するには、以下の項目を使用します。 • [名前] — リストの名前 • [コメント] — [オプション]リストの標準テキスト形式のコメント • [タイプ] — リスト タイプを選択するためのリスト 5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 6 [OK]をクリックします。 [リストの追加]ウィンドウが閉じて、新しいリストがリスト ツリーに表示されます。 7 [変更の保存]をクリックします。 これで、リストにエントリを入力できます。 リストのエントリーの入力 アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 [リスト]ツリーから、エントリーを追加するリストを選択します。 3 設定パネルで[追加]をクリックします。 [<リスト タイプ> の追加]ウィンドウ、たとえば、[文字列の追加]ウィンドウが開きます。 4 特定のリスト タイプで実行される方法で、エントリーを追加します。 5 [オプション] [コメント]フィールドで、リスト エントリーの平文コメントを入力します。 6 [OK]をクリックします。 [<リスト タイプ> の追加]ウィンドウが閉じて、リストにエントリーが追加されます。 7 206 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド リスト さまざまなタイプのリストの操作 7 さまざまなタイプのリストの操作 リストの操作はリスト タイプに応じてさまざまな方法で行われます。 たとえば、タイプが文字列で有る場合、[文字列の追加]ウィンドウの[文字列]フィールドに文字列を入力することで エントリーを追加できます。しかし、タイプが MediaType である場合は、フォルダーのシステムの一部である、 メディア タイプ フォルダーからエントリーを選択します。 文字列およびワイルドカード式のリストでは、 [複数追加]をクリックして、各エントリーを改行にテキストを入力す ることで、複数のエントリーを一度に追加するオプションがあります。 メディア タイプ リストの場合、個別に選択したくない場合は、複数のエントリーとフォルダーーを一度に選択する ことができます。 タスク • 207 ページの「ワイルドカード式を URL のグローバル ホワイトリストに追加」 グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。 • 208 ページの「URL カテゴリをブロック リストに追加する」 URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスを ブロックします。 • 208 ページの「メディア タイプ フィルター リストにメディア タイプを追加する」 メディア タイプ フィルタリングのリストにメディア タイプを追加できます。 ワイルドカード式を URL のグローバル ホワイトリストに追加 グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、グローバル ホワイトリスト登録のルールを含むルール セット(たとえば、[グローバル ホワイトリスト]など)を選択します。 設定パネルにルールが表示されます。 3 リストのワイルドカード式に一致するホストに URL を送信する際のリクエストを除外するホワイトリストを使 用するルール(たとえば、[URL.Host がグローバル ホワイトリストに一致する]など)を見つけます。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(ワイルドカード式)]ウィンドウが開きます。 4 [追加]をクリックします。 [ワイルドカード式の追加]ウィンドウが開きます。 5 [ワイルドカード式]フィールドにワイルドカード式を入力します。 複数のワイルドカード式を一度に追加するには、[複数追加]をクリックし、それぞれのワイルドカード式を新し い行に入力します。 6 [オプション][コメント] フィールドで、ワイルドカード式にコメントを入力します。 McAfee Web Gateway 7.6.0 製品ガイド 207 7 リスト さまざまなタイプのリストの操作 7 [OK]をクリックします。 ウィンドウが閉じ、ホワイトリストにワイルドカード式が表示されます。 8 [変更の保存]をクリックします。 URL カテゴリをブロック リストに追加する URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスをブロックしま す。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、URL フィルタリング用のルールを含むルール セットを選択します。 設定パネルにルールが表示されます。 3 カテゴリ ブラックリストを使用するルールを見つけ([カテゴリ ブラックリストに存在するカテゴリを持つ URL をブロックする] など)、リスト名をクリックします。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 4 ブロックしたいカテゴリを持つグループ フォルダー(たとえば[購買]など)を展開し、カテゴリ(たとえば[オン ライン ショッピング]など)を選択します。 複数のカテゴリを一度に追加するには、複数のカテゴリか、1 つまたは複数のグループ フォルダーを選択します。 5 [OK]をクリックします。 ウィンドウが閉じ、ブロック リストにカテゴリが表示されます。 6 [変更の保存]をクリックします。 メディア タイプ フィルター リストにメディア タイプを追加する メディア タイプ フィルタリングのリストにメディア タイプを追加できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、メディア フィルタリングのルールを含むルール セット(たとえば、メディア タイプ フィルタリング ルール セットのネストされた[ダウンロード メディア タイプ] ルール セットなど)に移動し、 それを選択します。 設定パネルにルールが表示されます。 3 [メディア タイプ ブロック リストからタイプをブロックする] ルールを選択して、リスト名をクリックします。 [リストの編集(メディア タイプ)]ウィンドウが開きます。 4 [編集]をクリックします。 [編集]ウィンドウが開きます。メディア タイプを持つグループ フォルダーのリストが表示されます。 208 McAfee Web Gateway 7.6.0 製品ガイド リスト 購読リスト 5 7 追加したいメディア タイプを持つグループ フォルダー(たとえば、[オーディオ])、メディア タイプ(例、[audio/ mp4]など)を展開しを選択します。 複数のメディア タイプを一度に追加するには、複数のメディア タイプか、1 つまたは複数のグループ フォルダ ーを選択します。 6 [OK]をクリックします。 ウィンドウが閉じると、フィルター リストにメデイア タイプが表示されます。 7 [変更の保存]をクリックします。 購読リスト Web セキュリティ ルールで使用するリストは、適切なサーバーから取得されるコンテンツが給されている場合があ ります。これらは、購読リストと呼ばれます。 行動リストを操作するときには、リスト名などの全般設定のみを自分自身で構成する必要があります。IP アドレスや URL などのリストのコンテンツについては、行動リストまたは指定する別のサーバーを維持するために指定される McAfes サーバーなど、サーバーに依存します。 McAfee サーバーからコンテンツを取得する購読リストは、McAfee が維持するリストと呼ばれます。別のサーバー からコンテンツを取得する購読リストは、カスタマーが維持するリストと呼ばれます。 購読リストを作成した後、それはユーザー インターフェースのリスト ツリーの購読リスト ブランチで表示されま す。リスト ツリーの他のリストと同様に購読リストを操作できます。 購読リストのサイズには制限があります。購読リストは 4 MB よりも大きかったり、100,000 を超える数のエントリ ーを含むことはできません。 更新スケジュールを構成したり、更新を手動で実行することにより、最新のコンテンツが購読リストにより Web セ キュリティ ルールに使用できるようにする必要があります。 McAfee サーバーからのリスト コンテンツの取得 購読リストのコンテンツがこの目的で指定された McAfee サーバーから取得されるとき、カタログからこのリストに 対するコンテンツのタイプを選択します。 コンテンツは McAfee サーバー上に維持されます。McAfee が維持するリストが最新のコンテンツを保持している ことを確認するためには、アプライアンスのユーザー インターフェースで手動更新を実行してください。 別のサーバーからのリスト コンテンツの取得 購読リストのコンテンツが McAfee サーバー以外のサーバーから取得されるとき、サーバーにこのコンテンツを保持 するファイルの URL を指定します。 コンテンツはこのサーバー上に維持されます。この種の購読リストの更新は、リスト設定を構成するときにセットア ップするスケジュールに従って実行されます。 McAfee Web Gateway 7.6.0 製品ガイド 209 7 リスト 購読リスト 購読リストの作成 購読リストを作成するには、一般リスト設定およびリスト コンテンツの設定を構成します。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーの上で、[追加]アイコンをクリックします。 [リストの追加]ウィンドウが開きます。 3 リストの全般設定を行います。 a [名前]フィールドに、リスト名を入力します。 b [入力]リストから、リスト タイプを選択します。 c [含む]の下で、リストが含まれるエントリのタイプを選択します。 d [オプション][コメント] フィールドで、リストの平文コメントを入力します。 e [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 4 [リスト コンテンツをリモートから管理する] を選択します。 5 リスト コンテンツの設定を行います。 • McAfee サーバーから取得したリスト コンテンツ: • [ソース]の下で、[McAfee の保持されたリスト]を選択します。 • [選択]をクリックします。 [リスト コンテンツの選択]ウィンドウが開きます。 • • コンテンツ タイプを選択します • [OK]をクリックしてウィンドウを閉じます。 他のサーバーから取得したリスト コンテンツ: • [ソース]の下で、[顧客の保持されたリスト]を選択します。 • [セットアップ]をクリックします。 [セットアップ]ウィンドウが開きます。 6 • リスト コンテンツの設定を構成します。 • [OK]をクリックしてウィンドウを閉じます。 もう一度 [OK] をクリックします。 [リストの追加]ウィンドウが閉じて、リスト ツリーの[購読リスト] ブランチにリストが表示されます。 7 210 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド リスト 購読リスト 7 購読リスト コンテンツの設定 McAfee サーバー以外のサーバーで購読リストが維持されている場合、設定はそのコンテンツに対して構成される必 要があります。 表 7-4 購読リスト コンテンツの設定 オプション 定義 [ダウンロードす 購読リストのコンテンツのファイルの URL を指定します。 る URL] URL を指定する形式は、次のとおりです。 HTTP | HTTPS | FTP ://<パス>/<ファイル名>.<拡張子> [これを使用す る] これを選択すると、ラジオ ボタンの隣に表示される証明書認証チェーンに含まれる証明書が使用 されます。 リストのコンテンツを提供するサーバーへの接続が HTTPS プロトコルの下のコミュニケーショ ン用の SSL セキュア接続の場合に必要です。 [証明書のエラー これをが選択されると、証明書のエラーはサーバーからのリストの内容を取得するときに障害を 発生させません を無視する] [ユーザー認証] サーバーへのアクセスのための認証が必要な場合のユーザー名とパスワードの設定のためのセク ションを提供します。 • [ユーザー名 ]-サーバーに認証するためのユーザー名を指定します。 • [パスワード] — サーバー認証のためのパスワードを設定します。 [プロキシ] リスト コンテンツによるサーバーへのアクセスに使用されるプロキシ サーバーを選択するため のリストを提供します。 デフォルトでは、リスト コンテンツ サーバーへのアクセスに使用されるプロキシ サーバーがあ りません。 [プロキシの追 加] リストにプロキシ サーバーを追加するためのウィンドウを開きます。 [リストの内容の リストの内容の設定と更新のためのセクションを提供します。 更新] 以下のとおり、更新を実行できます。 • [毎時間ごとの時刻(分)] — 1 時間経過した後の分を設定します。 • [毎日の時刻] — 時間と分を指定します。 • [毎週の曜日と時刻] — 曜日と時刻(時間と分)を指定します。 • [毎] — 次の更新が発生するまでの間隔(分)を設定します。 購読リストの更新 購読リストの内容の更新は、内容がこの目的で提供された McAfee サーバーから、または別のサーバーから取得され たかどうかに応じて、スケジュールに従って実行されます。 McAfee サーバーから取得されたリストの内容の場合は、更新を手動で実行する必要があります。手動更新を行うた びに、すべての McAfee が維持するリストが一緒に更新されます。 McAfee が維持するリストの内容はまた、この主の新しいリストを作成するたびにも更新されます。 McAfee サーバー以外のサーバーから取得されたリストの内容の場合は、更新はスケジュールに従って実行されます。 それぞれの購読リストは、固有のスケジュールをもっています。リストの内容の設定を構成するときに、スケジュー ルをセットアップし、変更できます。 一元管理構成でノードの購読リストを管理するとき、更新は更新グループ内のすべてのその他のノードにより共有さ れます。 McAfee Web Gateway 7.6.0 製品ガイド 211 7 リスト 購読リスト 更新グループは一元管理設定のセクション[このノードは次のグループのメンバーです]により構成されます。 McAfee サーバー上に維持されている購読リストの更新 McAfee サーバー上に維持されている購読リストの場合は、更新を手動で実行する必要があります。 McAfee が維持するリストの内容はまた、新しいリストを作成するたびにも更新されます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーの上のツールバーで、[手動エンジン更新]をクリックします。 McAfee が維持するリストの内容が更新されます。 顧客保守リストのコンテンツ ファイルの作成 顧客保守リストとして購読リストを設定した場合、リストの構造を記述したコンテンツ ファイルを作成し、リストの コンテンツを取得する Web サーバーに保存する必要があります。 コンテンツ ファイルは txt または xml 形式で作成します。作成する形式は顧客保守リストの構造が単純か複雑かに よって異なります。単純なリストの場合、コンテンツ ファイルはどちらの形式でも作成できますが、複雑なリストの 場合には xml 形式で作成します。 単純なリストとしては、アプリケーション名、カテゴリ、ディメンション、IP、IP 範囲、メディア タイプ、数字、 文字列、ワイルドカードなどのタイプがあります。 複雑なリストとしては、証明機関、拡張リスト要素、ホストと証明書、ICAP サーバー、ネクスト ホップ プロキシな どのタイプがあります。 単純なリストのコンテンツ ファイル (txt 形式) 次の例は、ワイルドカードを使用した txt 形式のコンテンツ ファイルです。 type=regex "*.txt" "txt file extension" "*.xml" "xml file extension" この txt 形式のコンテンツ ファイルの意味は次のとおりです。 • ファイルの最初の行は顧客保守のタイプを表します。形式は次のとおりです。type=<list type> リスト タイプの場合、applcontrol、category、dimension、ip、iprange、mediatype、number、 string、regex のいずれかを使用します。 • 2 行目以降はリスト エントリです。 各行では、必要な数の項目を記述します。項目は二重引用符で囲む必要があります。 ワイルドカード リストのエントリには 2 つの項目があります。1 つはワイルドカードで、もう 1 つはワイルド カードを説明するコメントです。 以下では、コンテンツ ファイルの表記規則について説明します。 type=string "withoutDescription" "*emptyDescription\"\"\" "" "data with description and more spaces in-between" "description" "data with spaces* " "description" "Hello \"Michael\" \"Michael!\"" "" 212 McAfee Web Gateway 7.6.0 製品ガイド 7 リスト 購読リスト • 文字列タイプのリストのエントリにも 2 つの項目 (文字列とコメント) がありますが、説明は省略できます。 説明を省略する場合、2 行目のように、コンテンツ ファイルの項目も省略します。 • あるいは、3 行目のように、二重引用符の間に何も記述しません。 この行は次の条件を満たしている必要があります。 • 文字列内の二重引用符は、バックスラッシュでマスクする必要があります。 • 二重引用符が続かないバックスラッシュは文字 (バックスラッシュ) と見なされます。 • * (アスタリスク) など、英数字以外の文字を文字列の先頭に使用することはできません。 ユーザー インターフェースで、3 行目のリスト項目は次のようになります。*emptyDescription\"" • コンテキスト ファイルの項目間に複数のスペースが挿入されていると、顧客保守リスト内では無視されます。 ユーザー インターフェースで、4 行目の項目は次のようになります。"data with description and more spaces in-between" "description" • コンテキスト ファイルの文字列内に複数のスペースがある場合、顧客保守リストでは無視されます。 ユーザー インターフェースで、5 行目の項目は次のようになります。"data with spaces* " "description" • 6 行目では、すでに説明した表記規則がいくつか使用されています。 単純なリストのコンテンツ ファイル (xml 形式) 次の例は、ワイルドカードを使用した xml 形式のコンテンツ ファイルです。リストのコンテンツは、前のサブセク ションの最初の例と同じです。 <content type="regex"> <listEntry> <entry>*.txt</entry> <description>txt file extension</ description> </listEntry> <listEntry> <entry>*.xml</entry> <description>xml file extension</description> </listEntry> </content> コンテンツ タイプは、txt 形式のコンテンツ ファイルと同じ項目を使用する必要があります。 複雑なリストのコンテンツ ファイル 複雑な顧客保守リストのコンテンツを手動で作成するのは簡単なことではありません。ただし、ユーザー インターフ ェースのオプションを使用して、既存の複雑なリストをエクスポートし、ファイルに保存することは可能です。 次のファイルでは、複雑なリストが xml 形式で記述されています。ファイルで <content> タグと </content> タ グで囲まれている行をすべて削除すると、複雑なリストのコンテンツ ファイルを取得できます。 次に、<content> タグを <content type="<file type>" に変更します (例: <content type="nexthopproxy">)。 ファイルタイプの指定に使用できる文字列は ca、extendedlist、icapserver、hostandcertificate、 nexthopproxy です。 ベスト プラクティス - McAfee が維持する購読リストの使い方 Web セキュリティ ポリシーのルール (特定のトラフィックを SSL スキャンの対象外にするルールなど) で、 McAfee が維持する購読リストを使用できます。 社内ネットワークのクライアントから特定の宛先 (WebEx アプリケーションなど) に SSL 接続で Web トラフィッ クが送信されている場合について考えてみましょう。Web Gateway が受信したときに、このトラフィックに SSL スキャンを実行しないようにするとします。 McAfee Web Gateway 7.6.0 製品ガイド 213 7 リスト 購読リスト この場合、WebEx が使用する IP アドレス範囲のリストが必要になります。このアドレスは頻繁に変更されていま す。McAfee が維持するアドレス リストを使用することで、このリストを手動で更新する手間を省くことができま す。 McAfee による更新を Web Gateway アプライアンスまたは集中管理構成のすべてのアプライアンスに転送するよ うに、Web Gateway で設定する更新スケジュールにこのリストを追加します。 McAfee が維持するリストを Web セキュリティ ポリシーで使用するには、次の手順に従います。 • McAfee リストから取得した WebEx アドレス範囲を追加できるように空のリストを作成します。 • このリストを使用して WebEx へのアクセス要求を SSL スキャンから除外するルールを設定します。 IP アドレス範囲を含む購読リストを作成して、McAfee が維持する購読リストに変更する WebEx アプリケーションの IP アドレス範囲を含む購読リストを作成して、このリストを McAfee が管理するよう に設定するには、独自のリストを作成し、そのコンテンツが McAfee のリストから提供されるようにします。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 リスト ツリーで [追加] アイコンをクリックします。 3 [リストの追加] ウィンドウで、次のようにリストを設定します。 a 4 リストの全般設定を行います。 • [名前]: WebEx 購読リスト または任意の名前 • [タイプ]: [IPRange] b [リスト コンテンツをリモートから管理する] を選択します。 c [McAfee が維持するリスト] を選択して、[選択] をクリックします。 d [リスト コンテンツの選択] ウィンドウで、WebEx IP Ranges という名前のリストを選択します。 両方のウィンドウで [OK] をクリックします。 リスト ツリーの [購読リスト] ブランチにリストが表示されます。 5 [変更の保存] をクリックします。 作成したリストを適切なルールで使用できます。 McAfee が維持する購読リストをルールで使用する 特定の宛先への Web トラフィックに適切なアクションを実行するルールで、McAfee が維持する購読リストを使用 するには、ルール条件でリストを設定します。 タスク 214 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで SSL スキャナー デフォルト ルール セットを選択し、[ビューのロック解除] をクリック して完全なルール ビューを表示します。 3 ルール セットを有効にして、ネストされた接続呼び出し処理ルールセットを選択してください。 McAfee Web Gateway 7.6.0 製品ガイド リスト 外部リスト 4 7 [ルールの追加] をクリックします。表示されたウィンドウで次のようにルールを設定します。 a [名前] で、ルール名を入力します (例: Bypass SSL scanning for WebEx destinations)。 b [条件] で、次の設定を行います。 • [プロパティ]:URL.Destination.IP • [演算子]:is in range list • [比較] (オペランド):WebEx IP Ranges Subscribed Lists c [アクション] で、Stop Rule Set を選択します。 d [完了] をクリックします。 ウィンドウが閉じ、ルール セットの最後にルールが追加されます。 e 5 ルールを先頭に移動します。 [変更の保存] をクリックします。 宛先に WebEx リストの IP アドレスが指定されている要求には、Web Gateway の SSL スキャンが実行されませ ん。 外部リスト データは、Web サーバーなどの外部ソースから取得でき、アプライアンスのルールで使用されます。 このデータは完全なリストまたは単独の値のいずれでもかまいません。一般的には外部リストまたは外部リスト デ ータと呼ばれます。外部リストでは、文字列、数値、IP アドレス、その他、さまざまなデータ型を使用できます。 外部リストの重要な機能は、アプライアンスでダイナミックに処理されることです。外部リスト データのすべての取 得および変換は、データが初めてルールで使用されるときにランタイムで行われます。 データが取得されると、構成できる期間、内部キャッシュに保存されますが、ディスクには保存されないため、アプ ライアンスの再起動時には保持されません。また、外部リストはユーザー インターフェースのリスト ツリーには表 示されません。 外部リスト プロパティ 外部ソースから取得したデータへのアクセスは、特別なプロパティを通じて行われます。外部リスト プロパティの名 前は ExtLists.<タイプ> です。<タイプ> はプロパティの値であるリストの要素のタイプです。たとえば、 ExtLists.IntegerList の値は整数のリストです。候補のリストには、文字列、数値、ワイルドカード表現式、その 他を含む要素のタイプが含まれます。 通常、外部リストのプロパティの値がリストでありますが、1 つの値に対する外部リストのプロパティもあります。 外部ソースが後のタイプのプロパティに対する入力として複数の値を指定するとき、最後の値のみが取得され、保存 されます。 外部リスト データはソース タイプに応じてフィルターすることができ、指定されたルールで使用されるプロパティ のタイプに応じて別の形式に変換されます。 外部リスト プロパティのパラメーターを設定することにより、ランタイムにプロパティのパラメーターと置換される プレースホルダーを指定できます。これらのプレースホルダーを使用して、外部リストの内容をユーザー名またはユ ーザー グループ名などの条件に依存させることができます。 ロギングの目的で、ExtLists.LastUsedListName プロパティを使用することができます。これは、最後に使用 された外部リスト モジュールの設定の名前を値として持ちます。 McAfee Web Gateway 7.6.0 製品ガイド 215 7 リスト 外部リスト 外部リスト モジュール 外部ソースから取得するデータを指定するには、データを取得する外部リスト モジュール (外部リスト フィルター またはエンジン) を設定する必要があります。 外部データを正常に取得できない場合、外部リスト モジュールはエラー コードを返し、それはエラー ハンドラー ル ールを使用して処理できます。別の範囲のエラー ID がこの目的で利用できます。 外部リスト モジュールは、外部ソースから取得するデータをキャッシングするために、メモリを消費します。外部リ スト ハンドリングのルールを設定するときは、このことを考慮に入れる必要があります。 外部リスト データのソース 外部リストが記入するコンテンツのソースには、以下のようなものがあります。 • Web サービス。これは HTTP、HTTPS、または FTP プロトコルの下でアクセスできます。 • ローカル ファイル システム内のファイル • LDAP または LDAPS サーバー • データベース サーバー: • PostgreSQL • SQLite3 データベースでクエリを実行する場合は、SQL クエリ言語が使用されます。しかし、特定のクエリ形式は、両方のデ ータベース タイプに対して異なる場合があります。 SQLite3 データベースは、ファイルベースで操作し、実稼働環境ではなく、テストにお勧めします。しかし、このタ イプのデータベースのデータをすでにもっている場合は、それを引き続き使用したい場合があります。それ以外の場 合、外部リスト コンテンツを取得するためには、Web サービスまたはファイル データ ソースを使用することは簡 単です。 使用法 (推奨) 外部リスト機能の操作は、以下のような場合にお勧めします。 ほとんどが外部ソースに保管された多数のリストを処理する必要があり、中央管理構成でノードとして複数のアプラ イアンスを実行中で、リスト データに頻繁に変更を適用する必要がある場合。 すべてのノードのすべてのリスト データの同期は、スケール自在ではなくなります。 ルールでの外部リスト データの使用 外部リスト データを処理するためには、条件の中で適切な外部リスト プロパティを含むルールを構成する必要があ ります。 URL が外部ソースに保管されるリストの IP アドレス範囲の 1 つの中にある宛先 IP をもつ場合、Web オブジェク トの要求をブロックする場合を考えてみましょう。 以下のルールでこれを達成することができます。 禁止範囲の IP アドレスをもつ URL をブロックする URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –> Block<URL Blocked> ルールが処理されると、URL.Destination.IP の値である IP アドレスが ExtLists.IPRangeList の値であるリ ストの範囲の 1 つの中にあるかどうかをチェックされます。 216 McAfee Web Gateway 7.6.0 製品ガイド リスト 外部リスト 7 外部リスト プロパティと共に、<External Lists> 設定が指定されます。これらは、外部リスト モジュールが外部 リスト プロパティの値として適切なデータを取得するために使用する設定です。 特定の外部リストの取得場所と取得方法をモジュールに通知するには、次の設定を行う必要があります。たとえば、 このリストが Web サーバーにテキスト ファイルとして保存されている場合、ファイルにアクセスできる URL を指 定します。 これらの設定の一部として設定できるその他の情報には、タイムアウトとサイズ制限があります。 外部リスト プロパティのパラメーターはオプションです。これらはこの例では空です。 デフォルトで、アプライアンスでは外部リストの取り扱いのためのルールはありません。外部リスト データを使用し てネットワークのユーザーの Web アクセスを制限したい場合は、上述のように 1 つ以上のルールをセットして、そ れを適切なルール セットに挿入してください。 置換とプレースホルダー 外部リスト データの取得においてより柔軟性を得るために、URL など、外部リスト モジュールの設定を行うときに プレースホルダーを使用できます。 プレースホルダーは、外部リスト プロパティのパラメーターとして指定する値でランタイムに置換されます。 たとえば、個人ユーザーに許可されるメディア タイプのリストを配布する Web サービスからデータを取得したいと します。特定のメディア タイプのリストの URL は以下のとおりです。 http://my-web-service.com/ mediatypes?user= <value> ここで、<value> はユーザーの名前です。 個々のユーザーをそれぞれカバーする外部リスト モジュールの個別設定を行うことは面倒ですから、以下のような方 法でプレースホルダーを使用できます。 • 設定の中の Web サービスの URL パラメーターの場合、以下のとおり指定します。 http://my-web-service.com/mediatypes?user=${0} ここで、${0} はルールで使用している外部リスト プロパティの 3 つのパラメーターの最初のパラメーターに対 するプレースホルダーです。 • 外部リスト プロパティの最初のパラメーターの場合、Authentication.Username プロパティを指定します。 これは、個々のユーザーが使用できるメディア タイプのリストを取得します。ユーザー名は、特定のタイプのメディ アにアクセスするためのリクエストを送信した後で、認証する必要があるときにこのユーザーが送信するものです。 McAfee Web Gateway 7.6.0 製品ガイド 217 7 リスト 外部リスト 以下の 2 つのタイプのプレースホルダーを使用することができます。 • ${<n>} — 変換値で置換されるプレースホルダー <n> は、外部リスト プロパティのパラメーターの一番号(0、1、2)です。ランタイムに、このプレースホル ダーはパラメーターの設定時に指定した値により置換されます。 プレースホルダーが置換される前に、値が変換されます。このプロセスは、「エスケープ」ともいいます。変換 は、含まれるデータ ソースの内部ルールに従って実行されます。 たとえば、ソースが Web サービスである場合、対応する HTTP 基準(RFC 2616)の条件に従って、%XX シ ーケンスによって許可されないすべての文字を置換します。 • $<<n>> — 変換されない値で置換されるプレースホルダー 上記のように、変換はありません。このことは、置換により望ましくない結果に至らないように、自分自身で確 認することが必要なことを意味します。 このタイプのプレースホルダーは それらの一部が置換されるのではなく、URL 全体が置換されるときに使用する ことができます。 外部リスト モジュールの構成 外部リスト モジュールの設定を構成し、外部リスト データを取得する必要があるモジュールの情報を提供できます。 デフォルトでは、アプライアンスのこのモジュールに設定は存在しません。個別設定を追加し、ルール内からデータ を取得する各外部リストへ構成する必要があります。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[外部リスト]を選択し、[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 3 [名前]フィールドに、設定名を入力します。 4 [オプション][コメント]フィールドで、設定の平文コメントを入力します。 5 [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。 6 必要に応じて、その他設定パラメーターを構成します。 7 [OK]をクリックします。 ウィンドウが閉じ、設定が設定ツリーの[外部リスト]の下に表示されます。 8 [変更の保存]をクリックします。 外部リスト モジュール設定 外部リスト モジュール設定は、外部ソースからデータを取得するモジュールを構成するために使用されます。 データ ソースの種類 データが取得されるソースの種類の設定 ここで選択する内容に応じて表示される別のセクションでそれぞれのソースの種類に対する特定の設定を構成できま す。 218 McAfee Web Gateway 7.6.0 製品ガイド リスト 外部リスト 7 表 7-5 データ ソースの種類 オプション 定義 [Web T[rX] データは HTTP、HTTPS、または FTP プロトコルの下で Web サービスを使用して取得さ れます。 [ディスクのファイル] データはローカル ファイル システム内のファイルから取得されます。 [LDAP] データは LDAP サーバーから取得されます。 [データベース] データは PostgreSQL または SQLite3 データベースから取得されます。 共通パラメーター 外部リンク処理のための時間制限の設定 表 7-6 共通パラメーター オプション 定義 [処理のタイム 外部リストの処理を完了できなった場合に、処理を停止するまでの経過時間 (秒単位) を指定しま アウト] す。 このオプションは、外部リストのソースが Web サーバーであるときに適用されます。たとえば、 Web サーバーがアプライアンスからの要求に応答しないときなどに、タイムアウトに達します。 タイムアウトの有効期限は次のように指定できます。 • [単純な有効期限] — これを選択すると、取得したリスト データが内部キャッシュから削除され るまでの時間 (分) を [有効期限] 入力フィールドで指定できます • [スケジュール設定された有効期限] — これを選択すると、外部リストが内部キャッシュから削 除されるまでの時間 (分) を表示される複数の入力フィールドで指定できます [有効期限:] 取得したデータが内部キャッシュから削除されるまでの時間 (分) を指定値に制限します。 [分/時間/日/ 月/平日] 取得したデータが内部キャッシュから削除されるまでの時間を指定値に制限します。 これらの入力フィールドはスケジュール設定された有効期限を選択したときに表示されます。 削除は cron ジョブにより計算され、実行されるため、入力は「cron」と互換性がなければなりま せん。 詳細については、Linux (UNIX) オペレーティング システムのマニュアルの crontab (5) マン ページを参考にしてください。 これらの値の 1 つまたは任意の数だけ組み合わせて値を指定できます。 データ変換設定 外部ソースから取得したデータを変換するための設定 これらの設定は、選択した[Web サービス]または[ディスクのファイル]をデータのソースとして選択しているときに のみ使用できます。 McAfee Web Gateway 7.6.0 製品ガイド 219 7 リスト 外部リスト 表 7-7 データ変換設定 オプション 定義 [データ タイプ] 変換されるデータの入力形式を選択できます。 以下から 1 つを選択できます。 • [ プレーン テキスト] — 元のメッセージをテキスト形式で添付してください 各行は変換されたリストで個別のエントリーとして表示されます。 任意に、以下の入力フィールドのフィルタリング用語として正規表現を指定することができま す。この用語と一致する文字列のみ、リストに入力されます。 正規表現にグループ化演算子がない場合、完全な文字列がリストに保管されます。それ以外の 場合、最初のグループにより取得されたデータが保管されます。 • [XML] — 元のメッセージを XML 形式で添付してください 取得するデータを選択する XPath 式を指定する必要があります。たとえば、XML タグまたは 属性に従ってデータを取得できます。 [正規表現] 変換されたデータの取得に使用する正規表現が表示されます。 [データの種類]の[プレーン テキスト]を選択している場合に、このオプションが表示されます。 [XPath 式] 変換されたデータの取得に使用する XPath 式が表示されます。 [データの種類]の[XML テキスト]を選択している場合に、このオプションが表示されます。 XPath 式の使用法に関して、w3schools サイトで提供されている XPath のチュートリアル など、適切な資料を参照してください。 [2 番目の属性の XPath 式 (MapType の場 合のみ)] マップ タイプ変換データの取得に使用する 2 番目の属性の XPath 式が表示されます。 2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。 [XPath 式] フィールドの XPath 式で設定された最初の属性では、キーのデータが取得されま す。 この XPath 式で外部リストから取得する項目数は、最初の属性の式で取得される項目数と一致 させる必要があります。 2 つの式で取得する項目の順番も一致させる必要があります。 Web サービス固有のパラメーター このオプションは、外部リストのソースが Web サーバーであるときに適用されます。 これらの設定は Web サービスが[データ ソースの種類]セクションで選択されているときに表示されます。 表 7-8 Web サービス固有のパラメーター オプション 定義 [Web サービスの URL] 外部リストを含んでおり、特定の Web サービス (HTTP、HTTPS、または FTP) により 提供される Web サーバーのファイルの URL を指定します。 URL 内部のプレースホルダーを指定できます。 [認証データを指定する] 選択すると、認証の情報を指定できます。この認証に成功しないと、Web サービスから データを取得できません。 [HTTP 認証のタイプ] HTTP 認証の種類を選択するためのリストを提供します。 サポートされる種類は次のとおりです。なし、基本、ダイジェスト [ユーザー名] 220 McAfee Web Gateway 7.6.0 認証のために送信するユーザー名を設定します。 製品ガイド リスト 外部リスト 7 表 7-8 Web サービス固有のパラメーター (続き) オプション 定義 [ユーザーのパスワード] 認証のために送信するパスワードを設定します。 [設定] をクリックすると、パスワードの設定ウィンドウが開きます。 [サーバーへのアクセス にネクスト ホップ プロ キシを使用する] これを選択すると、Web サーバーへのアクセスは、ネクスト ホップ プロキシ サーバー を使用して行われます。 [使用するネクスト ホッ プ プロキシ サーバーの リスト] Web サーバーにアクセスするために、ネクスト ホップ プロキシとして使用できるサー バーのリストを選択するためのリストを提供します。 [証明機関のリスト] Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリスト を選択するためのリストを提供します。 このチェックボックスを選択した後で、以下の 3 つの項目がアクセス可能になります。 [追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す るためのウィンドウを開きます [追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す るためのウィンドウを開きます [追加の HTTP ヘッダー のリスト] アプライアンスで受け取った後に HTTP 要求に追加するヘッダーを選択するためのリス トを提供します。 次の表に[追加の HTTP ヘッダーのリスト]にあるエントリーを示します。 表 7-9 追加の HTTP ヘッダー - リスト エントリー オプション 定義 [ヘッダー名] HTTP 要求に追加するヘッダーの名前を指定します。 [ヘッダー値] HTTP 要求に追加するヘッダーの値を指定します。 [コメント] ヘッダーの平文テキストのコメントを提供します。 ファイル固有のパラメーター 外部リストのソースがローカル ファイルシステム内のファイルであるときに設定が適用されます。 これらの設定は[ディスクのファイル]が[データ ソースの種類]セクションで選択されているときに表示されます。 表 7-10 ファイル固有のパラメーター オプション 定義 [ファイルの完全パス] 外部リストのソース ファイルのローカル ファイル システム内でのパスが表示されます。 LDAP 固有のパラメーター このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。 これらの設定は[LDAP]が[データ ソースの種類]セクションで選択されているときに表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 221 7 リスト 外部リスト 表 7-11 LDAP 固有のパラメーター オプション 定義 [LDAP サーバーの URL] 外部リストのソースであるローカル ファイル システムからのファイルの名前を指定します。 URL 内部のプレースホルダーを指定できます。 ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカ ル ファイル システムの一部を指定できます。 ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりませ ん。 [証明機関のリス ト] Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリストを選 択するためのリストを提供します。 [追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集するた めのウィンドウを開きます [ユーザー名] LDAP サーバーに接続しようとするときにアプライアンスが送信するユーザー名を指定しま す。 [LDAP パスワー ド] LDAP サーバーに接続しようとするときにアプライアンスが送信するパスワードを設定しま す。 指定した[設定/変更]切り替えボタンを使用して、パスワードを設定または変更できます。 [検索 DN] 外部リストについて検索される LDAP サーバーのデータベースのドメイン名を指定します。 この名前の中でプレースホルダーを指定できます。 [検索範囲] LDAP サーバーの外部リストの検索範囲を選択できます。 • [サブツリー] — 検索される[検索 DN]の下で指定されたドメインの完全なサブツリー。 • [1 レベル] — 検索される[検索 DN]の下で指定されたドメインの下の 1 レベルのみ。 • [基本] — 検索される[検索 DN]の下で指定された基本のドメインのみ。 [検索フィルター] LDAP サーバーの外部リストの検索結果をフィルタリングする用語を指定します。 データベースのエントリーの名前がフィルタリング用語と一致している場合のみ、エントリー が示す項目が取得されます。 この用語の中でプレースホルダーを指定できます。 [属性] たとえば、電子メール アドレスなど、対象の検索結果である LDAP サーバーのデータベース の項目の属性を指定します。 [2 番目の属性 (MapType のみ)] LDAP サーバーのデータベース項目の 2 番目の属性が表示されます。この項目のデータがマ ップ タイプ データの場合に検索結果が表示されます。 2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。 [属性] フィールドで設定された最初の属性では、キーのデータが取得されます。 [LDAP バージョン 3 を有効にする] これが選択されると、LDAP プロトコルのバージョン 3 が使用されます このオプションを無効にする場合、LDAP サーバーで通信するために使用されるエンコーディ ングを指定する必要があります。 [LDAP バージョン 3 を有効にする]の選択を解除すると、この情報に対して以下の入力フィー ルドが表示されます。 [LDAP ライブラリ に参照に従うこと を許可する] 222 リストを取得するために、外部リストに検索が行われる LDAP サーバーの外部の場所への参照 に従うことができます。 McAfee Web Gateway 7.6.0 製品ガイド リスト 外部リスト 7 データベース固有のパラメーター 外部リストのソースがデータベースであるときに適用される設定 これらの設定は[データベース]が[データ ソースの種類]セクションで選択されているときに表示されます。 表 7-12 データベース固有のパラメーター オプション 定義 [SQL クエリ] データベースで実行されるクエリのタイプを表す文字列を指定します。 外部リスト情報の取得に使用されるクエリのデフォルトの種類は、SELECT です。 文字列の最後にセミコロン (;) を付けることができますが、これは必須ではありません。 クエリはまた、さまざまなデータを含むプレースホルダーを使用することもできます。 SQL インジェクションを防ぐため、$N プレースホルダーを使用すると、変数の値として挿入 されたデータがエスケープされます。円記号 (\) は円記号 2 つ (\\) に置換されます。アポス トロフィ (') の前に円記号 (\) が付きます。 SQL クエリは、複数の列を返すクエリを実行する場合、通常 1 データ列を返し、最初のものだ けが外部リストのコンテンツに使用されます。 いくつかの列からコンテンツを取得するためには、適切な SQL 演算子を使用して、出力するた めの列の組み合わせを指定する必要があります。 [データベースの タイプ] 外部リストのコンテンツが取得されるデータベースの種類を指定します。 以下の 2 種類が使用可能です。 • PostgreSQL • SQLite3 データベースの種類を選択した後で、データベース固有のパラメーターがこのタイプに従って表 示されます。 表 7-13 PostgreSQL データベース固有のパラメーター オプション 定義 [データベース ホスト] データベースが常駐するサーバーのホスト名を指定します。 [データベース ポート] 外部リストの内容を取得するためのクエリを待機するデータベースのポートの ポート番号を指定します。 デフォルトのポート番号は 5432 です。 [データベース サーバーのデータ データベース サーバーの下でわかっているデータベースの名前を指定します。 ベース名] [データベース ユーザー名] データベース サーバーに接続するアプライアンスのユーザー名を指定します。 [データベースのパスワード] アプライアンスのユーザー名のパスワードを設定します。 [設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。 表 7-14 SQLite データベース固有のパラメーター オプション 定義 [SQLite データベースへのファイル パス] データベースを含むアプライアンスのファイルへの完全パスを指定し ます。 詳細パラメーター 外部リンク処理のための詳細な方法の設定 McAfee Web Gateway 7.6.0 製品ガイド 223 7 リスト 外部リスト 表 7-15 詳細パラメーター オプション 定義 [データ変換中に「不正」 選択すると、整数、倍精度、ブール値など、要求された種類に変換できないデータが省略 エントリーをスキップ] されます。 [取得するエントリーの 外部リストから取得するエントリーの数を指定値に制限します。 最大数] 設定できる値は 0 から無限です。 ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制 限することをお勧めします。 [取得するエントリーの 外部リストから取得するデータ量 (KB) を制限します。 最大サイズ] 設定できる値は 0 から無限です。 ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制 限することをお勧めします。 このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。 外部リストの全般設定の構成 アプライアンスでの使用のため取得するすべての外部リストに適用する設定を構成できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[外部リスト]をクリックします。 外部リストの設定が設定パネルに表示されます。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 外部リスト システム設定 外部リスト システム設定は、アプライアンスで処理するすべての外部リストに適用されます。 グローバル構成 外部リスト データを保管するアプライアンスの内部キャッシュの設定 表 7-16 グローバル構成 オプション 定義 [外部リスト キャッシュ 内部キャッシュに保管されているデータを削除します。 のフラッシュ] [失敗後の再試行までの 時間] 外部リスト モジュールが特定の外部ソースからのデータを取得することに失敗したこと を記憶している時間(秒)を指定値に制限します。 このモジュールは、障害を記憶する限り、ソースに対する再試行を実行しません。 ネットワークの要件に従って、デフォルト値を維持するか、それを変更することをお勧め します。 このようにして、すでに過負荷になっている Web サーバーに定期的に再試行することに よって、負荷を追加しないで済みます。 224 McAfee Web Gateway 7.6.0 製品ガイド 7 リスト マップ タイプ リスト ファイル データ ソースの構成 外部リスト データを取得できるローカル ファイル システムの設定 表 7-17 ファイル データ ソースの構成 オプション 定義 [ファイル データ アクセ ローカル ファイル システム内に外部リストを保管するためのフォルダーを指定するパ スに許可されるファイル スを指定します。 システム] データが取得される外部リストは、このフォルダーーに保管される必要があります。 それ以外の場合、データを取得しようとすると、アクセス拒否エラーとなります。 外部リスト データが SQLite データベースから取得されると、ここで指定されるパスは データベースを含むローカル ファイル システム内のフォルダーーへのパスです。 Web データ ソースの構成 外部リスト データのソースであるすべての Web サービスの設定 表 7-18 Web データ ソースの構成 オプション 定義 [SSL 証明書の ID のチ これを選択すると、SSL セキュア コミュニケーションで Web サーバーが送信する証明 ェック] 書が検証されます。 アプライアンスで実施される SSL スキャニング ルールに従って検証が実行されます。 たとえば、Web サーバーが自己署名証明書を使用する場合にはエラーになる場合があり ます。 マップ タイプ リスト マップ タイプ リスト (マップ) を使用すると、相互に対応するキーと値の組み合わせを保存することができます。キ ーと値は両方とも文字列タイプです。 既存のマップを参照すると、マップ上に特定のキーが存在するかどうか、またはどの値がキーに対応しているのか調 べることができます。 その他に、特定のキーに対して値の設定や削除を行ったり、マップ全体を 1 つの文字列に変換することができます。 Web Gateway のユーザー インターフェースでマップ タイプ リストを作成して、入力することができます。また、 外部リストと契約済みのリスト機能を使用して、リストをリモートから取得することもできます。 マップに他のデータ タイプ (数字、IP アドレスなど) を使用する場合、Number.ToString や IP.ToString など のプロパティを使用してデータを変換することができます。 マップ タイプ リストを作成する マップ タイプ リストを作成するには、このタイプのリストを追加し、キーと値の組み合わせを定義します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 リスト ツリーで [追加] アイコンをクリックします。 [リストの追加] ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 225 7 リスト マップ タイプ リスト 3 マップ リストを追加します。 a [名前] フィールドで、リスト名を入力します。 b [タイプ] リストで、[マップ タイプ] を選択します。 c [OK] をクリックします。 ウィンドウが閉じます。リスト ツリーで、[カスタム リスト] 、 [マップ タイプ] の順に移動すると、新しいマ ップ タイプ リストが表示されます。 設定ペインでエントリを入力できます。 4 設定ペインで [追加] アイコンをクリックします。 [マップ タイプの追加] ウィンドウが開きます。 5 次のように、エントリを設定します。 a [キー] フィールドで、キーの名前を入力します。 b [値] フィールドで、値を入力します。 c [OK] をクリックします。 ウィンドウが閉じます。設定ペインの先頭行にエントリのペアが表示されます。 6 [変更を保存] をクリックします。 プロパティによるマップ タイプ リストの操作 いくつかのプロパティは、マップ タイプ リストの操作に使用できます。これらのプロパティをルール条件で使用す ると、マップ タイプ リストの情報を取得したり、リストの変更や作成、リストから文字列への変換を行うことがで きます。 マップ タイプ リスト (マップ) に関する情報を取得する場合、次の操作を実行できます。 • 名前を指定してマップを取得する • マップ内のキーのリストを取得する • 特定のキーがマップに存在するかどうかを確認す る • マップ内の特定のキーの値を取得する • マップ内のキーと値の組み合わせの数を確認する これらの操作を行う場合、以下のプロパティを使用します。 プロパティ 説明 Map.ByName 指定した名前のマップを提供します。 Map.HasKey 指定したマップに指定したキーが存在する場合 true になります。 Map.Size マップ内のキーと値の組み合わせの数を提供します。 Map.GetKeys マップ内のキーのリストを提供します。 Map.GetStringValue 指定したマップの指定したキーの値を表す文字列を提供します。 たとえば、ルールの条件で Map.GetStringValue プロパティを使用すると、特定の値を含むキーがリストにある かどうか確認できます。キーはユーザー名で、値の文字列は認証でトークンとして使用されます。 条件を次のように設定します。 Map.GetStringValue (testmap, "sampleuser") equals "sampletoken" sampleuser キーの値が sampletoken の場合、条件を満たし、特定のアクション (続行 など) が実行されます。 226 McAfee Web Gateway 7.6.0 製品ガイド リスト マップ タイプ リスト 7 マップを変更すると、元のマップのコピーに変更が適用され、元のマップは変更されません。これにより、次の操作 を行うことができます。 • キーに特定の値を設定する • キーを削除する これらの操作を行う場合、以下のプロパティを使用します。 プロパティ 説明 Map.SetStringValue 指定したキーに指定した値が設定されているマップを提供します。 Map.DeleteKey 指定したキーが削除されたマップを提供します。 新しいマップを作成したり、マップを文字列に変換する場合には、次のプロパティを使用します。 プロパティ 説明 Map.CreateStringMap 空の新しいマップを提供します。 Map.ToString 文字列に変換されたマップを提供します。 外部リストと購読リストを使用したマップ データの取得 マップ タイプ リスト (マップ) のデータは、外部リストと購読リストから取得できます。 外部リスト 外部リストからマップ データを取得するには、ルールの条件で ExtLists.StringMap プロパティを使用します。 このプロパティには、外部リストをソースとするマップのリストが設定されています。 たとえば、外部ソースから取得するリストに特定のキーが含まれているかどうか確認する場合、以下の条件を設定し ます。 Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname" 外部リストと取得場所を指定するには、取得を実行する外部リスト モジュールを設定する必要があります。前述の条 件では、この設定は External Lists に指定します。 外部リスト データは、Web サービス、ファイル、PostgreSQL、SQLite3 データベース、LDAP から取得できます。 マップ データの取得元を設定する場合、ソース タイプについて以下の点に注意してください。 • Web サービスまたはファイル Web サービスまたはファイルから取得する場合、データの種類は Plain Text にする必要があります。 データを検索する場合、2 つの部分から構成される正規表現を使用します。最初の部分がキー、2 番目が値です。 • データベース データを取得するデータベース クエリでは、2 つの列を照会する必要があります。最初の列はキー、2 番目の列 は値です。 • LDAP データを取得するには、LDAP 設定の最初の属性と 2 番目の属性を設定します。最初の属性はキー、2 番目の属 性は値です。 McAfee Web Gateway 7.6.0 製品ガイド 227 7 リスト 共通カタログ 購読リスト マップ データを取得する購読リストの項目は次の形式にする必要があります。 <listEntry> <complexEntry defaultRights="2"> <configurationProperties> <configurationProperty key="key" type="com.scur.type.string" value="key"/> <configurationProperty key="value" type="com.scur.type.string" value="value"/> </ configurationProperties> </complexEntry> <description></description> <l/istEntry> listEntry 要素に complexEntry が含まれています。これにより、購読リスト モジュールがこの形式を処理でき るようになります。 共通カタログ 共通カタログでは、McAfee ePO サーバーから Web Gateway アプライアンスにプッシュできるリストが提供され ます。 IP アドレス、ドメイン名、文字列、ワイルドカードなどのリストをプッシュできます。 Web Gateway アプライアンスのリストの内容は変更しないでください。このコンテンツは、McAfee ePO サーバー との間で更新されます。これらの更新により、適用済みの変更が上書きされます。 リストの転送を行うため、両方のシステムで REST (Representational State Transfer) インターフェースが実行さ れます。また、Web Gateway の McAfee ePO 拡張ファイルが McAfee ePO サーバーで実行されている必要があり ます。 この拡張ファイルには、拡張ファイルの使用方法を説明するヘルプの拡張ファイルも含まれます。拡張パッケージは、 [ePolicy Orchestrator] システム設定で Web Gateway のユーザー インターフェースに適用されます。 McAfee ePO サーバーからの要求を Web Gateway の Web セキュリティ ルールでフィルタリングされないよう にするには、ライブラリから適切なルール セットをインポートし、ルール セット ツリーの先頭に配置して有効にす る必要があります。 また、リスト転送の処理を許可するアプライアンスにインスタンスが必要なため、McAfee ePO ユーザー アカウン トをセットアップする必要があります。このアカウントをセットアップするには、[ePolicy Orchestrator] のシステ ム設定を使用します。 McAfee ePO アカウントのユーザーは、内部の Web Gateway 管理者アカウントの中でも管理者として表示されま す。 共通カタログのリストが Web Gateway にプッシュされると、ユーザー インターフェースの [リスト] タブに表示 されます。リスト名には、McAfee ePO サーバーから取得したリストであることを示すプレフィックスが付いていま す。 これらのリストを使用して、[リスト] タブのほかのリストのようなルールを構成できます。 共通カタログ リストの使用を準備する McAfee ePO サーバーから Web Gateway アプライアンスにプッシュされる共通カタログ リストの使用を準備す るには、次の手順に従います。 タスク 228 1 Web Gateway で McAfee ePO ユーザーのアカウントをセットアップします。 2 Web Gateway で、同じユーザー名とパスワードを使用して管理者アカウントをセットアップします。 3 Web Gateway での REST インターフェースの使用を可能にします。 McAfee Web Gateway 7.6.0 製品ガイド リスト 共通カタログ 7 4 Web Gateway のユーザー インターフェースでライブラリから「ePO 要求を迂回」ルール セットをインポート します。このルール セットをルール セット ツリーの最上位に移動し、有効にします。 5 Web Gateway の McAfee ePO 拡張パッケージをダウンロードし、McAfee ePO サーバーにインストールしま す。 6 McAfee ePO サーバーのユーザー インターフェースで、Web Gateway が稼動しているアプライアンスを指定 し、Web Gateway と通信を行う新しいサーバーを登録します。 約 15 分後、Web Gateway で処理された Web トラフィックのデータがユーザー インターフェースのダッシュ ボードに表示されます。 7 McAfee ePO サーバーから Web Gateway にリストをプッシュします。 Web Gateway にプッシュしたリストがユーザー インターフェースのリスト ツリーに表示されます。 McAfee ePO 拡張パッケージのインストールと McAfee ePO サーバーでの操作については、McAfee ePO のマニュ アルを参照してください。 共通カタログ リストのユーザー アカウントのセットアップ 共通カタログ リストを使用するには、Web Gateway で McAfee ePO ユーザー アカウントをセットアップし、リ ストの転送を行うインスタンスを作成する必要があります。 タスク 1 [構成] 、 [ePolicy Orchestrato]を選択します。 2 [ePolicy Orchestrator の設定] で、ユーザー アカウントを設定します。 a [ePO ユーザー アカウント] フィールドで、事前に設定されている値 (epo) を使用します。 b [パスワード] フィールドの横にある [変更] をクリックします。 [新しいパスワード] ウィンドウが表示されます。 c ウィンドウのオプションを使用して、新しいパスワードを設定します。 3 [ePO のデータ収集を有効化]]が選択されていることを確認します。 4 [変更の保存]をクリックします。 設定した McAfee ePO アカウントのユーザー名が Web Gateway の管理者アカウントとして表示されます。 共通カタログ リストに管理者アカウントをセットアップする 共通カタログ リストを使用するには、McAfee ePO のユーザー アカウントと同じ名前とパスワードを使用して、 Web Gateway に管理者アカウントをセットアップする必要があります。 タスク 1 [アカウント] 、 [管理者アカウント] の順に選択します。 2 [内部管理者アカウント] で、[追加] をクリックします。 [管理者の追加] ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 229 7 リスト 共通カタログ 3 共通カタログ リストを使用する管理者アカウントをセットアップします。 a [ユーザー名] フィールドに epo と入力します。 b [パスワード] フィールドと [パスワードの確認] フィールドに、ePO ユーザーのユーザー アカウントをセッ トアップしたときに設定したパスワードを入力します。 c [ロール] リストで、[ePO 共通カタログ管理者] を選択します。 d [編集] をクリックして、ロールの現在の設定を確認します。 [ロールの編集]ウィンドウが表示されます。必要に応じて、以下の設定を有効にします。 e • [ポリシー - リストにアクセス可能 ] • [ポリシー - リストの作成 ] • [REST インターフェースにアクセス可能 ] [OK] をクリックします。 ウィンドウが閉じて、新しい管理者アカウントが [内部管理者アカウント] に表示されます。 この管理者アカウントは、McAfee ePO ユーザーのユーザー アカウントと一緒に Web Gateway のインスタンスと して機能し、McAfee ePO サーバーからのリスト転送の処理で必要になります。 共通カタログ リストでの REST インターフェースの使用を有効にする McAfee ePO サーバーに接続して共通カタログ リストを取得する場合、Web Gateway で内部 REST (Representational State Transfer) インターフェースを有効にする必要があります、 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、共通カタログ リストを転送するアプライアンスを選択し、[ユーザー インターフェー ス] をクリックします。 3 [UI アクセス] で、[HTTP 接続で REST インターフェースを有効にする] と [HTTPS 接続で REST インターフ ェースを有効にする] の両方を選択します。 4 [ログイン ページ オプション] で、[1 つのログイン名で複数のログインを許可する] を選択します。 5 [変更を保存] をクリックします。 McAfee ePO サーバーに Web Gateway を登録する場合の設定例 共通カタログ リストを Web Gateway アプライアンスに転送するには、McAfee ePO サーバーでアプライアンスを 新しいサーバーとして登録する必要があります。 以下に、この登録を行う場合の設定例を示します。 230 オプション サンプル値 [サーバーの種類] McAfee Web Gateway 7 [名前] mwg7-3.sample-lab.local [メモ] (オプション) [ホスト名] mwg7-3.sample-lab.local [ホスト アドレス] 171.18.19.226 McAfee Web Gateway 7.6.0 製品ガイド リスト JavaScript Object Notation データ 7 オプション サンプル値 [管理ポート ] 4712 [統計取得ポート] 9090 [ユーザー名 (ホスト GUI への アクセス) ] <Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の ユーザー名または現在のユーザー名> [パスワード ] <Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の パスワードまたは現在のパスワード> [ユーザー名 (統計取得とリスト 管理) ] epo [パスワード] <ePO ユーザーや Web Gateway の管理者アカウントと同じパスワード> [オプション] [このシステムのリストを ePO で管理する] (有効) Web Gateway のユーザー インターフェースにアクセスする場合の初期のユーザー名とパスワードは、それぞれ admin と webgateway です。 JavaScript Object Notation データ Web Gateway では、JavaScript Object Notation (JSON) 形式でエンコードされたデータの読み取り、変更、作 成を行うことができます。 JavaScript Object Notation は、テキスト ベースのデータ交換フォーマットです。JavaScript で読み取りが可能 ですが、この言語の使用とは関係ありません。このフォーマットは、対話型の Web サイトとの通信や、NoSQL や ドキュメント指向データベース (MongoDB、Couch DB など) との通信に使用されます。 JSON ベースのプログラミング インターフェースは、Facebook や Twitter などの有名なソーシャル ネットワーク でも使用されています。 ® Web Gateway では、McAfee Advanced Threat Defense (Advanced Threat Defense) が提供したスキャン レ ポートなどで JSON データを使用しています。外部ソースから取得し、Web Gateway で処理されたリストも JSON データ形式で記述されます。 JSON データ JSON データはオブジェクトとして使用できます。JSON オブジェクトは、文字列や数値など、同じまたは異なる通 常のデータ型を含むコンテナーです。 JSON オブジェクトの基本構造は次のようになります。 object:{"key": value, "key": value, ...} 例: Employee:{"First name":"Joe", "Last name":"Miller", "Age":32} JSON 要素の値は、文字列、数値、ブール値、NULL のいずれかのデータになります。 JSON オブジェクトに配列が含まれている場合もあります。 object:{"key": value, "key": value, array:[value, value, ...]} 例: Employee:{"First name":"Joe", McAfee Web Gateway 7.6.0 "Last Name":"Miller", "Children":[Ian, Lisa]} 製品ガイド 231 7 リスト JavaScript Object Notation データ 本来の JavaScript Object Notation では、階層データ構造の最上位でオブジェクトと配列以外は使用できません。 Web Gateway でサポートするときに、単純な要素も最上位で使用できるようになりました。 JSON オブジェクトが他の JSON オブジェクトに埋め込まれている場合もあります。 JSON データを処理するプロパティの使用 Web Gateway で JSON データの読み取り、変更、作成を行うために、いくつかのプロパティを使用することがで きます。 たとえば、JSON.FromString プロパティを使用すると、文字列から JSON 要素を作成できます。この文字列は、 プロパティのパラメーターとして指定します。JSON.FromString("Miller") は、"Miller" という文字列を JSON 要素の値として渡します。 JSON オブジェクトの作成には JSON.CreateObject プロパティを使用します。初期状態では、このオブジェクト は空です。オブジェクト内に JSON 要素を格納するには、両方の項目に名前を付けて指定する必要があります。 オブジェクト名はユーザー定義のプロパティで設定します。 たとえば、User-Defined.myjsonemployee という名前でユーザー定義のプロパティを作成して、ルール内の イベントを使用し、JSON.CreateObject プロパティの値を渡すことができます。 名前 ユーザー定義のプロパティとして JSON オブジェクトを作成する 条件 Always アクション –> Continue イベント – Set User-Defined.myjsonemployee = JSON.CreateObject 空の JSON オブジェクト User-Defined.myjsonemployee に値を挿入するには、JSON.StoreByName プ ロパティを使用します。このプロパティでは、パラメーターとしてオブジェクト名、要素キー、要素の値を指定しま す。 たとえば、以下の例では、"Last name" というキーと "Miller" という値を持つ要素をオブジェクトに保存していま す。 JSON.StoreByName(User-Defined.myjsonemployee, "Last name", JSON.FromString("Miller")) オブジェクトに要素を保存する場合、より簡単な方法で保存することもできます。 • JSON.StoreByName プロパティを使用する前に、オブジェクトを作成する必要はありません。 プロパティのパラメーターとしてオブジェクト名を指定したときに、オブジェクトが存在しないと、指定した名 前でオブジェクトが作成されます。 • 要素値を取得するために、JSON.FromString プロパティを使用する必要はありません。 文字列を直接指定して、この値を作成できます。JSON 要素の値に格納できる他のデータ型も同様の方法で作成 できます。 以下の方法でもオブジェクトに要素が保存されます。 JSON.StoreByName(User-Defined.myjsonemployee, "Last name", "Miller")) JSON プロパティのグループ 同じ種類のデータの処理を行うという点で、多くの JSON プロパティは他のプロパティと類似しています。 JSON.FromString などの JSON.From<x> プロパティは、単純なデータ型を値に持つ JSON 要素を渡します。こ のデータ型の値は、JSON プロパティのパラメーターとして指定されます。 232 McAfee Web Gateway 7.6.0 製品ガイド 7 リスト JavaScript Object Notation データ 以下では、JSON プロパティの中で重要なグループについて説明します。 • JSON.From<x> = 単純なデータ型の値を持つ JSON 要素を渡します。 プロパティ: JSON.FromString、JSON.FromNumber、JSON.FromBool、JSON.FromStringList、 JSON.FromNumberList • JSON.As<x> = JSON 要素の値を単純なデータ型で渡します。 このグループのプロパティは、JSON.From<x> プロパティとは逆の処理を行う場合に使用されます。 これらのプロパティを使用するには、JSON 要素の形式が単純なデータ型と一致している必要があります。 たとえば、JSON.AsString プロパティは、JSON 要素の値が (JSON) 文字列の場合にのみ文字列を渡します。 プロパティ: JSON.AsString、JSON.AsNumber、JSON.AsBool • JSON.Create<x> = JSON オブジェクト、配列、要素値 0 を作成します。 プロパティ: JSON.CreateObject、JSON.CreateArray、JSON.CreateNull • JSON.Get<x> = オブジェクト内または要素のデータ型から JSON 要素を生成します。 JSON.GetByName は JSON オブジェクトでキーに一致する要素を取得します。 JSON.GetAt は JSON 配列内の位置に一致する要素を取得します。 JSON.GetType は要素のタイプを取得します。 フィルタリング ルールでの JSON プロパティの使用 JSON.ToString プロパティは、JSON 要素の値を文字列形式に変換します。 たとえば、このプロパティは、特定のクライアントの IP アドレスをホワイトリストに追加する単純なリストで使用 できます。 このルールでは、特定のクライアント IP アドレスをホワイトリストに追加するクライアント IP アドレスと比較し、 両方のアドレスが一致するかどうか確認します。 名前 JSON 要素値で提供されたクライアント IP アドレスを許可する 条件 アクション Client.IP equals String.ToIP(JSON.ToString(User-Defined.myjsonipaddress)) –> StopCycle ホワイトリストに追加するクライアント IP アドレスは、ユーザー定義プロパティの User-Defined.myjsonipaddress の値で渡します。 JSON.ToString プロパティは、この値を文字列形式に変換します。String.ToIP プロパティは、この文字列を IP ア ドレスに変換し、ルールの先頭にある Client.IP プロパティに指定された値と一致するかどうか比較します。 UserDefined.myjsonipaddress プロパティを同じルールで使用するには、このプロパティを JSON データ形式で 作成し、ホワイトリストに追加するアドレスを値として設定する必要があります。 値を確認するには、次のように同じルールで別のイベントを使用します。 名前 JSON タイプのユーザー定義プロパティの値をクライアント IP アドレスに設定する 条件 アクション McAfee Web Gateway 7.6.0 イベント 製品ガイド 233 7 リスト JavaScript Object Notation データ Always –> Continue – Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34") ルール イベントの JSON.FromString プロパティが、プロパティ パラメーターで文字列として指定されたクライア ント IP アドレスを JSON 要素の値に変換します。 Advanced Threat Defense レポートからの JSON データの取得 Web Gateway で Advanced Threat Defense がルールによって呼び出され、Web オブジェクトをスキャンする と、スキャン結果が Antimalware.MATD.Report プロパティの値として保存されます。 この結果は文字列として提供されますが、この文字列には JSON スタイルで配列の要素となる項目が含まれていま す。この項目は、JSON.ReadFromString プロパティを使用すると、JSON 要素に変換できます。このプロパティ は、AntiMalware.MATD.Report プロパティをパラメーターとして使用します。 JSON 要素は、ユーザー定義プロパティの値として設定できます。 これらのプロパティを使用するルールは次のようになります。 名前 JSON タイプのユーザー定義プロパティの値を Advanced Threat Defense レポートに設定する 条件 アクション Always –> Continue イベント – Set User-Defined.myjsonmatdreport = JSON.ReadFromString (Antimalware.MATD.Report) たとえば、JSON.GetByName プロパティを使用して結果のデータを取得し、ログ ファイルに書き込むことができ ます。 名前 Advanced Threat Defense レポートから取得した JSON データをログ ファイルに書き込む 条件 アクショ ン イベント Always – Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport, > "Summary")<AdvancedThreat DefenseLog> このルールのイベントで、"Summary" は、スキャン結果のデータを値として持つ JSON 要素のキーになります。 このキーと値は、JSON オブジェクトの Antimalware.MATD.Report プロパティの値として保存されます。 JSON オブジェクトの構造は次のようになります。 いくつかの埋め込みオブジェクトが存在します。要素キーは、レポートで実際に使用されているものですが、値はサ ンプルです。 Report:{"Summary":{"Selectors":[{"Engine":"GAM engine", "MalwareName":"EICAR test file", "Severity":"5" }], "Verdict":{"Severity":"5", "Description":"Subject is malicious" }, "Stats": [{"ID":"0", "Category":"Persistence, Installation Boot Survival", "Severity":"5" }] } JSON データ形式での外部リストの取得 外部ソースから取得したリストで JSON データを処理するには、Ext.Lists.JSON プロパティを使用します。外部 リストを取得すると、リストのコンテンツは JSON 要素になり、このプロパティに値が保存されます。 他の外部リスト プロパティと同様に、Ext.Lists.JSON は文字列形式の 3 つのパラメーターを使用し、外部ソース の識別に使用します。 234 McAfee Web Gateway 7.6.0 製品ガイド 8 設定 設定は、Web Gateway でモジュール (エンジン)、ルール アクション、システム機能を設定する場合に使用されま す。 設定名はユーザー インターフェースの様々な場所で表示されます。たとえば、ルールの条件、アクション、イベント の他、[設定] タブや [アプライアンス] タブにも表示されます。 設定名をクリックすると、パラメーターと値にアクセスし、設定を行うことができます。 アプライアンスの初期セットアップでは、アクション設定のルール セットとアプライアンスの設定が実装されます。 ルール セット ライブラリからルール セットをインポートすると、追加モジュールとアクション設定が実装されま す。 最初に実装またはインポートされた設定を確認し、変更することができます。モジュールとアクション設定を完全に 削除し、独自のモジュールとアクション設定を作成することもできます。 目次 設定のタイプ 設定タブ アクセスの設定 アクションおよびモジュール設定の作成 設定のタイプ 異なる種類の設定がルールの処理やアプライアンスのその他の機能と共に使用されます。 • モジュール設定 — プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジ ュール (エンジンとも呼ばれる) の設定 • アクション設定 — ルールで実行されるアクションの設定 • システム設定 — アプライアンスのシステム設定 モジュール設定 モジュールの設定では、プロパティの値を設定したり、他のジョブを実行するためにルールが呼び出すモジュール (エンジンともいいます) の設定を行います。 たとえば、URL フィルター モジュールは、フィルタリング ルールの URL.Categories プロパティの値を配布するた めに URL カテゴリーの情報を取得します。 ルールでは、ルールにより呼び出されるモジュールの設定名がルール プロパティの隣に表示されます。たとえば、ウ イルスとマルウェア フィルタリングのルールでは、Gateway Antimalware を Antimalware.Infected の隣 に設定名として表示できます。 McAfee Web Gateway 7.6.0 製品ガイド 235 8 設定 設定のタイプ このことは、マルウェア対策モジュールが呼び出され、値 true または false がプロパティに対して配布されると、 モジュールは Gateway Antimalware 設定で実行されます。たとえば、この設定により、感染について Web オ ブジェクトをスキャンする際にどの方法を使用するかが決定します。 これらのルールのモジュール設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。 これらの設定を変更でき、新しい設定を作成することもできます。 アクションの設定 アクションの設定は、ルールにより実行されるアクションに対する設定です。 これらは主に、ブロックや認証などのルール アクションの影響を受けるユーザーに送信されるメッセージを指定する ために構成されます。ユーザーに影響を与えないアクション、たとえば「ルール セットの続行」や「停止」には設定 がありません。 これらのルールの設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。 これらの設定を変更でき、新しい設定を作成することもできます。 システム設定 システム設定は、アプライアンス システムの設定、たとえば、ネットワーク インターフェースの設定またはドメイ ン名サーバーの設定です。 これらの設定は、[構成]最上位メニューの[アプライアンス]タブでアクセスすることができます。 これらの設定を変更できますが、、新しい設定を作成することはできません。 236 McAfee Web Gateway 7.6.0 製品ガイド 設定 設定タブ 8 設定タブ [設定] タブで、アクションとモジュール (エンジン) の設定を行います。 図 8-1 設定タブ [設定] タブの主要要素 以下の表で、[設定]タブの主要な要素について説明します。 表 8-1 [設定] タブの主要要素 要素 説明 設定ツールバー アクションとモジュール (エンジン) を設定するコントロール 設定ツリー アクションとモジュール (エンジン) を表示するツリー構造 設定 現在選択されているアクションまたはモジュール (エンジン) のパラメーターと値 設定ツールバー 設定ツールバーでは、次のオプションが提供されています。 表 8-2 設定ツールバー オプション 定義 [追加 ] 設定を作成するための[設定の追加]ウィンドウが表示されます。 [編集] 既存の設定を編集するための[設定の編集]ウィンドウを開きます McAfee Web Gateway 7.6.0 製品ガイド 237 8 設定 アクセスの設定 表 8-2 設定ツールバー (続き) オプション 定義 [削除] 選択した設定を削除します。 削除を確認するためのウィンドウが開きます。 [すべて展開] 設定ツリーで折りたたまれているすべての項目を展開します [すべて折りたたむ] 設定ツリーで展開されているすべての項目を折りたたみます アクセスの設定 [設定]タブの設定にアクセスするか、ルールの設定名をクリックできます。システム設定にアクセスするため、[構 成]トップレベル メニューの[アプライアンス] タブで作業する必要があります。 タスク • 238 ページの「設定タブのアクションおよびモジュール設定にアクセスする」 [設定]タブを使用して、アクションとモジュールの設定にアクセスします。 • 238 ページの「ルールのアクションおよびモジュール設定へのアクセス」 ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスでき ます。 • 239 ページの「システム設定へのアクセス」 [構成]トップレベル メニューを使用して、システム設定にアクセスできます。 設定タブのアクションおよびモジュール設定にアクセスする [設定]タブを使用して、アクションとモジュールの設定にアクセスします。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[アクション] または [エンジン] ブランチに移動し、作業する設定にアクセスします。 3 この設定を選択するには、次のいずれかを実行します。 • [アクション] ブランチで、アクションをクリックして展開し、アクセスするアクションを選択します。 • [エンジン] ブランチで、モジュール(エンジンとも呼ばれている)をクリックして展開し、アクセスするモジ ュールを選択します。 パラメーターおよび設定の値が設定パネルに表示されます。 この設定で作業できます。 ルールのアクションおよびモジュール設定へのアクセス ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスできます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、アクセスする設定のルールを含むルール セットを選択します。 このルール セットのルールは設定パネルに表示されます。 3 238 [詳細を表示]が選択されていることを確認します。 McAfee Web Gateway 7.6.0 製品ガイド 設定 アクションおよびモジュール設定の作成 4 8 アクセスする設定のルールで、設定名をクリックします。 • モジュール設定にアクセスするルール条件で • アクション設定にアクセスするルール アクションで [設定を編集]ウィンドウが選択した設定とともに開きます。 この設定で作業できます。 システム設定へのアクセス [構成]トップレベル メニューを使用して、システム設定にアクセスできます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、設定名をクリックします。 パラメーターおよび設定の値が設定パネルに表示されます。 この設定で作業できます。 アクションおよびモジュール設定の作成 モジュールとアクションの設定を作成できます。 これらの設定を作成する場合、完全に新しいものを作成するのではなく、新しい名前を付けて必要に応じて変更する 既存の設定を使用します。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 新しい設定で使用する項目を選択するには、次のいずれかの方法で行います。 • 設定ツリーで、これらの設定を選択し、[追加]をクリックします。 選択された設定のパラメーターと値とともに、[設定の追加]ウィンドウが開きます。 • [追加]をクリックします。 [設定の追加]ウィンドウが開きます。 ウィンドウの[設定]ペインから設定を選択します。 これらの設定のパラメーターおよび値が設定パネルに表示されます。 3 [名前]フィールドで、新しい設定名を入力します。 4 (オプション) [コメント] フィールドで、設定の平文コメントを入力します。 5 必要に応じて、既存の値を変更します。 6 (オプション) [権限] タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。 7 [OK]をクリックします。 ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。 8 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 239 8 設定 アクションおよびモジュール設定の作成 240 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 アプライアンスでユーザーの「フィルタリング」ができます。つまり、認証できるユーザーのみに Web アクセスを 許可することが可能という意味です。 認証はデフォルトによ実施されませんが、事前定義された認証セットが存在し、それを使用することができます。 施行できる認証のタイプには、以下のものがあります。 • 標準認証 — HTTP、HTTPS、または FTP などの標準プロトコルの下で、Web アクセスに対してリクエストを送 信するユーザーの認証を構成できます。 デフォルト ルール セット システムの認証ルール セットが有効なときに、ユーザー情報はデフォルトで、内部ユ ーザー データベースから取得されます。 この設定を変更して、NTLM、LDAP、Kerberos、およびその他など、別の方法を設定できます。 • インスタント メッセージング認証 — Yahoo、Windows Live Messenger、ICQ、その他などのインスタント メ ッセージング プロトコルの下で、Web アクセスに対してリクエストを送信するユーザーの認証を構成できます。 管理者アカウントとロールをセットアップし、維持することにより、アプライアンスへの管理者アクセスを制御する こともできます。 目次 ユーザーの認証 LDAP ダイジェスト認証 認証の構成 認証モジュールの構成 認証設定 異なる認証方法の実装 認証を構成するためのシステム設定の使用 ベスト プラクティス - 配備タイプに合わせた認証の設定 ベスト プラクティス - LDAP 認証の設定 インスタント メッセージング認証 ワンタイム パスワード クライアント証明書認証 管理者アカウント McAfee Web Gateway 7.6.0 製品ガイド 241 9 認証 ユーザーの認証 ユーザーの認証 ネットワーク上のユーザーを認証することにより、正しく認証されていないユーザーの Web アクセスを防ぐことが できます。認証プロセスでは、ユーザーの情報を探します。たとえば、内部データベースや Web サーバーで、アク セスをブロックまたは許可します。 このプロセスでは、機能の異なる複数の要素が実行されます。 • 認証ルールがプロセスを制御します。 • ルールが呼び出した認証モジュールは、データベースからユーザーに関する情報を取得します。 初期セットアップ後、デフォルトでは、Web Gateway に認証プロセスが実装されません。このプロセスを実装する には、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリシーの要 件に従ってプロセスを変更します。 認証を設定する場合、次のルールを使用できます。 • ルールのキー要素 - 認証用のライブラリ ルール セットをインポートして、このセットをルール セッ ト ツリーでクリックすると、認証プロセス ルールのキー要素を表示し、設定することができます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、認証プロセスのルール をすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルールの削除 を行うことができます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 認証ルール 認証ルールには通常、認証に失敗したユーザーからの要求を認証してブロックするようなルールが用意されています。 これにより、認証前のユーザーに質問を行うことができます。 また、ホワイトリスト ルールを使用すると、要求を送信したユーザーの認証をスキップすることもできます。この操 作が可能かどうかは、要求の送信者または送信元の IP アドレスによって変わります。 異なる認証方法 (IM、Cookie 認証) のルールが存在するルール セットは、ルール セット ライブラリで使用できま す。 認証モジュール 認証モジュールは、認証 (エンジン) ともいわれます。データベースからユーザーに関する情報を取得します。ルー ルが呼び出したモジュールの場合、ユーザーが Web オブジェクトへのアクセス要求を行うには、ユーザーが認証を 受けている必要があります。 この情報を取得するために、異なる方法が使用されます。 • [NTLM] -Windows ドメイン サーバー上のデータベースを使用します。 • [NTLM Agent] - NTLM 認証方法を適用するために、Windows ベースのシステムの外部エージェントを使用し ます。 • [ユーザー データベース] - アプライアンス上の内部データベースを使用します。 デフォルトのルール セットが有効になると、このアクセス方法がデフォルトで使用されます。 • 242 [LDAP] - LDAP ドメイン サーバー上のデータベースを使用します。 McAfee Web Gateway 7.6.0 製品ガイド 認証 LDAP ダイジェスト認証 9 • [Novell eDirectory] - LDAP サーバーのロールを担うサーバー上のディレクトリからデータを取得し、使用し ます。 • [RADIUS] - RADIUS サーバー上のデータベースを使用します。 • [Kerberos] - Kerberos サーバー上のデータベースを使用します。 • [認証サーバー] - 別の外部サーバーでデータベースを使用します。 認証情報を指定して認証プロセスの他のパラメーターを設定する場合、認証モジュールを設定できます。 LDAP ダイジェスト認証 [LDAP] 認証方法をベースにする LDAP ダイジェスト認証は、認証プロセスの両側 (Web Gateway クライアントの ブラウザーから Web アクセスを要求するユーザーと Web Gateway) で認識されている共有秘密鍵を使用します。 Web Gateway は、自身のプロキシ機能で要求を受信して認証を有効にし、設定済みの Web セキュリティ ポリシー に従ってフィルタリングを実行します。 基本認証などの簡単な認証方法とは異なり、ブラウザーから Web Gateway にパスワードが直接送信されることは ありません。パスワードは、認証プロセスの両側が認識している共有秘密鍵の一部に組み込まれています。 ハッシュ値は、共有秘密鍵とクライアント側の追加パラメーターで計算され、Web Gateway に転送されます。ここ で、共有秘密鍵を使用してハッシュ値を再計算し、結果が一致しているかどうかを確認します。一致している場合、 ユーザーが認証されます。 クライアントから Web Gateway に転送されるハッシュ値はダイジェストとともいいます。Web Gateway は、ハ ッシュの再計算に必要な共有秘密鍵を LDAP サーバーから取得します。 LDAP ダイジェスト認証に必要なハッシュ値の計算 Web Gateway との認証プロセスで LDAP ダイジェスト認証を実行すると、ハッシュの計算に MD5 が使用されま す。 クライアントがハッシュを送信する前に、Web Gateway がいわゆる Nonce (number only once) を含む認証要 求をクライアントに送信します。この番号は Web Gateway でランダムに生成される番号で、ハッシュの再計算で 使用される共有秘密鍵以外に使用されるパラメーターの 1 つになります。 ハッシュ計算に使用されるパラメーターは次のとおりです。 • ユーザー名 (共有秘密鍵の一部) • Nonce • 領域名 (共有秘密鍵の一部) • クライアントから送信された HTTP 要求 • パスワード (共有秘密鍵の一部) • 要求された宛先の URL Web Gateway での LDAP ダイジェスト認証の設定 Web Gateway で LDAP ダイジェスト認証を行うには、次の条件を満たしている必要があります。 • LDAP 認証が、Web Gateway の全般的な認証方法として設定されている必要があります。 • これらの設定は、Web Gateway の共通プロキシ設定で行います。この名前が共有秘密鍵に含まれている必要が あります。 McAfee Web Gateway 7.6.0 製品ガイド 243 9 認証 認証の構成 • LDAP ダイジェスト認証では次のパラメーターを設定する必要があります。 • LDAP ダイジェスト認証の有効化 • LDAP サーバーで認証ハッシュを保存する属性の名前 • Nonce が使用できる最大回数 • Nonce が使用できる最長時間 また、次のことが可能です。 • 現在の設定で認証方法として LDAP ダイジェスト認証だけを許可する 他の認証設定を行うときに、他の認証方法も許可することができます (たとえば、[ユーザー データベース] と基 本認証)。 • クライアントがハッシュ計算用のパラメーターとして URL に検査を実行する URL は、このクライアントが Web 上の特定の宛先に対して送信したアクセス要求の URL と同じでなければなり ません。URL が違う場合、同じハッシュ値でダイジェスト認証に成功した後で、要求していない宛先に対するア クセスが許可される可能性があります。この場合、URL が異なる検査の結果であるため、要求がブロックされま す。 クライアントでこの情報を送信するブラウザーが別の URL 形式を使用しているため、2 つの URL が実際には同 じものであっても検査に失敗する可能性があります。したがって、URL の検査はオプションです。 共有秘密鍵の領域名は [Common Authentication Parameters] に保存されます。[認証] の先頭にある各認証方 法で使用できます。 LDAP ダイジェスト認証のパラメーターは、[認証] モジュール (またはエンジン) の設定段階で Web Gateway に設 定されます。 これらの設定の最初で全般的な認証方法として LDAP を選択すると、LDAP 固有のパラメーターの後に [Digest Authentication] という名前が表示されます。 関連トピック: 245 ページの「認証設定」 認証の構成 認証を実行し、ネットワークの要件に合わせることができます。 以下の高レベル手順を完了します。 タスク 1 デフォルト ルール セット システムの認証と許可ルール セットを有効にします。 2 「ユーザー データベースで認証」ネスト ルール セットを確認する このルール セットは、認証されていないユーザーを認証するための単一のルールを含んでいます。 ルール条件は、認証モジュールの設定を含んでおり、ユーザー データベース認証の使用方法を指定します。これ は、ユーザーの認証情報が、アプライアンスの内部情報から取得されるということです。 3 244 必要に応じて、デフォルトのルール セットを変更します。 McAfee Web Gateway 7.6.0 製品ガイド 認証 認証モジュールの構成 9 たとえば、次の変更を行います。 • 認証モジュールの共通パラメーターを変更します • ユーザー データベース方法の特定パラメーターを変更します • NTLM または LDAP など、異なる認証方法を実行します • 新しい認証方法の特定パラメーターを変更します 4 インスタント メッセージ認証など、ライブラリからルール セットをインポートし、通信の異なるタイプに認証を 検討します。 5 変更を保存します。 認証モジュールの構成 認証モジュールを構成し、ユーザー情報を取得してユーザーを認証する方法を変更できます。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、認証のためにルール セットを選択します。 デフォルトのルール セット システムでは、これは認証と許可ルール セットです。 3 ユーザー認証を制御するルールを選択して、ルール条件に指定された設定をクリックします。 たとえば、ルール セット システムのルール セットでは、[ユーザー データベースで認証] ルール セットに [ユー ザー データベースで認証] ルールがネストされ、設定名が [ユーザー データベース] になっています。 [設定の編集] ウィンドウが開きます。認証モジュールの設定が表示されます。 4 必要に応じて、これらの設定を構成します。 5 [OK]をクリックしてウィンドウを閉じます。 6 [変更の保存]をクリックします。 関連トピック: 245 ページの「認証設定」 認証設定 認証設定では、認証プロセスでユーザーに関する情報を確認するときに認証モジュールが使用する方法を設定します。 認証方法 認証方法を選択するための設定 McAfee Web Gateway 7.6.0 製品ガイド 245 9 認証 認証設定 表 9-1 認証方法 オプション 定義 [認証方法] 認証方式を選択するためのリストを提供します。 以下のいずれかを選択します。 • NTLM • NTLM-Agent • ユーザー データベース • LDAP セキュリティで保護された LDAP (LDAPS) を設定するには、LDAP バージョン 3 が必要 です。 このバージョンは、[LDAP 固有のパラメーター] で選択できます。このオプションはデフ ォルトで選択されています。 • RADIUS • Kerberos • SSL クライアント証明書 • 認証サーバー • ワンタイム パスワード • SWPS (McAfee Client Proxy) ® 方法を選択した後、指定した設定が共通設定の下に表示されます。 認証テスト 特定の認証情報のあるユーザーが、認証されるかどうかをテストするための設定 表 9-2 認証テスト オプション 定義 [ユーザー] テストされるユーザー名を指定します。 [パスワード] テストされるパスワードを指定します。 [認証ユーザー] テストの実行。 [テスト結果 ] テストの結果を指定します。 共通認証パラメーター すべての認証方法で共通の設定 すべての認証方法に共通の詳細設定もあります。これらの設定については、認証方法固有のパラメーターを説明した後 で説明します。 表 9-3 共通認証パラメーター オプション 定義 [プロキシ領域] 認証を要求されたユーザーから、要求を受信するプロキシの場所を指定します。 [認証試行タイムアウト] 認証が正常に完了しない場合に、認証プロセスが停止する前に経過する時間 (秒) を指定 値に制限します。 246 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 認証設定 表 9-3 共通認証パラメーター (続き) オプション 定義 [認証キャッシュの使用] 選択されると、認証情報がキャッシュに保存されます。 すると認証は、認証サーバーまたは内部ユーザー データベースから取得した情報ではな く、保存されている情報に基づくようになります。 [認証キャッシュ TTL] 認証情報がキャッシュに保存される時間 (秒) を指定値に制限します。 NTLM 固有のパラメーター NTLM 認証方式の設定 表 9-4 NTLM 固有のパラメーター オプション 定義 [デフォルト NTLM ドメイ 認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定し ン] ます。 これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン の 1 つです。 [グローバル グループを取 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が検 得する] 索されます。 [ローカル グループを取得 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検索 する] されます。 [グループ名の前にドメイ ン名を付ける (domain \group)] 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、 Windows ドメインの名前がユーザー グループの名前の前に表示されます。 [基本認証を有効にする] 選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。 すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で Windows ドメイン サーバーに送信されます。 [統合認証を有効にする] 選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。 すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送 信される前に暗号化されます。 [NTLM キャッシュを有効 にする] 選択されると、認証情報がこのキャッシュに保存されます。 [NTLM キャッシュ TTL] 認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、 ISO-8859-1 などを指定します。 すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存 されている情報に基づくようになります。 NTLM-Agent 固有のパラメーター NTLM-Agent 認証方法の設定 表 9-5 NTLM-Agent 固有のパラメーター オプション 定義 [安全なエージェント接続を 選択されると、NTML エーエンとと通信するために使用される接続は、SSL セキュ 使用する] ア通信です。 [認証接続のタイムアウト (秒)] McAfee Web Gateway 7.6.0 アクティビティが発生しない場合に、NTLM Agent への接続が閉じる前に経過する 時間 (秒) を指定値に制限します。 製品ガイド 247 9 認証 認証設定 表 9-5 NTLM-Agent 固有のパラメーター (続き) オプション 定義 [エージェントの定義] NTLM 認証の実行に関連するエージェントを入力するためのリストを提供します。 [デフォルト NTLM ドメイ ン] 認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定 します。 これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイ ンの 1 つです。 [グローバル グループを取 得する] 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が 検索されます。 [ローカル グループを取得 する] 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検 索されます。 [グループ名の前にドメイン 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、 名を付ける (domain Windows ドメインの名前がユーザー グループの名前の前に表示されます。 \group) ] [基本認証を有効にする] 選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。 すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で Windows ドメイン サーバーに送信されます。 [統合認証を有効にする] 選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。 すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送 信される前に暗号化されます。 [NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。 する] すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存 されている情報に基づくようになります。 [NTLM キャッシュ TTL] 認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、 ISO-8859-1 などを指定します。 ユーザー データベース固有のパラメーター ユーザー データベース認証方法の設定 表 9-6 ユーザー データベース固有のパラメーター オプション 定義 [クライアントにドメイン 選択されると、アプライアンスおよびそれが割り当てられたドメインの名前は、要求を 名とマシン名を送信する] 送信した認証されるユーザーであるクライアントに送信されます。 [基本認証を有効にする] 選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。 すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で Windows ドメイン サーバーに送信されます。 [統合認証を有効にする] 選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。 すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送信 される前に暗号化されます。 [NTLM キャッシュを有効 選択されると、認証情報がこのキャッシュに保存されます。 にする] すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存さ れている情報に基づくようになります。 248 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 認証設定 表 9-6 ユーザー データベース固有のパラメーター (続き) オプション 定義 [NTLM キャッシュ TTL] 認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、 ISO-8859-1 などを指定します。 LDAP 固有のパラメーター LDAP 認証方法の設定 表 9-7 LDAP 固有のパラメーター オプション 定義 [接続する LDAP サーバ ー] 認証サーバーが取得された LDAP サーバーを入力するためのリストを提供します。 [証明機関のリスト] Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、証明書 を発行する証明機関を入力するためのリストを提供します。 [認証情報] LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定します。 [パスワード] ユーザー名のパスワードを設定します。 [設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウを開き ます。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、 ISO-8859-1 などを指定します。 [LDAP バージョン 3 を有 選択すると、LDAP プロトコルのバージョン 3 が使用されます。 効にする ] セキュリティで保護された LDAP 認証 (LDAPS) を設定するには、このバージョンの LDAP を使用する必要があります。 デフォルトでは、このバージョンが選択されています。 [LDAP ライブラリに参照 に従うことを許可する] これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバーにリ ダイレクトされます。 [接続がライブか確認] LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時間 (分) を指定値に制限します。 [LDAP 動作のタイムアウ ト] 通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間 (秒) を 指定値に制限します。 [ユーザー オブジェクトの ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し 基本の識別名] ます。 [ユーザー名を DN にマッ 選択されると、認証するユーザー名は DN へマップする必要があります (識別名)。 ピングする] この名前は、LDAP サーバーのディレクトリにあるユーザーを識別します [ユーザー オブジェクトを ユーザー属性の参照を制限するためにフィルタリング用語を指定します。 検索するための表現をフ ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用され ィルタリングする] ます。 [ユーザー属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバーで参 照されます。 [取得するユーザー属性] LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリストを提供 します。 [属性結合文字列] 参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (スラッ シュ) などを指定します。 McAfee Web Gateway 7.6.0 製品ガイド 249 9 認証 認証設定 表 9-7 LDAP 固有のパラメーター (続き) オプション 定義 [グループ属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP サー バーで参照されます。 [グループ オブジェクトの グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し 基本の識別名] ます。 [グループ オブジェクトを グループ属性の参照を制限するためにフィルタリング用語を指定します。 検索するための表現をフ ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用さ ィルタリングする ] れます。 [取得するユーザー属性] LDAP サーバーから取得する必要のあるグループ属性を入力するためのリストを提供 します。 ダイジェスト認証 LDAP ダイジェスト認証の設定 表 9-8 ダイジェスト認証 オプション 定義 [ダイジェスト認証を有効 にする] 選択すると、LDAP 認証でのユーザー認証の方法としてダイジェスト認証が実行されま す。 [パスワード ハッシュ付き LDAP サーバーで認証ハッシュ値を保存しているユーザー属性を指定します。 のユーザー属性] [Nonce の最大使用数] 認証プロセス中に転送され、認証ハッシュの計算でパラメーターとして必要になる Nonce (number only once) の使用回数に制限を設定します。 デフォルトの最大使用回数は 100 回です。 [Nonce の最大 TTL] Nonce の有効期間を分単位で制限します。 デフォルトの最大有効期間は 30 分です。 [ダイジェスト URI 検査 を有効にする] 選択すると、認証ハッシュを計算するパラメーターとしてクライアントが送信した URL と、このクライアントが Web の特定の宛先に対するアクセス要求で使用した URL が一致しているかどうか検査されます。 検査に失敗すると、要求がブロックされます。 URL を送信するクライアント ブラウザーが使用する形式が原因で検査に失敗する可能 性があるため、この設定はオプションです。 この検査は、デフォルトで有効になっています。 [ダイジェスト認証のみを 許可する] 選択すると、LDAP でユーザーの認証を行うときにダイジェスト認証が常に実行されま す。 Novell eDirectory 固有のパラメーター Novell eDirectory 認証方法の設定 表 9-9 Novell eDirectory 固有のパラメーター 250 オプション 定義 [接続する LDAP サーバー] 認証情報を提供するために LDAP サーバーのロールを担う eDirectory サーバ ーを入力するためのリストを提供します。 [証明機関のリスト] Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、 証明書を発行する証明機関を入力するためのリストを提供します。 McAfee Web Gateway 7.6.0 製品ガイド 認証 認証設定 9 表 9-9 Novell eDirectory 固有のパラメーター (続き) オプション 定義 [認証情報] LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定しま す。 [パスワード] ユーザー名のパスワードを設定します。 [設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウ を開きます。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえ ば、ISO-8859-1 などを指定します。 [LDAP バージョン 3 を有効にす これが選択されると、LDAP プロトコルのバージョン 3 が使用されます る] [LDAP ライブラリに参照に従う ことを許可する] これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバ ーにリダイレクトされます。 [接続がライブか確認] LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時 間 (分) を指定値に制限します。 [LDAP 動作のタイムアウト] 通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間 (秒) を指定値に制限します。 [eDirectory ネットワーク アド レス属性] eDirectory サーバーで使用されているネットワーク アドレスを提供する属性 の名前を指定します。 [eDirectory ネットワーク ログ イン時間属性] eDirectory サーバーで使用されているログオン時間を提供する属性の名前を指 定します。 [eDirectory ネットワーク最小 更新間隔] eDirectory サーバーからの情報が更新される前の閉じるまでの時間 (秒) を指 定します。 [ユーザー オブジェクトの基本の ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を 識別名] 指定します。 [ユーザー名を DN にマッピング 選択されると、認証するユーザー名は DN へマップする必要があります (識別 する] 名)。この名前によって、LDAP サーバーのディレクトリ内のユーザーを識別し ます。 [ユーザー オブジェクトを検索す ユーザー属性の参照を制限するためにフィルタリング用語を指定します。 るための表現をフィルタリングす ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使 る] 用されます。 [ユーザー属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバ ーで参照されます。 [取得するユーザー属性] LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリスト を提供します。 [属性結合文字列] 参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (ス ラッシュ) などを指定します。 [グループ属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP サーバーで参照されます。 [グループ オブジェクトの基本の グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を 識別名] 指定します。 [グループ オブジェクトを検索す グループ属性の参照を制限するためにフィルタリング用語を指定します。 るための表現をフィルタリングす ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として る] 使用されます。 [取得するユーザー属性] McAfee Web Gateway 7.6.0 LDAP サーバーから取得する必要のあるグループ属性のリストを提供します。 製品ガイド 251 9 認証 認証設定 RADIUS 固有のパラメーター RADIUS 認証方法の設定 表 9-10 RADIUS 固有のパラメーター オプション 定義 [RADIUS サーバー定義] 認証サーバーが取得された RADIUS サーバーを入力するためのリストを提供します。 [デフォルトのドメイン 名] 他のドメインが指定されていない場合に情報を取得するドメインの名前を指定します。 [共有秘密キー] RADIUS サーバーへのアクセスを取得するためにアプライアンスに使用されるパスワ ードを設定します。 [Radius 接続のタイムア ウト (秒)] トラフィックが発生しない場合に、RADIUS サーバーへの接続が閉じる前に経過する時 間 (秒) を指定値に制限します。 [国際文字のサポート] クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、 ISO-8859-1 などを指定します。 [コードを含む属性の値] RFC 2865 に従って、ユーザー グループ情報とともに取得される属性のコード値を設 定します。 たとえば、「クラス」属性のコードは 25 です。 [ベンダー ID のあるベン ユーザー グループ情報の検索においてベンダー関連のデータ取得に必要なベンダー ID ダー固有の属性] を設定します。 RFC 2865 によると、ベンダー ID はベンダー属性の一部であり、それに多数のサブ属 性が続きます。そのコード値は 26 です。 [ベンダーのサブ属性タイ RFC 2865 によると、ベンダー属性に含まれるサブ属性のタイプのコード値を設定しま プ] す。 すべてのベンダーはこの構造に従っていないので、ここで 0 の値を指定することをお勧 めします。これは認証モジュールがすべての入手可能なベンダー情報を取得することを 可能にします。 Kerberos 固有のバラメーター Kerberos 認証方法の設定 [設定] トップレベル メニューで [Kerberos 管理] システム設定を使用すると、この認証方法の詳細を設定できます。 表 9-11 Kerberos 固有のバラメーター オプション 定義 [チケットからグループ メンバーシッ プ ID を抽出する] Kerberos 認証のユーザー認証プロセスで使用されるチケットから情報を 取得し、ユーザーのグループを識別します。 このオプションを選択すると、次のオプションが使用可能になります。 [NTLM でグループ名を参照する] ユーザーのグループ名を NTLM 認証で取得します。 認証サーバー固有のパラメーター 認証サーバー方法の設定 252 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 認証設定 表 9-12 認証サーバー固有のパラメーター オプション 定義 [認証サーバー URL] この方法で認証情報を参照するために使用されるサーバーの URL を指定します。 [クライアント ID 必須] 選択すると、認証サーバーはユーザーが要求を送信したクライアントの ID を要求し ます。 [Cookie に認証結果を保存] これが選択されると、認証サーバーから取得した情報が cookie に保存されます。 Cookie 認証が実装されている場合は、ユーザーが 2 度も認証しなくても良いよう に、それぞれのユーザーが送信する次の要求に Cookie を追加します。 [サーバーに持続 Cookie を 許可する] 選択されている場合、Cookie を複数の要求を認証サーバーに送信するために持続し て使用できる [認証サーバーのための Cookie TTL (秒)] 要求とともにサーバーに送信される Cookie が保存される時間 (秒) を指定値に制 限します。 [Cookie プリフィックス] MWG_Auth のように、アプライアンスでクッキーに追加するプリフィックスを指 定します。 ワンタイム パスワード固有のパラメーター ワンタイム パスワード認証の設定 McAfee Web Gateway 7.6.0 製品ガイド 253 9 認証 認証設定 表 9-13 ワンタイム パスワード固有のパラメーター オプション 定義 [OTP サーバー] ワンタイム パスワードでユーザーを認証するときに Web Gateway が接続する OTP サ ーバーの IP アドレスとポート番号を指定します。 [SSL で接続して次の 証明書を信頼する] OTP サーバーとの通信を SSL セキュア接続で実行します。 このオプションを選択すると、次の 4 つのフィールドの情報がグレー表示でなくなり、[イ ンポート] ボタンが使用可能になります。 これらのフィールドには、OTP サーバーとの SSL セキュア通信で使用される証明書の詳 細が表示されます。 • [件名] - 証明書に関する全般的な情報が表示されます。 • [共通名 (CN)] - 証明書の共通名が表示されます。 デフォルトの名前は localhost です。 • [組織 (O)] - 証明書の組織が表示されます。 デフォルトの組織は OTP Server です。 • [組織単位 (OU)] - 証明書の組織単位が表示されます。 デフォルトでは、組織単位は設定されていません。 • [発行者] - 証明書の発行者に関する情報が表示されます。 • [共通名 (CN)] - 発行者の共通名が表示されます。 デフォルトの名前は localhost です。 • [組織 (O)] - 発行者の組織が表示されます。 デフォルトの組織は OTP Server です。 • [組織単位 (OU)] - サーバー証明書の組織単位が表示されます。 デフォルトでは、組織単位は設定されていません。 • [有効性] - 証明書の有効期間が表示されます。 • [開始] - 証明書の有効期間の開始日時が表示されます。 • [終了] - 証明書の有効期間の終了日時が表示されます。 • [延長] - 証明書の補足情報が表示されます。 • [コメント] — 証明書に関するコメントがテキスト形式で表示されます。 デフォルトでは、コメントはありません。 • [インポート] - 証明書をインポートするウィンドウが開きます。 [WS クライアント名] OTP サーバーに接続する Web Gateway のユーザー名が表示されます。 [WS クライアント パ スワード] OTP サーバーに接続する Web Gateway のパスワードが表示されます。 [OTP メッセージ] OTP サーバーから Web Gateway に送信されるメッセージのプレフィックスと区切り記 号が表示されます。 デフォルトでは、メッセージは次のようになります。 OTP for MWG:$$<OTP メッセージ>$$ McAfee Client Proxy SWPS (McAfee Client Proxy) 認証方法の設定 254 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 異なる認証方法の実装 表 9-14 McAfee Client Proxy オプション 定義 [顧客 ID] 顧客の識別子を指定します。 [共有パスワード] 顧客のパスワードを設定します。 [設定] をクリックすると、設定用のウィンドウが開きます。 [グループ名でドメインを維 持する] 選択すると、ユーザー グループの名前に含まれているドメイン情報が維持されま す。 このオプションはデフォルトで選択されています。 [認証に使用した顧客ヘッダ ーを削除する] 選択すると、認証で送信された情報からヘッダー情報が削除されます。 [MCP 認証情報を XML ファ イルにエクスポートする] SWPS (McAfee Client Proxy) 認証方法で送信された認証情報をエクスポートし ます。 このオプションはデフォルトで選択されています。 デフォルトでは、メッセージは次のようになります。 OTP for MWG:$$<OTP メッセージ>$$ 詳細パラメーター 高度な認証を構成する設定 この設定は、すべての認証方法で同じです。各認証方法については、このセクションの共通設定の後に詳 しい説明が記載されています。 表 9-15 詳細パラメーター オプション 定義 [常にプロパティ値 を評価する] 選択されると、プロパティへ値を割り当てる新しい評価は、このプロパティの処理を含むルー ルが毎回実行されます。 キャッシュにプロパティに対する値が保存された場合、使用されません。 通常キャッシュ値が使用され、パフォーマンスを向上させることを推奨する一方、プロパティ の新しい評価がっ必要な状況になる可能性があります。 これらの状況で、同じプロパティは認証ルール内かつ認証モジュールの同じ設定で、1 回以上 使用されます。新しい評価は、毎回ほとんどの現在値がプロパティに割り当てられていること を確認します。 異なる認証方法の実装 デフォルトのルール セットのユーザー データベース認証方式を使用したくない場合は、NTLM、LDAP、および他の 異なる認証方法を実装できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ユーザーを認証するためのルールを含むルール セット、たとえば、デフォルトの [Authentication and Authorize] のルール セットに移動して、ネストされた [Authenticate with User Database] ルール セットを選択します。 ネストされたルール セットのルールが設定パネルに表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 255 9 認証 認証を構成するためのシステム設定の使用 3 [Authenticate with User Database] のルールを選択し、ルールの条件で [ユーザー データベース]をクリック します。 [設定の編集]ウィンドウが開きます。 4 [認証方法]で提供されているリストから認証方法、たとえば、[NTLM]を選択します。 5 必要に応じて選択された方法の共通および特定のパラメーターを構成します。 6 [OK]をクリックしてウィンドウを閉じます。 7 [変更の保存]をクリックします。 認証方法の変更後は、それに応じて認証モジュールの設定、認証ルール、ネストされたルール セットの名前変更を適 切に行うことをお勧めします。 たとえば、NTLM を選択した後は、設定を NTLM に、およびルールとネストされたルール セットの両方を Authenticate with NTLM に名前を変更します。 認証モジュールでは、デフォルト設定の名前を変更する代わりに、異なる名前やパラメーターの値のあるさまざまな 設定を保持することもできます。 認証を構成するためのシステム設定の使用 一部の認証方法について、認証モジュールの設定ではなく、アプライアンス システムの設定を構成する必要がありま す。 これは、認証方法として NTLM を実装しているときに適用されます。この場合、Windows ドメインにアプライアン スを参加させ、システム設定で、Windows ドメイン メンバーシップ設定を構成する必要があります。 これはまた、Kerberos 認証モデルにも適用されます。これは、Kerberos 管理システム設定を使用して行われま す。 Kerberos 管理システムの設定 Kerberos 管理システムの設定は、Kerberos 認証方法の特別な設定です。 Kerberos 管理システム Kerberos 認証方法の設定 256 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 認証を構成するためのシステム設定の使用 表 9-16 Kerberos 管理システム オプション 定義 [キーのタブ ファイ ル] Kerberos サーバーにアクセスするのに必要なマスター キーを含むファイルを指定します。 ファイル名を入力するか、[参照]ボタンを使用してファイルを参照し、フィールドにその名 前を入力します。 Kerberos 方法に従って認証するためのチケットが発行されると、マスター キーがアプライ アンスに読み込まれ、チケットを検証するのに使用されます。 Web リクエストをアプライアンスにダイレクトする負荷分散装置が実行している場合、負荷 分散装置のためにチケットは発行され、アプライアンスで検証されます。その場合、リクエ ストがアプライアンスにダイレクトされるかどうかは確認されません。 [Kerberos 領域] 認証の目的のために構成されている管理ドメインを指定します。 Kerberos サーバーは、このドメインの境界内では、ホストからリクエストを提出するか、サ ービスを使用するユーザーを認証する権限があります。 領域名は大文字小文字を区別しますが、通常は大文字のみが使用され、領域名を関連する DNS ドメインと同じように表すことをお勧めします。 [アプライアンスと アプライアンスとそのクライアントのシステム時間に許容される最大時間差(秒)を指定値 クライアントの最大 に制限します。 時間差] Kerberos を認証方法として構成することは、特定のブラウザーがリクエストを送信するのに 使用される場合に、問題につながる可能性があります。 • Microsoft Internet Explorer の 7.0 より低いバージョンが使用される場合は、Kerberos 認証は全く不可能なこともあります。 • このエクスプローラーが Windows XP で実行されている場合は、Kerberos 認証は予期通 りに動作しない可能性があります。 • Mozilla Firefox が使用される場合、Kerberos 認証方法を有効にするために、この認証方 法をブラウザーの設定で構成する必要があります。 [キャッシュを有効 にする] 選択されている場合、認証のために発行されたチケットは 1 回以降使用できません。 このオプションを選択すると、認証パフォーマンスが低下します。 アプライアンスを Windows ドメインに参加させる NTLM 認証方法を使用する場合は、認証モジュールにドメイン サーバーに保存されているユーザー情報を取得させる ために、アプライアンスを Windows ドメインに参加させる必要があります。 アプライアンスは 1 つ以上のドメインに参加させることができます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、参加するアプライアンスを選択し、[Windows ドメイン メンバーシップ]を選択しま す。 設定パネルでドメインのリストが表示されます。最初はリストが空です。 3 ドメインをリストに入力するには、[参加]をクリックします。 [ドメイン参加]ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 257 9 認証 認証を構成するためのシステム設定の使用 4 ドメイン名の構成、ドメイン コントローラー、ウィンドウでのその他の設定。 5 [OK]をクリックします。 ウィンドウが閉じて、リストに新しいドメインが表示されます。これでアプライアンスは、このドメインのメン バーなりました。 複数のドメインを追加するには、ステップ 3 から 5 を繰り返します。 ツールバーのその端おアイコンを使用して、¥たとえば、リスト エントリーを変更したり、アプライアンスをドメイ ンに残すなど、リストを操作してください。 関連トピック: 258 ページの「Windows ドメイン メンバーシップの設定」 Windows ドメイン メンバーシップの設定 Windows ドメイン メンバーシップの設定は、Windows ドメインにアプライアンスを参加させるために使用されま す。 ドメイン参加 アプライアンスを Windows ドメインに参加させるための設定 表 9-17 ドメイン参加 オプション 定義 [Windows ドメイン名] ドメイン名を指定します。 [McAfee Web Gateway アカウン アプライアンスのアカウント名を指定します。 ト名] [既存のアカウントの上書き] 選択されている場合、既存のアカウントが上書きされます。 [NTLM バージョン 2 の使用] 選択されている場合、NTLM バージョン 2 が使用されます。 [この NTLM ドメインへのリクエ ストのタイムアウト] 応答が受信されなかった場合、アプライアンスからドメイン コントローラーに 送信されたリクエストの処理が停止する前に経過する時間(秒)を指定値に制 限します。 [ドメイン コントローラーへの再 接続待ちの時間] ドメイン コントローラーへの接続を前回試みてから、もう一度試みるまで待つ 時間(秒数)を指定します。 許容範囲は 5 ~ 300 です。 [構成済みドメイン コントローラ ー] 認証情報を取得するためにアプライアンスが接続できるドメイン コントロー ラーを入力するためのリストを提供します。 エントリーはコンマで区切る必要があります。 [アクティブなドメイン コントロ ーラーの数] 同時にアクティブにできる構成済みドメイン コントローラーの最大数 [管理者名] アプライアンスがドメインに参加するときに作成されるアカウントのユーザ ー名を指定します。 許容範囲は 1 ~ 10 です。 ユーザー名とパスワードはこの目的のみに使用され、保存されません。 [パスワード] 258 McAfee Web Gateway 7.6.0 管理者名のパスワードを設定します。 製品ガイド 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 9 ベスト プラクティス - 配備タイプに合わせた認証の設定 認証を設定する場合、Web Gateway とクライアント間のトラフィックの設定されている配備タイプ (明示的プロキ シ モード、透過型モードなど) を考慮する必要があります。ルール セット ライブラリには、各タイプの認証処理に 最適なルール セットが含まれています。 認証プロセスでは、次の 2 つの点を考慮する必要があります。 • このプロセスで評価されるユーザーの認証情報を Web Gateway が取得する方法 認証プロセスのこの部分は、認証のフロントエンドともいいます。 ユーザーの認証情報を取得する方法は、Web Gateway とクライアント間のトラフィックの処理に明示的プロキ シ モード (直接プロキシ モード) が設定されているのか、透過型モード (透過型ルーター モードまたは透過型ブ リッジ モード) が設定されているのかによって異なります。 明示的プロキシ モードの場合、クライアントが WCCP プロトコルのサービスを使用して追加オプションとして 要求を送信できるように設定することができます。 ルール セット ライブラリには、各モードに最適なルール セットが含まれています。 • 取得後の認証情報の評価方法 このプロセスは、認証バックエンドともいいます。 証明情報の評価は、設定された認証方法 (LDAP、NTLM など) によって異なります。 認証のライブラリ ルール セット 認証を設定するルール セットは、ルール セット ライブラリの「認証」ルール セットにあります。 以下の表では、それぞれの配備タイプの推奨ルール セットについて説明します。 表 9-18 認証のライブラリ ルール セット 配備タイプ 推奨のライブラリ ルール セット 明示的プロキシ モード 直接プロキシ認証と許可 透過型ルーターまたはブリッジ モード 認証サーバー (時間/IP ベースのセッション) WCCP を使用した明示的プロキシ モード トラフィックが次のモードで処理される場合: • 明示的プロキシ モード - 直接プロキシ認証と許可 • WCCP モード - 認証サーバー (時間/IP ベースのセッション) ライブラリからルール セットをインポートすると、ネットワーク要件に合わせてルールを変更し、適用することがで きます。 ルール セット ツリー内での位置 「認証」ルール セットは、 「グローバル ホワイトリスト」ルール セットの後で、共通のルール セットより前に配置す る必要があります (デフォルトのルール セット ツリーを使用している場合)。 このように「認証」ルール セットを配置すると、グローバル ホワイトリストにある Web オブジェクトへの認証要 求を送信するときにユーザーの認証が不要になります。 McAfee Web Gateway 7.6.0 製品ガイド 259 9 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 明示的プロキシ モードの認証 明示的プロキシ モードの認証を設定する場合には、適切なルールを Web Gateway に実装する必要があります。 明示的プロキシ モードのライブラリ ルール セット 明示的プロキシ モードの推奨ライブラリ ルール セットは、直接プロキシ認証と許可です。 このルール セットには次の 2 つのルール セットがネストされています。 • ユーザー データベースで認証 • ユーザー グループを許可 このルール セットを実装すると、例外ルールが適用されない限り、Web Gateway のクライアントから受信した要 求に認証プロセスが実行されます。 Citrix がインストールされている構成か、ワークステーションが共有されている構成の場合、このルール セットを使 用して認証を処理します。 「直接プロキシ認証と許可」ルール セット このルール セットのルールを使用すると、例外を作成できます。要求の送信ユーザーの認証を行わずに、Web Gateway で要求を処理することができます。 次の項目で例外を作成できます。 • 要求を送信したクライアントの IP アドレス • 要求の宛先となる Web オブジェクトの URL これらのルールを使用すると、信頼されたクライアントから受信した要求や信頼された宛先に送信される要求でユー ザーの認証が実行されません。これにより、パフォーマンスが向上します。 また、独自のルールを作成したり、このルール セットにツールを追加して、追加の例外を設定することもできます。 「ユーザー データベースで認証」ネスト ルール セット このルール セットのルールにより、Web Gateway のクライアントから要求を送信するユーザーに認証が実行され ます。ユーザーが指示に従って認証情報を送信すると、この情報が内部ユーザー データベースに記録された情報と比 較されます。 このルール セットは、このユーザーがまだ認証されず、以前の認証でも失敗していない場合に適用されます。この検 査では、Authentication.Is.Authenticated プロパティと Authentication.Failed プロパティが使用されま す。 認証情報の評価に内部ユーザー データベースの情報ではなく、LDAP や NTLM などの別の認証方法を使用すること もできます。 「ユーザー グループを許可」ネスト ルール セット このルール セットのルールにより、承認されたユーザーの要求だけが許可されます。要求を送信したユーザーが特定 のリストのユーザー グループに属していない場合、要求がブロックされます。ユーザーが以前の評価で通過していて も、要求はブロックされます。 このルールにより、追加のセキュリティ チェックを実装できます。このルールを使用する場合には、ルールで使用す るリストにユーザー グループを定義する必要があります。使用しない場合には、ルール セットを無効にしたり、削 除することができます。 260 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 明示的プロキシ モードのルール セットの変更 明示的プロキシ モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更し て、適用することができます。 次のような変更を行います。 • 認証方法の変更 • ユーザー承認の変更、無効化、削除 • 例外ルールの設定 認証方法の変更 デフォルトでは、認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報を比較します。 この認証方法 (認証バックエンド) を変更するには、「ユーザー データベースで認証」ルール セットのルールで Authentication.Authenticate プロパティの横に表示される設定を行う必要があります。 [認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。 ユーザー承認の変更、無効化、削除 ネストされた「許可されているユーザ グループ」ルール セットを使用すると、承認ユーザーからの要求のみが許可 されます。必要に応じて、このルール セットのルール リストにユーザー グループを追加できます。 このルールを追加のセキュリティ チェックとして使用しない場合には、ルール セットを無効にするか、削除します。 例外ルールの設定 「直接プロキシ認証と許可」ルール セットにルールを追加すると、認証プロセスの複数の例外に対応することができ ます。 いずれかのルールに該当すると、ルール セットの処理が停止します。ネストされたルール セットは認証処理の対象 外になります。 たとえば、要求を送信したクライアントのブラウザーで特定のユーザー エージェントが実行されている場合に要求を 許可するようにルールを追加できます。ユーザー エージェントの情報は、要求ヘッダーから取得されます。 このルールは次のようになります。 許可ユーザーエージェントのリストにないユーザー エージェントの認証をスキップする Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set 別のルールを使用すると、特定の IP アドレスを持つ Web サーバー上のオブジェクトに対するアクセス要求を許可 できます。IP アドレスは、要求で送信された URL から取得されます。 このルールは次のようになります。 許可宛先 IP リストにある宛先 IP の認証をスキップする URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set McAfee Web Gateway 7.6.0 製品ガイド 261 9 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 透過型モードの認証 透過型モードの認証を設定する場合、Web Gateway に要求を送信するようにブラウザーの設定を変更する必要があ ります。また、適切なルールを Web Gateway に実装する必要があります。 ブラウザー設定の変更 透過型ルーターまたはブリッジ モードの認証を有効にするには、要求の送信に使用する Web ブラウザーを設定を変 更し、Web Gateway を信頼する必要があります。 Web Gateway で認証方法として NTLM または Kerberos も設定されている場合、認証プロセスは内部的に処理さ れます。ユーザーが認証を要求されることはありません。 • Microsoft Internet Explorer を使用している場合には、次の方法でセキュリティ設定を変更する必要がありま す。 • セキュリティ ゾーンとしてローカル イントラネットを設定する • このゾーンに Web Gateway を Web サイトとして追加する この設定を行うには、IP アドレスまたは完全修飾ドメイン名で URL を指定します。例: http:// 10.10.69.73、http://*.mcafee.local。 • ユーザー認証のセキュリティ ゾーンとしてゾーン内のすべての Web サイトに自動ログインを設定する この設定は、[インターネット オプション] の [セキュリティ] で ローカル イントラネットを選択し、[ローカル イントラネット] を使用します。 ブラウザーにグループ ポリシーを設定する場合には、[グループ ポリシー管理エディター]、[サイトとゾーンの 割り当て一覧]、[ログオン オプション] ウィンドウも使用できます。 • Mozilla Firefox を使用している場合には、[about:config] で [network.automatic-ntlm-auth.trusted-uris] パラメーターの値として、Web Gateway の IP アドレスまたは完全修飾ドメイン名を設定します。例: 10.10.69.73、mwgappl.yourdomain.local 詳細については、使用する Web ブラウザーのマニュアルを参照してください。 透過型モードのライブラリ ルール セット 透過型ルーターまたはブリッジ モードに推奨のライブラリ ルール セットは、認証サーバー (時間/IP ベースのセッ ション) です。 次の 2 つのルール セットがネストされています。 • 有効な認証セッションの確認 • 認証サーバー 明示的プロキシ モードに実行される認証プロセスと異なり、このルール セットは、Web アクセス要求を送信したユ ーザーが正常に認証されたときに、認証セッションを作成して認証を処理します。 このセッションが有効な間、このユーザーが送信する後続の要求はユーザー認証なしで処理されます。デフォルトの セッション期間は 600 秒です。 Citrix がインストールされている構成またはワークステーションが共有されている構成でこのルール セットを使用 すると、次のような状況が発生します。ユーザー A が要求を送信して認証されると、認証セッションが作成されま す。その後、ユーザー B が同じワークステーションから要求を送信しても、ユーザー A のセッションの続行が許可 されます。 262 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 「認証サーバー (時間/IP ベースのセッション)」ルール セット このルール セットは、ネストされた 2 つのルール セットのコンテナーとして機能します。独自のルールはありませ ん。 「有効な認証セッションの確認」ネスト ルール セット このルール セットのルールは、クライアントから要求を送信するユーザーに有効なセッションが存在するかどうかを 確認します。セッション情報は、内部のセッション データベースに保存されます。ここには、ユーザー名、クライア ントの IP アドレス、セッション期間が記録されます。 有効なセッションが存在すると、要求の処理が続行され、設定済みの残りのルールとルール セットが評価されます。 有効なセッションが存在しないと、要求が認証サーバーにリダイレクトされます。 「認証サーバー」ネスト ルール セット このルール セットのルールにより、認証サーバーにリダイレクトされた要求の送信ユーザーの認証が実行されます。 認証に成功すると、このユーザーのセッションがセッション データベースに作成されます。 デフォルトでは、ユーザーの認証情報が内部ユーザー データベースの情報と比較されます。この認証方法を LDAP や NTLM などの別の方法に変更することもできます。 透過型モードのルール セットの変更 透過型モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更して、適用 することができます。 次のような変更を行います。 • 認証サーバーの URL の変更 • 認証方法の変更 • 理想的な条件ルールの有効化 • セッション TTL の増加 認証サーバーの URL の変更 セキュリティ ゾーンにローカル ドメインを設定して、Web Gateway への要求送信に使用するブラウザーのセキュ リティ設定を変更した場合、IP アドレスまたは完全修飾ドメイン名で URL を指定して、このゾーンの Web サイト として Web Gateway を追加できます。 この場合、ローカル ドメインの名前を挿入して、認証サーバーの URL も変更する必要があります。デフォルトで は、この URL には Web Gateway の IP アドレスが含まれています。 Web Gateway が実行されているアプライアンスに、認証サーバーの URL が動的に生成されます。構成内に複数の Web Gateway アプライアンスが存在する場合、静的な IP アドレスは使用できません。内部構成のプロパティを使 用して、動的に生成する必要があります。 この URL は、[IP 認証サーバー] で変更できます。 「有効な認証セッションの確認」ルール セットにある「有効なセ ッションがないクライアントを認証サーバーにリダイレクトする」ルールの Authentication.Authenticate プ ロパティの横に、この設定が表示されます。 デフォルトの URL は次のようになります。 http://$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$ 特定の認証サーバーの URL を読みやすい形式にすると、次のようになります。 McAfee Web Gateway 7.6.0 製品ガイド 263 9 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 http://10.10.69.71:9090 ローカル ドメインをセキュリティ ゾーンに設定したブラウザーに URL を設定すると、次のようになります。 http://$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$ "com.scur.engine.system.proxy.ip"/>$ が "com.scur.engine.system"/>$.yourdomain.local に 変わっています。 分かりやすい形式に直すと、次のようになります。 http://mwgappl.yourdomain.local:9090 mwgappl は、Web Gateway が実行されているアプライアンスのホスト名です。 認証方法の変更 デフォルトでは、透過型モードで認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報 を比較します。 この認証方法 (認証バックエンド) を変更するには、認証サーバー ルール セットで「ユーザー データベースでユー ザーを認証する」ルールの Authentication.Authenticate プロパティの横に表示される設定を行う必要があり ます。 [認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。 理想的な条件ルールの有効化 「有効な認証セッションの確認」ルール セットの「理想的な条件でセッションを再度確認する」ルールを使用すると、 理想的な条件でユーザーの認証を行うことができます。この場合、セッションが期限切れの場合に認証が要求されま せん。 デフォルトでは条件は次のようになります。 • セッションの残り時間が 400 秒未満 • ネットワーク プロトコルが HTTP • ユーザーが送信した要求が GET 要求 このルールを有効にすると、次のような状況を回避できます。 1 ユーザーが Web Gateway のクライアントから要求し、認証を行います。セッションの許容時間は 600 秒です。 2 ユーザーがヘルプ デスクにチケットを送信し、データ フォームの入力を開始します (300 秒)。 3 ユーザーがフォームの入力に情報が必要になり、必要な情報を Web で検索します。Web Gateway が 一部の GET 要求を受信します (さらに 200 秒)。 4 ユーザーがデータ フォームの入力を完了して送信します。Web Gateway が POST 要求を受信します。さらに 200 秒が経過しますが、最初の 100 秒でセッションが期限切れになります。 5 セッションが期限切れになると、POST 要求が処理される前に再度ユーザー認証が必要になります。ただし、セ ッションが期限切れになっているため、入力されたデータが消失します。 理想的な条件ルールを有効にすると、手順 3 で情報を検索するときに再認証が要求されるため、フォームの入力で時 間切れになることはありません。 264 McAfee Web Gateway 7.6.0 製品ガイド 認証 ベスト プラクティス - 配備タイプに合わせた認証の設定 9 セッション TTL の増加 認証セッションの許可時間を増やすことができます。たとえば、デフォルトの 600 秒 (10 分) を 1 時間に変更でき ます。 「有効な認証セッションの確認」ルールの条件で時間を変更できます。たとえば、400 秒から 600 秒に増やすことが できます。 GET 要求を受信したときに、セッションの有効期間が 10 分以内になっていると、認証が要求されます。 WCCP を使用した明示的プロキシ モードの認証 WCCP を使用した明示的プロキシ モードの認証を設定する場合、2 つのルール セットをインポートして変更しま す。また、適切なルール セットが使用されるように、受信トラフィックのポートを指定する必要があります。 WCCP を使用した明示的プロキシ モードを設定すると、クライアントは明示的プロキシ モードで Web Gateway に要求を送信するか、WCCP プロトコルでサービスを使用します。 明示的プロキシ モードの認証を処理する場合には、「直接プロキシ認証と許可」ルール セットを使用してください。 WCCP モード (透過型モード) の場合には、「認証サーバー (時間/IP ベースのセッション)」ルール セットを使用し てください。 つまり、両方のルール セットをインポートして、両方のモードに必要なアクティビティを実行する必要があります。 たとえば、WCCP モードの場合には、ブラウザーの設定を変更します。 各モードのトラフィックが適切な認証ルール セットで処理するには、タイプごとに異なるトラフィック ポートを設 定し、各ルール セットの条件にそれぞれのポートを指定します。 明示的プロキシ モードと WCCP モードに異なるポートを設定する方法 明示的プロキシ モードと WCCP モードのポートに 9090 と 9091 を使用している場合について考えてみましょ う。HTTP ポート リストに WCCP サービスと両方のポートを設定するときに、WCCP モードのポートを指定する必 要があります。 WCCP サービスを設定するには、このサービスを [WCCP サービス] リストに追加します。このリストを表示するに は、[プロキシ (HTTP(S)、FTP、ICAP、IM)] システムの [透過型プロキシ] セクションで、[WCCP] を選択しま す。 [ネットワーク セットアップ] で [プロキシ (オプションの WCCP)] を選択して、WCCP を使用する明示的プロキシ モードの設定を開始すると、このセクションが表示されます。 ポート 9091 で受信するトラフィックに使用する WCCP サービスは次のように設定します。 番号 サービ WCCP ルタ ス ID ー... ポー ト... ポート... プロキシ リスナ ー... プロキシ リ MD5 ... 割り当 て スナー ポー ト 1 80, 443 false 9091 91 10.10.69.7 10.10.69.73 コメ ント oooooo 1000 [透過型プロキシ] セクションの下にある [HTTP プロキシ] セクションで、[HTTP ポート定義リスト] を設定できま す。 明示的プロキシ モードと WCCP モードは次のように設定します。 番号 リスナー アドレス 処理... ポート... 透過... McAfee... コメント 1 0.0.0.0:9090 true 443 false true 明示的プロキシ トラフィック 2 0.0.0.0:9091 true 443 false true WCCP トラフィック McAfee Web Gateway 7.6.0 製品ガイド 265 9 認証 ベスト プラクティス - LDAP 認証の設定 認証ルール セットの条件の適用 明示的プロキシ モードと WCCP サービスの使用時に受信するトラフィックに異なるポート (たとえば 9090 と 9091) を設定したら、2 種類のトラフィックを処理すルール セットの条件を適用する必要があります。 「直接プロキシ認証と許可」ルール セットに適用するルールの条件は次のようになります。 Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "HTTPS") 「認証サーバー (時間/IP ベースのセッション)」ルール セットの場合、適用する条件は次のようになります。 Proxy.Port equals 9091 ベスト プラクティス - LDAP 認証の設定 LDAP 認証は、Web Gateway で設定可能なユーザー認証方法の 1 つです。 LDAP は、Lightweight Directory Access Protocol の略です。 Web Gateway の認証プロセスは、このプロトコ ルを介してネットワーク上の既存のディレクトリ サービスを利用します。 ディレクトリに格納されているユーザー 情報をクエリーで取得し、認証に使用できます。 ユーザーの認証以外にも、ユーザーやユーザーが所属するグループに関する情報をクエリーでディレクトリから取得 することができます。これらの情報を属性といいます。 たとえば、Microsoft Windows Server Active Directory (Active Directory) の場合、ユーザーの memberOf 属 性に、ユーザーが所属するグループの情報が格納されています。また、グループの member 属性には、グループ メンバーのユーザー名が格納されます。 ユーザー属性とグループ属性の検索結果は Web Gateway の Authentication.UserGroups プロパティに保存 されます。 LDAP 認証プロセス Web Gateway のユーザー認証は、次のように LDAP サーバーのディレクトリを使用します。 • Web Gateway が管理者の認証情報を使用して最初のバインド要求を LDAP サーバーに送信します。 • 要求が成功すると、Web Gateway がユーザーから受信したユーザー名を使用してクエリーを送信します。 このクエリーでは、ユーザー名に関連付けられている識別名を LDAP サーバーのディレクトリから取得します。 • 識別名が見つかると、LDAP サーバーが識別名を戻します。 識別名 (DN) は、ユーザー、ユーザー グループ、ネットワーク ドメインの情報から構成されています。識別名は LDAP スタイルの構文で記述されます。 たとえば、ユーザー名が jsmith の場合、LDAP サーバーは cn=John Smith,cn=users,dc=ldap,dc=local という識別名を戻します。 • ユーザーの認証を行うため、Web Gateway が 2 つ目のバインド要求を LDAP サーバーに送信します。 この要求では、取得した識別名とユーザーから受信したパスワードを送信します。 • 要求が成功すると、ユーザーが認証されます。 tcpdump で認証プロセスの手順を記録し、確認することができます。 266 McAfee Web Gateway 7.6.0 製品ガイド 認証 ベスト プラクティス - LDAP 認証の設定 9 LDAP でのユーザー認証のルール Web Gateway で LDAP 認証を設定する場合、Web Gateway と LDAP サーバーのディレクトリを統合するプロセ スでユーザー認証のルールを実装する必要があります。 この目的に合わせて、ルール セット ライブラリに含まれているルール セットのデフォルト ルールを変更します。 変更したルールは次のようになります。 名前 Authenticate with LDAP 条件 アクション Authentication.Authenticate<LDAP> equals false –> Authenticate<Default> このルールは、ユーザーが LDAP 認証方法で認証されていない場合に適用されます。 このルールの Authentication.Authenticate プロパティの設定で、認証プロセスの実行に必要な情報を提供し ます。たとえば、LDAP サーバーの IP アドレスや Web Gateway の管理者認証情報などを設定します。 ユーザー認証方法に LDAP を設定する ユーザーの認証に LDAP を設定する場合、既存の認証ルールを使用できます。 このルールの名前を変更し、LDAP 認証に必要な設定を行います。 タスク 1 ルール セット ライブラリから [明示的プロキシに認証と許可]ルール セットをインポートします。 このルール セットは、明示的プロキシ モードの認証に使用します。 透過型モードの場合には、[認証サーバー] ル ール セットをインポートします。 2 ネストされた [ユーザー データベースで認証] ルール セットの認証ルールを使用して、LDAP 認証に必要な設定 を行います。 透過型モードの場合には、ネストされた [認証サーバー] ルール セットの認証ルールを使用します。 3 a 現在のルールの名前を LDAP で認証 に変更します。 b [Authentication.Authenticate] プロパティの設定名を LDAP 関連の設定に適切な名前 (例: LDAP) に変更 します。 c LDAP 認証に必要な設定を行います。 ネストされたルール セットの名前を LDAP で認証 に変更します。 ネストされたライブラリ ルール セットを無効にするか、削除して、LDAP 認証用にネストされたルー ル セットを新たに作成することもできます。 LDAP 認証の場合、[明示的プロキシに認証と許可] ライブラリ ルール セットの 2 番目のネストされ たルール セットである [ユーザー グループを許可] は必要ありません。 このネストされたルール セットを削除するには、ネストされたルール セットの名前を変更するか、同 じ名前 (たとえば、LDAP による明示的プロキシの認証) のルールが他にないようにします。 4 [変更の保存] をクリックします。 関連トピック: 268 ページの「LDAP 認証方法を設定する」 McAfee Web Gateway 7.6.0 製品ガイド 267 9 認証 ベスト プラクティス - LDAP 認証の設定 LDAP 認証方法を設定する ルール セット ライブラリからインポートしたユーザー認証ルールの設定を変更して、LDAP 認証方法を設定します。 タスク 1 インポートしたルールで、LDAP または類似した名前に変更した [Authentication.Authenticate] プロパティの 設定をクリックします。 [設定の編集] ウィンドウが開きます。 2 [認証方法] で [LDAP] を選択します。 [共通認証パラメーター] の横に [LDAP 固有のパラメーター] セクションが表示されます。 共通パラメーターをそのまま使用することも、LDAP 固有のパラメーターを使用することもできます。 3 [接続する LDAP サーバー] リストで、ユーザー情報のディレクトリが存在する LDAP サーバーのエントリを追加 します。 エントリの構文は次のとおりです。 {LDAP | LDAPS}://<IP アドレス>[:<ポート番号>] 例: LDAP://10.205.67.8:389 LDAP は保護されたプロトコルではありません。情報はテキスト形式で転送されます。 可能であれ ば、LDAPS (セキュア LDAP) を使用してください。 デフォルトの LDAP ポートは 389 で、LDAPS は 636 を使用します。 4 Web Gateway が LDAP サーバーとの接続時に送信する管理者認証情報を入力します。 a [認証情報] で、共通名とドメイン コントローラーの名前を LDAP 形式で入力します。例: cn:administrator,cn:users,dc:ldap,dc:local b [パスワード] で、管理者のパスワードを入力します。 5 LDAP サーバーのディレクトリが Active Directory の場合、[LDAP ディレクトリが参照に従うことを許可する] の選択を解除します。 6 認証を受けるユーザーの識別名を取得するクエリーの情報を入力します。 a [ユーザー オブジェクトの基本識別名] で、クエリーの開始ポイントを指定します。 開始ポイントは LDAP 形式で指定します。例: cn:users,dc:ldap,dc:local b [ユーザー名を DN にマッピングする] を選択します。 このオプションを選択すると、ディレクトリに関連付けられたユーザー名を送信した識別名をクエリーで検索 できます。 268 McAfee Web Gateway 7.6.0 製品ガイド 認証 ベスト プラクティス - LDAP 認証の設定 c 9 [グループ オブジェクトを検索するための表現をフィルタリングする] で、識別名を検索できるユーザー属性 を指定します。 このフィルター式を指定すると、ディレクトリでユーザーのエントリを検索できます。 フィルター式は、ユ ーザーが送信したユーザー名です。 ユーザー名はユーザーの属性値としてディレクトリに格納されます。 Active Directory の場合、ユーザー名が格納される属性は sAMAccountName です。 Web Gateway の 場合、ユーザー名は %u という変数に保存されます。 Active Directory を使用する場合、フィルター式は次のように指定する必要があります。 samaccountname=%u このフィルター式を使用すると、ユーザー エントリが検索され、ユーザー名とディレクトリに入力されたユ ーザーの識別名の関連付けが行われます。 7 [OK] をクリックして、ウィンドウを閉じます。 8 [変更の保存] をクリックします。 この設定により、Web Gateway は LDAP でユーザーを認証します。 ディレクトリの他の属性に保存された情報を 取得するには、追加の設定が必要になります。 関連トピック: 269 ページの「ユーザー属性とグループ属性のクエリーを設定する」 ユーザー属性とグループ属性のクエリーを設定する LDAP サーバーのディレクトリからユーザーとユーザー グループに関する詳細情報を取得 (プル) するクエリーの追 加情報を設定します。 これらのクエリーは、Web Gateway で認証モジュール (エンジン) のユーザー認証プロセスと一緒に設定します。 タスク 1 ユーザー属性のクエリーを設定します。 a [ユーザー属性の取得] を選択します。 [ユーザー オブジェクトの基本識別名] オプションに特別な値を設定する必要はありません。これらの値は、ユ ーザー認証で設定した値と同じです。 b [取得するユーザー属性] リストで、クエリーで値を取得する属性の名前を追加します。 ここで複数の名前を 追加できます。 たとえば、ユーザーが所属するグループの情報を取得するには、memberof を追加します。 c 2 [属性結合文字列 ] で、結果で値を区切る文字を入力します (例: カンマ)。 グループ属性のクエリーを設定します。 a [グループ属性の取得] を選択します。 b [グループ オブジェクトの基本識別名] で、LDAP 構文を使用してクエリーの開始ポイントを入力します (例: ou=groups,dc=ldap,dc=local)。 c [グループ オブジェクトを検索するための表現をフィルタリングする] で、検索するグループのグループ属性 を指定します。 たとえば、member=%u を指定します。member は属性名、%u は Web Gateway でユーザー名が格納される 変数です。 McAfee Web Gateway 7.6.0 製品ガイド 269 9 認証 ベスト プラクティス - LDAP 認証の設定 d [取得するグループ属性] リストで、クエリーで値を取得する属性の名前を追加します。 ここで複数の名前を 追加できます。 たとえば、グループの共通名を検索するには、cn を追加します。 e [属性結合文字列 ] で、結果で値を区切る文字を入力します (例: カンマ)。 別のプロパティへの属性の保存 ロギングなどの目的で、ユーザー属性またはグープル属性は個別のユーザー定義プロパティに保存できます。 LDAP サーバー上のディレクトリでユーザーまたはユーザー グループの属性を取得するクエリーを実行すると、結果 の情報が Authentication.UserGroups プロパティの値として Web Gateway に保存されます。 ユーザーのメール アドレスなど、特定の情報が必要な場合、これらの情報を別個に取得し、ユーザー定義のプロパテ ィに保存できます。 この場合、追加ルールだけでなく、認証モジュール (エンジン) に名前付きの設定 (LDAP 電子メール参照 など) を 追加する必要があります。 このルールでは、認証モジュールが追加設定で実行され、ユーザーの項目や電子メール属 性値から保存された情報を取得します。 追加設定で次のようにオプションを設定する必要があります。 • [ユーザー属性の取得] を有効にします。 • [取得するユーザー属性] リストで電子メール属性に 1 つの項目を表示します。 LDAP サーバーで Active Directory が実行されている場合、属性名は mail です。 • [ユーザーを DN にマッピングする] を無効にする必要があります。 認証モジュールが実行され、ユーザー認証に LDAP が設定されています。ユーザー名がマッピングされているた め、オプションを無効にしないとエラーが発生します。 他のすべてのオプションは、ユーザー認証ルールと同様に設定できます。 完全なルールは、以下のようになる可能性があります。 名前 Get email information and store separately 条件 Authentication.IsAuthenticated equals true AND Authentlcation.GetUserGroups <LDAP_Email_:Lookup> does not contain "no-group" アクション イベント –> Continue Set User-Defined.Email= List.OfString.ToString (Authentication.UserGroups," ") このルールは、LDAP 認証のルール セットに追加し、ユーザーを認証するルールの後に置く必要があります。 元のユーザー名の保存 (ロギング用) ロギング目的で元のユーザー名を保存できます。 ユーザーが LDAP 認証を使用している場合、Authentication.Username プロパティの値がユーザーの識別名に 設定されます。 このプロパティがログ項目の作成に使用されている場合、ユーザーを識別するログ項目は次のように なります。 CN=John Smith,CN=Users,DC=LDAP,DC=local 270 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ベスト プラクティス - LDAP 認証の設定 ログ項目に識別名ではなく、元のユーザー名 (例: jsmith) を表示するには、LDAP 認証のルール セットを必要に応 じて変更します。 LDAP でユーザーの認証を行うルールだけでなく、ルール セットには次のものも含まされています。 • ユーザーの LDAP 認証を処理し、ユーザー定義プロパティに元のユーザー名を保存します。 • たとえば、他の LDAP 関連の処理を実行する 1 つ上のルールで、ユーザーが所属するグループの情報も取得でき ます。 • すべての LDAP 関連操作が完了した後で元のユーザー名を Authentication.Username プロパティにリストア するルール ユーザーの認証とユーザー名の保存を行うルール 以下のルールは、ユーザーの認証後に元のユーザー名が保存されます。 このルールのイベントには、ユーザー定義の プロパティに応じて値が設定されます。 名前 Authenticate user and store user name 条件 アクション イベント Authentication.IsAuthenticated equals false AND –> Continue Authentlcation.Authenticate<LDAP> equals true Set User-Defined.UserName= List.OfString.ToString (Authentication.UserGroups," ") この名前の LDAP サーバーでディレクトリのクエリーを実行すると、ユーザー名が取得されます。 ユーザーの認証 を行う Authentication.Authenticate プロパティは適宜設定されます。 クエリーが実行されると、ユーザー名は Authentication.Groups プロパティの値に保存されます。 この値は、 List.OfString.ToString プロパティで文字列に変換されます。 変換されたプロパティの元の値は文字列のリストです。すべての LDAP 関連のアクティビティが完了すると、この中 にはユーザー名だけではなく、他の情報も含まれています。 ユーザー グループ情報取得ルール 以下のルールでは、LDAP 関連の他のアクティビティを実行します。 ユーザーが所属するグループの情報を取得しま す。 名前 Get user group information 条件 Authentication.IsAuthenticated equals true AND アクション –> Continue Authentlcation.GetUserGroups<LDAP_Group_:Lookup> does not contain "no-group" McAfee Web Gateway 7.6.0 製品ガイド 271 9 認証 ベスト プラクティス - LDAP 認証の設定 このルールでは、ユーザーを識別するためにユーザーの識別名が必要になります。元のユーザー名を Authentication.Username プロパティの値としてはリストアできません。 Authentication.GetUserGroups プロパティの値を実行して取得するには、別の設定を作成し、認証モ ジュール (エンジン) を設定する必要があります。 この設定の名前 (LDAP グループ参照) は、このサンプル ルール用の名前です。 この設定で、[ユーザーを DN にマッピングする] オプションが無効になっています。 元のユーザー名をリストアするルール 以下のルールでは、Authentication.Username プロパティの値に元のユーザーの名前をリストアします。 名前 Restore user name 条件 Authentlcation.Authenticate<LDAP> equals false アクショ イベント ン –> Stop Rule Set Set Authentication.UserName= User-Defined.Authentication.Username このルール セットのイベントは、先行ルールで元のユーザー名を保存するために作成されたユーザー定義プロパティ の値をこのプロパティに設定します。 一時的にこのプロパティの値を使用している識別名は上書きされます。 元のユーザー名がリストアされると、ロギング目的でプロパティを使用できます。 LDAP 認証のテストとトラブルシューティング LDAP 認証プロセスのテストとトラブルシューティングは、段階的に行うことができます。 Web Gateway のユーザー インターフェースにあるツールを使用すると、特定のユーザー名とパスワードを使用し て、設定済みの認証プロセスをテストできます。 テストの実行中にプロセスでエラーが発生した場合には、設定内容をよく確認してください。 エラーが見つからなか った場合には、別のツールを使用してデバッグ ログを作成できます。 この方法でもエラーの詳細が分からない場合 には、3 つ目のツールを使用して tcpdump を生成します。 特定のユーザー名とパスワードの認証をテストする 認証モジュールの設定には、テスト目的のセクションがあります。 ユーザー名とパスワードを入力して、Web Gateway でユーザーの認証を行うことができます。 タスク 1 [ポリシー] 、 [設定]の順に選択します。 2 設定ツリーの [エンジン] ブランチで、認証モジュール (エンジン) で変更または新規に作成した設定 (LDAP の設 定など) をクリックします。 3 [共通認証パラメーター] で、[認証キャッシュを使用する] の選択を解除します。 選択を解除しないと、キャッシュの有効期限が過ぎるまで LDAP サーバーのディレクトリに対する変更は検出さ れません。 4 272 [認証テスト] を展開して、表示されたフィールドにユーザー名とパスワードを入力します。 McAfee Web Gateway 7.6.0 製品ガイド 認証 ベスト プラクティス - LDAP 認証の設定 5 9 [ユーザーの認証] をクリックします。 認証プロセスの結果が [テスト結果] に表示されます。 • プロセスが正常に実行されると、OK メッセージが表示されます。 テスト ツールには、クエリーを設定した属性値も表示されます。 • プロセスが失敗すると、「エラー: 認証に失敗しました」というメッセージが表示されます。 認証のトラブルシューティングでデバッグ ログ ファイルを作成する デバッグ ログ ファイルに認証プロセスを記録して、トラブルシューティングで確認することができます。 タスク 1 [設定] 、 [アプライアンス]の順に選択します。 2 アプライアンス ツリーで、デバッグ ログ ファイルを作成するアプライアンスを選択し、[トラブルシューティン グ] をクリックします。 3 [認証トラブルシューティング] セクションで、[認証イベントを記録する] を選択します。 ログ ファイルのサイズを抑えるには、[追跡を 1 つの IP に制限する] を選択して、クライアント IP アドレスを指 定してください。 4 認証プロセスを再現します。 デバッグ ログ ファイルが作成されます。 5 デバッグ ログ ファイルを検索します。 a [トラブルシューティング] を選択します。 b アプライアンス ツリーで、デバッグ ログ ファイルを作成したアプライアンスを選択し、[ログ ファイル] を クリックします。 c [デバッグ] フォルダーを開き、該当するタイムスタンプのある [mwg-core.Auth.debug.log] ファイルを検 索します。 ログ ファイルの行には、認証プロセスの障害 ID が記録されています。 この ID の意味は次のとおりです。 0 – NoFailure: 認証は成功しています。 2 – UnknownUser: ユーザー名とユーザー DN の関連付けができません。 3 – WrongPassword: ユーザーのパスワードのバインドに失敗しました。 4 – NoCredentials: 認証情報がないか、形式が無効です。 5 – NoServerAvailable: サーバーと接続できません。 6 – ProxyTimeout: 設定したタイムアウトを過ぎても要求が処理されています。 8 – CommunicationError: タイムアウトなどが原因でサーバーと通信できません。 認証のトラブルシューティングで tcpdump を作成する 認証プロセスが失敗した原因をデバッグ ログ ファイルで確認できない場合には、tcpdump を作成すると、よく詳し い情報を入手できます。 タスク 1 [トラブルシューティング] を選択します。 2 アプライアンス ツリーで、tcpdump を作成するアプライアンスを選択し、[パケット追跡] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 273 9 認証 インスタント メッセージング認証 3 [コマンドライン パラメーター] フィールドで、次のパラメーターを入力します。 "-s 0 -i any port 389" このポート パラメーターにより、Web Gateway は暗号化されていないポートを介して LDAP サーバーに接続し ます。トラブルシューティングの場合、このポートが必要です。 4 [tcpdump の開始] をクリックします。 5 問題を再現し、[tcpdump の停止] をクリックします。 6 wireshark ツールで追跡結果を開きます。 ldap.bindResponse 表示フィルターを使用して、LDAP サーバ ーからの応答を検索します。 サーバーの応答には通常、LDAP、Active Directory、他のエラー コードが含まれています。 たとえば、サーバーの 応答に以下の行が含まれているとします。 "invalidCredentials (80090308: LdapErr: DSID-0c09030f, comment: AcceptSecurityContext error, data 773, vece)" 773 は Active Directory のエラー コードで、ユーザー パスワードの変更が必要なことを表しています。 インスタント メッセージング認証 インスタント メッセージング認証は、ネットワークのユーザーに権限がない場合は、インスタント メッセージング サービスを通じて Web にアクセスできないようにします。認証プロセスはユーザー情報をルックアップし、未認証 のユーザーを認証するかどうかを問い合わせます。 このプロセスには、以下の要素が含まれています。 • プロセスを制御する認証ルール • 認証モジュール。別のデータベースからユーザーに関する情報を取得します。 認証ルールは Web に対してアクセスを要求したユーザーの認証に関する情報をログするためにイベントを使用でき ます。 この場合、ロギング モジュールもまたプロセスに含まれます。 認証ルール アプライアンスのデフォルトでは、インスタント メッセージング認証は実装御されませんが、ライブラリから IM 認証ルール セットをインポートできます。 このルール セットには、Web アクセスを要求しているユーザーがすでに認証されているかどうかを確認するために ユーザー情報をルックアップするルールが含まれています。情報のルックアップに使用される方式はユーザー デー タベース方式です。 ユーザー データベースで情報が見つからない権限をもたないユーザーは、認証のために資格情報を送信するように指 示されます。 別のルールは、ユーザーが認証されるか、権限を持たないユーザーについては資格情報を求めるために、認証サーバ ー方式を使用して情報をルックアップします。 認証モジュールはこれらのルールによりコールされ、適切なデータベースからユーザー情報を取得します。 ライブラリ ルール セットのルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき ます。 274 McAfee Web Gateway 7.6.0 製品ガイド 認証 インスタント メッセージング認証 9 認証モジュール 認証モジュール(エンジンとも呼ばれる)は、内部または外部データベースからのユーザーを認証するために必要な 情報を取得します。このモジュールは認証ルールによりコールされます。 ユーザー情報を取得するために別の方法は、モジュール設定で指定されます。適宜、2 つの設定がインスタント メッ セージング通信のライブラリ ルール セットに表示されます。 • IM 認証サーバーのユーザー データベース • 認証サーバー IM これらの設定は、ルール セット ライブラリ がライブラリからルールセットがインポートされるときに実装されま す。 たとえば、認証サーバー方式の元でユーザー情報が取得されたサーバーを指定するためなどに、これらの設定をを行 うことができます。 ログ記録モジュール インスタント メッセージング認証のライブラリ ルール セットには、認証関連のデータをログするルールが含まれ る。たとえば、Web アクセスを要求したユーザーのユーザー名や要求された Web オブジェクトの URL などです。 ログ記録は FileSystemLogging モジュールにより処理され、この設定を行うこともできます。 インスタント メッセージ認証の構成 インスタント メッセージ認証を実行し、ネットワークの要件に合わせることができます。 以下の高レベル手順を完了します。 タスク 1 ライブラリから IM 認証ルール セットをインポートします。 2 ルール セットのルールを確認し、必要に応じて修正します。 たとえば、次の変更を行います。 3 • ユーザー データベースまたは認証サーバー方法の認証モジュールの設定を変更します。 • インスタント メッセージの認証に関する情報をロギングするように、ロギング モジュールの設定を変更しま す。 変更を保存します。 インスタント メッセージ認証の認証モジュールの構成 認証モジュールを構成し、インスタント メッセージ サービスのユーザーを認証する必要がある情報を取得する方法 を指定します。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。 ライブラリからルール セットをインポートした場合、これは IM 認証です。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示]が選択されていることを確認します。 McAfee Web Gateway 7.6.0 製品ガイド 275 9 認証 インスタント メッセージング認証 4 認証モジュールを呼び出すルールを検索します。 ライブラリ ルール セットには、ユーザー データベースに対してクライアントを認証する および 証されていない クライアントを認証サーバーにリダイレクトするがあります。 5 ルール条件で、構成する設定の設定名をクリックします。 Authentication.uthenticate プロキシの隣にこの名前が表示されます。 ライブラリ ルール セットでは、これは IM 認証サーバーのユーザー データベースまたは認証サーバー IM 設定 です。 [設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。 6 必要に応じて、これらの設定を構成します。 7 [OK]をクリックしてウィンドウを閉じます。 8 [変更の保存]をクリックします。 関連トピック: 245 ページの「認証設定」 インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 ファイル システム ログ記録モジュールを構成し、インスタント メッセージ認証に関連する情報をログ記録する方法 を指定できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。 ライブラリからルール セットをインポートした場合、これは IM 認証です。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 ファイル システム ログ記録モジュールを呼び出すルールを検索します。 ライブラリ ルール セットでは、これはルール認証ページの表示です。 5 ルール イベントで、モジュールの設定名をクリックします。 ライブラリ ルール セットでは、この名前は IM ログ記録です。 [設定の編集]ウィンドウが開きます。ファイル システム ログ記録モジュールの設定を提供します。 6 必要に応じて、これらの設定を構成します。 7 [OK]をクリックしてウィンドウを閉じます。 8 [変更の保存]をクリックします。 関連トピック: 580 ページの「ファイル システム ログ設定」 276 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 インスタント メッセージング認証 IM 認証ルール セット IM 認証ルール セットは、インスタント メッセージング認証のライブラリ ルール セットです。 ライブラリ ルール セット-IM 認証 条件 — Always サイクル — Requests (and IM), responses, embedded objects 以下のルール セットは、このルール セット内にネストされています。 • IM 認証サーバー • IM プロキシ IM 認証サーバー このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取 得のために、ユーザー データベース方式を適用します。 ネストされたライブラリ ルール セット-IM 認証サーバー 条件– Authentication.IsServerRequest equals true サイクル — Requests (and IM), responses, embedded objects ルール セットの条件は、インスタント メッセージング サービスのユーザーの認証がリクエストされた場合、ルール セットが適用されると指定します。 このルール セットは、以下のルールを含みます。 ユーザー データベースに対してクライアントを認証する Authentication.Authenticate<User Database at IM Authentication server> equals false–> Authenticate<IM 認証> このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー ルの条件にあるプロパティに従う設定が、この認証のためのユーザー データベース方法を指定します。 ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。 アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。 次のユーザー リクエストが受信されるときに、処理は続行されます。 認証ページの表示 Always–> Redirect<Show IM Authenticated> — Set User-Defined.logEntry = “[” + DateTime.ToISOString + “]”” + URL.GetParameter (“prot”) + ““auth”” + Authentication.Username + ““ ”” + URL.GetParameter (“scrn”) + “““ McAfee Web Gateway 7.6.0 製品ガイド 277 9 認証 ワンタイム パスワード FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging> このルールは、インスタント メッセージングのユーザーによってクライアントから認証サーバーに送信されたリク エストをリダイレクトし、ユーザーにリダイレクトのことを通知するためにメッセージを表示します。 アクション設定が、IM 認証の表示のテンプレートがメッセージに使用されるように指定します。 このルールはイベントも使用し、認証リクエストのログ エントリーの値を設定します。ログ ファイルにこのエント リーを書き込むのに 2 つめのイベントを使用します。このイベントのパラメーターがログ エントリーを指定しま す。 イベントの設定はログ ファイル、およびそれが維持される方法を指定します。 IM プロキシ このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取 得のために、認証サーバー方式を適用します。 ネストされたライブラリ ルール セット-IM プロキシ 条件-Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true サイクル — Requests (and IM), responses, embedded objects ルール セットの条件は、ユーザーがインスタント メッセージング プロトコルの下での接続でチャット メッセージま たはファイルを送信して、メッセージがアプライアンスからユーザーにすでに返信できる場合に適用されるルール セ ットを指定します。 ルール セットには、以下のルールが含まれます。 認証されていないユーザーを認証サーバーにリダイレクトする Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM 認 証> このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー ルの条件にあるプロパティに従う設定が、この認証での認証サーバー方法を指定します。 ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。 アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。 次のユーザー リクエストが受信されるときに、処理は続行されます。 ワンタイム パスワード Web Gateway では、ユーザー認証にワンタイム パスワード (OTP) を使用できます。クォータの期限切れで Web セッションが終了した場合、許可オーバーラードのパスワードを使用できます。 ユーザーが Web アクセス要求を送信すると、Web Gateway で使用可能な他の認証方法で認証が実行されます。た とえば、内部ユーザー データベースに保存された情報に基づいて認証が実行されます。 ワンタイム パスワードの使用を設定すると、2 番目の方法としてこの認証方法が実行されます。Web Gateway は、 Web アクセスにワンタイム パスワードが必要であることをユーザーに通知します。ユーザーがワンタイム パスワ ードを要求すると、ユーザー名を McAfee One Time Password (McAfee OTP) サーバーに送信し、パスワードを 要求します。 ® 要求が承認されると、McAfee OTP サーバーがワンタイム パスワードを戻します。ただし、このパスワードは Web Gateway に公開されません。McAfee OTP サーバーは、応答のヘッダー フィールドにコンテキスト情報を追加しま す。 278 McAfee Web Gateway 7.6.0 製品ガイド 認証 ワンタイム パスワード 9 このコンテキスト情報により、ユーザーに表示されるページのパスワード フィールドと送信ボタンが提供されます。 ユーザーは、このボタンをクリックしてワンタイム パスワードを送信し、要求した Web オブジェクトにアクセスで きます。 Web Gateway でワンタイム パスワードの使用を実装するには、ルール セット ライブラリからルール セットをイ ンポートします。ルール セットをインポートすると、デフォルトの値が設定されます。これらの設定は、ネットワー クの要件に合わせて調整することができます。 たとえば、McAfee OTP サーバーの IP アドレスやホスト名、Web Gateway からの要求を待機するポートなどは設 定が必要です。 McAfee OTP サーバーでの認証に使用する Web Gateway のユーザー名とパスワードも必要です。 Web Gateway と McAfee OTP サーバー間の通信を SSL で保護する場合には、この通信で使用する証明書をインポ ートする必要があります。 Web Gateway と連動して認証プロセスを処理するように McAfee OTP サーバーを設定する必要があります。 許可オーバーライドのワンタイム パスワード ネットワーク内の Web 利用にクォータ制限が設定されている場合、ワンタイム パスワードを使用して、クォータ期 限で終了する Web セッションの期限を延長することができます。 許可オーバーライドでワンタイム パスワードの使用を実装するには、ライブラリから別のルール セットをインポー トします。これにより、認証プロセスの設定を行うことができます。 McAfee Pledge デバイスのワンタイム パスワードの使用 ® McAfee Pledge デバイスが提供するワンタイム パスワードをユーザーの認証や許可オーバーライドに使用できま す。 この方法を認証プロセスのワンタイム パスワードとして有効にするには、適切なルール セットをルール セットライ ブラリからインポートして実装する必要があります。インポートを行うと、認証プロセスの設定が実装されます。 McAfee Pledge デバイスの使用方法については、この製品のマニュアルを参照してください。 ユーザー認証にワンタイム パスワードを設定する ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。 タスク 1 ルール セット ライブラリから「認証サーバー (OTP による時間/IP ベースのセッション)」ルール セットをイ ンポートします。 McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、 「認証サーバー (OTP と Pledge を使 用した時間/IP ベースのセッション)」をインポートします。 このルール セットは、認証 ルール セット グループにあります。 2 ワンタイム パスワードを設定します。 3 変更を保存します。 Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ ュアルを参照してください。 McAfee Web Gateway 7.6.0 製品ガイド 279 9 認証 ワンタイム パスワード 許可オーバーライドにワンタイム パスワードを設定する 許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。 タスク 1 ルール セット ライブラリから「OTP を使用する許可オーバーライド」ルール セットをインポートします。 McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、 「OTP と Pledge を使用する許可オー バーライド」をインポートします。 このルール セットは、警告/クォータ ルール セット グループにあります。 2 ワンタイム パスワードを設定します。 3 変更を保存します。 Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ ュアルを参照してください。 ワンタイム パスワードを設定する ワンタイム パスワードを処理するルール セットをインポートすると、ワンタイム パスワードにデフォルトの値が設 定されます。ネットワーク要件に合わせて、この設定を変更します。 認証と許可オーバーライドで同じ設定のワンタイム パスワードを使用することはできません。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーの [エンジン] ブランチで、[認証] を展開します。 3 ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。そうでない場合には、手 順 4 に進みます。 a [OTP] をクリックします。 設定パネルに OTP の設定が表示されます。 b [ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション で共通の認証設定を行います。 c [IP 認証サーバー] をクリックします。 設定パネルに IP 認証サーバーの設定が表示されます。 d [IP 認証サーバー固有のパラメーター] セクションで設定を行います。必要であれば、他のセクションで共通 の認証設定を行います。 e [認証サーバーのユーザー データベース] をクリックします。 認証サーバーにあるユーザー データベースの設定が設定パネルに表示されます。 f [ユーザー データベース固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション で共通の認証設定を行います。 手順 5 に進みます。 4 許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。 a [OTP] をクリックします。 設定パネルに OTP の設定が表示されます。 280 McAfee Web Gateway 7.6.0 製品ガイド 認証 ワンタイム パスワード b 5 9 [ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション で共通の認証設定を行います。 [変更を保存] をクリックします。 認証サーバー (OTP による時間/IP ベースのセッション) ルール セット 認証サーバー (OTP による時間/IP ベースのセッション) ルール セットは、ワンタイム パスワードによるユーザー認 証を有効にするライブラリ ルール セットです。 ライブラリ ルール セット - 認証サーバー (OTP による時間/IP ベースのセッション) 条件 - Always サイクル - 要求 (IM) このルール セットには、以下のルール セットがネストされています。 • 有効な認証セッションの確認 • 認証サーバー 有効な認証セッションの確認 このルールは、ユーザーが認証サーバーでまだ認証されていない場合に、クライアントから送信されたユーザーの要 求を認証サーバーにリダイレクトします。 ネストされたライブラリ ルール セット - 有効な認証セッションの確認 条件 - Authentication.IsServerRequest equals false AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "SSL" OR Connection.Protocol equals "HTTPS" OR Connection.Protocol equals "IFP") サイクル - 要求 (IM) 通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない 場合、このルール セットが適用されます。 このルール セットには、以下のルールが含まれます。 ホスト名の修正 Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –> Continue – Set URL.Host = SSL.Server.Certificate.CN このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、 この変更が必要になります。この値は、この通信で使用される証明書の共通名になります。 このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名にワイルドカードの使用が許可されてい ない場合に適用されます。 有効なセッションがないクライアントを認証サーバーにリダイレクトする Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not equal "CONNECT" –> Authenticate<Default> Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバーのユーザー デ ータベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP アドレスが評価 されます。 McAfee Web Gateway 7.6.0 製品ガイド 281 9 認証 ワンタイム パスワード Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。 いずれの条件も満たしていない場合、ユーザーは証明書の送信を要求されます。このアクションは、指定された設 定で実行されます。 理想的な条件でセッションを再度確認する Authentication.CacheRemainingTime less than 400 AND Connection.Protocol equals "HTTP" AND Command.Name equals "GET" –> Authenticate<Default> 特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、ユーザ ーが要求を送信した後に再度認証を要求します。 この処理は、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。 このルールは、デフォルトでは有効になっていません。 認証サーバー ユーザーが有効なワンタイム パスワードを送信したときに、Web アクセス要求を転送します。有効なワンタイム パ スワードが入力されなかった場合、ユーザーに認証を要求します。 最初の認証では、認証サーバーにあるユーザー データベースの情報が使用されます。認証に成功すると、Web アク セスにもワンタイム パスワードが必要であることが通知されます。このパスワードは、ユーザーの要求を処理すると きに Web Gateway に送信されます。 ネストされたライブラリ ルール セット - 認証サーバー 条件 - Authentication.IsServerRequest equals true サイクル - 要求 (IM) このルール セットは、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に適用されま す。 このルール セットには、以下のルールが含まれます。 有効な OTP が入力された場合にリダイレクトする Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication Server> Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信し たユーザーが正常に認証されているかどうか確認します。 認証に成功すると、Web アクセスが許可され、認証サーバーから要求した Web オブジェクトにリダイレクトされ ます。 無効な OTP が入力された場合に停止する Authentication.Failed equals true –> Block<Authorized Only> Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信したユーザ ーが認証されていないかどうか確認します。 認証できない場合、要求がブロックされ、要求がブロックされたこととその理由が通知されます。 ユーザー データベースでユーザーを認証する Authentication.Authenticate<User Database at Authentication Server> equals false –> Authenticate<Default> 282 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ワンタイム パスワード Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを送信したユーザ ーが認証サーバーのユーザー データベースで認証されているかどうかを確認します。 認証されていない場合、ユーザーに認証を要求します。 要求時に OTP を送信する Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP> このルール セットの前のルールがすべて適用されなかった場合、Web アクセスを要求したユーザーは有効なワン タイム パスワードを送信していませんが、認証サーバーのユーザー データベースで認証されています。 このルールが処理されると、Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情 報がヘッダーに存在するどうか確認します。 存在する場合、ユーザーにワンタイム パスワードを送信します。 クライアントに認証データを戻す Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> – Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>) Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報がヘッダーに存在するかど うか確認します。 存在する場合、要求をブロックし、ワンタイム パスワードの送信要求を行ったユーザーにメッセージを送信しま す。 ワンタイム パスワードの認証プロセスに関するコンテキスト情報付きのヘッダーをブロック メッセージに追加し ます。 最初のイベント パラメーターには、追加するヘッダー情報を指定します。2 つ目のパラメーターは、ワンタイム パ スワード認証プロセスに関する情報を値として含むプロパティです。これが追加する情報のソースになります。 要求をブロックして OTP を提供する Always –> Block<Authentication Server OTP> このルール セットの前のルールがすべて適用されない場合、このルールのブロック アクションが常に実行されま す。 このアクションでは、ルールの処理を停止します。要求は転送されません。 このアクションの設定に従って、ユーザーにメッセージが送信され、Web アクセスにワンタイム パスワードが必 要であることを通知し、Web Gateway から取得するように指示します。 「OTP を使用する許可オーバーライド」ルール セット 「OTP を使用する許可オーバーライド」ルール セットは、許可オーバーライドでワンタイム パスワードの使用を有 効にするライブラリ ルール セットです。 ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド 条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT" サイクル - 要求 (IM) このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求 でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。 このルール セットには、以下のルール セットがネストされます。 • OTP を検証する • OTP が必要か? McAfee Web Gateway 7.6.0 製品ガイド 283 9 認証 ワンタイム パスワード OTP を検証する このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。 ネストされたライブラリ ルール セット — OTP を検証する 条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true サイクル - 要求 (IM) このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき にルール セットが適用されます。 このルール セットには、以下のルールが含まれます。 OTP を検証する Authentication.Authenticate<OTP> equals false –> Block<Authorized Only> このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。 条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。 指定した設定でブロック アクションが実行されます。 セッションが検証された場合に元のページにリダイレクトする Always –> Redirect<Default> 許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルール セットの先行ルールは適用されず、このルールで処理が続行します。 このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。 指定した設定でリダイレクト アクションが実行されます。 OTP が必要か? このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在 する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。 ネストされたライブラリ ルール セット — OTP が必要か? 条件 - URL.Host matches *mcafee.com* サイクル - 要求 (IM) このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在する場合に、ル ール セットが適用されます。 このルール セットには、以下のルールが含まれます。 要求時に OTP を送信する Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP> 要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい ます。 このルールが処理されます。このルールは、Header.Exists プロパティを使用して、ワンタイム パスワードの送 信要求を含む情報が要求のヘッダーに存在するかどうか確認します。 条件を満たす場合、ユーザーにワンタイム パスワードを送信します。 284 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ワンタイム パスワード クライアントに認証データを戻す Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> – Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>) Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報が要求のヘッダーに存在す るかどうか確認します。 要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい ます。 条件を満たす場合、要求は転送されず、ユーザー認証に関する情報が特定のプロパティ値に設定されます。 指定した設定でブロック アクションが実行されます。ブロックの理由を通知するメッセージがユーザーに送信さ れます。 イベントが提供する情報は、OTP.Context イベント パラメーターで指定します。この情報を設定するプロパティ は第 2 パラメーターに指定します。 要求をブロックして OTP を提供する Always –> Block<Authentication Server OTP> 要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、このルールのアクションが常に実 行されます。 ルールの処理を停止します。要求は転送されません。このアクションの設定では、ワンタイム パスワードが Web Gateway から取得できることを通知するメッセージがユーザーに送信されます。 「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ル ール セット 「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セットは、McAfee Pledge デバ イスが提供するワンタイム パスワードを使用してユーザーを認証するライブラリ ルール セットです。 ライブラリ ルール セット - 認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション) 条件 - Always サイクル - 要求 (IM) このルール セットには、以下のルール セットがネストされます。 • 有効な認証セッションの確認 • 認証サーバー 有効な認証セッションの確認 このネストされたルールは、ユーザーが認証サーバーで認証されていない場合に、クライアントから送信された要求 を認証サーバーにリダイレクトします。 ネストされたライブラリ ルール セット - 有効な認証セッションの確認 条件 - Authentication.IsServerRequest equals false AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "SSL" OR Connection.Protocol equals "HTTPS" OR Connection.Protocol equals "IFP") サイクル - 要求 (IM) McAfee Web Gateway 7.6.0 製品ガイド 285 9 認証 ワンタイム パスワード 通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない 場合、このルール セットが適用されます。 このルール セットには、以下のルールが含まれます。 ホスト名を修正 Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –> Continue – Set URL.Host = SSL.Server.Certificate.CN このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、 この値が必要になります。この値は、この通信で使用される証明書の共通名になります。 このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名でのワイルドカードの使用が許可されて いない場合に適用されます。 有効なセッションがないクライアントを認証サーバーにリダイレクトする Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not equal "CONNECT" –> Authenticate<Default> このルールは、Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバ ーのユーザー データベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP アドレスが評価されます。 Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。 いずれの条件も満たしていない場合、ユーザーに証明書の送信を要求します。このアクションは、指定した設定で 実行されます。 理想的な条件でセッションを再度確認する Authentication.CacheRemainingTime less than 400 AND Connection.Protocol equals "HTTP" AND Command.Name equals "GET" –> Authenticate<Default> 特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、要求の 送信後に再認証をユーザーに要求します。 これは、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。 このルールは、デフォルトでは有効になっていません。 認証サーバー このルール セットは、ユーザーが McAfee Pledge デバイスから取得した有効なワンタイム パスワードを送信した ときに、Web アクセス要求を転送します。 有効なワンタイム パスワードが入力されなかった場合、ユーザーに認証を要求します。 まず、認証サーバーにある ユーザー データベースにある情報で認証が実行されます。 認証に成功すると、Web へのアクセス時に McAfee Pledge デバイスのワンタイム パスワードが必要になることが ユーザーに通知されます。 ネストされたライブラリ ルール セット - 認証サーバー 条件 - Authentication.IsServerRequest equals true サイクル - 要求 (IM) このルール セットの条件では、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に、ル ールセットが適用されます。 このルール セットには、以下のルールが含まれます。 286 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 ワンタイム パスワード ユーザー データベースでユーザーを認証する Authentication.Authenticate<User Database at Authentication Server> equals false –> Authenticate<Default> このルールは、Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを 送信したユーザーが認証サーバーのユーザー データベースで正しく認証されているかどうかを確認します。 条件を満たしていない場合、ユーザーに認証を要求します。 ブロック テンプレートを表示 URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP> このルールは、URL.GetParameter プロパティを使用して、McAfee Pledge デバイスから取得したワンタイム パスワードが要求の URL パラメーターとして送信されているかどうかを確認します。 パラメーターが空の場合、要求がブロックされます。Web アクセスに McAfee Pledge デバイスのワンタイム パス ワードで認証を行う必要があることを通知するメッセージがユーザーに送信されます。 OTP コンテキストを取得する Always –> Continue – Authentication.SendOTP<OTP> このルールでは、ワンタイム パスワード認証プロセスのコンテキスト情報を認証済みのユーザーに送信します。 McAfee OTP サーバーでワンタイム パスワードを検証するために、この情報が取得されます。 有効な OTP が入力された場合にリダイレクトする Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication Server> このルールは、Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パス ワードを送信したユーザーが正常に認証されているかどうか確認します。 条件を満たすと、Web アクセスが許可され、認証サーバーからリダイレクトされ、要求した Web オブジェクトに 移動します。 無効な OTP が入力された場合に停止する Authentication.Failed equals true –> Block<Authorized Only> このルールは、Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを 送信したユーザーが認証されていないことを確認します。 条件を満たすと、要求がブロックされ、要求の処理状況と理由が通知されます。 「OTP と Pledge を使用する許可オーバーライド」ルール セット 「OTP と Pledge を使用する許可オーバーライド」ルール セットは、McAfee Pledge デバイスが提供するワンタイ ム パスワードを使用して許可オーバーライドを行うライブラリ ルール セットです。 ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド 条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT" サイクル - 要求 (IM) このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求 でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。 このルール セットには、以下のルール セットがネストされます。 • OTP を検証する • OTP が必要か? McAfee Web Gateway 7.6.0 製品ガイド 287 9 認証 ワンタイム パスワード OTP を検証する このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。 ネストされたライブラリ ルール セット — OTP を検証する 条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true サイクル - 要求 (IM) このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき にルール セットが適用されます。 このルール セットには、以下のルールが含まれます。 OTP を検証する Authentication.Authenticate<OTP> equals false –> Block<Authorized Only> このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。 条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。 指定した設定でブロック アクションが実行されます。 セッションが検証された場合に元のページにリダイレクトする Always –> Redirect<Default> 許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルール セットの先行ルールは適用されず、このルールで処理が続行します。 このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。 指定した設定でリダイレクト アクションが実行されます。 OTP が必要か? このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在 する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。 ネストされたライブラリ ルール セット — OTP が必要か? 条件 - URL.Host matches *mcafee.com* AND Quota.AuthorizedOverride.SessionExceeded<Default> equals true サイクル - 要求 (IM) このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在し、許可オーバ ーライド後に継続可能な時間クォータを超えている場合にルール セットが適用されます。 このルール セットには、以下のルールが含まれます。 OTP コンテキストを取得する Always –> Continue – Authentication.SendOTP<OTP> このルールでは、認証ユーザーにワンタイム パスワードを送信します。 ユーザー認証に必要なコンテキスト情報は、McAfee OTP サーバーで検証されたワンタイム パスワードを使用して 取得します。 要求をブロックして OTP を提供する Always –> Block<OTP Required with Pledge> 288 McAfee Web Gateway 7.6.0 製品ガイド 認証 クライアント証明書認証 9 Web アクセス要求をブロックします。 このアクションの設定では、McAfee Pledge デバイスから取得したワンタイム パスワードの送信後に Web アクセ スが許可されることを通知するメッセージがユーザーに送信されます。 クライアント証明書認証 クライアント証明書の提出は、アプライアンスのユーザー インターフェースへのアクセス方法として構成できます。 この方法はクライアント証明書認証 または X.509 認証と呼ばれます。 クライアント証明書認証は、アプライアンスのプロキシ機能を構成するとき、認証手順の選択できる方法の 1 つで す。 プロキシ構成に使用する場合、以下が方法に適用されます。 • ユーザー名およびパスワードは、NTLM または LDAP など他の方法の場合と同じく、リクエストを送信するユー ザーの認証に必要ありません。 • 方法はクライアントの Web ブラウザーから、明示的プロキシ モードで構成されたアプライアンスへ SSL セキュ ア通信で送信するリクエストで実行可能です。 • この通信で使用されるプロトコルは HTTPS です。 SSL ハンドシェイクがアプライアンスとクライアント間の通信の最初の手順の 1 つとして実行されるとき、クライ アント証明書が送信されます。リクエストはそれから認証サーバーへリダイレクトされ、証明書を検証します。 有効な場合、クライアントとリクエストを最終的に適切な Web サーバーへ送信するため、認証が正常に完了します。 構成のノードとして複数のアプライアンスを実行するとき、リクエストがもともと実行されたノードの認証サーバー が存在することが重要です。 また、正常な認証の後の Web への送信は、同じモードで完了する必要があります。 クライアント証明書認証の認証サーバーの使用は、ルールによって制御されています。認証サーバー ルール セット をインポートし、ネストされたルール セットでルールを変更でき、適切な証明書の使用を有効にします。 また、方法を実行し、クライアント証明書認証を適用する必要があります。これを行うために推奨される方法は、 cookie 認証を使用することです。 この方法が実行される場合、認証はリクエストの送信元であるクライアントに必要ですが、cookie は証明書が提出 され 1 度有効であると認識された後、このクライアントに設定されます。証明書の送信は、そのクライアントからの 後続リクエストには必要ありません。 この方法で処理されたクライアント証明書認証を持つルール セットをインポートおよび変更できます。 クライアント証明書認証のための証明書の使用 クライアント証明書認証方法の下では認証を実行するさまざまなタイプの証明書が必要です。この認証は、SSL セキ ュア通信で実施されます。 クライアント証明書 クライアント証明書は、アプライアンスへ要求を送信するクライアントの識別情報を認証するために必要です。 信頼されたクライアントが送信した要求だけが受け入れられます。要求と一緒に送信された証明書が信頼できるルー ト CA (証明機関) によって署名されている場合に、クライアントが信頼されます。 クライアント証明書認証方式では、認証にクライアント証明書も使用されます。要求と共に送信された証明書が信頼 されている証明機関によって署名されている場合のみ、認証が正常に完了します。 McAfee Web Gateway 7.6.0 製品ガイド 289 9 認証 クライアント証明書認証 サーバー証明書 サーバー証明書は、SSL セキュア通信に含まれるサーバーの識別情報を認証するために必要です。 サーバーは通信の最初の段階で送信される証明書がクライアントによっても信頼されているルート CA (証明機関) によって署名されている場合のみ、クライアントにより信頼されます。 クライアント証明書認証方式では、認証サーバーにサーバー証明書も使用されます。 ルート CA ルート CA (証明書機関) は、その他の証明書に署名するインスタンスです。 SSL セキュア通信では、ルート CA は通信プロセスで表示できる証明書として表示されます。 ルート CA がクライアントまたはサーバーにより信頼される場合、それにより署名されている証明書も同様に信頼さ れ、このことは、クライアントまたはサーバーが署名済みの証明書などを送信した場合に、それが信頼されることを 意味します。 クライアント証明書認証のためのルール セット クライアント証明書認証を実装するためのルール セットは、ルール セット ライブラリで利用可能です。 認証サーバー(X509 認証の場合)ルール セット 認証サーバー(X509 認証の場合)ルール セットは、クライアント証明書認証方法の下で認証サーバーの使用を扱う ために、ネストされたいくつかのルール セットを使用します。 • • SSL エンドポイント終了 — SSL セキュア通信でリクエストの扱いを準備します • 受信 HTTPS 接続を受け付ける — 認証サーバーに送信できる証明書を示します • コンテンツ検査 — リクエストで送信されるコンテンツの検査を有効にします 認証サーバー リクエスト — 認証サーバーが正常に完了した後で、認証後にさらに処理をするアプライアンスで プロキシにリクエストをリダイレクトして戻します クッキーはリクエストが送信されたクライアントに対してセットされている場合、リクエストもまた、リダイレ クトされます。 認証は認証サーバーで正常に完了できなかった場合、ユーザーはユーザー データベースで認証の認証情報を送信 するように指示されます。 • その他すべてをブロック — 認証が正常に完了しなかったリクエストをブロックします Cookie 認証(X509 認証の場合)ルール セット Cookie 認証(X509 認証の場合)ルール セットは、クライアント証明書認証方法の使用を開始し、cookie の設定 を扱うためにいくつかのネストされたルール セットを使用します。 • 290 HTTP(S)プロキシで Cookie 認証 — cookie でクライアント証明書認証を扱うネストされたルール セットを 含みます • 認証されたクライアントの Cookie を設定する — クライアントに対して一度認証が正常に完了した後で cookie 認証を設定し、さらに処理するためのアプライアンスのプロキシにクライアントが戻すリクエストを リダイレクトします • 認証サーバーでのクライアントの認証 — cookie が認証サーバーにセットされていないクライアントから送 信されたリクエストをリダイレクトします McAfee Web Gateway 7.6.0 製品ガイド 認証 クライアント証明書認証 9 認証サーバーへのリクエストのリダイレクト クライアント認証の認証方法の下で、リクエストは送信されたクライアントの証明書を検証するための認証サーバー にリダイレクトされます。リダイレクトはアプライアンスの特別なリスナー ポートまたは固有のホスト名を使用し て行うことができます。 特別なリスナー ポートの使用 リクエストは、たとえばポート 444 などの特別なリスナー ポートを使用して認証サーバーにリダイレクトできます。 アプライアンスの IP アドレスが 192.168.122. 199 であることを想定すると、リクエストは以下により認証サー バーにリダイレクトされます。 https://192.168.122.119:444/ しかし、プロキシを使用した例外がリクエストを送信するクライアントの Web ブラウザーに対して設定されている かどうかを考えることが重要です。 • プロキシ例外が設定されていません — プロキシ例外が設定されていない場合、すべてのリクエストはアプライア ンスでリスンしているプロキシ ポートに送信されます。これは、デフォルトではポート 9090 です。 ポート 9090 が設定済みのプロキシ ポートの場合、https://192.168.122.119:444/ へのリクエストさえも ポート 9090 に到着します。 ファイアウォールがネットワーク設定の一部である場合、クライアントからポート 444 への接続がない場合、フ ァイアウォール ルールからの例外は必要アありません。 リクエストが確実に認証サーバー 444 にリダイレクトされるようにするか、この目的で使用する別の値にリダイ レクトされるようにするためには、認証サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロ パティに対して設定される必要があります。 URL.Port プロパティの値は、リクエストにより指定される URL に含まれるポートです。リクエストが実際にポ ート 9090 に到着する場合でも、これは、たとえば 444 です。 • 設定済みのプロキシ例外 — プロキシ例外は種々の理由に対して構成できます。たとえば、Web ブラウザーはロ ーカル ホストにアクセスするためのプロキシを使用しないように設定できました。 https://192.168.122.119:444/ へのリクエストは、ポート 9090 に到着しません。 ブラウザーは宛先に直接アクセスするように設定したため、ポート 444 のアプライアンスに接続を試みます。こ のことは、ポート番号 444 でリスナー ポートをセットアップする必要があることを意味します。 ファイアウォール ルールが所定の位置にある場合、ポート 444 にリクエストが到着することを許可するために、 例外もまた必要です。 リクエストが適切なルールにより確実に処理されるためには、444、またはこの目的で使用する別の値は、認証 サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロパティに対して設定される必要がありま す。 Proxy.Port プロパティの値は、リクエストが実際に到着するポートです。たとえば、認証サーバーにリダイレク トするリクエストを受け取るために、この番号をもつ@ポートをセットアップする場合、これは 444 になりま す。 一意のホスト名の使用 一意のホスト名、たとえば authserver.local.mcafee を使用して認証サーバーにリクエストをリダイレクトするこ とできます。この名前を使用して、リクエストは以下により認証サーバーにリダイレクトされます。 https://authserver.mcafee.local McAfee Web Gateway 7.6.0 製品ガイド 291 9 認証 クライアント証明書認証 リクエストが送信されるクライアントは、DNS を使用してホスト名をルックアップしようとはしません。URL はほ とんどの場合解決される可能性が低く、クライアントは接続できないからです。 リクエストが適切なルールにより確実に処理されるためには、このホスト名は認証サーバー(X509 認証の場合)ル ール セットの条件で URL.Host プロパティの値として設定されなければなりません。 クライアント証明書の認証の実施 クライアント証明書認証方式は、認証に対するリクエストと共に送信されるクライアント証明書を使用します。アプ ライアンスでこの方法を実装するためには、以下の高レベル手順を実行します。 タスク 1 認証サーバー(X509 認証の場合)ルール セットをインポートします。 2 ネストされたルール セットを変更して、適切な証明書の使用を構成します。 3 アプライアンスのプロキシ ポートを使用していない Web ブラウザーにより送信されたリクエストに対して、リ スナー ポートを構成します。 4 クライアント証明書認証が適用される方法を構成します。 クライアント証明書認証が一度適用され、正常に完了した後で、認証のために Cookie を使用するために、Cookie 認証(X509 認証用)をインポートし、変更できます。 5 アプライアンスに対してリクエストを送信するために使用される Web ブラウザーで使用される 認証サーバー(X509 認証の場合)ルール セットのインポート アプライアンスでクライアント証明書認証方式を実装するためには、この方法で認証を処理するルール セットがなけ ればなりません。この目的のために、認証サーバー(X509 認証の場合)ルール セットをインポートできます。 ルール セット ツリーの最上部にルール セットを挿入することをお勧めします。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。 3 [最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。 [ルール セット ライブラリから追加]ウィンドウが開きます。 4 [認証サーバー(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。 このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための 推奨手順の 1 つに従い、[OK] をクリックします。 ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。 5 ルール セット条件を確認し、必要に応じて変更します。 インポートした後で、条件は以下のとおりです。 URL.Port equals 444 or Proxy.Port equals 444. これにより、ルール セットはそのポートが受け取るすべてのリクエストに適用されるようになります。別のポー トを使用する場合は、ここでポート番号を指定してください。 292 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 クライアント証明書認証 サーバー証明書の使用を設定するためのルール セットの変更 認証サーバー (X509 認証の場合) ルール セットは、適切なサーバー証明書が認証サーバーに送信されるようにする ために変更する必要があります。ネストされたルール セットで変更が行われます。 別のホスト名と IP アドレスの下で認証サーバーに到達することができるため、アプライアンスが別のサーバー証明 書を毎回、送信できるようにし、ホスト名または IP アドレスが証明書の共通名と一致するようにすることになりま す。 このためには、各ホスト名または IP アドレスに対してサーバー証明書をインポートして、それをサーバー証明書の リストに追加する必要があります。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択し、[認証サーバー (X509 認証の場合)]を展開します。 2 このルール セット内にネストされた 「SSL Endpoint 終了」ルール セットを展開して、ネストされた「受信 HTTPS 接続を受け入れる」ルール セットを選択します。 3 I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。 [設定の編集]ウィンドウが開きます。 4 [SSL コンテキストの定義]セクションで、サーバー証明書のリストを見直します。 5 リストにサーバー証明書を追加するには、次の手順に従います。 a リストの上の[追加]アイコンをクリックします。 [証明書マッピングへのホストの追加]ウィンドウが開きます。 b [ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。 c [インポート]をクリックします。 [サーバー証明書のインポート]ウィンドウが開きます。 d [参照]をクリックして、インポートする証明書を参照します。 e このアクティビティを繰り返して、証明書と共にキーと証明書チェーンをインポートします。 f [OK]をクリックします。 ウィンドウが閉じ、インポートが実行されます。証明書情報が[証明書マッピングへのホストの追加]ウィンド ウに表示されます。 6 (オプション) [コメント]フィールドに、サーバー証明書に関する平文コメントを入力します。 7 [OK]をクリックします。 ウィンドウが閉じて、リストにサーバー証明書が表示されます。 8 [SSL Scanner 機能はクライアント接続にのみ適用]チェックボックスが選択されていることを確認します。 これにより、アプライアンスはネットワークのその他のサーバーに照会せずに、クライアントからの要求を受け 付けるようになります。これは、この通信では必要とされていません。 9 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 10 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 293 9 認証 クライアント証明書認証 証明機関の使用を設定するためのルール セットの変更 認証サーバー(X509 認証の場合)ルール セットは、適切なルート CA(証明書機関)が確実に設定されるように変 更する必要があります。ネストされたルール セットで変更が行われます。 クライアント証明書は、アプライアンスで維持されているリストからの証明書機関により署名された場合に信頼性が あります。信頼されたクライアント証明書のインスタンスを署名するリストにすべての証明書機関をインポートする 必要があります。 タスク 1 [ポリシー] 、 [ルール セット]を選択し、[認証サーバー(X509 認証の場合)]を展開します。 2 ネストされた[SSL 認証サーバー リクエスト]ルール セットを展開します。 3 I[クライアント証明書をユーザーに問い合わせる]ルールで、[X509 認証]モジュール設定をクリックします。 [設定の編集]ウィンドウが開きます。 4 [クライアント証明書指定パラメーター]セクションで、証明書機関のリストを見直します。 5 証明書機関をリストに追加するには、 a リストの上の[追加]アイコンをクリックします。 [証明機関の追加]ウィンドウが開きます。 b [ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。 c [インポート]をクリックします。 ローカル ファイル システムにアクセスするウィンドウが開きます。 d インポートする証明書権限ファイルを参照します。 e [OK]をクリックします。 ウィンドウが閉じ、インポートが実行されます。証明書が[証明機関の追加]ウィンドウに表示されます。 6 [信頼できる]チェックボックスが選択されていることを確認します。 7 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。 8 [OK]をクリックします。 ウィンドウが閉じて、リストに証明書機関が表示されます。 9 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 10 [変更の保存]をクリックします。 アプライアンスのリクエストを受信するリスナー ポートの構成 アプライアンスへ送信されるリクエストは、プロキシ ポートまたは特別なリスナー ポートで受信できます。プロキ シ ポートはデフォルトでポート 9090 です。 プロキシ ポートへの到着からリクエストを防ぐプロキシの例外が作成された場合、リスナー ポートを構成する必要 があります。 294 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 クライアント証明書認証 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、リスナー ポートを構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、 ICAP、および IM)]をクリックします。 プロキシ設定が設定パネルに表示されます。 3 [HTTP プロキシ] セクションまで下にスクロールします。 4 [HTTP プロキシを有効にする]が選択されていることを確認します。 5 [HTTP ポート定義リスト]のツールバーで、[追加]アイコンをクリックします。 [HTTP プロキシ ポートの追加]ウィンドウが開きます。 6 以下のようにリスナー ポートを構成します。 a [リスナー アドレス] フィールドで、0.0.0.0:444 を入力します。 リクエストの受信を待機している異なるポートを使用する場合、ここに入力します。 b [SSL として扱われるポート] フィールドで、* を入力します。 c その他すべてのチェックボックスが選択されていることを確認します。 7 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 8 [変更の保存]をクリックします。 9 アプライアンスを再起動して、リスナー ポートの構成が有効になっていることを確認します。 Cookie 認証(X509 認証の場合)ルール セットのインポート クライアント証明書認証方式がアプライアンスで使用されるとき、Cookie 認証(X509 認証の場合)ルール セット により、この方式の使用を開始できます。 認証を必要としない機能のルール セットの後、ただし、フィルタリング機能を処理するルール セットの前にこのル ール セットを挿入することをお勧めします。 これにより、認証が失敗したためにリクエストがブロックされるときに、フィルタリング機能が実行されないように なります。これにより、リソースが節約され、パフォーマンスが改善します。 ルール セット システムがデフォルト システムに類似している場合、SSL スキャナーとグローバル ホワイトリスト ルール セットの後、ただし、コンテンツ フィルタリングと Gateway Antimalware ルール セットの前にこのルー ル セットを挿入できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 295 9 認証 クライアント証明書認証 3 [最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。 [ルール セット ライブラリから追加]ウィンドウが開きます。 4 [Cookie 認証(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。 このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための 推奨手順の 1 つに従い、[OK] をクリックします。 ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。 受信要求のリスナー ポートを変更するためのルール セットの変更 ポート 444 の代わりに使用する受信要求のリスナー ポートを設定するための Cookie 認証 (X509 認証の場合) を 変更することができます。これは、デフォルト ポートです。ネストされたルール セットで変更が行われます。 プロキシ例外がアプライアンスのプロキシ ポートに要求が到着できないようにしている場合、特別なリスナー ポー トが受信要求を受け取るために使用されなければなりません。ポート 444 またはこの目的に対して設定された別の ポートで到着する要求が認証サーバーに転送されます。 タスク 1 [ポリシー] 、 [ルールセット]を選択し、[Cookie 認証 (X509 認証の場合)]を展開します。 2 ネストされた [HTTP(S) プロキシで Cookie 認証] ルール セットを展開します。このルール セット内で、ネスト された [認証サーバーでクライアントを認証する] ルール セットを選択します。 3 I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。 [設定の編集]ウィンドウが開きます。 4 [認証サーバー固有のパラメーター] セクションで、[認証サーバー URL] フィールドの URL を確認します。 URL はデフォルトで次のとおりです。 https://$<propertyInstance useMostRecentConfiguration="false" propertyId= "com.scur.engine.system.proxy.ip"/>$:444 ルールが処理されると、$...$ の部分がアプライアンスの IP アドレスで置き換えられます。 5 別のリスナー ポートを設定するためには、ここにこのポートの番号を入力してください。 6 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 7 [変更の保存]をクリックします。 クライアント証明書のブラウザーへのインポート 適切なクライアント証明書は Web ブラウザーで使用でき、SSL で保護された通信でアプライアンスにリクエストと 共に送信される必要があります。 証明書のインポート手順は、ブラウザーにより異なり、変更される場合があります。ブラウザー メニューは、使用し ているオペレーティング システムによって異なります。 以下は、クライアント証明書を Microsoft Internet Explorer と Mozilla Firefox にインポートするための 2 つの考 えられる手順です。 296 McAfee Web Gateway 7.6.0 製品ガイド 9 認証 クライアント証明書認証 タスク • 297 ページの「クライアント証明書の Microsoft Internet Explorer へのインポート」 クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet Explorer で利用可能にできます。 • 298 ページの「クライアント証明書の Mozilla Firefox へのインポート」 クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可能にできます。 クライアント証明書の Microsoft Internet Explorer へのインポート クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet Explorer で利用可能にできます。 開始する前に 証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。 タスク 1 ブラウザーを開き、最上部のメニュー バーで、[ツール]、[インターネット オプション]を順にクリックします。 [インターネット オプション]ウィンドウが開きます。 2 [コンテンツ]タブをクリックします。 3 [証明書]セクションで、[証明書]をクリックします。 [証明書]ウィンドウが開きます。 4 [インポート]をクリックします。 [証明書のインポート ウィザード]が表示されます。 5 このウィザード ページで、次の手順に従ってください。 a [証明書のインポート ウィザードの開始]ページで、[次へ]をクリックします。 b [インポートする証明書ファイル]ページで、[参照]をクリックし、証明書ファイルを保存してある場所に移動 します。 c [ファイル名] フィールドに「*.pfx」と入力し、[Enter] キーを押します。 d 証明書ファイルを選択し、[開く]をクリックし、[次へ]をクリックします。 e [パスワード]ページで、[パスワード]フィールドにパスワードを入力します。[次へ] をクリックします。 f [証明書ストア]ページで、[証明書をすべて次のストアに配置する]をクリックします。 g 同じページの[証明書ストア]セクションで、[個人用]を選択し、[次へ]をクリックします。 h [証明書のインポート ウィザードの完了]ページで、[完了] をクリックします。 6 [OK]をクリックして表示されるメッセージを確認します。 7 [閉じる]をクリックしてから[OK]ををクリックして、[証明書]と[インターネット オプション]を閉じます。 McAfee Web Gateway 7.6.0 製品ガイド 297 9 認証 管理者アカウント クライアント証明書の Mozilla Firefox へのインポート クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可 能にできます。 開始する前に 証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。 タスク 1 ブラウザーを開き、最上部のメニュー バーで、[ツール]、[オプション]を順にクリックします。 [オプション]ウィンドウが開きます。 2 [詳細設定] をクリックして、[暗号化] をクリックします。 3 [暗号化] タブの[証明書] セクションで [証明書の表示] をクリックします。 [証明書マネージャー]ウィンドウが開きます。 4 [インポート]をクリックします。 ローカルのファイル マネージャーが開きます。 5 保存した証明書ファイルに移動し、[開く]をクリックします。 6 必要に応じて、パスワードを入力し、次に[OK]をクリックします。 管理者アカウント 管理者アカウントは、アプライアンスまたは外部サーバーでセットアップおよび管理することができます。ロールは 管理者の異なるアクセス権限で作成できます。 管理者アカウントの追加 初期セットアップの際にアプライアンス システムで作成されたアカウントに、管理者アカウントを追加できます。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 [内部管理者アカウント]で、[追加]をクリックします。 [管理者の追加]ウィンドウが開きます。 3 アカウントのユーザー名、パスワード、および他の設定を追加します。次に、[OK]をクリックします。 ウィンドウが閉じて、アカウント リストに新しいアカウントが表示されます。 4 [変更の保存]をクリックします。 関連トピック: 299 ページの「管理者アカウントの設定」 298 McAfee Web Gateway 7.6.0 製品ガイド 認証 管理者アカウント 9 管理者アカウントの編集 初期設定時にアプライアンス システムにより作成されるものを含め、管理者アカウントを編集できます。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 [内部管理者アカウント]で、[編集]をクリックします。 アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア カウントのみを表示できます。 [管理者の編集]ウィンドウが開きます。 3 必要に応じてアカウントの設定を編集します。次に、[OK]をクリックします。 ウィンドウを閉じると、アカウントがアカウント リストに変更が表示されます。 4 [変更の保存]をクリックします。 関連トピック: 299 ページの「管理者アカウントの設定」 管理者アカウントの削除 少なくとも 1 つでも残れば、管理者アカウントも削除することができます。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 [内部管理者アカウント]で、アカウントを選択し、[削除]をクリックします。 アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア カウントのみを表示できます。 削除を確認するためのウィンドウが開きます。 3 [変更の保存]をクリックします。 管理者アカウントの設定 管理者アカウント設定は、管理者の認証情報とロールを構成するために使用されます。 管理者アカウントの設定 管理者アカウントの設定 表 9-19 管理者アカウントの設定 オプション 定義 [ユーザー名] 管理者のユーザーの名前を指定します。 [パスワード] 管理者パスワードを設定します。 [パスワードの繰り 返し] パスワードを繰り返して確認します。 McAfee Web Gateway 7.6.0 2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ ードを新しく設定]を選択する必要があります。 製品ガイド 299 9 認証 管理者アカウント 表 9-19 管理者アカウントの設定 (続き) オプション 定義 [ロール] 管理者のロールを選択するためのリストを提供します。 [追加]および[編集]オプションを使用して、ロールを追加および編集できます。 追加および編集されたロールは管理者ロールのリストに表示されます。 [名前] アカウントが設定された人物の本名を指定します。 この名前の構成はオプションです。 現在の設定でテスト 特定の認証情報を持つ管理者がアプライアンスで許可されるかどうかのテストの設定 表 9-20 現在の設定でテスト オプション 定義 [ユーザー] テストされるユーザー名を指定します。 [パスワード] テストされるパスワードを指定します。 [テスト] テストの実行。 テストの結果を表示するために、[認証テスト結果]ウィンドウが開きます。 管理者のロールの管理 管理者アカウントを構成するために、ロールを作成して、使用できます。 1 つの管理者ロールは初期設定時にアプライアンス システムによりすでに作成されています。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 管理者ロールを追加するには、以下の手順に従います。 a [ロール]で、[追加]をクリックします。 [ロールの追加]ウィンドウが開きます。 b [名前]フィールドで、ロール名を入力します。 c ダッシュボード、ルール、リスト、および他の項目でのアクセス権限を構成します。 d [OK]をクリックします。 ウィンドウが閉じて、管理者ロールのリストに新しいロールが表示されます。 3 [編集]および[削除]オプションをロールの編集と削除と同じように使用します。 4 [変更の保存]をクリックします。 新しく追加されたり、編集されるロールは、管理者アカウントに割り当てることができます。 関連トピック: 301 ページの「管理者のロールの設定」 300 McAfee Web Gateway 7.6.0 製品ガイド 認証 管理者アカウント 9 管理者のロールの設定 管理者のロールの設定は、管理者に割り当てられたロールの構成に使用されます。 管理者のロールの設定 管理者のロールの設定 表 9-21 管理者のロールの設定 オプション 定義 [ユーザー名] 管理者のユーザーの名前を指定します。 [パスワード] 管理者パスワードを設定します。 [パスワードの繰り 返し] パスワードを繰り返して確認します。 [ロール] 管理者のロールを選択するためのリストを提供します、 2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ ードを新しく設定]を選択する必要があります。 [追加]および[編集]オプションを使用して、ロールを追加および編集できます。 追加および編集されたロールは管理者ロールのリストに表示されます。 [名前] アカウントが設定された人物の本名を指定します。 この名前の構成はオプションです。 外部アカウントの管理の構成 管理者アカウントを外部認証サーバーで管理し、外部的に保存されているユーザー グループおよび個々のユーザーを アプライアンスのロールにマッピングすることができます。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 [管理者アカウントは外部ディレクトリ サーバーで管理する]をクリックします。 追加の設定が表示されます。 3 [認証サーバーの詳細]で、外部サーバーの設定を構成します。 これらの設定は、アプライアンスの認証モジュールがサーバーから情報を取得する方法を決定します。 4 [認証グループ = ロール マッピング]の設定を使用して、外部サーバーに保存されているユーザー グループおよ び個々のユーザーをアプライアンスのロールにマップします。 a [追加]をクリックします。 [グループ/ユーザーのロール 名マッピングの追加] ウィンドウが開きます。 b 必要に応じてグループまたはユーザーと一致するフィールドの隣のチェックボックスを選択し、フィールド内 にグループまたはユーザーの名前を入力します。 c [OK]をクリックします。 d [マッピングされるロール]で、ロールを選択します。 McAfee Web Gateway 7.6.0 製品ガイド 301 9 認証 管理者アカウント e [OK]をクリックします。 ウィンドウが閉じ、リストに新しいマッピングが表示されます。 f [変更の保存]をクリックします。 同じ方法で[編集]および[削除]オプションを使用し、マッピングを編集および削除できます。 302 McAfee Web Gateway 7.6.0 製品ガイド 10 クォータの管理 クォータ管理は Web の使用状況をネットワークのユーザーに通知する手段です。このようにして、ネットワークの リソースとパフォーマンスが過剰な影響を受けないようにすることができます。 クォータとその他の制限は次のいくつかの方法で開始されます。 • 時間クォータ — ユーザーが Web の使用に費やすことができる時間を制限します • ボリューム クォータ — ユーザーが Web の使用に費やすことができるボリュームを制限します • 警告 — ユーザーが Web 使用料に費やすことができる時間を制限しますが、制限しないことにした場合、設定し た時間制限を超えることができます • 権限のあるオーバーライド — 警告と同じ方法で Web の使用にユーザーが費やすことができる時間を制限しま す しかし、時間制限は権限のあるユーザーのアクションによってのみ超えることができます。たとえば、教室の先 生などです。 • ブロッキング セッション — Web オブジェクトのアクセスをユーザーが試みた後に指定の時間だけ Web への アクセスをブロックします。その場合、アクセスは許可されません クォータとその他の制限は手段を個別に、または組み合わせて課することができます。 目次 Web ページ上でクォータおよびその他の制限を課す 時間のクォータ ボリュームのクォータ 警告 許可オーバーライド セッションのブロック クォータのシステム設定 Web ページ上でクォータおよびその他の制限を課す クォータ管理プロセスでネットワークのユーザーにクォータなどの制限を設定すると、Web の利用方法を制限し、 ネットワーク リソースの消費を抑えることができます。 クォータ管理プロセスでは、機能の異なる複数の要素が実行されます。 • クォータ管理ルールがプロセスを制御します。 • ルールがクォータ管理リストを使用して、ユーザーと特定の Web オブジェクト (URL、IP アドレスなど) に制限 を設定します。 • ルールによって呼び出されたクォータ管理モジュールが時間とボリュームのクォータ、セッション時間、プロセ スの制約事項を処理します。 McAfee Web Gateway 7.6.0 製品ガイド 303 10 クォータの管理 Web ページ上でクォータおよびその他の制限を課す 初期セットアップ後、デフォルトでは、Web Gateway にクォータ管理プロセスは実装されません。このプロセスを 実装するには、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリ シーの要件に従ってプロセスを変更します。 クォータ管理を設定する場合、次のルールを使用できます。 • ルールのキー要素 - クォータ管理用のライブラリ ルール セットをインポートして、このセットをル ール セット ツリーでクリックすると、クォータ管理プロセス ルールのキー要素を表示し、設定する ことができます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、クォータ管理プロセス のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー ルの削除を行うことができます。 変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 クォータ管理ルール クォータとその他の制限の管理を制御するルールは、時間クォータまたはコーチング ルール セットなど、制限のタ イプに応じて異なるルール セットに含まれています。 これらのルール セットのルールは、時間やボリュームに設定された制限を超えているかどうかをチェックし、最終的 にさらに Web アクセスが要求された場合にそれをブロックします。これらはまた、ユーザーが新しいセッションで 続行することにするときに、要求をリダイレクトします。 クォータ管理ルール セットはデフォルトのルール セット システムでは実装されませんが、ルール セット ライブラ リからインポートできます。ライブラリ ルール セット名は時間のクォータ、ボリュームのクォータ。警告、許可オ ーバーライド、セッションのブロックです。 ライブラリ ルール セットで実装されるルールを見直し、それらを変更または削除し、また固有のルールを作成する こともできます。 クォータ管理リスト クォータおよびその他の制限の管理のためのルール セットは、Web オブジェクトとユーザーのリストを使用して、 制限を適宜、課します。このリストには、ルール セットの条件が含まれます。 たとえば、リストは多くの URL を含み、時間のクォータ ルール セットはその条件にこのリストをもっています。 すると、このルール セットとその中のルールは、ユーザーがリスト上の URL のアクセスする場合のみ適用されま す。IP アドレスまたはメディア タイプのリストも同じように使用できます。 このリストにエントリを追加したり、エントリを削除することが可能です。固有のリストも作成して、クォータ管理 ルール セットで使用することができます。 クォータ管理モジュール クォータ管理モジュール (またはエンジンと呼ばれる) は、クォータ管理プロセスの時間とボリュームのパラメータ ーを扱い、使った時間またはボリュームと残りの時間またはボリューム、セッション時間、およびその他の値に関し て調べるために、プロセスのルール チェックによりチェックされます。 それぞれのタイプの制限に対してモジュールがあります。たとえば、時間のクォータまたは警告モジュールです。 これらのモジュールを設定することにより、クォータ管理プロセスに適用する時間とボリュームを指定します。たと えば、時間のクォータ モジュールを設定するときは、ユーザーは 1 日当たり何時間何分、特定の URL または IP ア ドレスをもつ Web オブジェクトにアクセスできるかを指定します。 304 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 Web ページ上でクォータおよびその他の制限を課す 10 セッション時間 クォータ管理モジュールに対してできる設定の中に、セッション時間もあります。これは、ユーザーが 1 回のセッシ ョンで Web の使用にかけられる時間です。 セッション時間は、時間のクォータ、ボリュームのクォータ、およびクォータ管理機能のその他のパラメーター0に 対して、個別に設定され、それぞれ異なる処理が行われます。 • 時間のクォータのセッション時間-時間のクォータを構成する場合、セッション時間を構成する必要があります。 ユーザーはセッション時間を経過するたびに、セッション時間として構成されている時間の量がユーザーの時間 のクォータから差し引かれます。 時間のクォータが使い切られていない限り、ユーザーは新しいセッションを開始できます。時間のクォータを超 過した場合、ユーザーが送信する要求はブロックされて、ブロック メッセージが表示されます。 • ボリュームのクォータのセッション時間-ボリュームのクォータを構成する場合、セッション時間はユーザーの ボリュームのクォータに影響しません。 それでも、Web アクセスに使用された時間の量をユーザーに通知するために、セッション時間を構成することは できます。セッションの時間を経過する場合、構成されたボリュームが消費されていない限り、ユーザーは新し いセッションを開始することができます。 セッション時間を 0 に設定すると、セッション時間は構成およびユーザーに通知されなくなります。 • 他のクォータ管理機能のセッション時間-セッション時間は警告、許可オーバーライド、およびセッションのブ ロックを含む他のクォータ管理機能に対しても構成できます。それにより、警告、許可オーバーライド、または セッションのブロックも利用できます。 警告および許可オーバーライドでセッション時間が経過した場合、ユーザーが送信する要求はブロックされます。 要求がブロックされた理由を説明するメッセージがユーザーに表示されます。時間のクォータも構成されていて それが使い切られていない限り、ユーザーは新しいセッションを開始することができます。 セッションのブロックに対して設定されるセッション時間は、特定のユーザーにより送信された要求中にブロッ クされる時間を示します。この時間が経過すると、時間のクォータが構成されていてそれが使い切られていない 限り、ユーザーからの要求は再び許可されるようになります。 クォータ管理機能の組み合わせ 特定のクォータ管理機能を使用して Web の使用を制限することは、他のクォータ管理機能の使用に影響を与えませ ん。たとえば、時間のクォータとボリュームのクォータはアプライアンスで別々に実装されます。 しかし、これらの機能を意味のある方法に組み合わせることができます。 たとえば、いくつかの URL カテゴリーへのアクセスでは警告を指定すると同時に、他のカテゴリーでは許可オーバ ーライドの認証情報を要求することができます。 さらに他のカテゴリーのグループで、アクセスを試行するユーザーを構成された期間ブロックすることができます。 McAfee Web Gateway 7.6.0 製品ガイド 305 10 クォータの管理 時間のクォータ 時間のクォータ 時間のクォータを構成することで、ネットワークのユーザーが Web の使用にかけられる時間を制限できます。 時間のクォータは、以下のさまざまなパラメーターに関連する可能性があります。 • URL カテゴリー-時間のクォータが URL カテゴリーに関連する場合、ユーザーは特定のカテゴリー、たとえば、 オンライン ショッピングなどに該当する URL にアクセスするために制限された時間のみが許可されます。 • IP アドレス-時間のクォータが IP アドレスに関連する場合、特定の IP アドレスからリクエストを送信するユ ーザーは Web の使用のために制限された時間のみが許可されます。 • ユーザー名-時間のクォータがユーザー名に関連する場合、ユーザーは Web の使用のために制限された時間のみ が許可されます。アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。 これらのパラメーターは、時間のクォータのためにあるライブラリ ルール セットのルールによって使用されます。 時間のクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。 ユーザーが Web を使用している時間は、アプライアンスに保存されています。あるユーザーに対して構成されてい る時間のクォータを超過した場合、このユーザーが送信するリクエストはブロックされます。ユーザーに対してリク エストがブロックされた理由を説明するメッセージが表示されます。 認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、 Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ るいは許可されます。 Web の使用は、1 日、1 週間、1 月あたりの時間に制限できます。 時間のクォータの構成 時間のクォータを構成し、Web の使用に費やすネットワークのユーザーの時間を制限できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セットのツリーで、時間のクォータのルールを含むルール セット、たとえば、[時間のクォータ] ライブ ラリ ルール セットを拡張します。 ネストされたルール セットが表示されます。 3 適切なネストされてるルール セットを選択します。 たとえば、URL カテゴリに関連する時間のクォータを構成するには、[URL 構成での時間のクォータ ]を選択し ます。 一般的な設定とルール セットのルールは、設定パネルで表示されます。 4 ルール セットの条件で、[時間のクォータの URL カテゴリ ブラックリスト]のリスト名を選択します。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 5 ブロック リストに URL カテゴリを追加します。次に、[OK] をクリックして、ウィンドウを閉じます。 6 1 つのルールの条件で、[URL カテゴリの構成]設定名をクリックします。 [設定の編集]ウィンドウが開きます。 306 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 時間のクォータ 10 7 セッション時間と、1 日、1 週間、および 1 月あたりの時間のクォータを構成します。次に、[OK] をクリック して、ウィンドウを閉じます。 8 [変更の保存]をクリックします。 時間のクォータの設定 時間のクォータ設定は、時間のクォータ管理を処理するモジュールを構成するために使用されます。 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間 時間のクォータの設定 時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。 表 10-1 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間 オプション 定義 [1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータがセ ッション時間に適用されます。 の時間のクォータ] [セッション時間] これが選択されていると、次のセクションで構成されるクォータがセ ッション時間に適用されます。 ... の時間(時間と分数) . . 選択された時間単位またはセッション時間に適用する時間のクォータを構成するための設定 このセクションの見出しは、前のセクションで選択された項目によって異なります。 たとえば、1週間当たりの時間クォータを選択している場合、見出しは1週間当たりの時間クォータの時間と分と表 示されます。 表 10-2 ... の時間(時間と分数) . . オプション 定義 [時間] 1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される時間数を設定します。 [分] 1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される分数を設定します。 実際の構成された時間のクォータ 構成された時間のクォータの表示 表 10-3 実際の構成された時間のクォータ オプション 定義 [1 日あたり(1 週間あたり、1 月あたり)の時間の 許容される 1 日、1 週間、または 1 月あたりの時間を示し クォータ] ます。 [セッション時間] 許容されるセッション時間を示します。 時間のクォータ ルール セット j 時間のクォータ ルール セットは、Web 使用量に時間のクォータを課するライブラリ ルール セットです。 ライブラリ ルール セット-時間のクォータ 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) McAfee Web Gateway 7.6.0 製品ガイド 307 10 クォータの管理 時間のクォータ このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて いない他の通信方法にも適用されることを指定しています。 以下のルール セットは、このルール セット内にネストされています。 • URL 構成での時間のクォータ • IP 構成での時間のクォータ このルール セットは、初期状態では有効になっていません。 • 認証済みユーザーの構成での時間のクォータ このルール セットは、初期状態では有効になっていません。 URL 構成での時間のクォータ このネストされたルール セットは、URL カテゴリーに関連する時間のクォータを処理します。 ネストされたライブラリ ルール セット-URL 構成での時間クォータ 条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota サイクル - Requests(and IM) ルール セットの条件は、ユーザーが URL カテゴリーに関連する時間クォータのブロックリストにカテゴリーが分類 される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。 ルール セットは、以下のルールを含みます。 新しい時間セッション開始後にリダイレクト Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session Activation> このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 時間セッションを超過したか確認する Quota.Time.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionTimeSessionBlocked> このルールは Quota.Time.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間を 超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ れます。 プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設 定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 時間のクォータを超過したか確認する Quota.Time.Exceeded<URL Category Configuration> equals true –> Block<ActionTimeQuotaBlocked> このルールは Quota.Time.Exceeded プロパティを使用し、ユーザーが構成された時間のクォータを超過した かどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックされます。 プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設 定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 308 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 ボリュームのクォータ 10 IP 構成での時間のクォータ このネストされたルール セットは、IP アドレスに関連する時間のクォータを処理しています。 ネストされたライブラリ ルール セット-IP 構成での時間クォータ 条件-Client.IP is in list 時間のクォータの IP ブラックリストのリスト サイクル - Requests(and IM) ルール セットの条件は、ユーーが IP アドレスに関連する時間クォータのブロックリストにある IP アドレスで、ク ライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。 このルール セットのルールは、 [IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での 時間のクォータルール セットと同じです。 認証済みユーザーの構成での時間のクォータ このネストされたルール セットは、ユーザー名に関連する時間のクォータを処理しています。 ネストされたライブラリ ルール セット-認証済みユーザーの構成での時間クォータ 条件-Authenticated.RawUserName is in list 時間のクォータのユーザー ブラックリスト サイクル - Requests(and IM) ルール セットの条件は、ユーザー名に関連した時間クォータのブロックリストにユーザー名があるユーザーによりリ クエストが送信されるとき、ルール セットが適用されることを指定しています。 このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構 成での時間のクォータルール セットと同じです。 ボリュームのクォータ ボリュームのクォータを構成することで、ネットワークのユーザーが Web からダウンロードできる Web オブジェ クトのボリューム(GB および MB で測定)を制限できます。 ボリュームのクォータは、以下のさまざまなパラメーターに関連する可能性があります。 • URL カテゴリー-ユーザーには、特定のカテゴリー、たとえば、ストリーミング メディアなどに該当する URL を使用する場合は、制限されたボリュームのみ、Web オブジェクトのダウンロードが許可されています。 • IP アドレス-特定の IP アドレスからダウンロードのリクエストを送信するユーザーには、制限されたボリュー ムのみが許可されています。 • ユーザー名-ユーザーはある制限されたボリュームまで Web オブジェクトのダウンロードが許可されています。 アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。 • メディア タイプ-ユーザーはある制限されたボリュームまで特定のメディア タイプに属する Web オブジェク トのダウンロードが許可されています。 これらのパラメーターは、ボリュームのクォータのためにあるライブラリ ルール セットのルールによって使用され ます。ボリュームのクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。 ユーザーが Web からダウンロードするボリュームについての情報は、アプライアンスに保存されます。あるユーザ ーに対して構成されているボリュームのクォータを超過した場合、このユーザーが送信するリクエストはブロックさ れます。ユーザーに対してリクエストがブロックされた理由を説明するメッセージが表示されます。 認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、 Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ るいは許可されます。 McAfee Web Gateway 7.6.0 製品ガイド 309 10 クォータの管理 ボリュームのクォータ Web のダウンロードは、1 日、1 週間、1 月あたりにダウンロードされるボリュームに制限できます。 ボリュームのクォータの構成 ボリュームのクォータを構成し、Web の使用中に消費するネットワークのユーザーのボリュームを制限できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セットのツリーで、ボリュームのクォータのルールを含むルール セット、たとえば、[ボリュームのクォ ータ] ライブラリ ルール セットを拡張します。 ネストされたルール セットが表示されます。 3 適切なネストされたルール セット、たとえば、[IP 構成でのボリュームのクォータ]を選択します。 一般的な設定とルール セットのルールは、設定パネルで表示されます。 4 ルール セットの条件で、適切なブロック リスト名、たとえば、[ボリュームのクォータの IP ブロックリスト]を クリックします。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 5 ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン ドウを閉じます。 6 1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。 [設定の編集]ウィンドウが開きます。 7 適切なパラメーター、たとえば、セッション時間と、1 日あたり、1 週間あたり、および 1 月あたりのボリュー ムのクォータなどを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。 8 [変更の保存]をクリックします。 ボリューム クォータの設定 ボリュームのクォータ設定は、ボリュームのクォータ管理を処理するモジュールを構成するために使用されます。 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ ボリュームのクォータの設定 時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。 表 10-4 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ オプション 定義 [1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータが選 択した時間単位に適用されます。 のボリュームのクォータ] [セッション時間] これが選択されていると、次のセクションで構成されるクォータがセ ッション時間に適用されます。 ... のボリューム . . 選択された時間単位またはセッション時間に適用するボリュームのクォータを構成するための設定 310 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 ボリュームのクォータ 10 このセクションの見出しは、前のセクションで選択された項目によって異なります。 たとえば、1週間当たりのボリュームのクォータを選択している場合、見出しは1週間当たりのボリュームのクォー タの時間と分と表示されます。 たとえば、セッション時間を選択している場合、見出しは時間と分と表示されます。 表 10-5 ... のボリューム . . オプション 定義 [GiB] ボリュームに許可される GiB の数を指定します。 [MIB] ボリュームに許可される MiB の数を指定します。 実際の構成されたボリュームのクォータ 構成されたボリュームのクォータを表示する 表 10-6 実際の構成されたボリュームのクォータ オプション 定義 [1 日あたり(1 週間あたり、1 月あたり)のボリュ ームのクォータ] 許容される 1 日、1 週間、または 1 月あたりのボリューム を示します。 [セッション時間] 許容されるセッション時間を示します。 ボリュームのクォータ ルール セット ボリューム クォータ ルール セットは、Web 使用量にボリューム クォータを課するライブラリ ルール セットです。 ライブラリ ルール セット-ボリュームのクォータ 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) このルール セットの条件は、ルール セットが SSL セキュア 通信に加え、CONNECT コマンドが最初に使用され ていない他の通信方法にも適用されることを指定しています。 以下のルール セットは、このルール セット内にネストされています。 • URL 構成での時間のクォータ • IP 構成での時間のクォータ このネストされたルール セットは、初期状態では有効になっていません。 • 認証済みユーザーの構成での時間のクォータ このネストされたルール セットは、初期状態では有効になっていません。 ライブラリ ルール セット-ボリュームのクォータ 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて いない他の通信方法にも適用されることを指定しています。 McAfee Web Gateway 7.6.0 製品ガイド 311 10 クォータの管理 ボリュームのクォータ 以下のルール セットは、このルール セット内にネストされています。 • URL 構成でのボリュームのクォータ • IP 構成でのボリュームのクォータ このルール セットは、初期状態では有効になっていません。 • 認証済みユーザーの構成でのボリュームのクォータ このルール セットは、初期状態では有効になっていません。 • メディア タイプの構成でのボリュームのクォータ このルール セットは、初期状態では有効になっていません。 URL 構成でのボリュームのクォータ このネストされたルール セットは、URL カテゴリーに関連するボリュームのクォータを処理します。 ネストされたライブラリ ルール セット-URL 構成でのボリュームのクォータ 条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota サイクル - Requests(and IM) ルール セットの条件は、ユーザーが URL カテゴリーに関連するボリュームのクォータのブロックリストにカテゴリ ーが分類される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。 ルール セットは、以下のルールを含みます。 新しい時間セッション開始後にリダイレクト Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –> Redirect<Redirection After Volume Session Activation> このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。 プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー ルの設定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 ボリューム セッションを超過したか確認する Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionVolumeSessionBlocked> このルールは Quota.Volume.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間 を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロック されます。 プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー ルの設定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 ボリュームのクォータを超過したか確認する Quota.Time.Exceeded<URL Category Configuration> equals true –> Block<ActionVolumeSessionBlocked> このルールは Quota.Volume.Exceeded プロパティを使用し、ユーザーが構成されたボリュームのクォータを 超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ れます。 312 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 ボリュームのクォータ 10 プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー ルの設定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 IP 構成でのボリュームのクォータ このネストされたルール セットは、IP アドレスに関連するボリュームのクォータを処理しています。 ネストされたライブラリ ルール セット-IP 構成でのボリュームのクォータ 条件-Client.IP is in list ボリュームのクォータの IP ブラックリスト サイクル - Requests(and IM) ルール セットの条件は、ユーーが IP アドレスに関連するボリュームのクォータのブロックリストにある IP アドレ スで、クライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。 このルール セットのルールは、 [IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での ボリュームのクォータルール セットと同じです。 認証済みユーザーの構成でのボリュームのクォータ このネストされたルール セットは、ユーザー名に関連するボリュームのクォータを処理しています。 ネストされたライブラリ ルール セット-認証済みユーザーの構成でのボリュームのクォータ 条件-Authenticated.RawUserName is in list ボリュームのクォータのユーザー ブラックリスト サイクル - Requests(and IM) ルール セットの条件は、ユーザー名に関連したボリュームのクォータのブロックリストにユーザー名があるユーザー によりリクエストが送信されるとき、ルール セットが適用されることを指定しています。 このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構 成でのボリュームのクォータルール セットと同じです。 メディア タイプの構成でのボリュームのクォータ このネストされたルール セットは、メディア タイプに関連するボリュームのクォータを処理しています。 ネストされたライブラリ ルール セット-メディア タイプの構成でのボリュームのクォータ 条件 – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota サイクル - Requests(and IM) ルール セットの条件は、ユーザーがボリュームのクォータ管理のために特別に維持されているブロック リストにあ るメディア タイプに属する Web オブジェクト リクエストを送信するときに、ルール セットが適用されることを指 定しています。 このルール セットのルールは、[メディア タイプ構成]であるルール条件に表示されるモジュール セットを除き、 URL 構成でのボリュームのクォータルール セットと同じです。 McAfee Web Gateway 7.6.0 製品ガイド 313 10 クォータの管理 警告 警告 警告クォータを構成することおで、ネットワークのユーザーが Web を使用する時間を制限できますが、続行を選択 する場合は許可されます。 ユーザーの Web の使用について警告を出すには、特定期間の警告セッションを構成します。ユーザーのこのセッシ ョン時間が経過すると、ブロック メッセージが表示されます。すると、ユーザーは新しいセッションの開始を選択で きます。 URL カテゴリ、IP アドレス、およびユーザー名などの警告ライブラリ ルール セットで使用されているパラメーター に関連する警告を構成することができます。他のパラメーターを使用して独自のルールを作成することもできます。 警告の構成 警告を構成してネットワークのユーザーに対して Web の使用を制限できますが、構成された時間制限を過ぎた後に Web の使用を選択したときに続行を許可します。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セットのツリーで、警告のルールを含むルール セット、たとえば、[警告] ライブラリ ルール セットを拡 張します。 ネストされたルール セットが表示されます。 3 適切なネストされたルール セット、たとえば、[IP 構成での警告]を選択します。 一般的な設定とルール セットのルールは、設定パネルで表示されます。 4 ルール セットの条件で、適切なブロック リスト名、たとえば、[警告の IP ブラックリスト]をクリックします。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 5 ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン ドウを閉じます。 6 1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。 [設定の編集]ウィンドウが開きます。 7 セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。 8 [変更の保存]をクリックします。 警告設定 警告設定は、警告を処理するモジュールを構成するために使用されます。 セッション時間の時間と分数 警告セッションの期間を構成するための設定 314 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 警告 10 表 10-7 セッション時間の時間と分数 オプション 定義 [日] 警告セッションの日数を設定します。 [時間] 警告セッションの時間数を設定します。 [分] 警告セッションの分数を設定します。 警告ルール セット 警告ルール セットは、実行を選択した場合ユーザーが送信できる Web の使用状況に制限が課せられるライブラリ ルール セットです。 ライブラリ ルール セット-警告 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて いない他の通信方法にも適用されることを指定しています。 以下のルール セットは、このルール セット内にネストされています。 • URL 構成で警告 • IP 構成で警告 このルール セットは、初期状態では有効になっていません。 • 認証済みユーザーの構成で警告 このルール セットは、初期状態では有効になっていません。 URL 構成で警告 このネストされたルール セットは、URL カテゴリに関連する警告を処理します。 ネストされたライブラリ ルール セット-URL 構成で警告 条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching サイクル - Requests(and IM) ルール セットの条件は、ユーザーが URL カテゴリに関連する警告のブロック リストに該当するカテゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。 ルール セットは、以下のルールを含みます。 新しい警告セッション開始後にリダイレクト Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching Session Activation> このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 警告セッションを超過したか確認する Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionCoachingSessionBlocked> McAfee Web Gateway 7.6.0 製品ガイド 315 10 クォータの管理 許可オーバーライド このルールは Quota.Coaching.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時 間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ クされます。 プロパティとともに指定される[URL カテゴリの構成]設定は、警告を処理するためのモジュールの設定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 IP 構成での警告クォータ このネストされたルール セットは、IP アドレスに関連する警告を処理します。 ネストされたライブラリ ルール セット-IP 構成で警告 条件-Client.IP is in list 警告の IP ブラックリスト サイクル - Requests(and IM) ルール セットの条件は、ユーザーが警告のために IP アドレスに関連するブロック リストにある IP アドレスを有す るクライアントからリクエストを送信するときに、ルール セットが適用されることを指定しています。 このルール セットのルールは、ルール条件のモジュール設定に表示される IP 構成を除き、URL 構成での警告ルー ル セットと同じです。 認証済みユーザーの構成で警告 このネストされたルール セットは、ユーザー名に関連する警告を処理します。 ネストされたライブラリ ルール セット-認証済みユーザーの構成で警告 条件-Authenticated.RawUserName is in list 警告のユーザー ブラックリスト サイクル - Requests(and IM) ルール セットの条件は、ユーザーがユーザー名に関連する警告のためにブロック リストにユーザー名がリストされ ているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。 このルール セットのルールは、ルール条件のモジュール設定に表示される 認証されたユーザー構成を除き、URL 構 成での警告ルール セットと同じです。 許可オーバーライド 許可オーバーライドを許可するセッションでは、セッション時間を構成できます。 このセッション時間が経過すると、ユーザー リクエストはブロックされ、ブロック メッセージが表示されます。こ のメッセージでは、新しいセッションを開始するためにユーザー名とパスワードの提出も求められます。 これらの認証情報は、許可されているユーザーのものである必要があります。たとえば、教室の状況で、許可オーバ ーライド セッションの終了後にブロックされるユーザーは生徒であり、許可されたユーザーは教師だということはあ り得ます。 ユーザーの認証は、構成された認証方法に従って実行されます。しかし、この方法を構成するとき、統合認証モード を含むことはできません。 ブロック メッセージは、ブロックされたユーザーの許可オーバーライド セッションの期間を指定するオプションも 提供しています。 このユーザーのために構成される期間は、許可オーバーライドのモジュール設定の一部として、すべての他のユーザ ーのために構成されている期間を超えない必要があります。 316 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 許可オーバーライド 10 URL カテゴリ、IP アドレス、およびユーザー名などのライブラリ ルール セットで使用されているパラメーターに関 連する許可オーバーライドを構成することができます。他のパラメーターを使用して独自のルールを作成することも できます。 許可オーバーライドの構成 許可オーバーライドを構成し、ユーザーの Web 使用を制限できますが、許可ユーザーのアクションを通過する構成 された時間制限を許可します。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セットのツリーで、許可オーバーライドのルールを含むルール セット、たとえば、[許可オーバーライド] ライブラリ ルール セットを拡張します。 ネストされたルール セットが表示されます。 3 適切なネストされたルール セット、たとえば、[IP 構成での許可オーバーライド]を選択します。 一般的な設定とルール セットのルールは、設定パネルで表示されます。 4 ルール セットの条件で、適切なブロック リスト名、たとえば、[許可オーバーライドの IP ブラックリスト]をク リックします。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 5 ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン ドウを閉じます。 6 1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。 [設定の編集]ウィンドウが開きます。 7 セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。 8 [変更の保存]をクリックします。 許可オーバーライド設定 許可オーバーライド設定は、許可オーバーライドを処理するモジュールを構成するために使用されます。 最大セッション時間の時間と分数 許可オオーバーライドにおけるセッションの最大時間の長さを構成する設定 表 10-8 最大セッション時間の時間と分数 オプション 定義 [日] 許可オーバーライド セッションの日数を設定します。 [時間] 許可オーバーライド セッションの時間を設定します。 [分] 許可オーバーライド セッションの分数を設定します。 McAfee Web Gateway 7.6.0 製品ガイド 317 10 クォータの管理 許可オーバーライド 許可オーバーライド ルール セット 許可オーバーライド ルール セットは、許可ユーザーのアクションを通して通すことができる、Web の使用状況に時 間制限を課するライブラリ ルール セットです。 ライブラリ ルール セット-許可オーバーライド 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて いない他の通信方法にも適用されることを指定しています。 以下のルール セットは、このルール セット内にネストされています。 • URL 構成で許可オーバーライド • IP 構成で許可オーバーライド このルール セットは、初期状態では有効になっていません。 • 認証済みユーザーの構成で許可オーバーライド このルール セットは、初期状態では有効になっていません。 URL 構成で許可オーバーライド このネストされたルール セットは、URL カテゴリに関連する許可オーバーライドを処理します。 ネストされたライブラリ ルール セット-URL 構成で許可オーバーライド 条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized Override サイクル - Requests(and IM) ルール セットの条件は、ユーザーが URL カテゴリに関連する許可オーバーライドのブロック リストに該当するカテ ゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。 ルール セットは、以下のルールを含みます。 許可オーバーライドの認証の後にリダイレクトする Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After Authorized Session Activation> このルールは、セッション時間を超過した後に、ユーザーに再び Web オブジェクトと、新しいセッションが検証 された状態で続行するためにユーザーが提出した認証情報にアクセスできるように、リクエストをリダイレクトし ます。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 許可オーバーライド セッションを超過したか確認する Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –> Block<Action Authorized Override Blocked> このルールは Quota.AuthorizedOverride.SessionExceeded プロパティを使用し、ユーザーが構成された セッション時間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエ ストはブロックされます。 プロパティとともに指定される[URL カテゴリの構成]設定は、許可オーバーライドを処理するためのモジュール の設定です。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 318 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 セッションのブロック 10 IP 構成で許可オーバーライド このネストされたルール セットは、IP アドレスに関連する許可オーバーライドを処理します。 ネストされたライブラリ ルール セット-IP 構成で許可オーバーライド 条件-Client.IP is in list IP Blocklist for Authorized Override サイクル - Requests(and IM) ルール セットの条件は、ユーザーが許可オーバーライドのために IP アドレスに関連するブロック リストにある IP アドレスを有するクライアントからリクエストを送信するときに、ルール セットが適用されることを指定していま す。 このルール セットのルールは、ルール条件のモジュール設定の IP 構成を除き、URL 構成で許可オーバーライド ル ール セットと同じです。 認証済みユーザーの構成で許可オーバーライド このネストされたルール セットは、ユーザー名に関連する許可オーバーライドを処理します。 ネストされたライブラリ ルール セット-認証済みユーザーの構成で許可オーバーライド 条件-Authenticated.RawUserName is in list User Blocklist for Authorized Override サイクル - Requests(and IM) ルール セットの条件は、ユーザーがユーザー名に関連する認可オーバーライドのためにブロック リストにユーザー 名がリストされているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。 このルール セットのルールは、ルール条件のモジュール設定の 認証済みユーザーの構成を除き、URL 構成で許可オ ーバーライド ルール セットと同じです。 セッションのブロック セッションのブロックを構成することで、構成された期間にユーザーによって送信されたリクエストをブロックでき ます。 許可されていないカテゴリに分類した URL のリクエストなど、ユーザーが構成ルールに従ってブロックするリクエ ストを送信した後、セッションのブロックが課せられます。 これは Web オブジェクトへの不要なアクセスをより厳格に処理する Web セキュリティ ポリシーを施行する方法 の 1 つです。 ライブラリ ルール セットに使用されているパラメーターに関連するセッションのブロックを構成できます。他のパ ラメーターを使用して独自のルールを作成することもできます。 ブロック セクションの構成 許可されていない Web オブジェクトにアクセスを試みた後、ブロック セクションを構成し、構成された期間にわた ってユーザーのセッションをブロックできます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セットのツリーで、セッションのブロックのルールを含むルール セット、たとえば、[セッションのブロ ック] ライブラリ ルール セットを拡張します。 ネストされたルール セットが表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 319 10 クォータの管理 セッションのブロック 3 適切なネストされたルール セット、たとえば、[IP 構成でのセッションのブロック]を選択します。 一般的な設定とルール セットのルールは、設定パネルで表示されます。 4 ルール セットの条件で、適切なブロック リスト名、たとえば、[セッションのブロックの IP ブラックリスト]を クリックします。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し ます。 [リストの編集(カテゴリ)]ウィンドウが開きます。 5 ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン ドウを閉じます。 6 1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。 [設定の編集]ウィンドウが開きます。 7 セッションのブロック期間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを 閉じます。 8 [変更の保存]をクリックします。 ブロック セッションの設定 ブロック セッション設定は、ブロック セッションを処理するモジュールを構成するために使用されます。 セッション時間の時間と分数 セッションのブロックの期間を構成するための設定 表 10-9 セッション時間の時間と分数 オプション 定義 [日] セッションのブロックの日数を設定します。 [時間] セッションのブロックの時間数を設定します。 [分] セッションのブロックの分数を設定します。 セッションのブロック ルール セット セッションのブロック ルール セットは、許可されていない Web オブジェクトへのアクセスを試みた後、Web セッ ションのブロックのライブラリ ルール セットです。 ライブラリ ルール セット-セッションのブロック 条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” サイクル - Requests(and IM) このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて いない他の通信方法にも適用されることを指定しています。 以下のルール セットは、このルール セットでネストされています。URL 構成でセッションのブロック URL 構成でセッションのブロック このネストされたルール セットは、URL カテゴリに関連するセッションのブロックを処理します。 320 McAfee Web Gateway 7.6.0 製品ガイド クォータの管理 クォータのシステム設定 10 ネストされたライブラリ ルール セット-URL 構成でセッションのブロック 条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking Sessions サイクル - Requests(and IM) ルール セットの条件は、ユーザーが URL カテゴリに関連するセッションのブロックのブロック リストに該当するカ テゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。 ルール セットは、以下のルールを含みます。 セッションのブロックがアクティブな場合、ユーザーをブロックする BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking Session Template> このルールは、BlockingSession.IsBlocked プロパティを使用して、リクエストを送信するユーザーに対して セッションのブロックがアクティブにされているかどうか確認します。アクティブな場合は、リクエストがブロッ クされます。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 カテゴリがセッションのブロックのカテゴリ リストにある場合、セッションのブロックをアクティブにする URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue — BlockingSession.Activate<Blocking Session Configuration> このルールは、URL.Categories プロパティを使用して、ユーザーがアクセスをリクエストする URL が、セッシ ョンのブロック用に特別に維持されているブラックリストのカテゴリに該当するかどうかを確認します。リストに あるカテゴリに該当する場合、セッションのブロックはそのユーザーに対してアクティブにされます。 BlockingSession.Activate イベントは、セッションのブロックをアクティブにするために使用されます。イベ ント設定は、イベントで指定されます。 クォータのシステム設定 クォータのシステム設定は、クォータ管理に関連する時間間隔の一般的な設定です。 アプライアンスが一元管理構成のノードの場合、その他ノードとのデータ同期の時間間隔も設定できます。 これらの設定は、[構成]トップレベル メニューの[アプライアンス]タブで構成されます。 [警告]の名前(クォータではなく)で表示されることもありますが、クォータ管理に提供されるすべてのオプション にどちらの場合も適用されます。 (許可オーバーライド、セッションのブロック、警告、時間のクォータ、ボリューム のクォータ)。 同期と保存のクォータの間隔(分) クォータ管理に関連する時間間隔の設定 表 10-10 同期と保存のクォータの間隔(分) オプション 定義 [保存間隔] 現在のクォータの値がアプライアンスに保存される前に経過する時間(分)を指定値に制限します。 保存されるクォータ値は、たとえば、ユーザーによって消費されたバイト数です。 [更新されたク 一元管理の構成において、現在のクォータの値がアプライアンスからすべてのノードに分配される ォータのデー 前に経過する時間(分)を指定値に制限します。 タを送信する 分配されるデータには、最後にアプライアンスからデータが分配された後に発生したクォータの値 間隔] への変更が含まれます。 McAfee Web Gateway 7.6.0 製品ガイド 321 10 クォータの管理 クォータのシステム設定 表 10-10 同期と保存のクォータの間隔(分) (続き) オプション 定義 [基本同期の間 一元管理の構成において、クォータの値がすべてのノードで同期される前に経過する時間(分)を 隔] 指定値に制限します。 この同期は、すべてのアプライアンスにある現在のクォータ値のスナップショットをとります。個 々のユーザーにとって最新である値は、すべてのアプライアンスに分配されます。 値は、一時的に非アクティブであって、その間に更新を受信しなかったノードにも分配されます。 さらに、値は構成に新しく追加されたノードに分配されるため、以前の更新は受信されません。 [~ 後にデー クォータのデータベースでデータが削除されるまでの最小時間(日数)を指定値に制限します。 タベースをク リーンアップ] データが削除される前に、データが無効であるかどうかの確認が実行されます。クォータ管理機能 のために構成された時間間隔が経過した場合、データは無効です。 たとえば、特定のバイトの量が 1 か月の間に消費されるボリュームのクォータとして構成されてい る場合、次の月が始まると、ユーザーが実際に消費した量は無効になります。すると、[~ 後にデ ータベースをクリーンアップ]オプションで構成されている時間も経過している場合、クリーンアッ プはこのデータを削除します。 時間のクォータの場合、保存されているデータは 1 月で無効になります。他のクォータ管理機能で は、他の時間間隔もクリーンアップに関連しています。たとえば、警告と許可オーバーライドでは、 許容されているセッション時間が経過する前はクリーンアップを実行することできません。 322 McAfee Web Gateway 7.6.0 製品ガイド 11 Web フィルタリング ネットワーク上のユーザーが Web アクセス要求を送信すると、Web Gateway はこれらの要求をフィルタリングし ます。また、Web から戻される応答もフィルタリングします。要求や応答に埋め込まれたオブジェクトもフィルタ リングします。 Web フィルタリングは、様々な方法で実行されます。フィルタリングを制御するルールは、組織の Web セキュリテ ィ ポリシーの要件に合わせて変更し、適用することができます。 Web Gateway では、次のデフォルト フィルタリングが用意されています。 • ウイルスとマルウェアのフィルタリング - ウイルスまたは他のマルウェアに感染している Web オブジェクト へのアクセスをブロックします。 • URL フィルタリング - 特定の URL にある Web オブジェクトへのアクセスをブロックまたはブロックします。 • メディア タイプ フィルタリング - 特定のメディア タイプの Web オブジェクトへのアクセスをブロックまた は許可します。 グローバル ホワイトリストを使用すると、上記のフィルタリング ルールが適用される前に Web オブジェクトへの アクセスを許可することができます。SSL スキャンを使用すると、SSL セキュア通信で送信された要求をフィルタ リングできます。 目次 ウイルスおよびマルウェアのフィルタリング URL フィルタリング メディア タイプ フィルタリング アプリケーション フィルタリング ストリーミング メディア フィルタリング グローバル ホワイトリスト登録 SSL スキャン ハードウェア セキュリティ モジュール Advanced Threat Defense Data Loss Prevention McAfee Web Gateway 7.6.0 製品ガイド 323 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング ウイルスおよびマルウェアのフィルタリング ウイルスとマルウェアのフィルタリングにより、ウイルスなどのマルウェアに感染した Web オブジェクトへのアク セスを防ぐことができます。フィルタリング プロセスで感染を検出すると、アクセスをブロックします。 このプロセスでは、機能の異なる複数の要素が実行されます。 • フィルタリング ルールがプロセスを制御します。 • ルールは、ホワイトリストを使用して、ウイルスとマルウェアのフィルタリングで処理しない Web オブジェクト を識別します。 • 特定のルールによって呼び出されたマルウェア対策モジュールが Web オブジェクトをスキャンし、ウイルスなど のマルウェア感染を検出します。 初期セットアップ後、Web Gateway にはウイルスとマルウェア フィルタリングのデフォルト プロセスが実装され ています。このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。 ウイルスとマルウェアのフィルタリングを設定するときに、次のルールを使用できます。 • ルールのキー要素 - ルール セット ツリーでデフォルトの Gateway Anti-Malware ルール セッ トをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行う ことができます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、フィルタリング プロセ スのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルール の作成やルールの削除を行うことができます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 フィルタリング ルール ウイルスおよびマルウェアのフィルター処理を制御するルールは通常、1 つのルール セットに含まれます。このルー ルセットのキー ルールは、Web オブジェクトがウイルスまたはその他のマルウェアに感染している場合、Web オブ ジェクトへのアクセスがブロックされるものです。 オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに よってオブジェクトをスキャンして、ルールに結果を知らせます。 ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ ャンは行われません。 デフォルトのルール セットを実装すると、ウイルスとマルウェア フィルタリングのルール セットも実装されます。 ルールの名前は Gateway Anti-Malware です。 ホワイトリスト ホワイトリストは、ホワイトリスト登録ルールを使用することで、特定の Web オブジェクトにブロック ルールをス キップさせます。このことは、これらのオブジェクトに対してスキャニングが行われないことを意味します。URL 、 メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。 このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、ホワイト リスト登録ルールに使用させることも可能です。 ブロッキング リストはリストのエントリではなくマルウェア対策モジュールの検出に依存するため、ブロック リス トは通常ウイルスおよびマルウェアのフィルタリングでは使用されません。 324 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 11 マルウェア対策モジュール マルウェアい対策モジュールは、マルウェア対策エンジンともいわれます。 このモジュールはオブジェクトをスキャ ンし、ウイルスやその他マルウェアによる感染を検出します。 このモジュールの結果に基づいて、ブロック ルール が Web オブジェクトへのアクセスをブロックするか、または通過させます。 マルウェア対策モジュールがコールされて実行され、Web オブジェクトをスキャンすると、デフォルトで実行中の 2 つのモジュールを組み合わせます。これらのモジュールは、マルウェア対策モジュールのサブモジュールとして見 られる場合があります。それぞれのサブモジュールは、異なるスキャニング方法を使用します。 2 つのデフォルトのサブモジュールは McAfee Gateway Anti-Malware engine、および McAfee Anti-Malware engine です。後者は Web オブジェクトの感染を検出するためにウイルス署名を使用します。 しかし、この方法はすでにわかっていて、署名が登録されているウイルスおよびその他のマルウェアのみを検出でき ます。さらに上位の Web セキュリティを確保するために、McAfee Gateway Anti-Malware エンジンは新しいウイ ルスやマルウェアを検出するために積極的な方法も使用します。 マルウェア対策モジュールの設定を構成するとき、追加または単独でサードパーティのサブモジュールが実行するよ うにデフォルト モードを変更できます。 サブモジュールの一時的な過負荷を避けるために、要求がスキャニング前に移動されるマルチウェア防止キューを設 定できます。 ウイルスとマルウェアのフィルタリングにキー要素を設定する ウイルスとマルウェアのフィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフ ィルタリング プロセスを適用します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、[Gateway Anti-Malware] ルール セットを選択します。 フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。 3 必要に応じて、キー要素を設定します。 4 [変更の保存] をクリックします。 関連トピック: 325 ページの「ウイルスとマルウェアのフィルタリングのキー要素」 ウイルスとマルウェアのフィルタリングのキー要素 ウイルスとマルウェアのフィルタリング ルールのキー要素は、このフィルタリング プロセスで重要な処理を行いま す。 次のエージェントとホストでのスキャン回避 マルウェア対策によるスキャン回避のキー要素 McAfee Web Gateway 7.6.0 製品ガイド 325 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング 表 11-1 次のエージェントとホストでのスキャン回避 オプション 定義 [ユーザー エージェントのホワ イトリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用するユーザー エージ ェントのホワイトリストを編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 [URL ホストのホワイトリス ト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ホストのホ ワイトリストを編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 スキャン オプション マルウェア対策のスキャン アクティビティのキー要素 表 11-2 スキャン オプション オプション 定義 [HTTP 要求で部分 的なコンテンツを 削除] 選択すると、Web オブジェクトのコンテンツの一部にのみアクセスする HTTP または HTTPS 要求から指定部分を削除するルールが有効になります。完全なコンテンツを要求することも できます。 たおえば、Web オブジェクトがファイルの場合、Web サーバーがオブジェクト全体を送信す ると、Web Gateway でオブジェクト全体をスキャンできます。完全なスキャンにより、部分 的なスキャンでは確認できなかった脅威が検出される場合があります。 [FTP 要求で部分的 選択すると、Web オブジェクトのコンテンツの一部にアクセスする FTP 要求をブロックする なコンテンツ要求 ルールが有効になります。 をブロックする] FTP プロトコルの場合、Web オブジェクトのコンテンツを部分的にアクセスす要求で特定の 部分を削除することはできません。このため、このような要求はブロックした方がよい場合が あります。 [メディア ストリ ーム スキャナーを 使用] 選択すると、メディア ストリーム スキャナーがストリーミング メディアとして配信される Web オブジェクトをチャンク単位でスキャンします。これにより、処理速度が速くなります。 スキャンには McAfee Gateway Anti-Malware エンジンのプロアクティブ機能が使用され ますが、Web Gateway ではこの目的で使用できるエンジンはありません。 Gateway Anti-Malware の設定 マルウェア対策モジュールを設定するキー要素 表 11-3 Gateway Anti-Malware の設定 オプション 定義 [マルウェア対策スキャン を有効にする] 選択すると、マルウェア対策モジュールを呼び出すルールが有効になります。このモ ジュールが Web オブジェクトをスキャンし、ウイルスやマルウェアの感染を検査し ます。 [設定] [編集] をクリックすると、ウィンドウが開き、マルウェア対策モジュールの設定を編 集できます。 完全なルール ビューでウイルスとマルウェアのフィルタリングを設定する ネットワークの要件に合わせてウイルスとマルウェアのフィルタリングを設定し、このプロセスに適用できます。 次の手順に従います。 326 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 11 タスク 1 ルール セットで、ウイルスとマルウェアのフィルタリング ルールを確認します。 デフォルトでは、Gateway Anti-Malware ルール セットになります。 2 必要に応じて、これらのルールを設定します。 たとえば、次の変更を行います。 • ホワイトリスト ルールを有効または無効にします。 • ホワイトリスト ルールで使用するリストを編集します。 リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。 • 独自のホワイトリストを作成し、ホワイトリスト ルールで使用します。 • マルウェア対策モジュールが Web オブジェクトをスキャンするときのサブモジュールの組み合わせを変更 します。 デフォルトの組み合わせには次のサブモジュールが含まれています。 • • McAfee Gateway Anti-Malware • McAfee Anti-Malware Anti-Malware モジュールの他の設定を変更します。 3 Web オブジェクトをスキャンするモジュールの負荷を軽減するため、必要に応じてマルウェア対策のキューを設 定します。 4 変更を保存します。 マルウェア対策モジュールを設定する マルウェア対策モジュールを設定して、Web オブジェクトのスキャン方法を変更します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、ウイルスとマルウェア フィルタリングのルール セットを選択します。 デフォルトでは、Gateway Anti-Malware ルール セットになります。 ルール セットのルールが設定パネルに表示されます。 3 [詳細を表示] が選択されていることを確認します。 4 マルウェア対策モジュールを呼び出すルールを検索します。 デフォルトでは、「ウイルスを検出したらブロック」ルールになります。 5 ルールの条件で設定名をクリックします。 この名前は、Antimalware.Infected プロパティの横に表示されます。デフォルトでは、Gateway Anti-Malware になります。 [設定の編集] ウィンドウが開きます。マルウェア対策モジュールの設定が表示されます。 6 必要に応じて、これらの項目を設定します。[OK] をクリックして、ウィンドウを閉じます。 7 [変更の保存] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 327 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング 関連トピック: 329 ページの「マルウェア対策の設定」 Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 マルウェア対策モジュールの設定を構成する場合、Web オブジェクトのスキャンを実行するサブモジュールの組み 合わせを変更できます。 異なるサブモジュールをマルウェア対策モジュール (またはエンジン) の名前で実行し、スキャンを実行できます。 アプライアンスで使用できるサブモジュールは、購入したライセンスによって異なります。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 マルウェア対策の設定にアクセスします。 a ルール セット ツリーで、ウイルスとマルウェア フィルタリングのルール セットを選択します。 デフォルトでは、Gateway Anti-Malware ルール セットになります。 ルール セットのルールが設定パネルに表示されます。 b [詳細を表示]が選択されていることを確認します。 c マルウェア対策モジュールを呼び出すルールを検索します。 デフォルトで、これはルール Block if virus was found です。 d ルールの条件で設定名をクリックします。 この名前は、Antimalware.Infected プロパティの横に表示されます。デフォルトでは、Gateway Anti-Malware になります。 [設定の編集] ウィンドウが開きます。マルウェア対策モジュールの設定が表示されます。 3 [スキャン エンジンと動作を選択する] で、次のサブモジュールの組み合わせの一つを選択します。 • [Full McAfee coverage: 推奨される高度な構成] — 選択されると、McAfee Gateway マルウェア対策エン ジンおよび McAfee マルウェア対策エンジンがアクティブになります。 スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ このモジュールの組み合わせはデフォルトで有効になっています。 • [Layered coverage:Full McAfee coverage plus specific Avira engine features – minor performance impact] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ ン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがアクティブになります。 スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + いくつかの Web オブジェクトに対する他社製モジュール機能 • [Duplicate coverage:Full McAfee coverage and Avira engine – less performance and more false positives] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ ン、および他社製 Avira エンジンがアクティブになります。 スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機 能 • [Avira のみ: Avira エンジンのみの使用 — 非推奨] — 選択すると、Avira エンジンのみがアクティブになり ます。 スキャン モードは以下のとおりです。他社製モジュール機能 328 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 4 [OK]をクリックしてウィンドウを閉じます。 5 [変更の保存]をクリックします。 11 Gateway Anti-Malware のルール セットと一緒に Avira のみのオプションを選択する場合には、設定とルール セ ットの名前を変更し、キー設定が変更されたことを示します。 たとえば、Gateway Anti-Malware (設定とルール セット) を Avira Anti-Malware (設定とルール セット) に変更します。 ルール セットおよび設定の名前を変更する代わりに、追加ルール セットおよび追加設定も作成し、ルールの構成を 必要とするときに利用可能になります。 マルウェア対策の設定 [マルウェア対策]の設定は、[マルウェア対策] モジュールが Web オブジェクトをスキャンし、ウイルスなどのマル ウェアを検出する方法を設定する場合に使用します。 スキャン エンジンと動作を選択する スキャン エンジンと感染を検出した場合の動作を選択します。 スキャン エンジンは、[マルウェア対策] モジュールとともに Web オブジェクトをスキャンするサブモジュールで す。 表 11-4 スキャン エンジンと動作を選択する オプション 定義 [両方の McAfee エンジン: 高性 能な構成に推奨] 選択すると、McAfee ゲートウェイ マルウェア対策エンジンと McAfee マルウ ェア対策エンジンがアクティブになります。 Web オブジェクトは次の組み合せでスキャンされます。 プロアクティブな方法 + ウイルス シグネチャ このオプションはデフォルトで選択されています。 [段階的な対応: McAfee の両方 選択すると、McAfee ゲートウェイ マルウェア対策エンジンと McAfee マルウ のエンジンと特定の Avira エン ェア対策エンジンがアクティブになります。また、一部の Web オブジェクトで ジン機能 (パフォーマンスに対す は、サードパーティの Avira エンジンもアクティブになります。 る影響を最小にする)] Web オブジェクトは次の組み合せでスキャンされます。 プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュール の機能 (一部の Web オブジェクト) [重複対応: McAfee の両方のエ 選択すると、McAfee ゲートウェイ マルウェア対策エンジン、McAfee マルウ ンジンと Avira エンジン (パフォ ェア対策エンジン、サードパーティの Avira エンジンがアクティブになります。 ーマンスに対する影響は最も少な Web オブジェクトは次の組み合せでスキャンされます。 いが、誤検知が多くなる)] プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュール 機能 [Avira のみ: Avira エンジンのみ 選択すると、Avira エンジンのみがアクティブになります。 を使用 (非推奨)] Web オブジェクトは次の組み合せでスキャンされます。 サードパーティ モジュールの機能 [エンジンがウイルスを検出した 直後にウイルス スキャンを停止 する] McAfee Web Gateway 7.6.0 選択すると、ウイルスまたはマルウェアに感染した項目を検出するとすぐに Web オブジェクトのスキャンを停止します。 製品ガイド 329 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング モバイル コードの振る舞い モバイル コードの分類時に、リスク レベルを設定するための設定項目 リスク レベルには 60 ~ 100 の値を入力できます。 スキャン方法が極めて厳密に適用されるため、値が小さいほどモバイル コードの振る舞いを積極的にスキャンし、そ れがマルウェアであることを検出しないリスクが低くなることを意味します。 悪質な可能性の条件がわずかしか検 出されない場合でも、モバイル コードはマルウェアとして分類されます。 このため、実際には悪質でないマルウェアとしてモバイル コードが分類される可能性があります (誤検知)。 プロアクティブなセキュリティではより厳密な設定を使用しますが、どのモバイル コードが実際に悪質かを判断する 精度は劣ります。 その結果、ユーザーに配信する必要がある Web オブジェクトがアプライアンスでブロックされる 場合があります。 値を大きくすると、悪意のあるモバイル コードを検出できない可能性 (非検知) が高くなりますが、悪質なモバイル コードを正確に分類することで精度を向上させることができます (誤検知が少なくなります)。 表 11-5 モバイル コードの振る舞い オプション 定義 [分類しきい値] スライダーのスケールで前述のリスク レベルを設定します。 • 最小値 (最大の予防効果): 60 • 最大値 (最大精度): 100 330 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 11 詳細設定 すべてのスキャン サブモジュールの詳細設定 詳細設定 表 11-6 詳細設定 オプション 定義 [ウイルス対策の事前スキャンを有効にする] 選択すると、スキャンに対する負荷が軽減されるので、サブ モジュールのパフォーマンスが向上します。 [次の対象にライトウェイト パスを有効にして Web Gateway のパフォーマンスを向上させる:] このオプションはデフォルトで選択されています。 この 設定は有効にしてください。 • [共通 Web ファイル] • [共通 Web ファイルと他の危険度低のファイル] このオプションを選択すると、次の 3 つのオプションが使用 できます。 • [共通 Web ファイル、他の危険度低のファイル、 いずれかのオプションを選択すると、軽量マルウェア スキャ 信頼サイトの Web コンテンツ] ンを適用するファイルの種類を設定できます。 [選択したオプションに一致したファイルに対して 3 つ目のオプションがデフォルトで選択されています。 標準のマルウェア スキャンを続行しない] この 3 つのオプションは相互に関連しています。最初のオプ ションを設定すると、残りの 2 つのオプションは無効になり ます。 2 つ目のオプションには最初のオプションが含まれて います。3 つ目のオプションは最初のオプションと 2 番目の オプションが含まれています。 ファイルのダウンロード元が信頼できるサイトかどうか検証 するために、URL フィルター モジュールが使用されます。 ウイルスとマルウェアのフィルタリング情報を更新する と、ファイル タイプの分類 (安全、稀に攻撃される、信頼 サイトにホスティングされている) が変更される場合があ ります。 [GTI ファイル レピュテーション クエリーを有効 にする] 選択すると、Global Threat Intelligence システムから取得 したファイルのレピュテーション情報がスキャン結果に表示 されます。 [ヒューリスティック スキャンを有効にする] 選択すると、Web オブジェクトにヒューリスティック スキ ャンが適用されます。 McAfee Gateway Antimalware の詳細設定 McAfee Gateway Anti-Malware の詳細設定 表 11-7 McAfee Gateway Antimalware の詳細設定 オプション 定義 [不審なプログラムの検出を有 効にする] 選択すると、Web オブジェクトもスキャンされ、不審なプログラムの有無が確認 されます。 [モバイル コード スキャンを有 選択すると、モバイル コードがスキャンされます。 効にする] 個々の設定は、[次のモバイル コード タイプをスキャンします] で行います。 [モバイル コード フィルターが 選択すると、ここで指定したコンテンツが削除されます。 HTML 文書で検出した駆除可能 なコンテンツの駆除を有効にす る] [次のモバイル コード タイプを スキャンします] McAfee Web Gateway 7.6.0 製品ガイド 331 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング 表 11-7 McAfee Gateway Antimalware の詳細設定 (続き) オプション 定義 次のモバイル コード タイプを選択したときにスキャンが実行されます。 [Windows 実行ファイル] これらの実行ファイルを Web からダウンロードしたり、電子メールで受信する と、カレント ユーザーのフル権限で実行されるため、起動時の脅威となる可能性 があります。 [JavaScript] JavaScript コードは、Web ページだけでなく、PDF ドキュメントや動画、HTML ファイルなど、あらゆる場所に埋め込むことができます。 [Flash ActionScript] ActionScript コードは、Flash ビデオとアニメーションに埋め込まれ、Flash Player やその機能を備えたブラウザーにアクセスします。 [Java アプレット] Java アプレットは Web ページに埋め込まれます。 有効になると、デジタル証 明書とユーザーの選択に従って様々な権限レベルで実行されます。 [Java アプリケーション] Java アプリケーションは、カレント ユーザーのフル権限が付与され、単独で実 行されます。 [ActiveX コントロール] ActiveX コントロールは、Web ページと Office 文書に埋め込まれます。 有効に なると、カレント ユーザーのフル権限で実行されます。 [Windows ライブラリ] これらのライブラリは通常、セットアップ パッケージで実行ファイルと一緒に提 供されます。また、実行中のファイルまたは不正なコードが Web からダウンロ ードする場合もあります。 [Visual Basic スクリプト] Visual Basic スクリプト コードは Web ページまたは電子メールに埋め込まれ ます。 [Visual Basic for applications] Visual Basic マクロは Word、Excel、PowerPoint で作成されたオフィス ドキ ュメントに埋め込まれます。 [次の振る舞いをブロックする] 次の種類の動作を選択すると、この動作が確認された Web オブジェクトはブロックされます。 [データ窃盗: バックドア] リモートからのフル アクセスを攻撃者に許可し、既存または新しく作成されたネ ットワーク チャネルを介してシステムを乗っ取る不正なアプリケーション。 [データ窃盗: キーロガー] オペレーティング システムに侵入し、キー操作を記録して保存する不正なアプリ ケーション。 パスワードなどの取得した情報は、攻撃元に送られます。 [データ窃盗: パスワードの窃 盗] システム設定、機密データ、認証情報、ユーザー認証データなどの重要な情報を 収集、保存、外部に送信する不正なアプリケーション。 [システム侵害: コードを実行す ブラウザー、Office プログラム、マルチメディア プレーヤーなどのクライアント るエクスプロイト] アプリケーションの脆弱性を攻撃し、システムで任意のコードを実行します。 [システム侵害: ブラウザー エ クスプロイト] ブラウザー アプリケーションやプラグインの脆弱性を攻撃し、任意のコードを実 行したり、機密データを盗み出します。また、権限を昇格させる場合もあります。 [システム侵害: トロイの木馬] 無害または有益なアプリケーションを装い、攻撃を実行する不正なアプリケーシ ョン。 [ステルス攻撃: ルートキット] オペレーティング システムを操作し、感染したシステムのマルウェアの存在を隠 す不正なアプリケーションまたはデバイス ドライバー。 乗っ取られた後は、マルウェアのプロセスに関連するファイル、レジストリ キ ー、ネットワーク接続が隠蔽されるので、回復が困難になる可能性があります。 332 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 11 表 11-7 McAfee Gateway Antimalware の詳細設定 (続き) オプション 定義 [ウイルスの複製: ネットワーク 電子メール、インターネット、ピアツーピア ネットワークを介して自身を拡散さ ワーム] せる不正なアプリケーションまたはデバイス ドライバー。USB デバイスなどの リムーバブル メディアに自身をコピーして、自己複製を行います。 [ウイルスの複製: ファイル感染 新しく感染したホスト ファイルを介して拡散するため、ウイルス コードをハード 型ウイルス] ディスク上の既存のファイルに埋め込み、感染する自己複製型のアプリケーショ ン。 [システム侵害: トロイの木馬の インターネットから他のペイロードをダウンロードして実行する不正なアプリケ ーションまたはスクリプト コード。 ダウンローダー] [システム侵害: トロイの木馬の ペイロードを解凍して実行する不正なアプリケーション。 ドロッパー] [システム侵害: トロイの木馬の 侵害されたシステムを介して悪質な可能性があるネットワーク活動を中継する不 正なアプリケーション。 プロキシ] [Web の脅威: 感染した Web サイト] 不正なスクリプト コードが挿入された Web サイト。あるいは、ブラウザーで開 かれるとすぐに別の不正コードを要求する Web サイト。 最初の感染は、Web サーバーに対する SQL インジェクション攻撃により発生す る可能性があります。 [ステルス攻撃: コード インジ ェクション] 自身のコードを他のプロセス (多くの場合、正規のプロセス) にコピーするアプリ ケーション。それぞれの権限を乗っ取ったり、信頼関係を悪用します。 侵入先のシステムで自身の存在を隠蔽し、検出を回避しようとするマルウェアが よく使用する手口です。 [検出回避: コードの難読化] 高度に難読化または暗号化されたコードから構成されるアプリケーション。不正 なコード部分の検出を困難にしています。 [検出回避: コードのパッキン グ] ランタイム パッカーまたは保護ツールで自身のコンテンツを圧縮するアプリケ ーション。 コンテンツの内容が変わるので分類が難しくなります。 [不審: アドウェア/スパイウェ ア] 迷惑な広告や不要な広告を表示し、ユーザーの操作と活動を追跡し、解析するア プリケーション。 [不審: アドウェア] 迷惑な広告や不要な広告を表示し、ユーザーの操作と活動を追跡し、解析するア プリケーション。 [データ窃盗: スパイウェア] ユーザーの操作や活動を追跡して解析して機密データを盗み出し、このデータを 攻撃者のサーバーに送信するアプリケーション。 [不審: ダイヤラー] 高額なネットワーク接続を経由して、ポルノ画像などのコンテンツにアクセスさ せるアプリケーション。 [Web の脅威: 脆弱な ActiveX コントロール] Web ページ上に存在し、ブラウザー上で脆弱な操作を実行させる ActiveX コン トロール。 [不審: 不正なアクティビティ] 標準ではない動作や完全には信頼されていない動作を行い、不正な可能性のある コード。 [Web 脅威: クロスサイト スク 不正なスクリプトが悪用するアクセス制御の脆弱性。ブラウザーや Web アプリ リプティング] ケーションに存在し、ユーザー データ (Cookie など) が盗まれる可能性がありま す。 [不審: 詐欺行為] ユーザーに誤解を与えるメッセージを送信したり、存在しないコードを実行させ たり、偽の警告を行う行為。 これらの脅威は、システムがスパイウェアに感染していると思わせ、偽のウイル ス対策で駆除を行うように指示する可能性があります。 [不審: リダイレクト] Web サイトから他の Web サイト (不正な場所) にリダイレクトするコード。 この動作は、多くの場合、以前に正当な Web サイトで感染したことが原因です。 McAfee Web Gateway 7.6.0 製品ガイド 333 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング 表 11-7 McAfee Gateway Antimalware の詳細設定 (続き) オプション 定義 [不審: カーネルの直接操作] Windows カーネルまたはカーネル モードと直接通信を行い、ルートキットをイ ンストールしたり、システムを不安定な状態にするアプリケーション。 [不審: プライバシーの侵害] 重要なデータや個人的なデータにアクセスする不正なコード。クリップボードの コンテンツを盗聴したり、レジストリ キーを読み取ろうとします。 Avira の詳細設定 Avira サブモジュールの詳細設定 表 11-8 Avira の詳細設定 オプション 定義 [アーカイブ メンバーの最 大サイズ] Avira エンジンが感染をスキャンするアーカイブ内のメンバーのサイズを MB 単位 で制限します。 このサイズを超えるアーカイブはスキャンされず、ブロックされます。 デフォルトのサイズ制限は 1024 MB です。 Gateway Anti-Malware ルール セット Gateway Anti-Malware ルール セットは、ウイルスとマルウェアのフィルタリングを行うデフォルト ルール セッ トです。 デフォルト ルール セット - Gateway Anti-Malware 条件 - Always サイクル - 要求 (IM)、応答、埋め込みオブジェクト このルール セットには、以下のルールが含まれます。 User-Agent が User Agent ホワイトリストに一致する場合に許可する Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set このルールは、Header.Request.Get プロパティを使用して、要求のヘッダーと一緒に送信される User-Agent 情報を確認します。 問題のユーザー エージェントが指定したホワイトリストにある場合、ルール セットの処理が停止し、ルール セッ トの最後にあるブロック ルールが処理されません。 プロパティのパラメーターで、ルールの処理時にユーザー エージェント情報を確認する必要があることを指定しま す。 このルールは、デフォルトでは有効になっていません。 ホワイトリストの登録にこのルールだけを使用すると、クライアントは任意のユーザー エージェントを設定できるた め、セキュリティ上の問題が発生します。 マルウェア対策 URL ホワイトリストで一致する URL ホストを許可する URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set このルールは、URL.Host プロパティを使用して、指定した URL が特定のホワイトリストに登録されているかど うかを確認します。 一致する場合、ルール セットの処理が停止し、ルール セットの最後にあるブロック ルールが処理されません。 334 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ウイルスおよびマルウェアのフィルタリング 11 URL のホストが既知の Web サービスに関連し、ウイルスなどのマルウェアを拡散する可能性がない場合、このル ールを使用して Web トラフィックをフィルタリングから除外できます。 ホワイトリストに登録すると、登録された Web オブジェクトのスキャンが実行されないため、パフォーマンスが 向上します。 HTTP 要求で部分的なコンテンツを削除 Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”) このルールは、Cycle.TopName プロパティと Connection.Protocol プロパティを使用し、現在の処理サイ クルが要求サイクルかどうか、要求が HTTP または HTTPS モードで送信されているかどうかを確認します。 条件に一致する場合、Header.RemoveAll イベントが、部分的なコンテンツを要求している指定部分を削除し、 要求を変更します。コンテンツ全体に対する要求が関連する Web サーバーに転送され、このサーバーから Web オ ブジェクトのすべてのコンテンツがアプライアンスに送信され、処理されます。 たとえば、完全なアーカイブを開いてスキャンを実行し、ウイルスなどのマルウェアを検出することができます。 ファイルを部分的にスキャンする場合、ファイル全体を複数の部分に分けて配信される悪質なコンテンツを見逃す 可能性がありますが、ファイル全体のスキャンを実行すると、このような脅威を検出することができます。 続行アクションは、次のルールの処理を開始します。 FTP 要求で部分的なコンテンツ要求をブロックする Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND Command.Categories contains “Partial” –> Block<Partial Content Not Allowed> このルールは、Cycle.TopName、Connection.Protocol、Command.Categories プロパティを使用して、 現在の処理サイクルが要求サイクルであり、要求が FTP モードで送信されているかどうか確認します。さらに、 FTP 転送のコマンド カテゴリに Partial という文字列が含まれているかどうか確認します。 これにより、Web Gatway は部分的なコンテンツを要求する FTP 要求を検出し、ブロックします。 HTTP または HTTPS 要求の場合と異なり、部分的なコンテンツを要求する FTP 要求は、完全なコンテンツを要求 するように変更することはできません。ただし、HTTP と HTTPS 要求をブロックするルールで説明したように、 アプライアンスで部分的なコンテンツが承諾されると、セキュリティ上の問題が発生する可能性があります。 アクションの設定で、要求を送信したユーザーへのメッセージを指定します。 ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ストリーム スキャナーを開始する Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection> equals true –> Stop Rule Set – Enable Media Stream Scanner このルール セットは、Cycle.Name プロパティを使用して、応答サイクルの処理かどうかを確認します。さらに、 StreamDetector.IsMediaStream プロパティを使用して、Web Gateway への応答で送信された Web オブ ジェクトがストリーミング メディアかどうかを確認します。 両方の条件に一致すると、ルール セットの処理が停止します。残りのルールは処理されず、イベントによってメデ ィア ストリーム スキャナーが開始します。 ウイルスを検出したらブロック Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> – Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default> このルールは、Antimalware.Infected プロパティを使用して、指定した Web オブジェクトがウイルスなどの マルウェアに感染しているかどうかを確認します。 オブジェクトをスキャンするためにマルウェア対策モジュールが呼び出されると、このプロパティの指定に従い、 Gateway Anti-Malware の設定で実行されます。これらの設定により、モジュールは 3 つのサブモジュールとそ のメソッドをすべて使用し、Web オブジェクトをスキャンします。 モジュールが Web オブジェクトの感染を検出すると、すべてのルールの処理が停止し、オブジェクトはこれ以上 転送されません。アクセスはこのようにブロックされます。 要求サイクルでは、感染 Web オブジェクトが Web に転送されません。応答サイクルと埋め込みオブジェクト サ イクルでは、要求を送信したユーザーにオブジェクトは転送されません。 McAfee Web Gateway 7.6.0 製品ガイド 335 11 Web フィルタリング ウイルスおよびマルウェアのフィルタリング アクションの設定で、このユーザーに対するメッセージを指定します。 このルールは、イベントを使用して、ウイルスなどのマルウェア感染によるブロックをカウントします。 イベント パラメーターには、インクリメントするカウンターとインクリメントを指定します。イベントの設定で は、統計モジュールの設定を指定します。これによりカウントが実行されます。 メディア ストリームのスキャン Web Gateway ではチャンク単位でメディア ストリームがスキャンできます。これにより、ストリーミング メディ アのダウンロードが高速になります。ストリームのスキャンが完了するまで待つ必要はありません。 このスキャンは、McAfee Gateway マルウェア対策エンジンのメディア ストリーム スキャナーが実行します。スト リーム メディアはチャンク単位でスキャンされ、ダウンロードを要求したクライアントに配信されます。チャンク内 で感染が検出されると、ダウンロードが停止します。感染チャンクと残りのストリーミング メディアは配信されませ ん。 このスキャンを実行するメディア ストリーム スキャナーは、McAfee Gateway マルウェア対策エンジンのプロアク ティブ機能を使用します。McAfee マルウェア対策エンジンと Avira エンジンも Web オブジェクトのウイルスや マルウェアを検出するように設定できますが、メディア ストリーム スキャナーがアクティブ状態の場合、これらの エンジンは使用されません。 デフォルトのルール セットに含まれているゲートウェイ マルウェア対策ルール セットのルールに一致すると、この スキャナーが開始します。ストリーム ディテクター モジュールが、ダウンロード要求で Web Gateway に送信され た Web オブジェクトがストリーミング メディアであることを検出すると、このルールが適用されます。 ルール セットの処理が停止すると、Web オブジェクトの感染をスキャンする残りのルールは処理されません。 ストリーム ディテクターが Web オブジェクトをストリーミング メディアとして認識しないと、ルールは適用され ません。残りのルールが処理され、設定に従って Web オブジェクトがスキャンされます。 マルウェア対策キュー ウイルスやその他マルウェアによる感染に対して、Web オブジェクトをスキャンするモジュールの負荷を避けるた めには、アクセスをリクエストして、Web オブジェクトは処理される前にキューに移動されます。 このキューはマルウェア対策キューと呼ばれています。リクエストがアプライアンスで受け取られた場合、プロキシ モジュールのワーキング スレッドによってこのキューに移動します。これは、その他のスレッドによって取り出され るまで残り、スキャン モジュールの 1 つのスレッドに送信されます。 同じくリクエストが送信された Web サーバーから受け取った応答に適用されます。 スキャン モジュールに要求や応答を送信したり、モジュールがスキャンの実行で使用する作業用スレッドをマルウェ ア対策作業用スレッドまたは AV スレッドといいます。 マルウェア対策キューを構成するとき、以下を指定できます。 • 利用可能なマルウェア対策ワーキング スレッドの数 • マルウェア対策キューのサイズ • キューに存在するリクエストおよび応答の最大時間 短時間で負荷のピークが発生しないようにするには、要求と応答をマルウェア対策キューに移動します。 過負荷状態 が継続する場合には、別の手段で問題を解決する必要があります。 336 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 マルウェア対策キューの構成 マルウェア対策キューの設定を構成し、スキャン モジュールの負荷を避けることができます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、マルウェア対策キューをオンにするアプライアンスを選択して、[マルウェア対策]を クリックします。 マルウェア対策キューの設定が設定パネルに表示されます。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 マルウェア対策のシステム設定 [マルウェア対策] のシステム設定は、マルウェア対策キューを設定する場合に使用します。 マルウェア対策のグローバル設定 マルウェア対策キューの設定 表 11-9 グローバル マルウェア対策設定 オプション 定義 [ウイルス スキャンのスレッ ド数] アプライアンスで利用可能なマルウェア対策ワーキング スレッドの数を設定しま す。 ここで指定する数は、リクエストを送信するスレッドの両方に適用され、スキャン モジュールのスレッドおよびスキャン モジュール スレッド自体に応答します。 たとえば、25 を指定した場合、送信用の 25 のスレッドとスキャン用の 25 のスレ ッドが存在します。 [使用可能な CPU コア数以上 選択すると、使用可能な CPU コアの数以上の AV スレッドでスキャン操作を処理 の AV スレッドを使用する] します。 [キュー内のジョブの最大数] スキャン モジュールのジョブとして、マルウェア対策キューに移動できるリクエス ト数または応答数を制限します。 [削除する前に、キューにスキ スキャンに送信しなかった場合、リクエストまたは応答がマルウェア キューから削 ャン ジョブが存在する秒数] 除する前に経過する時間(秒)を制限します。 URL フィルタリング URL フィルタリングでは、Web セキュリティでリスクと見なされた Web オブジェクトや他の理由で許可されてい ないオブジェクトへのアクセスを阻止します。 フィルタリング プロセスは、ブロック リスト、カテゴリ情報、URL レピュテーション スコアを使用し、アクセスを ブロックまたは許可します。 このプロセスでは、機能の異なる複数の要素が実行されます。 • フィルタリング ルールがプロセスを制御します。 • ルールでは、一部の Web オブジェクトを URL フィルタリングから除外し、他のオブジェクトをブロックするよ うに、ホワイトリストと様々なブロック リストを使用します。 • 特定のルールから呼び出された URL フィルター モジュールが、URL カテゴリに関する情報とレピュテーション スコアを Global Threat Intelligence システムから取得します。 McAfee Web Gateway 7.6.0 製品ガイド 337 11 Web フィルタリング URL フィルタリング 初期セットアップ後、Web Gateway には URL フィルタリングのデフォルト プロセスが実装されています。このプ ロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。 URL フィルタリングを設定するときに、次のルールを使用できます。 • ルールのキー要素 - ルール セット ツリーでデフォルトの URL filtering ルール セットをクリッ クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ ます。 • 完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定 し、新しいルールの作成やルールの削除を行うことができます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 フィルタリング ルール URL フィルタリング プロセスを制御するルールは、通常、1 つの URL フィルタリング ルール セットに含まれてい ます。これらのうち、たとえば、ブロック リストのエントリに一致する場合、URL へのアクセスがブロックされる、 というルールがあります。 ブロック リストに存在するカテゴリに属する場合、別のルールが URL をブロックします。このルールは URL フィ ルター モジュールを呼び出し、Global Threat Intelligence システムから URL のカテゴリ情報を取得します。別の ルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。 ホワイトリスト登録ルールは、ルールが使用しているリストのエントリに一致する URL をフィルタリングから除外 します。このルールはブロック ルールの前に配置され、処理されます。適用されると、ブロック ルールがスキップ され、ホワイトリストに登録された オブジェクトに対して URL フィルタリングは行われません。 デフォルトのルール セットを実装すると、URL フィルタリングのルール セットも実装されます。ルールの名前は URL Filtering です。 ホワイトリストとブロック リスト ホワイトリストはホワイトリスト登録ルールが使用します。これにより、一部の URL がブロック リストをスキップ します。これらのオブジェクトに URL フィルタリングは実行されません。 URL フィルタリング ルール セットは、URL フィルタリングだけを制御します。このため、ウイルスとマルウェアの フィルタリングと異なり、種類ごとに異なるホワイトリストを用意する必要はありません。 ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。 URL フィルタリングのルール セットは URL フィルタリングのみを処理し、ホワイトリストはウイルスおよびマルウ ェアのフィルタリングに含まれているため、一部の種類のオブジェクトには必要ありません。 ブロック リストは属するカテゴリーによって、またはリストのエントリに一致するという理由から、URL をブロッ クするルールに使用されます。ブロック ルールはそれぞれ固有のリストを使用します。 フィルター モジュール URL フィルター モジュールは、URL フィルター エンジンともいいます。McAfee が提供する Global Threat Intelligence™ システムから URL カテゴリに関する情報とレピュテーション スコアを取得します。この情報をもと に、ブロック ルールが URL へのアクセスをブロックします。 338 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 リンク クローラー、セキュリティ フォレンジック、ハニーポット ネットワーク、高度な自動評価ツール、カスタマ ー ログといった様々な技術がこの情報を収集するために使用されます。McAfee の Web アナリストによる国際的 な多言語チームが情報を評価し、特定のカテゴリーのもと URL をデータベースに入力します。 URL 評価に関する情報を収集するため、その動作が世界規模でリアルタイムに分析されています (例: URL が Web のどこに表示されるか、そのドメイン動作やその他詳細)。 たとえば、提供する拡張リストから取得したカテゴリー情報を含める、または URL の DNS 参照を行い、カテゴリ ー情報検索の関連する IP アドレスを含めるなど、このモジュールの設定事項を設定できます。 URL フィルタリングでキー要素を設定する URL フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタリング プロ セスを適用します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。 フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。 3 必要に応じて、キー要素を設定します。 4 [変更の保存] をクリックします。 関連トピック: 339 ページの「URL フィルタリングのキー要素」 URL フィルタリングのキー要素 URL フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。 基本フィルタリング 基本 URL フィルタリングを実行する場合のキー要素 表 11-10 基本フィルタリング オプション 定義 [URL ホワイトリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ホワイトリストを 編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 [URL ブロックリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ブロックリストを 編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 [URL カテゴリ ブロッ [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL カテゴリ ブロック クリスト] リストを編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 SafeSearch SafeSearch と URL フィルタリング プロセスを統合する場合のキー要素 McAfee Web Gateway 7.6.0 製品ガイド 339 11 Web フィルタリング URL フィルタリング 表 11-11 SafeSearch オプション 定義 [SafeSearch を有効に する] 選択すると、URL フィルタリング プロセスの SafeSearch 部分を制御するルールが有効 になります。 [SafeSearch の設定] [編集] をクリックすると、ウィンドウが開き、SafeSearch エンフォーサー モジュール (エンジン) の設定を編集できます。 このモジュールは、SafeSearch エンフォーサーの統合を処理します。このセキュリティ 製品は、Web Gateway の URL フィルタリング プロセスに追加されます。 GTI レピュテーション URL フィルタリング プロセスで Global Threat Intelligence サービスから取得したレピュテーション スコアを評 価する場合のキー要素 表 11-12 GTI レピュテーション オプション 定義 [レピュテーションが危険 選択すると、レピュテーションで Web セキュリティに対する危険度が高または中と評 度高の URL をブロック] 価された URL をブロックするルールが有効になります。 URL のレピュテーション スコアは McAfee の Global Threat Intelligence サービス が設定します。URL フィルター モジュールがこのサービスからスコアを取得します。 未分類の URL URL フィルタリング プロセスで分類できなかった URL を処理するキー要素 表 11-13 未分類の URL オプション 定義 [未分類の URL] [ブロック] を選択すると、URL フィルタリング プロセスで分類できなかった URL を含む Web オブジェクトのアクセス要求がブロックされます。 [許可] を選択すると、このルールによるアクションは実行されません。次のルールが処理され、 URL フィルタリングが継続します。 完全なルール ビューで URL フィルタリングを設定する ネットワークの要件に合わせて URL フィルタリングを設定し、このプロセスに適用できます。 URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。 タスク 1 ルール セットで、URL フィルタリングのルールを確認します。 デフォルトでは、URL Filtering ルール セットになります。 2 必要に応じて、これらのルールを設定します。 たとえば、次の変更を行います。 • ブロックルールやホワイトリスト ルールを有効または無効にします。 • これらのルールで使用するリストを編集します。 リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。 • 340 URL フィルター モジュールの設定を変更します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 3 11 変更を保存します。 URL フィルター モジュールを詳細する URL フィルター モジュールを設定し、URL カテゴリとレピュテーション スコアの情報を Global Threat Intelligence システムから取得する方法を変更します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、URL フィルタリングのルール セットを選択します。 デフォルトのルール セット システムでは、URL フィルタリングのルール セットは、コンテンツ フィルタリング のルール セットにネストされています。 設定パネルにルールが表示されます。 3 [詳細を表示] が選択されていることを確認します。 4 カテゴリのブロック リストを使用するルールを検索します。 デフォルトでは、「カテゴリ ブラックリストにカテゴリがある URL をブロックする」ルールになります。 5 ルールの条件で設定名をクリックします。 この名前は、URL.Categories プロパティの横に表示されます。デフォルトでは、Default になります。 [設定の編集] ウィンドウが開きます。URL フィルター モジュールの設定が表示されます。 6 必要に応じて、これらの項目を設定します。 7 [OK] をクリックして、ウィンドウを閉じます。 8 [変更の保存] をクリックします。 関連トピック: 341 ページの「URL フィルターー設定」 URL フィルターー設定 URL フィルターー設定は URL フィルターー モジュールが Global Threat Intelligence システムから情報を取得 する方法を設定するために使用されます。 拡張リスト 拡張リストの設定 表 11-14 拡張リスト オプション 定義 [拡張リストを使用] 拡張リストを選択するためのリストを提供します。 [追加] 拡張リストを追加するための[リストの追加]ウィンドウが開きます。 [編集] [リストの編集(拡張リスト)]ウィンドウが開き、選択した拡張リストを編集します。 レーティング設定 カテゴリーとレピュテーション スコアをもとに、URL に関するレーティング情報を取得するための設定。 McAfee Web Gateway 7.6.0 製品ガイド 341 11 Web フィルタリング URL フィルタリング 表 11-15 レーティング設定 オプション 定義 [レーティングの CGI パラメ ーターを検索する] これが選択されると、CGI パラメーターが情報の検索に含まれます。 URL がアクセスされた場合の URL トリガー スクリプトまたはプログラムの CGI パラメーター。URL を分類する際に、CGI の情報が考慮されます。 [埋め込み URL の検索および これが選択されると、埋め込み URL は情報の検索に含まれ、評価されます。 評価] 埋め込み URL を分類する際に、埋め込み URL の情報が考慮されます。 埋め込み URL の検索はパフォーマンスを低下させる場合があります。 [URL を評価するために DNS これを選択すると、関連情報が見つからなかった URL に対して DNS 参照が実行さ 前方参照を行う] れます。 参照された IP アドレスは別の検索で使用されます。 [未評価 IP ベース URL の逆 方向 DNS 参照を行う] これを選択すると、関連情報が見つからなかった URL に対して、その IP アドレス をもとに逆方向 DNS 参照が実行されます。 参照されたホスト名は別の検索で使用されます。 [組み込みキーワード リスト を使用する] これを選択すると、組み込みのキーワード リストが検索に含まれます。 [オンラインの GTI Web レ ピュテーションと分類サービ スのみを使用する] 選択すると、 Global Threat Intelligence システムから URL カテゴリーとレピュ テーション スコアの情報のみを取得します。 [ローカルの評価に結果がない これを選択すると、内部データベースに結果がない場合、 Global Threat 場合、オンラインの GTI Web Intelligence システムから URL カテゴリーとレピュテーション スコアの情報の レピュテーションと分類サー みを取得します。 ビスを使用する ] [Web レピュテーションと分 類サービスにデフォルトの GTI サーバーを使用する] これを選択すると、アプライアンスがデフォルト サーバーに接続して、Global Threat Intelligence システムから URL カテゴリーとレピュテーション スコアの 情報を取得します。 • [サーバーの IP ]— デフォルト サーバーを使用しない場合、Global Threat Intelligence システムに接続するために使用するサーバーの IP アドレスを指定 します。 形式:<ドメイン名>または <IPv4 アドレス> または <IPv6 アドレスにマップ される IPv4 アドレス> 正規の IPv6 アドレスはここでは指定できません。 • [サーバーのポート]— アプライアンスからのリクエストをリスンするこのサー バーのポートのポート番号を指定します。 許容範囲: 1–65535 詳細設定 URL フィルター モジュールの詳細設定 342 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 表 11-16 詳細設定 オプション 定義 [クラウドへの接続問 選択すると、アプライアンスから Global Threat Intelligence サーバーへの接続で発生す 題をエラーとして処理 る問題がエラーとしてログに記録されます。 する] エラー処理のプロパティが設定され、最終的にはエラーハンドラーのルール セットからル ールが実行されます。 [プライベート アドレ これを選択すると、プライベート IP アドレスが DNS 逆方向参照に含まれます。 スでも逆方向 DNS 参 このアドレスを参照から除外すると、URL フィルタリングのパフォーマンスが向上します。 照を行う] このオプションはデフォルトでは無効になっています。 参照には次のタイプのアドレスが含まれます。 • IPv4 • プライベート アドレス • Zeroconf アドレス • IPv6 • リンク ローカル アドレス • サイト ローカル アドレス • ユニーク ローカル アドレス アプライアンスが Global Threat Intelligence™ システムに接続するために使用できるプロキシを構成するための 設定 表 11-17 プロキシ設定 オプション 定義 [アップストリーム プロ これを選択すると、アプライアンスは Global Threat Intelligence サーバーに接続する キシを使用] ためにプロキシを使用し、そこで「クラウド内」参照と呼ばれる URL カテゴリー情報を 参照することができます。 [プロキシの IP または 名前] プロキシの IP アドレスまたはホスト名を指定します。 [プロキシのポート] アプライアンスからのリクエストを参照するためにリスンするプロキシ上のポート番号 を指定します。 [ユーザー名] プロキシにログオンするときのアプライアンスのユーザー名を指定します。 [パスワード] アプライアンスのパスワードを設定します。 [設定] パスワードを設定するためのウィンドウを開きます。 URL フィルタリングのアクティビティをアプライアンスにログするための設定 McAfee Web Gateway 7.6.0 製品ガイド 343 11 Web フィルタリング URL フィルタリング 表 11-18 ログ オプショ ン 定義 [ロギン グを有効 にする] これを選択すると、URL フィルタリングのアクティビティがアプライアンスにログされます。 [ログ レ ベル] ログ レベルを選択するためのリストを提供します。 このオプションが選択されていない場合、次のログ オプションは灰色表示されます。 ログには次のレベルがあります。 • 00 緊急 — 緊急のエラーのみログに記録します。 • 01 エラー — すべてのエラーをログに記録します。 • 02 警告 — エラーと警告をログに記録します。 • 03 情報 — エラー、警告、追加情報をログに記録します。 • 04 デバッグ 1 ...013 デバッグ 9 — URL フィルタリング アクティビティをデバッグするのに必要 なログ情報。 ログされた情報量はレベルがデバッグ 1 から デバッグ 9 に増加します。 • 14 追跡 — URL フィルタリング アクティビティを追跡するのに必要なログ情報。 • 15 すべて — すべての URL フィルタリング アクティビティをログ (ログ領 域) URL フィルタリング アクティビティのさまざまな領域をログに含めるためのオプション セットを提供 します。 • [LOG_AREA_ALL] — 選択すると、すべての URL フィルタリング アクティビティがログに記録され ます。 • [LOG_AREA_NETWORK] — 選択すると、URL フィルタリングに使用するネットワーク接続に関す るアクティビティがログに記録されます。 • [LOG_AREA_DATABASE_SEARCH] — 選択すると、内部データベースからの URL フィルタリング のデータ取得に関するアクティビティがログに記録されます。 • [LOG_AREA_DNS] — 選択すると、URL フィルタリングのために実行される DNS 参照に関するア クティビティがログに記録されます。 • [LOG_AREA_URL] — 選択すると、解析など URL 処理のアクティビティがログに記録されます。 • [LOG_AREA_CLOUD] — 選択すると、 Global Threat Intelligence システムからの情報取得に関 するアクティビティがログに記録されます。 ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワ イトリストに追加する ルールの条件に URL プロパティ (URL、URL.Host、URL.Host.BelongsToDomains など) を使用して、Web オブジェクトをホワイトリストに追加することができます。 Web オブジェクトをホワイトリストに追加すると、このオブジェクトにアクセスして、ページの表示やファイルの ダウンロードを行うことができます。ホワイトリスト ルールは、Web Gateway のルール セット システム内の適切 なルール セットに挿入します。他のルールがアクセスをブロックしないように、このルールが適用されると、この Web オブジェクトの要求に対して残りのルール処理は実行されません。 異なる URL プロパティを使用して、異なるホワイトリストを作成することもできます。個々の Web オブジェクト に対するアクセスを許可するには (たとえば、特定のファイルのダウンロードなど)、このファイルの完全な URL を 含むリストに URL プロパティを使用します。 以下の例では、ホワイトリストに最適な URL プロパティを選択して使用する方法について説明します。 344 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 この他に、ヒントや次の情報も提供します。 • URL に設定される値 (サンプルの URL が処理されたときに、Web アクセス要求で Web Gateway に送信され る値) • ルールの条件で is in list と matches in list の 2 つの演算子を使用する方法 • URL プロパティと一緒に使用するリストで適切な項目と不適切な項目 個々の Web オブジェクトをホワイトリストに追加する - URL 目的 個々の Web オブジェクトに対するアクセスをユーザーに許可します。 たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/ Stinger.exe から Stinger.exe をダウンロードします。 手順 ルールの条件で、完全な URL のリストと一緒に URL 文字列プロパティを使用します。 たとえば、次のようにルールを設定します。 URL is in list URLWhiteList –> Stop Rule Set URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe をリスト URLWhiteList に追加すると、このルールが処理されたときにファイル Stinger.exe がホワイト リストに追加さ れます。 同様に、デフォルトの URL フィルタリング ルール セットの次のルールを使用すると、ファイルに対す るアクセスをブロックできます。 URL matches in list URLBlockList –> Block 問題の URL をリスト URLBlockList に追加すると、ルールが処理されたときにファイルがブロックさ れます。 is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む 式を入力できます。このプロパティを使用して、複数の Web オブジェクトをホワイトリストに追加することができ ます。 ただし、特定のホストが提供するすべての Web オブジェクトをホワイトリストに追加する必要がある場合、 URL.Host プロパティを使用すると、この操作を簡単に行うことができます。 ホストをホワイトリストに追加する - URL.Host 目的 特定のホストが提供する Web オブジェクトに対するアクセスをユーザーに許可します。 たとえば、ホスト download.mcafee.com にある Stinger.exe や他のファイルをダウンロードします。 手順 ルールの条件で、ホスト名のリストと一緒に URL.Host 文字列プロパティを使用します。 たとえば、クラウドで URL.Host プロパティを使用するルールを次のように設定します。 URL.Host is in list HostWhiteList –> Stop Rule Set ホスト download.mcafee.com をリスト HostWhiteList に追加すると、ルールが処理されたときに、このホ ストが提供するすべてのオブジェクトがホワイトリストに追加されます。 is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む 式を入力できます。このプロパティを使用して、複数のホストをホワイトリストに追加することができます。 McAfee Web Gateway 7.6.0 製品ガイド 345 11 Web フィルタリング URL フィルタリング ただし、特定のドメイン内のすべてのホストをホワイトリストに追加する必要がある場合、 URL.Host.BelongsToDomains プロパティを使用すると、この操作を簡単に行うことができます。 ドメインをホワイトリストに追加する - URL.Host.BelongsToDomains 目的 特定のドメインが提供する Web オブジェクトに対するアクセスをユーザーに許可します。 たとえば、ホスト download.mcafee.com が提供する Stinger.exe と他のファイルをダウンロードし、 ドメイン mcafee.com 内の他のホストが提供するダウンロード可能なファイルをダウンロードします。 手順 ルールの条件で、ドメイン名のリストと一緒に URL.Host:BelongsToDomains ブール型プロパティを使 用します。 たとえば、次のようにルールを設定します。 URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set ドメイン mcafee.com をリスト Domain List に追加すると、ルールが処理されたときに、このドメイン内のす べての Web オブジェクトがホワイトリストに追加されます。 リスト Domain List は、URL.Host:BelongsToDomains プロパティのパラメーターで設定します。このプロ パティはブール型です。 たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe が処 理されると、ドメイン mcafee.com がリストに Domain List に入力されているかどうかによってプロパティの 値 (true または false) が変わります。 以下の例では、ホワイトリストの設定にプロパティが使用されるときに、比較に使用される Domain List リストの 項目を表します。 mcafee.com dell.com k12.ga.us twitter.com xxx 条件: URL.Host.BelongsToDomains("Domain List") equals true 比較される URL: https://contentsecurity.mcafee.com https://my.mcafee.com http://my.support.dell.com http://www.dekalb.k12.ga.us http://twitter.com http://www.twitter.com any.site.xxx 比較されない URL: https://www.mymcafee.com 346 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 http://www.treasury.ga.us http://malicioustwitter.com URL.Host.BelongsToDomains プロパティを使用すると、複雑な条件を作成しなくても同じ結果を得ることが できます。例: • ワイルカードを含む式のリストに 2 つの項目を使用する場合: twitter.com *twitter.com • ワイルドカードを含む式に複雑な項目を使用する場合: regex((.*\.|.?)twitter\.com) サンプル URL のプロパティ値 サンプル URL http://www.mcafee.com/us/products/web-gateway.aspx が処理されると、以下の URL プロパティに異なる値が設定されます。 プロパティ サンプル URL の値 URL http://www.mcafee.com/us/products/web-gateway.aspx URL.Host www.mcafee.com URL.Host.BelongsToDomain true または false このプロパティのパラメーターとして設定されたリストで、ドメインに次の値 を入力する必要があります。mcafee.com URL.FileName web-gateway.aspx URL.Path /us/products/web-gateway.aspx URL.Protocol http 比較で使用する演算子 ルールの条件で使用する演算子 (is in list または matches in list) で処理の結果が異なります。 演算子 説明 is in list 文字列に完全に一致する必要があります。 リスト項目にワイルドカード文字がある場合、この文字はリテラル文字として解釈されます。 matches in list リスト項目でワイルドカードを使用し、評価できます。 URL プロパティに適切な項目と不適切な項目 URL プロパティで使用するリストの項目は、プロパティの使用目的によって適切になる場合も、不適切になる場合も あります。以下では、適切な項目と不適切な項目の例について説明します。 McAfee Web Gateway 7.6.0 製品ガイド 347 11 Web フィルタリング URL フィルタリング URL プロパティ 適切または不適切なリスト項目 URL と is in list 演算子 適切 http://www.mcafee.com/us/products/web-gateway.aspx このプロパティでは完全な URL が必要です。ワイルドカードは指定されて いません。is in list 演算子を使用した場合、ワイルドカードは評価されませ ん。 不適切 www.mcafee.com/us/products/web-gateway.aspx この項目には完全な URL が指定されていません。プロトコル情報 http:// が含まれていません。 URL と matches in list 演算子 適切 http://www.mcafee.com/* この項目にはワイルドカードが含まれています。matches in list 演算子 を使用する場合、ホスト www.mcafee.com が提供する Web オブジェク トにアクセスが許可されます。 この項目は http://mcafee.com/ に一致しません。 regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?)) この項目には複雑な正規表現が含まれています。一致すると、HTTP または HTTPS プロトコルでドメイン mcafee.com とそのサブドメイン内のすべ ての Web オブジェクトに対するアクセスが許可されます。 regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?)) この項目は前の例と同じですが、.com や .co.us などのトップレベル ドメ インもホワイトリストに追加しています。 不適切 *.mcafee.com* この項目は不要な一致を除外していません。例: URL http:// malicious-download-site.cc/malicious-file.exe?url= www.mcafee.com 348 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング URL プロパティ 適切または不適切なリスト項目 URL.Host と is in list 演算子 適切 11 www.mcafee.com ホスト名が入力されています。これは、このプロパティの使用目的に一致し ています。ワイルドカードは指定されていません。is in list 演算子を使用 する場合、ワイルドカードは評価されません。 不適切 mcafee.com この項目では、ドメイン名 (mcafee.com) が指定されています。プロパテ ィの値はホスト名です (URL http://www.mcafee.com/us/ products/web-gateway.aspx が処理される場合、 www.mcafee.com になります)。 一致する項目はありません。 *.mcafee.com ワイルドカードが含まれていますが、is in list 演算子を使用した場合、ワイ ルドカードは評価されません。 *.mcafee.com/us* この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目 的には不適切です。 さらに、ワイルドカードが含まれています。is in list 演算子を使用した場 合、ワイルドカードは評価されません。 McAfee Web Gateway 7.6.0 製品ガイド 349 11 Web フィルタリング URL フィルタリング URL プロパティ 適切または不適切なリスト項目 URL.Host と matches in list 演算子 適切 *.mcafee.com この項目は、ドメイン mcafee.com ないの任意のホストに一致しますが、 mcafee.com 自体には一致しません。 regex((.*\.|\.?)mcafee.com) ドメイン mcafee.com とそのホストをホワイトリストに追加する正規表 現が記述されています。 不適切 *.mcafee.com* http://www.mcafee.com .malicious-download-site.cc/ など、 不要な一致が除外されていません。 *.mcafee.com/us* この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目 的には不適切です。 URL.HostBelongsToDomains 適切 リスト Domain List に入力された mcafee.com。プロパティのパラメ ーターとして設定されています。 この項目は、mcafee.com ドメインとそのすべてのホストに一致します。 例: www.mcafee.com、secure.mcafee.com www.mcafee.com ドメイン名が指定されていませんが、有効です。ホスト www.mcafee.com だけがホワイトリストに追加されます。 URL.Host プロパティを is in list 演算子と一緒に使用する場 合、リストに項目を追加しても同じ結果になります。 不適切 *.mcafee.com この項目にはワイルドカードが含まれていますが、このプロパティの使用目 的には不適切です。 このプロパティは、リスト項目でのワイルドカードの使用を避けるために作 成されました。たとえば、mcafee.com に完全に一致する必要があります。 URL フィルタリング ルール セット URL フィルタリング ルール セットは、URL フィルタリングのデフォルト ルール セットです。 デフォルト ルール セット— URL フィルタリング 条件 — Always サイクル — Requests (and IM), responses, embedded objects このルール セットは、以下のルールを含みます。 URL ホワイトリストに一致する URL を許可する URL matches in list URLWhiteList –> Stop Rule Set 350 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 このルールは URL プロパティを使用し、特定の URL が指定されたホワイトリストに存在するかどうかを確認しま す。存在する場合、ルール セットのプロセスが停止し、ホワイトリスト登録ルールに従うブロック ルールは処理さ れません。 このルールを使用して、フィルタリングから URL を除外し、ネットワークのユーザーが使用できるようにし、次の ブロック ルールによってブロックされないようにします。ホワイトリスト登録はまた、それぞれの URL について の情報を取得する手間を省くため、パフォーマンスを向上させます。 URL ブラックリストに一致する URL をブロックする URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default> ルールは URL プロパティを使用し、特定の URL が指定されたブロック リストに存在するかどうか確認します。 存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通 過しません。アクセスはこのようにブロックされます。 アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。 また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。イベ ント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュ ールの設定を指定します。これによりカウントが実行されます。 SafeSearchEnforcer を有効にする Always –> Continue — Enable SafeSearchEnforcer<Default> このルールは成人向けコンテンツを含む Web サイトへのアクセスにフィルターをかける追加モジュールである SafeSearchEnforcer を有効にします。 有効化はイベントを実行することで行えます。モジュールの設定はイベントで指定されます。 処理は次のルールで続行します。 未分類の URL を許可する List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set このルールはパラメーターとして URL.Categories プロパティをもつ List.OfCategory.IsEmpty を使用し、 URL を分類するためのカテゴリーが空であるかどうかをチェックします。これは、URL が未分類であり、既存カテ ゴリーに割り当てられないことを意味します。URL.Categories プロパティをパラメーターとして指定すること で、特定のカテゴリー リストが確認されるようにします。これはこのプロパティの値となるリストです。 URL.Categories プロパティの値としてカテゴリー リストを提供するために、URL フィルター モジュールが呼び 出されます。このモジュールはこのリストを Global Threat Intelligence システムから取得します。このモジュ ールは指定されたデフォルト設定で実行されます。 URL が未分類である場合、ルール セットのプロセスが停止し、このルールに従ったブロック ルールは処理されま せん。URL へのリクエストは適切な Web サーバーへ転送され、URL へのアクセスが応答または埋め込みオブジェ クト サイクルでブロックされない限り、ユーザーは、URL の送信によってリクエストされた Web オブジェクトへ のアクセスを許可されます。 URL カテゴリー ブラックリストにカテゴリーがある URL をブロックする URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default> このルールは URL.Categories プロパティを使用し、特定の URL が属するカテゴリーのどれかが指定したブロ ック リストに存在するかどうかを確認します。これらのカテゴリーに関する情報を取得するために呼び出される URL フィルター モジュールが、プロパティで指定されるとおり、デフォルト設定で実行されます。 URL のカテゴリーのいずれかがリストに存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リ クエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。 URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し ます。 また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL フィルタリングに起因するブロックをカウントします。 McAfee Web Gateway 7.6.0 製品ガイド 351 11 Web フィルタリング URL フィルタリング 悪い評価を持つ URL をブロックする URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment (“BlockedByURLFilter”,1)<default> このルールは URL.IsHighRisk プロパティを使用し、URL が、アクセスを許可するとリスクが高くなるという評 価を持つかどうかを調べます。このプロパティの値が True である場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。 レピュテーション スコアは URL フィルターー モジュールによって取得されます。このモジュールはプロパティ の後で指定する設定で実行されます。 URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し ます。 また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL フィルタリングに起因するブロックをカウントします。 Dynamic Content Classifier を使用する URL フィルタリング URL は Dynamic Content Classifier によりフィルタリングするためにカテゴリ化できます。 DCC(Dynamic Content Classifier)が、ローカル データベースと Global Threat Intelligence サービスに加え て、URL に関するカテゴリ情報の別のソースとして提供されます。 ほかの 2 つのソースを含む URL カテゴリ情報を参照した時に結果が示されなかった場合に、この Dynamic Content Classifier の使用を設定できます。 Dynamic Content Classifier の使用を構成する その他の検出メソッドで何も見つからない場合に、URL カテゴリを検出するために Dynamic Content Classifier の使用を構成できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、URL フィルタリングのためのルールにルール セットを選択します。 デフォルト ルール セット システムで、これは、たとえば[URL フィルタリング]ルールセットです。 設定パネルにルールが表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 Dynamic content Classifier の使用を構成する URL カテゴリを扱うためのルールを選択します。 URL フィルタリング ルール セットで、これはたとえば、[カテゴリ ブロックリストに存在するカテゴリを持つ URL をブロックする]ルールです。 5 ルール条件の URL フィルター モジュールの設定をクリックします。 サンプル ルールで、これらは、条件[URL.Categories <Default> at least one in list Category BlockList]の [Default]設定です。 [設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。 6 352 [評価設定]で、[Enable the Dynamic Content Classifier if GTI web categorization yields no results(GTI Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする)]が選択さ れていることを確認します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 7 [オプション]Dynamic Content Classifier が検出する URL カテゴリのリストを編集します。 a リスト[Categories that will be dynamically detected(動的に検出されるカテゴリ)]の上で、[編集]アイ コンをクリックします。 [編集]ウィンドウが表示されます。 b [DCC カテゴリ]の下で、[サポートされるカテゴリ]フォルダーを展開します。 c 必要に応じて、URL カテゴリを選択および選択解除します。 d [OK]をクリックします。 [編集]ウィンドウが閉じると、選択したカテゴリがリストに表示されます。 [削除]記号をクリックしてリストから URL カテゴリを削除し、開いたウィンドウを確認します。 8 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 9 [変更を保存]をクリックします。 Dynamic Content Classifier には、Web アクセスのリクエストで送信される URL が構成された URL カテゴリの 1 つに分類されるかどうかを検出することが含まるようになりました。 固有の URL フィルター データベースの使用 URL フィルタリングは、固有のデータベースから取得される情報を使用して実行されます。 Web Gateway アプライアンスの URL フィルタリングは、URL が該当するカテゴリとそれらに割り当てる Web レ ピュテーション スコアに関する情報を使用します。この情報は URL フィルタリングのモジュールの設定が構成さ れる方法に応じて、ローカルの URL フィルター データベース、Global Threat Intelligence システム、または Dynamic Content Classifier から取得されます。 ローカル データベースの情報は、Global Threat Intelligence システムにより特定の URL に対してカテゴリと Web レピュテーション スコアが判別された後で、それらを保管した結果です。ローカル データベースの参照で結果 がえられない場合、2 つの情報ソースは追加で使用できます。 ローカル データベースの代わりに、URL カテゴリと Web レピュテーション スコアの情報を含む固有のデータベー スを使用できます。ローカル データベースを置換するには、集中管理設定を構成するときに自分のデータベースが常 駐するサーバーの URL を指定する必要があります。 URL フィルタリング情報を取得するために最初に検索されるソースとして自分のデータベースを使用できますが、ほ かの 2 つのソースを無効にして、データベースに保管された情報を使用するフィルタリング プロセスを制限できま す。 固有の URL フィルター データベースの使用を構成する 固有のデータベースから URL フィルタリング情報を取得するためには、集中構成設定の一部として、このデータベ ースの使用を構成します。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、データベース情報を使用するアプライアンスを選択して、[集中管理]をクリックしま す。 3 [詳細な更新設定]まで下にスクロールします。 McAfee Web Gateway 7.6.0 製品ガイド 353 11 Web フィルタリング URL フィルタリング 4 [アップデート サーバーの特別なカスタマー パラメーターを入力する]フィールドで、データベースが常駐するサ ーバーの URL を入力します。 5 [変更を保存]をクリックします。 アプライアンスの URL をフィルタリングするためにデータベースが使用されるときには、ローカル データベースか らではなく、自分のデータベースから取得されます。 フィルタリング プロセスを自分のデータベースに保管された情報に制限するために、URL フィルタリング情報のほ かのソースを追加で無効にすることができます。 URL フィルタリングをデータベース情報に制限する URL フィルタリングのデータベース情報のみを使用するには、Global Threat Intelligence システムと Dynamic Content Classifier の使用を無効にします。 自分の URL フィルター データベースの使用を構成する場合、フィルタリング情報がこのデータベースからのみ取得 されます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 [エンジン] 、 [URL フィルター]の下で、情報ソースを無効にする URL フィルター設定を選択します。 3 [評価設定]の下で、次の 2 つのチェックボックスの選択を順に解除します。 4 • [GTI Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする] • [ローカルの評価に結果がない場合、オンラインの GTI Web レピュテーションとカテゴライゼーション サー ビスを使用する] [変更を保存]をクリックします。 IFP プロキシを使用した URL フィルタリング IFP プロトコルの下で送信される Web アクセスに対するリクエストで、URL フィルタリングを実行できます。 このようなリクエストで URL フィルタリングを実行するには、以下の手順が必要です。 • IFP プロキシをセットアップします。 • 適したフィルタリング ルールを実装します。 IFP リクエストのフィルタリング アクティビティは、ユーザー インターフェースのダッシュボードで表示されます。 接続追跡はこれらのアクティビティにも実施できます。 IFP プロキシをセットアップする IFP プロトコルの下でユーザーがクライアント システムから送信する Web アクセスのリクエストを処理およびフ ィルタリングするには、アプライアンスのプロキシ機能を適切に構成する必要があります。IFP プロキシは、これら のリクエストをインターセプトして URL フィルタリングで使用できるようにセットアップする必要があります。 354 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 11 プロキシをセットアップするには、[構成] 、 [プロキシ]で、ユーザー インターフェースの設定数を指定する必要が あります。これらの設定には、以下が含まれます。 • プロキシの有効化または無効化 • プロキシ ポートのリスト、各プロキシの指定: • • IP アドレスおよびポート番号 • メッセージ モード(ブロック メッセージが IFP プロトコルの下で、リダイレクトとして送信されるか、通常 のメッセージとして送信されるかを示します) 同時の IFP リクエストの最大数 この設定を使用すると、IFP プロキシの過負荷を回避できます。 IFP リクエストのフィルタリングのルール IFP リクエストのフィルタリング プロセスを制御するためのデフォルトまたはライブラリのルール セットはありま せん。ただし、独自のルール セットを作成することはできます。また、既存のルール セットで IFP プロキシ機能を 使用できるようにすることも可能です。 IFP リクエストのルール セットを作成する場合、IFP プロトコルの使用をルール セット条件として指定し、このプ ロトコルの下で送信されるリクエストにルール セットが確実に適用されるようにする必要があります。これは、 Connection.Protocol プロパティを条件に含めて、IFP プロトコルを演算子として構成することによって、実現 します。 IFP プロトコルはリクエストのみを取り扱うので、ルール セットを適用する必要のあるアクティビティとして、フィ ルタリング応答および埋め込みオブジェクトを除外できます。 ルール セットのルールは、デフォルトの URL フィルタリングのルール セットのルールと同じである可能性がありま す。 IFP プロトコルの下で送信されるリクエストのみで URL フィルタリングを実行する場合は、デフォルトの URL フィ ルタリング ルール セットを削除して、ここで説明されている方法で作成した IFP フィルタリング ルール セットのみ を使用することをお勧めします。 既存のルール セットで IFP プロキシ機能を使用することも 1 つの選択肢として可能です。たとえば、さまざまな他 のプロトコルの下で送信されるリクエスト用に実装された認証があり、IFP リクエスト用の認証を追加する場合など です。 認証サーバー(時間/IP ベース セッション)のライブラリ ルール セットには、リクエストの送信先のクライアント に対してすでに認証済みのセッションがあるかどうかをチェックするルールを持つ埋め込みルール セットが含まれ ています。それ以外の場合、ルールはリクエストを認証サーバーにリダイレクトします。 埋め込みルール セットは HTTP や HTTPS などのプロトコルに対応しています。Connection.Protocol プロパ ティを使用すると、条件を拡張し、IFP プロトコルを含めることができます。 IFP フィルタリングのリダイレクト URL のフィルタリングのために IFP プロキシを使用する場合、次の制限に注意する必要っがあります。 McAfee Web Gateway 7.6.0 製品ガイド 355 11 Web フィルタリング URL フィルタリング • SafeSearch Enforcer の制限使用 IFP フィルタリングを実行すると、SafeSearch Enforcer は、Google を使用して実行される検索リクエストの フィルタリングのみで動作します。 これは、他の検索プロバイダーはすべてクッキーを使用していますが、Google のみは検索条件を送信するために URL を使用しているからです。ただし、アプライアンスの IFP プロキシによってクッキーは処理できません。 • 一部の機能に必要な IFP プロキシ 以下を実行する場合には、IFP プロキシだけでなく、HTTP プロキシをセットアップする必要があります。 • フィルタリング ルールのためにブロックされた IFP リクエストをブロッキング ページにリダイレクトして、 リクエストを送信したユーザーのクライアントにブロック メッセージを表示する。 • 内部認証サーバーで検証された証明書を持つことにより、アプライアンスのユーザーを認証する。 • 時間のクォータ ライブラリ ルール セットを実装して、ユーザーの Web 利用を制限する。 ダッシュボード上の IFP フィルタリング アクティビティ ユーザー インターフェースのダッシュボードは、いくつかの IFP フィルタリング アクティビティに関する情報を提 供します。 • 処理される IFP リクエストの数 この情報は、[Web トラフィック サマリー] 、 [プロトコル別の要求]の下に表示されます。 • 最も頻繁にリクエストされるアクセス先のドメイン(リクエスト数のカウント) これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。 この情報は、[Web トラフィック] 、 [要求の数別のトップレベル ドメイン]の下に表示されます。 • 最も頻繁にリクエストの宛先となる Web サイト(リクエスト数のカウント) これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。 この情報は、[Web トラフィック] 、 [要求の数別の宛先]の下に表示されます。 IFP フィルタリング アクティビティの追跡接続 IFP リクエストのフィルタリングでは、追跡接続を実行できます。 接続追跡を有効にすると、接続追跡ファイルが作成され、格納されます。[トラブルシューティング]のトップレベル メニューの下にあるユーザー インターフェースからアクセスできます。 IFP プロキシ設定を構成する IFP プロキシ設定を構成し、このプロトコルで送信された Web アクセスに対するリクエストの処理を有効にするプ ロキシを設定できます。 タスク 356 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、IFP プロキシ設定を構成するアプライアンスを展開し、[プロキシ (HTTP(S)、FTP、 ICAP、および IM)]をクリックします。 3 設定パネルで、[IFP プロキシ]セクションまで下にスクロールします。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング URL フィルタリング 4 必要に応じてこのセクションの設定を構成します。 5 [変更を保存]をクリックします。 11 IFP プロキシ設定 IFP プロキシ設定は、IFP プロトコルで送信された Web アクセスのリクエストをインターセプトして、URL フィル タリングで使用できるようにするプロキシを構成するために使用されます。 IFP プロキシ IFP プロキシを構成するための設定 表 11-19 IFP プロキシ オプション 定義 [IFP プロキシを有効にする] 選択すると、IFP プロキシがアプライアンス上で有効になります。 [IFP ポート定義リスト] IFP リクエストをリスンするポートのリストを作成できます。 [同時に許可される IFP リクエストの最大数] 同時に処理される IFP リクエストの数を指定値に制限します。 この設定を使用すると、IFP プロキシの過負荷を回避できます。 次の表では、IFP ポート定義リストのエントリについて説明しています。 表 11-20 IFP ポート定義 オプション 定義 [リスナー アドレス] IFP リクエストをリスンするポートの IP アドレスおよびポート番号を指定します。 [リダイレクトとしてエ true に設定する場合、リクエストを送信したユーザは、たとえば、リクエストがブロッ ラー メッセージを送信す クされたことなどを、エラー メッセージ ページにリクエストをリダイレクトすること る] によって通知されます。 そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されま す。 [コメント] IFP リクエストにリスンするポートの平文コメントを提供します。 IFP リクエストをフィルタリングするルール セットを作成する IFP プロトコルで送信された Web アクセスのリクエストをフィルタリングするルールを使用して、ルール セットを 作成できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[ルール セット]を選択します。 [新しいルール セットの追加]ウィンドウが開きます。 2 [名前]フィールドで、Filter IFP Requests などのルール セットに適した名前を入力します。 3 [適用先]で、[応答]および[埋め込みオブジェクト]を選択解除します。 4 [このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。 5 ルール セット条件を設定します。 a [条件]の下で、[追加]をクリックして、[詳細条件]を選択します。 [条件の追加]ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 357 11 Web フィルタリング URL フィルタリング b プロパティ リストから、[Connection.Protocol]を選択します。 c 演算子リストから、[等しい]を選択します。 d オペランドの入力フィールドで、IFP と入力します。 e [OK]をクリックします。 [条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。 6 [OK]をクリックします。 [新しいルール セットの追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。 ルール セットが作成された場合、URL フィルタリング ルールを挿入する必要があります。たとえば、デフォルトの URL フィルタリング ルール セットからルールをコピーし、必要に応じてルールを微調整することができます。 認証ルール セットを修正して IFP プロトコルを含める 認証ルール セットの条件に IFP プロトコルを含めると、そのプロトコルで送信されるリクエストの認証を有効にす ることができます。 タスク 1 ライブラリから認証ルール セットをインポートします。 a [ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[最上位レベル ルール セット]を選択しま す。 [最上位レベル ルール セットの追加]ウィンドウが開きます。 b [ライブラリ ルール セットからのルール セットのインポート]をクリックします。 [ルール セット ライブラリから追加]ウィンドウが開きます。 c [ルール セット ライブラリ]リストから、[認証(時間/IP ベース セッション)]ルール セットを選択します。 d [競合のインポート]領域で、リストに表示されている競合を選択し、[競合の解決]で競合解決方法を選択しま す。 e [OK]をクリックします。 [ルール セット ライブラリから追加]ウィンドウが閉じ、ルール セットがルール セット ツリーに表示されま す。 2 ルール セットを展開し、埋め込まれた[有効な認証セッションのチェック]ルール セットを選択します。 埋め込まれたルール セットの条件およびルールは設定ペインに表示されます。 358 3 [編集]をクリックします。[ルール セットの編集]ウィンドウが開きます。 4 ルール セット条件を修正します。 a [条件]の下で、[追加]をクリックして、[詳細条件]を選択します。 b プロパティ リストから、[Connection.Protocol]を選択します。 c 演算子リストから、[等しい]を選択します。 d オペランドの入力フィールドで、IFP と入力します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング メディア タイプ フィルタリング e 11 [OK]をクリックします。 [条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。 f 5 [条件の組み合わせ]で、文字 e の後の閉じ括弧を削除し、d の後に挿入します。 [OK]をクリックします。 [ルール セットの編集]ウィンドウが閉じます。 6 [変更を保存]をクリックします。 メディア タイプ フィルタリング メディア タイプ フィルタリングを使用すると、特定のメディア タイプに対するアクセスを禁止することができま す。たとえば、組織の Web セキュリティ ポリシーで画像、オーディオ、ストリーミング メディアが許可されてい ない場合、これらのメディアに対するアクセスをブロックできます。 このようにして、ユーザーが多くのリソースを消費しないようにできます。 メディア フィルタリング プロセスには複数のプロセスが存在します。これらの要素は様々な方法で実行されます。 • フィルタリング ルールがプロセスを制御します。 • ルールでブロック リストを使用し、特定のメディア タイプへのアクセスをブロックできます。 初期セットアップ後、Web Gateway にはメディア タイプ フィルタリングのデフォルト プロセスが実装されていま す。このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。 メディア タイプ フィルタリングを設定する場合、次の操作を行うことができます。 • ルールのキー要素 - ルール セット ツリーでデフォルトのメディア タイプ フィルタリング ルール セットをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を 行うことができます。 • 完全なルール - キー要素ビューで [ビューのロックを解除] をクリックし、ルール セット ツリーで メディア タイプ フィルタリング ルール セットを展開すると、ネストされている「メディア タイプの アップロード」と「メディア タイプのダウンロード」のルール セットを表示できます。 いずれかをクリックすると、完了したフィルタリング プロセスのデフォルト ルールを確認できます。 また、キー要素など、すべての要素を設定できるだけなく、新しいルールの作成やルールの削除も実 行できます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 フィルタリング ルール メディア タイプ フィルタリング プロセスを制御するルールは、通常、1 つのメディア タイプ フィルタリング ルー ル セットに含まれています。Web にアップロードしたり、Web からダウンロードするメディア タイプのフィルタ リング ルールには 2 つのルール セットをネストできます。 デフォルトのプロセスを実装すると、2 つのルール セットがネストされたメディア タイプ フィルタリング ルール セットが追加されます。ネスト側のルール セットの名前は、「メディア タイプ フィルタリング」で、ネストされる ルールセットは「メディア タイプのアップロード」と「メディア タイプのダウンロード」です。 McAfee Web Gateway 7.6.0 製品ガイド 359 11 Web フィルタリング メディア タイプ フィルタリング メディア タイプ フィルタリング ルールでは、メディア タイプのリストを使用できます。また、 MediaType.IsAudio や MediaType.IsVideo プロパティなど、適切なプロパティを使用する必要があります。 ブロック リスト ブロック リストは、特定のメディア タイプへのアクセスをブロックするルールで使用されます。ネットワーク内か ら Web へのメディアのアップロードを禁止するブロック リストもあります。また、Web からネットワークへのメ ディアのダウンロードを禁止するブロック リストもあります。 メディア タイプ フィルタリングでキー要素を設定する メディア タイプ フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタ リング プロセスを適用します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、[メディア タイプ フィルタリング] ルール セットを選択します。 フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。 3 必要に応じて、キー要素を設定します。 4 [変更の保存] をクリックします。 メディア タイプ フィルタリングのキー要素 メディア タイプ フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。 アップロードでメディア タイプをブロック Web にアップロードされるメディアをフィルタリングするキー要素 表 11-21 アップロードでメディア タイプをブロック オプション 定義 [ブロックするメディア タイプ] [編集] をクリックすると、ウィンドウが開き、ルールが使用するアップロード メ ディア タイプのブロック リストを編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 ダウンロードでメディア タイプをブロック Web からダウンロードされるメディアをフィルタリングするキー要素 表 11-22 ダウンロードでメディア タイプをブロック オプション 定義 [ブロックするメディア タイプ] [編集] をクリックすると、ウィンドウが開き、ルールが使用するダウンロード メディア タイプのブロック リストを編集できます。 リストに項目を追加したり、項目の変更や削除を実行できます。 360 [検出不能なメディア タイプをブ ロック] 選択すると、検出不能なタイプのメディアがブロックされます。 [非対応のメディア タイプをブロ ック] 選択すると、Web Gateway で処理できないタイプのメディアがブロックされ ます。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング メディア タイプ フィルタリング 11 表 11-22 ダウンロードでメディア タイプをブロック (続き) オプション 定義 [マルチメディアをブロック] 選択すると、マルチメディア タイプのメディアがブロックされます。 [ストリーミング メディアをブロ ック] 選択すると、ストリーミング タイプのメディアがブロックされます。 完全なルール ビューでメディア タイプ フィルタリングを設定する ネットワークの要件に合わせてメディア タイプ フィルタリングを設定し、このプロセスに適用できます。 URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。 タスク 1 ルール セットで、URL フィルタリングのルールを確認します。 デフォルトでは、URL Filtering ルール セットになります。 2 必要に応じて、これらのルールを設定します。 たとえば、次の変更を行います。 • ブロックルールやホワイトリスト ルールを有効または無効にします。 • これらのルールで使用するリストを編集します。 リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。 • 3 URL フィルター モジュールの設定を変更します。 変更を保存します。 メディア タイプ フィルタリングのプロパティ デフォルト ルール セットのメディア タイプ フィルタリング ルールの多くは、条件に MediaType.EnsuredTypes プロパティを使用しています。その他のプロパティを使用すると、メディア タイプ フィルタリングが別の方法で実行されるようにします。 たとえば、 MediaType.NotEnsuredTypes プロパティがあります。ブロック ルールの条件でこのプロパティを 使用する場合、ルールは、実際にこのタイプである可能性が 50% 未満であっても、メディア タイプがブロック リ ストに存在するメディアをブロックします。 メディア タイプがすべての状況で確実にブロックしたい場合これを行うことができます。 次の表に、メディア タイプ フィルタリングのルールにあるルールのプロパティを示します。 表 11-23 メディア タイプ フィルタリング プロパティ プロパティ 説明 MediaType.EnsuredTypes 50% 以上の可能性で確認されるメディア タイプを持つメディアのプロパ ティ アプライアンスの内部リストからのメディア タイプ シグネチャがメディア のオブジェクト コードに存在する場合、このレベルの可能性が想定されま す。 MediaType.NotEnsuredTypes McAfee Web Gateway 7.6.0 実際にメディアの各タイプである可能性が 50% 未満であるメディアのプ ロパティ 製品ガイド 361 11 Web フィルタリング メディア タイプ フィルタリング 表 11-23 メディア タイプ フィルタリング プロパティ (続き) プロパティ 説明 MediaType.FromFileExtension メディア タイプがメディア タイプ ファイル名の拡張子に基づいて推測さ れるメディアのプロパティ 拡張子およびそれに関連するメディア タイプは、アプライアンスの内部カタ ログで検索されます。ただし、複数のメディア タイプによって使用される拡 張子があります。 MediaType.FromHeader メディアと共に送信されるヘッダーのコンテンツ タイプ フィールドによっ て推測されるタイプのメディアのプロパティ ヘッダーは標準形式で読み込み、評価します。元の形式でヘッダーをフィル タリングするには、Header.Get プロパティを使用できます。 MediaType.IsSupported アプライアンスのオープナー モジュールによって展開できる埋め込みメデ ィアまたはアーカイブ メディアのプロパティ List.OfMediaType.IsEmpty 内部リストにないタイプを持つメディアのプロパティ メディア タイプ フィルタリング ルールの変更 ルールの条件のプロパティを変更することで、メディア タイプ フィルタリング ルールを別の種類のメディア タイプ をフィルターするように変更できます。変更したルールで使用できるよう新しいフィルター リストを作成すること も必要です。 タスク • 362 ページの「変更したルールにフィルター リストを作成」 変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成で きます。 • 363 ページの「メディア タイプ フィルタリングのルールでプロパティを置換する」 ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディ ア タイプ フィルタリング ルールの条件のプロパティを置換できます。 変更したルールにフィルター リストを作成 変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成できます。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーの[リストのカスタマイズ] ブランチで、[メディア タイプ]を選択し、[追加]をクリックします。 [リストの追加]ウィンドウが開きます。 3 [名前]フィールドに新しいリストの名前(Not Ensured Download Media Type Blocklist など)を入力し ます。 4 [オプション][コメント] フィールドで、新しいリストの平文コメントを入力します。 5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 6 [OK]をクリックします。 [リストの追加]ウィンドウが閉じて、新しいリストが[メディア タイプ]の下のリスト ツリーに表示されます。 新しいリストのエントリを記入して、メディア フィルタリング ルールにブロックするものと許可するものを設定で きます。 362 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング メディア タイプ フィルタリング 11 メディア タイプ フィルタリングのルールでプロパティを置換する ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディア タイプ フ ィルタリング ルールの条件のプロパティを置換できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 [ルール セット]ツリーで、メディア タイプ フィルタリングのルール セット(たとえば、[メディア タイプ フ ィルタリング] ルール セットでネストされた[ダウンロード メディア タイプ]など)を選択します。 3 ルール([ダウンロード メディア タイプのブラックリストからタイプをブロック]など)を選択し、[編集]をクリ ックします。 [ルールの編集]ウィンドウが選択した[名前]ステップとともに開きます。 4 [ルールの条件]をクリックし、[条件]下でルールを選択します。そこで[編集]をクリックします。 [条件の編集]ウィンドウが開きます。 5 6 以下のとおり、ルール条件を構成します。 a 左の列のプロパティのリストから、たとえば、MediaType.EnsuredTypes の代わりに [MediaType.NotEnsuredTypes ]などの新しいプロパティを選択します。 b 右側の列のオペランドのリストから、[確認されていないダウンロード メディア タイプのブラックリスト]を 選択します。 [OK]をクリックします。 ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。 7 [完了]をクリックします。 [ルールの編集]ウィンドウが閉じ、変更したルールが選択したネスト済みのルール セット内に表示されます。 8 [変更の保存]をクリックします。 メディア タイプ フィルタリングのルール セット メディア タイプ フィルタリング ルール セットは、メディア タイプ フィルタリングのデフォルト ルール セットで す。 ライブラリ ルール セット — メディア タイプ フィルタリング 条件 — Always サイクル — Requests (and IM), responses, embedded objects 以下のルール セットは、このルール セット内にネストされています。 • アップロード メディア タイプ このルール セットは、デフォルトでは有効になっていません。 • ダウンロード メディア タイプ アップロード メディア タイプ このネストされたルール セットは特定のメディア タイプに属するメディアのアップロードをブロックします。こ れは、ユーザーが Web にメディアのアップロードをリクエストした際にリクエスト サイクルで、また、オブジェ クトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。 McAfee Web Gateway 7.6.0 製品ガイド 363 11 Web フィルタリング アプリケーション フィルタリング ネストされたライブラリ ルール セット — メディア タイプ アップロード 条件 — Always サイクル — Requests (and IM) and embedded objects ルール セットは、以下のルールを含みます。 アップロード メディア タイプ ブラックリストからタイプをブロック Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default> ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認 できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ れ、ルールのプロセスが停止します。 ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュール の設定を指定します。これによりカウントが実行されます。 アプライアンスで受信される次のリクエストで、プロセスが続行します。 ダウンロード メディア タイプ このネストされたルール セットは特定のメディア タイプに属するメディアのダウンロードをブロックします。こ れは、Web サーバーがユーザーのダウンロード リクエストに応答してメディアを送信する際に応答サイクルで、 また、オブジェクトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。 ネストされたライブラリ ルール セット — ダウンロード メディア タイプ 条件 — Always サイクル — Responses and embedded objects ルール セットには、以下のルールが含まれます。 Block types from list Download Media Type Blocklist Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default> ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認 できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ れ、ルールのプロセスが停止します。 ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュール の設定を指定します。これによりカウントが実行されます。 アプライアンスで受信される次のリクエストで、プロセスが続行します。 アプリケーション フィルタリング アプリケーション フィルタリングは、ネットワークを使用して不審なアプリケーションにアクセスできないことを保 証します。たとえば、Facebook、Xing、その他などが該当する可能性があります。フィルタリング プロセスのアプ 364 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング アプリケーション フィルタリング 11 リケーション名とレピュテーション スコアを確認し、それにしたがってアクセスをブロックします。フィルタリング はアプリケーションの各機能にも適用できます。 このプロセスには、以下の要素が含まれています。 • プロセスを制御するフィルタリング ルール • アプリケーションをブロックするルールで使用するアプリケーション リスト • 間隔に更新するアプリケーション システム リスト フィルタリング プロセスの状態および統計の更新は、ダッシュボードに表示されます。 アプリケーション フィルタリングのルール アプリケーション フィルタリングをコントロールするルールは、通常 1 つのルール セットに含まれます。これら は、次の 2 つの方法を使用して、アプリケーションおよびアプリケーションの各機能へのアクセスをブロックしま す。 • リストにあるアプリケーションおよび各機能をブロックする • 特定のリスクの重大度に割り当てられたアプリケーションをブロックする リストに従ってアプリケーションおよび各機能をブロックするには、Application.Name プロパティが使用されま す。 このプロパティの値は、アプリケーションおよび各機能にアクセスするユーザーによって送信された、リクエストに 表示されるアプリケーションおよび各機能の名前です。この名前がブラックリストにある場合、アクセスがブロック されます。例として、以下のルールが該当します。 名前 リストに従ってアプリケーションをブロックする 条件 Application.Name is in list Unwanted Applications アクション –> Block<Application Blocked> リスクの重大度にしたがってアプリケーションをブロックするには、Application.IsMediumRisk または Application.IsHighRisk などが使用され、これには値として true または false があります。 リスク評価は、Global Threat Intelligence システムによって割り当てられた、アプリケーションのレピュテーショ ン スコアに基づいています。アプリケーションへのアクセスを許容するリスクが高いと考えられる場合、これは悪い 評価になります。 アプリケーションがこのレベルに達する、または超える場合、以下のルールのようにアクセスがブロックされます。 名前 高リスク アプリケーションをブロックする 条件 Application.IsMediumRisk equals true OR Application.isHighRisk equals true アクション –> Block<Application Blocked> 両方の方法はアプリケーション システム リストを使用します。これらのリストにあるアプリケーションおよびアプ リケーション機能のみ、アプリケーションのフィルタリング ルールに使用されるリストにも表示できます。 アプリケーションおよびアプリケーション機能のリスクの重大度も、アプリケーション システム リストに表示され ます。 ログ用に、Application.To String および Application.Reputation があります。これは、それぞれレピュテ ーション スコアのため文字列と数値に変換された、リクエストされたアプリケーション名です。 McAfee Web Gateway 7.6.0 製品ガイド 365 11 Web フィルタリング アプリケーション フィルタリング ログ ファイル エントリで情報を記録するルールで、これらのプロパティを使用できます。 アプリケーション フィルタリングは、アプライアンスのデフォルトで実行されません。しかし、ライブラリから Application Control ルール セットをインポートできます。 これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。 ブロッキング リスト ブラックリストはルールによって使用され、ユーザーによってリクエストされたアプリケーションへのアクセスをブ ロックします。ライブラリ ルール セットは、すでにいくつかのアプリケーション名があるリストが含まれています。 ライブラリ ルール セットからアプリケーション名をリストに追加するか、削除するか、独自のリストを作成できま す。アプリケーション名を追加する場合、アプリケーション システム リストから取得する必要があります。 同じ方法で、アプリケーション機能名を使用してリストを作成および編集できます。 アプリケーション システム リスト リストに表示されるアプリケーション フィルタリング ルールによって、ブロックできるアプリケーションおよびア プリケーション機能です。これは、アプライアンス システムおよび間隔で更新されたことで提供されます。 [リスト]タブのリスト ツリーにあるシステム リストのアプリケーション名フォルダーを展開してこれらのリストを 表示できます。このフォルダーには、ファイル共有またはインスタント メッセージングなどの、異なるタイプのアプ リケーションのたくさんのサブフォルダーが含まれています。 サブフォルダーにはアプリケーションのリストが含まれており、各々について次の情報が提供されます。 • アプリケーション名(またはアプリケーション機能を持つアプリケーション名) • コメント • リスク レベル • アプリケーションの説明(またはアプリケーション機能) アプリケーションの機能は、Orkut(Orkut Chat)のように、アプリケーション名の後の括弧内に表示されます。ブ ロック ルールのリスト内にアプリケーション機能が含まれている場合、この機能はブロックされるだけで、アプリケ ーションを終了するわけではありません。 以下は、システム リスト内にあるアプリケーションのエントリーの一例です。 MessengerFX | Risk:Minimal:A web-based instant messaging service 次の例は、アプリケーション機能のエントリを示します。 Orkut(Orkut Chat) | Risk:High:Allows users to send instant messages. ダッシュボードのアプリケーション フィルタリング情報 ダッシュボードは、アプリケーション フィルタリングの以下の情報を提供します。 • アプリケーション リストの状態を更新する • 実際はブロックされたアプリケーションおよびアプリケーション機能の統計 アプリケーション フィルタリングの構成 アプリケーション フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。 以下の高レベル手順を完了します。 366 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング アプリケーション フィルタリング 11 タスク 1 Application Control ルール セットをインポートします。 2 このルール セットにあるルールを確認し、必要に応じて修正します。 たとえば、以下の操作を実行できます。 • ブロック ルールの有効化または無効化 • アプリケーションを追加または削除して、ルールで使用されたリストを編集します。 • 独自のリストを作成し、既存のリストの代わりで使用するか、既存のリストに追加して使用する • Application.IsMediumRisk の Application.IsHighRisk に置き換えるなど、関連プロパティに置き 換えることで、ルールで使用されるレピュテーション レベルを変更します。 独自のブロック ルールを作成することも可能です。 3 変更を保存します。 アプリケーション フィルタリングのリストを作成する アプリケーション フィルタリング ルールで使用するためのリストを作成し、ブロックする必要のあるアプリケーシ ョンまたはアプリケーションの各機能のエントリを入力します。 タスク 1 [ポリシー] 、 [リスト]を選択し、[Add]アイコンをクリックします。 [リストの追加]ウィンドウが開きます。 2 一般リスト設定を構成します。 a [名前]フィールドで、Unwanted Applications のようなリストの名前を入力します。 b [タイプ] リストで、[アプリケーション名]を選択します。 c [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。 d [オプション][コメント] フィールドで、リストの平文コメントを入力します。 3 [OK]をクリックします。 [リストの追加]ウィンドウが閉じて、リスト ツリーの [カスタム リスト] 、 [アプリケーション名] の下にあるリ スト ツリーにリストが表示されます。 4 設定ペインの上のリストを選択し、[編集]アイコンをクリックします。 [編集]ウィンドウは、アプリケーション名を含むフォルダーのコレクションと一緒に開きます。 McAfee Web Gateway 7.6.0 製品ガイド 367 11 Web フィルタリング アプリケーション フィルタリング 5 アプリケーションまたはアプリケーションの各機能のエントリを入力します。 a ユーザーに名前を付けるアプリケーションまたはアプリケーションの各機能を含むフォルダーを展開し、 [Instant Messaging Web Applications] などをリストを追加します。 b [MessengerFX] または [Orkut(Orkut Chat)]のように、アプリケーションまたはアプリケーション機能を 設定します。 複数のアプリケーションまたはアプリケーション機能を同時に選択したり、複数のフォルダーから同時にアイ テムを選択したり、完全なフォルダーを選択したりすることができます。 [OK]をクリックします。 c [編集]ウィンドウが閉じると、選択したアプリケーションおよびアプリケーション機能はリストに表示されま す。 また、完全なフォルダーを追加して、含めたくないプリケーションおよびアプリケーション機能のエントリを 後で削除することもできます。 6 [変更を保存]をクリックします。 アプリケーション フィルタリング ルールの条件で作成したリストを使用できます。たとえば、アクセスするアプリ ケーションまたはアプリケーション機能の名前がリストに表示されるように要求される場合に条件を満たします。 アプリケーション フィルタリング ルールのリスク レベルを修正する 高から中など、Web セキュリティに示すリスクに従って、アプリケーションをフィルタリングするルール内のリス ク レベルを修正できます。これにより、アプリケーションが中程度のリスクであっても、ブロック アクションをト リガーできるため、Web セキュリティが向上します。 開始する前に 次の手順は、ライブラリからアプリケーション コントロール ルール セットをインポートしていること を前提としています。 タスク 1 [ポリシー ] 、 [ルール セット ]を選択します。 [新しいルール セットの追加]ウィンドウが開きます。 2 [アプリケーション コントロール]ルール セットを展開し、[リクエスト サイクルのアプリケーションをブロック する]ルール セットを展開します。 一般的な設定とネストされているルール セットのルールは、設定パネルで表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 [危険度高で Web アプリケーションをブロックする]ルールを選択し、[編集]をクリックします。 [ルールの編集]ウィンドウが開きます。 5 [Steps]で、[Rule Criteria]を選択し、[Criteria]セクションで、複雑な条件(いずれかは [Application.IsHighRisk] プロパティを使用します)の上部分を選択して、[編集]をクリックします。 [条件の編集]ウィンドウ、およびプロパティ リストで選択した [Application.IsHighRisk] プロパティが開かれ ます。 6 368 プロパティ リストから、[Application.IsMediumRisk] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング アプリケーション フィルタリング 7 11 [OK]をクリックします。 [条件の編集]ウィンドウが閉じると、修正された条件が[条件]セクションに条件が表示されます。 8 [完了]をクリックします。 [ルールの編集]ウィンドウが閉じ、設定ペインには修正された条件と一緒にルールが表示されます。 9 [変更を保存]をクリックします。 アプリケーション コントロール ルール セット アプリケーション コントロール ルール セットは、アプリケーション フィルタリングのライブラリ ルール セットで す。 ライブラリ ルール セット – アプリケーション コントロール 条件 — Always サイクル - 要求 (および IM)、応答 以下のルール セットは、このルール セット内にネストされています。 • 要求サイクルのアプリケーションをブロックする • 応答サイクルのアプリケーションをブロックする 要求サイクルのアプリケーションをブロックする このネストされたルール セットは、要求サイクルでアプリケーション フィルタリングを処理します。 ネストされたライブラリ ルール セット - 要求サイクルのアプリケーションをブロックする 条件 — Always サイクル - 要求 (および IM) ルール セットは、以下のルールを含みます。 インスタント メッセージング アプリケーションをブロックする Application.Name is in list Instant Messaging –> Block<Default> ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認 します。含まれている場合は、このアプリケーションの要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 このルールは、デフォルトでは有効になっていません。 危険度高で Web アプリケーションをブロックする Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web Conferencing –> Block<Default> ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、 Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場 合、このアプリケーションの要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 Facebook チャットをブロックする Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default> McAfee Web Gateway 7.6.0 製品ガイド 369 11 Web フィルタリング ストリーミング メディア フィルタリング ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確 認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文 字列と同じ場合、アプリケーションの要求がブロックされます。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 このルールは、デフォルトでは有効になっていません。 応答サイクルのアプリケーションをブロックする このネストされたルール セットは、応答サイクルでアプリケーション フィルタリングを処理します。 ネストされたライブラリ ルール セット – 応答サイクルでアプリケーションをブロックする 条件 — Always サイクル – 応答 ルール セットは、以下のルールを含みます。 応答サイクルで検索するアプリケーション Application.Name is in list of Applications to Search for in Response Cycle –> Block<Default> ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認 します。含まれている場合は、このアプリケーションの要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 このルールは、デフォルトでは有効になっていません。 危険度高で Web アプリケーションをブロックする Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web Conferencing –> Block<Default> ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、 Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場 合、このアプリケーションの要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 Facebook チャットをブロックする Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default> ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確 認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文 字列と同じ場合、アプリケーションの要求がブロックされます。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 このルールは、デフォルトでは有効になっていません。 ストリーミング メディア フィルタリング Web Gateway が Web オブジェクを受信したときに、ストリーミング メディア フィルタリングがこのタイプのオ ブジェクトを検出し、設定済みのルールに従ってオブジェクトを処理します。 Web Gateway でウイルスとマルウェアのフィルタリングが実装されていると、受信した Web オブジェクトがスキ ャンされ、感染の有無が確認されます。総合的なスキャン結果を得るには、完全な Web オブジェクトをスキャンす る必要があります。 370 McAfee Web Gateway 7.6.0 製品ガイド 11 Web フィルタリング ストリーミング メディア フィルタリング ただし、ストリーミング メディアの場合、完全な状態でスキャンすることはできません。ストリーミング メディア 以外を扱う通常のスキャンでは正確な結果を得ることはできません。 ストリーミング メディアを処理すると、スキャン プロセスが完了しないため、処理の遅延が延々と続くことになり ます。 Web オブジェクトがストリーミング メディアであることが判明した場合にオブジェクトをブロックすると、スキャ ンが完了していない Web オブジェクトに対するアクセスを禁止できます。 あるいは、ストリーミング メディアをウイルス/マルウェア スキャンの対象外にし、スキャンが完了していないメデ ィアに対するアクセスをユーザーに許可することもできます。 Web Gateway では、フィルタリング プロセスで次の要素を使用します。 • プロセスを制御するフィルタリング ルール • Web オブジェクトがストリーミング メディアである可能性を計算するモジュール Web オブジェクトがストリーミング メディアである可能性が設定値に達するか、設定値を超えた場合、このモジ ュールが該当するプロパティの値を true に設定します。 ストリーミング メディア フィルタリングは、フィルタリング プロセスの応答サイクルに適用され、ユーザーの要求 に応答して Web サーバーが送信したストリーミング メディアを処理します。 ストリーミング メディア検出のルール ストリーミング メディアの可能性が特定の値に一致する Web オブジェクトをブロックまたは許可するには、 StreamDetector.IsMediaStream プロパティを使用するルールを設定します。 このプロパティの値が true になると、Web オブジェクトに対するアクセスが次のルールによってブロックされま す。 名前 ストリーミング メディアへのアクセスをブロックする 条件 StreamDetector.IsMediaStream<Streaming Detection> equals true アクション –> Block<Streaming Media Blocked> 次のルールによって許可されます。 名前 ストリーミング メディアに対するアクセスを許可する 条件 StreamDetector.IsMediaStream<Streaming Detection> equals true アクション –> Continue StreamDetector.IsMediaStream プロパティの値はストリーム ディテクター モジュールにより指定されま す。 Web Gateway のデフォルトでは、ストリーミング メディア フィルタリングは実行されません。使用する場合には、 前述のようなルールを作成する必要があります。 このルールをそれ自身のルール セットで使用せずに、メディア タイプ フィルタリング ルール セットなど、別の適 切なルール セットに挿入することをお勧めします。 McAfee Web Gateway 7.6.0 製品ガイド 371 11 Web フィルタリング ストリーミング メディア フィルタリング デフォルトの「ゲートウェイ マルウェア対策」ルール セットには、ウイルスとマルウェアのフィルタリングからス トリーミング メディアを除外するルールが含まれています。このルール セットでは、マルウェア対策スキャン モジ ュールで Web オブジェクトをスキャンするルールの前に、スキップ ルールが配置されています。 ストリーミング メディア フィルタリングの他のプロパティ StreamDetector.IsMediaStream プロパティが true に設定されると、関連する値が他の 2 つのプロパティも 設定されます。StreamDetector.Probability プロパティには、Web オブジェクトに対して実際に計算された可 能性 (パーセント) が設定されます。たとえば、60、70 などの値が設定されます。 StreamDetector.IMatchedRule プロパティの値は一致するルールの名前です。 これらの追加プロパティは、ログ ファイル エントリーの情報を記録するルールで使用できます。 ストリーミング メディア検出のモジュール Web オブジェクトがストリーミング メディアである可能性は、ストリーム ディテクター モジュール (フィルター、 エンジンともいいます) が計算します。このモジュールは、URL カテゴリ、content-type ヘッダー、送信元 IP ア ドレスなどの項目を使用して可能性を計算します。計算の結果はパーセントで表されます。 このように検出できるストリーミング メディアの種類には、次のものがあります。 • Flash ベースのビデオ • RealMedia • IC9 ストリーム • MP3 ストリーム • MS-WMSP このモジュールの設定を行い、Streaming Media Detection などの名前を付けることができます。また、Web オブジェクトがストリーミング メディアとして見なされる最小の可能性も設定します。 ストリーミング メディア フィルタリングの構成 ストリーミング メディア フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。 以下の高レベル手順を完了します。 タスク 1 ストリーミング メディアが構成されたレベルに届くまたは超える可能性がある場合、Web オブジェクトをブロッ クするストリーミング メディア フィルタリング ルールを作成します。 2 たとえば、メディア タイプ ルール セットで、適合するルール セットにこのルールを挿入します。 可能性のレベルを上げるまたは下げることで、ルールを後で変更できます。これは、ストリーム検出モジュール の設定を構成することで完了します。 3 変更を保存します。 ストリーミング メディア検出モジュールを設定する ネットワーク要件に応じて、Web オブジェクトのストリーミング メディアの可能性を計算するモジュールを設定す ることができます。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 [ストリーム ディテクター] を選択して [追加] をクリックします。 [設定の追加] ウィンドウが開きます。 372 McAfee Web Gateway 7.6.0 製品ガイド 11 Web フィルタリング ストリーミング メディア フィルタリング 3 [名前] フィールドに設定名を入力します。 4 (オプション) [コメント] 入力フィールドに、設定のコメントを入力します。 5 (オプション) [権限] タブをクリックして、設定へのアクセスを許可するユーザーを設定します。 6 必要に応じて、[ストリーム ディテクター] でモジュールの設定を行います。 7 [変更を保存] をクリックします。 ベスト プラクティス - ストリーム ディテクターの設定 ストリーム ディテクターを設定すると、ストリーム メディアの処理方法を設定できます。ストリーム ディテクター がストリーム メディアの Web オブジェクトを検出したときに、特別なスキャンを実行するようにしてください。 通常、Web Gateway でウイルスとマルウェアのフィルタリングを行うには、Web オブジェクトが完全にダウンロ ードされ、マルウェア対策モジュール (エンジンまたはフィルターともいいます) がスキャンする必要があります。 ストリーミング メディアの場合、メディアのダウンロードが完了するのを待ってスキャンを行うことはできません。 通常のスキャン方法では、処理の遅延が延々と続くことになります。 ストリーミング メディアの場合には、特別な処理が必要になります。このため、Web Gateway には次の 2 つのコ ンポーネントが用意されています。 • ストリーム ディテクター - Web オブジェクトがストリーミング メディアかどうかを判断します。 • メディア ストリーム スキャナー - ストリーミング メディアをチャンク単位でスキャンします。 通常の方法と比べても、メディア ストリーム スキャナーは負荷のかからない方法でスキャンを実行します。 メディア ストリーム スキャナーの処理状況に合わせて、ダウンロード要求を送信したクライアントにストリーミン グ メディアがチャンク単位で配信されます。チャンク内で感染が検出されると、ダウンロードが停止します。感染チ ャンクと残りのストリーミング メディアは配信されません。 ストリーム ディテクターは Web Gateway の独立したモジュールです。メディア ストリーム スキャナーのよう に、マルウェア対策モジュールの一部ではありません。 該当するルールが両方のコンポーネントを呼び出し、処理を実行します。デフォルトでは、このルールはゲートウェ イ マルウェア対策ルール セットに含まれています。 ただし、McAfee Web Gateway の古いバージョンでは、このルールが使用できません。次の操作を行ってくださ い。 • ルール セット システムを検査します。 • デフォルトのゲートウェイ マルウェア対策ルール セットあるいはウイルスとマルウェアのフィルタリングに使 用しているルール セットにルールが含まれていない場合には、このいずれかのルール セットにルールを設定しま す。 このルールは、通常のマルウェア対策スキャンを開始するルールの直前に配置する必要があります。 ストリーミング メディア フィルタリングのルール ストリーミング メディア フィルタリングのデフォルトのルールは次のようになります。 名前 ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ス トリーム スキャナーを開始する 条件 McAfee Web Gateway 7.6.0 アクショ ン イベント 製品ガイド 373 11 Web フィルタリング ストリーミング メディア フィルタリング Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection> equals true –> ルール セ – メディア ス ットの停 トリーム ス 止 キャナーを有 効にする デフォルトの「ゲートウェイ マルウェア対策」ルール セットで、このルールは、通常のマルウェア対策スキャンを 開始するルールの直前にあります。 Web オブジェクトがストリーミング メディアであることをストリーム ディテクターが確認すると、このルール セ ットの処理を停止してメディア ストリーム スキャナーを開始します。ストリーミング メディアのスキャンを実行 して、通常のスキャンを実行するルールをスキップします。 Cycle.Name プロパティの条件部分により、転送された要求に応答して Web Gateway が Web から Web オブジ ェクトを受信したときにのみ、このルールが適用されます。 ストリーム ディテクターの設定 ストリーム ディテクター モジュールの設定は、設定ツリーの [ストリーム ディテクター] で行います。デフォルト の設定名は [デフォルトのストリーミング検出] です。 デフォルトでは、次のオプションだけが設定されています。 [最小の可能性] - ストリーミング メディアの可能性が設定されています。この可能性を満たすと、Web オブジェク トがストリーミング メディアとして処理されます。 • 可能性はパーセントで表され、1 から 100 までの数字で設定されます。 • この可能性はストリーム ディテクターが使用します。最小の可能性に達すると、 StreamDetector.IsMediaStream プロパティが true に設定されます。このプロパティは、ストリーミン グ メディア フィルタリングのデフォルトのルールで使用されています。 • 最小の可能性のデフォルト値は 60 です。この値は変更しないようにしてください。 ストリーム ディテクターの設定 ストリーム ディテクターの設定は、ストリーミング メディアである Web オブジェクトの確率を計算するモジュー ルを設定するために使用されます。 ストリーミング ディテクター ストリーミング メディアの確率を計算するモジュールの設定 表 11-24 ストリーミング ディテクター オプション 定義 [最小の可能性] Web オブジェクトがストリーミング メディアとして処理される可能性がパーセントで表示され ます。この値は 0 から 100 の数字で設定します。 374 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング グローバル ホワイトリスト登録 11 グローバル ホワイトリスト登録 グローバル ホワイトリストを使用すると、ホワイトリストに登録された Web オブジェクトのフィルタリングをスキ ップし、オブジェクトに対するアクセスを許可できます。 グローバル ホワイトリストのプロセスでは、機能の異なる複数の要素が実行されます。 • フィルタリング ルールがプロセスを制御します。 • ルールは、ホワイトリストを使用して Web オブジェクトのフィルタリングをスキップします。 初期セットアップ後、Web Gateway には グローバル ホワイトリストのデフォルト プロセスが実装されています。 このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。 グローバル ホワイトリストを設定する場合、次のものを使用できます。 • ルールのキー要素 - ルール セット ツリーでデフォルトの グローバル ホワイトリスト ルール セッ トをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行う ことができます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、フィルタリング プロセ スのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルール の作成やルールの削除を行うことができます。 変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 フィルタリング ルール グローバル ホワイトリスト登録を管理するルールは、1 つのルール セットに含まれます。 ホワイトリスト ルールは、このルールセットに配置され実行されます。これらのいずれかが適用されると、以下のル ール セットがスキップされ、ホワイトリストに登録された オブジェクトに対してさらにフィルタリングは行われま せん。 これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。 デフォルト ルール セット システムが実施されると、グローバル ホワイトリスト登録のルール セットが含まれます。 その名前は、グローバル ホワイトリストです。 ホワイトリスト 特定の Web オブジェクトをさらなるフィルタリングから除外するホワイトリスト登録ルールに使用されるホワイト リスト URL 、メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。 このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、ホワイト リスト登録ルールに使用させることも可能です。 グローバル ホワイトリストの構成 グローバル ホワイトリストを構成し、このプロセスをネットワーク要件にあわせることができます。 以下の高レベル手順を完了します。 タスク 1 グローバル ホワイトリストのためルール セットのルールを確認します。 デフォルトでは、これはグローバル ホワイトリスト ルール セットです。 McAfee Web Gateway 7.6.0 製品ガイド 375 11 Web フィルタリング グローバル ホワイトリスト登録 2 必要に応じて、これらのルールを変更します。 たとえば、以下の操作を実行できます。 • ホワイトリスト ルールの有効化または無効化 • ホワイトリストルールで使用するリストを編集する リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを 示します。 • 3 独自のホワイトリストを作成し、ホワイトリスト ルールで使用する 変更を保存します。 グローバル ホワイトリストのルール セット グローバル ホワイトリスト ルール セットは、グローバル ホワイトリスト登録のためのデフォルト ルール セットで す。 デフォルト ルール セット — グローバル ホワイトリスト 条件 — Always サイクル — Requests (and IM), responses, embedded objects このルール セットは、以下のルールを含みます。 許可されたクライアントのリストにあるクライアント IP Client.IP is in list Allowed Clients –> Stop Cycle ルールは Client.IP プロパティを使用し、リクエストを送信したクライアントの IP アドレスが指定のホワイトリ ストにあるかどうかを確認します。 ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。そこでリクエストが適切 な Web サーバーに転送されます。 URL.Host matches in list Global Whitelist URL.Host matches in list Global Whitelist –> Stop Cycle ルールは URL.Host プロパティを使用して、リクエストで送信された URL がアクセスを与えるホストが指定のホ ワイトリストにあるかどうかを確認します。 ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。リクエストはそこで、リ クエストされたホストである Web サーバーに転送されます。 376 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 SSL スキャン SSL スキャンは SSL セキュア Web トラフィックが処理でき、その他のフィルタリング機能で使用できるようにな っていることを確認します。 SSL s キャン プロセスでは、機能の異なる複数の要素が実行されます。 • SSL スキャン ルールがプロセスを制御します。 • ルールがホワイトリストと他のリストを使用して、Web オブジェクトに対する SSL スキャンをスキップしたり、 プロセス内の他の機能を実行します。 • ルールによって呼び出された SSL スキャン モジュールが証明書の検証とプロセス内の他の機能を実行します。 SSL スキャンを設定するときに、次のルールを使用できます。 • ルールのキー要素 - ルール セット ツリーでデフォルトの SSL Scanner ルール セットをクリッ クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ ます。 • 完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定 し、新しいルールの作成やルールの削除を行うことができます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 SSL スキャン ルール SSL スキャニングを制御するルールは、いくつかのネストされたルール セットをもつ 1 つのルール セットに通常含 まれます。ネストされた ルール セットのそれぞれは、SSL スキャニング プロセスの特定の機能を制御します。 • CONNECT 呼び出しの処理 ― CONNECT 呼び出しを処理するためのルールをもつルールセットがあります。 これは SSL セキュア通信の先頭で HTTPS プロトコルの下で送信されます。 • 証明書の検証 ― たとえば、これらの証明書の共通名を検証するなど、SSL セキュア通信でクライアントとサー バーにより送信された証明書を検証するためのルール セットがあります。 プロセスのこの部分は、明示的なプロキシと透過型のセットアップの両方に対する検証を許可します。 • コンテンツの検査の有効化 ― 別のルール セットには、SSL セキュア通信で転送されたコンテンツの検査を有効 にするためのルールが含まれます。 オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに よってオブジェクトをスキャンして、ルールに結果を知らせます。 ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ ャンは行われません。 SSL スキャニングについてアプライアンスで施行されているルールを見直し、それらを変更または削除し、固有のル ールを作成することもできます。 デフォルト ルール セット システムが実施されると、SSL スキャニングのルール セットが含まれます。その名前は、 SSL スキャナーです。ただし、このルール セットは、初期状態では有効になっていません。 McAfee Web Gateway 7.6.0 製品ガイド 377 11 Web フィルタリング SSL スキャン SSL スキャニングのためのホワイトリストとその他のリスト ホワイトリストは、Web オブジェクトにプロセスの一部を除外させるための SSL スキャニング ルールにより使用さ れます。たとえば、証明書のホワイトリストは、証明書の検査の実行を免除します。 SSL スキャニングで使用されるその他のリストには、受け付けられる場合は CONNECT 呼び出しで許可されるポー ト番号と特定の交換キーを適用できないために証明書の特別な種類の検証を必要とするサーバーを含みます。 このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、SSL スキ ャニング ルールに使用させることも可能です。 SSL スキャン モジュール 以下のモジュール (エンジンとも呼ばれます) は、SSL スキャニング プロセスの異なる部分を実行するために、SSL スキャニング ルールにより呼び出されます。 • SSL スキャナー — 実行する際の設定に応じて、明書の検証を扱うか、コンテンツ検査を有効化します。 適宜、モジュールは異なる設定での証明書検証とコンテンツの検査のためのルールにより呼び出されます。 • クライアント コンテキスト設定のためのモジュール ― SSL セキュア通信で要求を送信するクライアントへのア プライアンスの証明書の送信を処理します。 この証明書が送信されると、証明書を発行する証明書機関 (CA) はそれと共に、またはそれなしで送信できます。 適宜、証明書機関と共に証明書を送信するモジュールと、証明書機関なしで証明書を送信する別のモジュールが あります。 デフォルト システムの SSL スキャナー ルール セットは、証明書機関と共に証明書を送信する方法を使用しま す。 デフォルトの証明書機関は、初期セットアップの後で使用できます。しかし、さらに使用するために固有の証明 書権限を提供することをお勧めします。 • 証明書チェーン — 証明書の追加元のリストを使用して、チェーンを形成する証明機関の追加を処理します。 チェーンを形成する際、モジュールはチェーンに含まれる証明書に証明機関のリストを使用します。既存のリス トに証明機関および新しいリストを追加することができます。 SSL スキャンの構成 SSL スキャンを構成し、このプロセスをネットワーク要件にあわせることができます。 以下の高レベル手順を完了します。 タスク 1 SSL スキャンのルール セットを有効にし、このルール セット内のルールを確認します。 デフォルトでは、これは SSL スキャナー ルール セットです。 2 378 必要に応じて、これらのルールを設定します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 たとえば、次の変更を行います。 • アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明書 で置換します。 これは、ユーザー インターフェースで作成する、またはファイル システムからインポートする証明機関によ って可能です。 • • ホワイトリスト ルールを有効または無効にします。例: • クライアントによって提出された証明書がホワイトリストにある場合、証明書の検証をスキップするデフ ォルトのルールです。 • 要求された URL のホストがホワイトリストにある場合、コンテンツの検査をスキップするデフォルトで す。 ホワイトリストルールで使用するリストを編集する リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを 示します。 3 • 独自のホワイトリストを作成し、ホワイトリスト ルールで使用する • SSL スキャンに関連するモジュールの設定を変更します。 • SSL スキャナー モジュール • SSL クライアント コンテキスト モジュール • 証明書チェーン モジュール 変更を保存します。 SSL スキャン モジュールの構成 SSL スキャン モジュールを構成し、SSL セキュア Web トラフィックが処理される方法を変更できます。 以下のモジュールは SSL スキャンに関連し、構成可能です。 • SSL スキャナー モジュール • SSL クライアント コンテキスト モジュール • 証明書チェーン モジュール タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、SSL スキャンのためにルール セットを検索します。 デフォルトでは、これは SSL スキャナー ルール セットです。 3 ルール セットを展開し、構成するモジュールの設定があるルールを含むネストされたルール セットを選択しま す。 たとえば、SSL スキャナー モジュールを構成するには、ネストされた接続呼び出しの処理ルール セットを展開 します。これは、SSL スキャナー モジュールのデフォルトの証明書の検証設定を持つデフォルトのルール証明書 の検証を有効にするによって含まれます。 ネストされたルール セットのルールが設定パネルに表示されます。 4 [詳細を表示]が選択されていることを確認します。 McAfee Web Gateway 7.6.0 製品ガイド 379 11 Web フィルタリング SSL スキャン 5 構成するモジュールの設定を持つルールを検索します。 これは、例えば上記の証明書の検証を有効にするルールである可能性があります。 6 ルール内で、設定名をクリックします。 たとえば、証明書の検証を有効にするルール イベントで、デフォルトの証明書の検証をクリックします。 [設定の編集]ウィンドウが開きます。SSL スキャナー モジュールなどモジュールの設定を提供します。 7 必要に応じて、これらの設定を構成します。 8 [OK]をクリックしてウィンドウを閉じます。 9 [変更の保存]をクリックします。 デフォルトのルート証明書権限の置換 アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明機関に置換 することができます。デフォルトの証明機関は、初期セットアップ後に設定されます。 ユーザー インターフェースで新しいルート証明書権限を作成するか、ファイル システムからのものをインポートで きます。 タスク • 380 ページの「ルートの証明機関の作成」 アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、 デフォルトの証明機関の代わりに使用できます。 • 381 ページの「ルート証明機関のインポート」 アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名する ために、ルート証明機関(CA)をインポートできます。 ルートの証明機関の作成 アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、デフォルトの 証明機関の代わりに使用できます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーの[エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト]に進み、 3 [新しく作成]をクリックします。 [新しい証明機関の作成]ウィンドウが開きます。 4 [組織]および[ローカリティ] フィールドに、独自の証明機関に関する適切な情報を入力します。 5 [オプション][組織ユニット]および[ステート] フィールドに適切な情報を入力します。[国]リストから、国を選 択します。 6 [共通名]フィールドに、独自の証明機関の共通名を入力します。 7 [オプション][電子メール] フィールドに、組織で使用している電子メール アドレスを入力します。 8 [有効]リストから、証明機関が有効になる時間を選択します。 9 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。 380 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 10 [OK]をクリックします。 新しい証明機関が作成されます。 11 [変更の保存]をクリックします。 ルート証明機関のインポート アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名するために、ルー ト証明機関(CA)をインポートできます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[CA を持つ SSL クライアント コンテキスト] を選択し、インポートされた証明書を使用する設 定をクリックします。 3 [インポート]をクリックします。 [証明機関のインポート]ウィンドウが開きます。 4 [参照]をクリックして適切なファイルを参照することにより、[証明書]フィールドに証明認証ファイルの名前を入 力します。 ファイルは PEM (Privacy-enhanced mail) 形式でエンコードされている必要があります。 5 [参照]をクリックして適切なファイルを参照することにより、[秘密鍵]鍵フィールドに証明書の鍵ファイルの名前 を入力します。 ファイルは PEM 形式でエンコードされている必要があります。キーは少なくとも 2048 ビットの長さである必 要があります。 6 [条件付き] 秘密鍵がパスワードで保護されている場合、[パスワード]フィールドにパスワードを入力します。 ここでは、暗号化されていない鍵と AES 128 ビットの暗号化鍵のみを使用できます。 7 [条件付き] 証明機関が証明書チェーンに関連し、アプライアンスがクライアントに証明書を送信するよう、この チェーンの情報を取得したい場合、[参照]をクリックし、適切なファイルを参照することにより、[証明書チェー ン]フィールドの情報を含むファイル名を入力します。 ファイルは PEM 形式でエンコードされている必要があります。 8 [OK]をクリックします。 証明機関がインポートされます。 9 [変更の保存]をクリックします。 クライアント証明書リスト クライアント証明書リストは、SSL セキュア通信でクライアント リクエストをアプライアンスで受信し、適切な Web サーバーでパスする場合の、Web サーバーの送信される証明書のリストです。 SSL 再交渉が行なわれるため、Web サーバーが最初と後の握手で求める場合、証明書が送信されます。 ルール イベントはアプライアンスに伝達され、Web サーバーの通信にクライアント証明書を使用します。証明書は クライアント証明書リストから選択できます。 この場合、証明書のプライベート キーは、リクエストに送信されるクライアントによって提供されることが必要で す。 代わりに、常に Web サーバーに送信される事前設定された証明書を使用することもできます。 McAfee Web Gateway 7.6.0 製品ガイド 381 11 Web フィルタリング SSL スキャン クライアント証明書リストから証明書の使用をトリガーするルール イベントは、CONNECT 要求に適用するルール、 または条件の Command.Name プロパティの値として CERTVERIFY を持つ証明書の検証に対するルール セッ トのルールに属することができます。 クライアント証明書リストおよび手順を含むルール イベントの設定を構成し、使用できます。また設定は、アプライ アンスが提供するクライアントの証明書のプライベート キーが、暗号化されていない状態で保管されるように指定で きます。 クライアント証明書リストの作成 SSL セキュア通信で Web サーバーに送信可能なクライアント証明書のリストを作成できます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[SSL クライアント証明書の取り扱い]を選択し、[追加]をクリックします。 [設定の追加]タブが選択されている状態で、[設定の追加]ウィンドウが開きます。 3 全般設定パラメーターを構成します。 a [名前]フィールドで、設定名を入力します。 b [オプション][コメント] フィールドで、設定の平文コメントを入力します。 c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。 4 [クライアント証明書の取り扱い]で、オプション[クライアントの所有権が証明された場合、既知のクライアント 証明書リストからクライアント証明書を使用する]が選択されていることを確認します。 5 [既知のクライアント証明書]リストのツールバーで、[追加]をクリックします。 [クライアント証明書の追加]ウィンドウが開きます。 6 [インポート]をクリックして、クライアント証明書をインポートします。 [クライアント証明書のインポート] ウィンドウが開きます。 7 クライアント証明書をインポートする a [証明書]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した ファイルを参照して選択します。 ファイル マネージャーが閉じ、証明書ファイルの名前がフィールドに表示されます。 b [秘密鍵]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した 鍵ファイルを参照して選択します。 ファイル マネージャーが閉じ、鍵のファイル名とパスワードが[秘密鍵]および[パスワード]に表示されます。 c [OK]をクリックします。 ウィンドウが閉じ、証明書ファイルの情報が[クライアント証明書のインポート]ウィンドウに表示されます。 d [オプション][コメント] フィールドで、証明書の平文コメントを入力します。 8 [OK]をクリックします。 [クライアント証明書の追加]ウィンドウが閉じ、証明書ファイル名とコメント(提供された場合)が[既知のクラ イアント証明書]リストに表示されます。 リストに追加する他の証明書に対してステップ 5 から 6 を繰り返します。 382 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 9 11 [設定の追加]ウィンドウを閉じるには、[OK]をクリックします。 10 [変更の保存]をクリックします。 SSL クライアント証明書処理の設定 SSL クライアント証明書処理の設定は、SSL セキュア通信で Web サーバーに送信されるクライアント証明書を設定 するために使用されます。 SSL クライアント証明書処理 SSL クライアント証明書の設定 表 11-25 SSL クライアント証明書処理 オプション 定義 [クライアントが所有権を証明 これが選択されると、SSL セキュア通信で Web サーバーに送信されるクライアン した場合、既知のクライアント ト証明書は、既知のクライアント証明書のリストから取り出されます。 証明書リストのクライアント証 しかし、サーバーへのアプライアンスの転送をリクエストをもつクライアントがこ 明書を使用する] の証明書の所有者である場合に、証明書はこのリストからのみ取り出されます。 このラジオ ボタンを選択した後で、[既知のクライアント証明書]セクションが表 示され、証明書のリストを構成するための設定を示します。 [常に事前定義されたクライア ント証明書を使用する] これを選択すると、同じクライアント証明書が常に SSL セキュア通信で Web サ ーバーに送信されます。 このラジオ ボタンを選択した後で、[事前定義されたクライアント証明書]セクシ ョンが表示され、1 つの証明書のリストを構成するための設定を示します。 既知のクライアント証明書 Web サーバーに送信できる既知のクライアント証明書のリストの構成の設定 表 11-26 既知のクライアント証明書 オプション 定義 既知のクライアント証明書リスト SSL セキュア通信で Web サーバーに送信できるクライアント証明書のリスト を提供します。 次の表は既知のクライアント証明書のリストのエントリーの要素を説明しています。 表 11-27 既知のクライアント証明書 - リスト入力 オプション 定義 [証明書] クライアント証明書の名前を指定します。 [コメント] 証明書の平文テキストのコメントを提供します。 事前定義されたクライアント証明書 Web サーバーに常に送信されるクライアント証明書の構成の設定 McAfee Web Gateway 7.6.0 製品ガイド 383 11 Web フィルタリング SSL スキャン 表 11-28 事前定義されたクライアント証明書 オプション 定義 [件名]、[発行者]、[有効 Web サーバーに送信するために現在使用されているクライアント証明書の情報を提供し 性]、[延長] ます。 [インポート] クライアント証明書をインポートするために、[クライアント証明書のインポート]ウィン ドウを開きます。 インポート後に、クライアント証明書の情報が、[件名]、[発行者]の下、およびその他の 情報フィールドに表示されます。 [エクスポート] ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書を保管しま す。 [キーをエクスポート] ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書のプライベー ト キーを保管します。 [証明書チェーン] クライアント証明書とともにインポートされる証明書チェーンを表示します。 SSL スキャナー設定 SSL スキャナー設定は証明書が検証されコンテンツの検査が SSL セキュア Web トラフィックに対して有効に設定 される方法を構成するために使用されます。 SSL スキャナーを有効にする 証明書の検証の構成やコンテンツ検査の有効化のための設定 表 11-29 SSL スキャナーを有効にする オプション 定義 [SSL スキャナー モ ジュール] SSL スキャナー モジュールによって実行される機能を選択します。 • [証明書の検証] — 選択すると、モジュールは、SSL セキュア通信で送信される証明書を 検証します。 • [SSL 検査] — 選択すると、モジュールは SSL セキュア通信で送信される Web オブジ ェクトのコンテンツを検査します。 [SSL プロトコル バ ージョン] 選択すると、モジュールは SSL セキュア通信で送信される Web オブジェクトのコンテン ツを検査します。 • [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用さ れます。 • [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。 [サーバー暗号化リス ト] サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。 [SSL セッション キ ャッシュ TTL] キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を 保持する時間 (秒)を指定値に制限します。 SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証およ び EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の検 証を行います。 [RFC 5746 を実装し 選択すると、SSL スキャナー モジュールは、指定された基準への準拠に失敗した Web サ ないサーバーとのハ ーバーとの通信においても、これらのアクティビティを実行します。 ンドシェイクと再ネ ゴシエーションを許 可する] 384 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 代わりのハンドシェイクを許可する 代わりのパラメーター値を使う SSL で保護された通信のハンドシェイク設定 表 11-30 代わりのハンドシェイクを許可する オプション 定義 [ハンドシェイクの失敗 選択すると、SSL で保護された通信で最初のハンドシェイク試行が失敗した後、SSL ス 後、代わりのハンドシェ キャナー モジュールは代わりのパラメーター値を使用します。 イク設定を使用する] [SSL プロトコル バー ジョン] SSL スキャナー モジュールが代替のハンドシェイクを実行する際に従うプロトコルのバ ージョンを選択します。 • [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用 されます。 • [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。 [サーバー暗号化リスト] サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。 SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証お よび EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書 の検証を行います。 CA の SSL クライアント コンテキストの設定 [CA の SSL クライアント コンテキスト] の設定は、Web Gateway アプライアンスのクライアントに証明書と一緒 に証明機関の情報を送信する場合に使用します。 SSL クライアント コンテキスト (証明機関) の定義 証明書と一緒に証明機関の情報を送信する場合の設定 McAfee Web Gateway 7.6.0 製品ガイド 385 11 Web フィルタリング SSL スキャン 表 11-31 SSL クライアント コンテキスト (証明機関) の定義 オプション 定義 (現在の証明書とデ [サブジェクト] の [発行者] と他のフィールド名 SSL セキュア通信を行っているアプライ フォルトのルート証 アンスのクライアントに現在送信されている証明書の情報が表示されます。 明機関) この証明書に署名しているルート証明機関 (ルート CA) の情報も表示されます。 初期セットアップ後に、証明書はデフォルトのルート証明機関によって署名されます。 この 証明機関は McAfee です。 McAfee は自社製品の証明書に署名しているので、この証明書を自己署名証明書といいます。 自己署名証明書は、SSL セキュア通信のすべてのパートナーに信頼されているとは限りませ ん。 Web Gateway で SSL 機能をきめ細かく管理するため、独自のルール証明機関を作成するこ とをお勧めします。 この証明機関を作成するには、[今すぐ生成] オプションを使用します。 [証明機関] 証明機関に関連するアクティビティの実行オプションが表示されます。 • [今すぐ生成] - 新しい証明機関の作成ウィンドウが開きます。 • [インポート] - 証明機関のインポート ウィンドウが開きます。 このウィンドウでは、証明機関の情報を含むファイルや、証明機関が署名した証明書をイ ンポートできます。 また、検証プロセスに関連する証明機関チェーンに関する情報を含むファイルを追加する こともできます。 証明書チェーンの情報を含むファイルは、ファイル システムで新たに作成したフ ァイルの場合も、すでに保存されているファイルの場合もあります。 この場合、ファイルには次の情報が含まれます。 • アプライアンスがサーバーとしてクライアントに送信した証明書 • 中間の証明機関。証明書に署名した機関の一つ。他の期間はそれぞれ別の証明 機関の検証を行います。 • ルート証明機関。別の証明機関を検証する最初のインスタンスです。 証明書チェーン ファイルをインポートする場合、中間証明機関の情報だけをファ イルに入れてください。 他の情報はファイルから削除してください。 この操作を行わないと、インポート に失敗します。 • [エクスポート] - 証明機関ファイルのエクスポート先になる場所をファイル システムで 探し、ファイルをエクスポートします。 • [キーのエクスポート] - キー ファイルのエクスポート先になる場所をファイル システム で探し、ファイルをエクスポートします。 386 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 表 11-31 SSL クライアント コンテキスト (証明機関) の定義 (続き) オプション 定義 [証明書チェーンを 送信する] 選択すると、証明書チェーンとこの証明書の検証プロセスに関係する証明機関の情報がアプ ライアンスからクライアントに送信されます。 この情報を取得するには、証明機関のインポート オプションを使用するときに証明書チェー ンを入れる必要があります。 アプライアンスは、ここで設定された証明書をサーバーとしてクライアントに送信します。 この証明書はサーバー証明書ともいいます。 サーバー証明書はレベル 0 と見なされます。 証明機関がこの証明書を検証して署名すると、 レベル 1 になります。 さらに別の証明機関が検証すると、レベルが 2 になります。 関係する証明機関が 1 つ増え ると、レベルが 1 つ上がります。 [証明書チェーン] 証明書チェーンの情報が表示されます。 証明機関のファイルと一緒に証明書チェーンをインポートすると、このフィールドに情報が 表示されます。 [カスタム ドメイン キーを使用] 選択すると、証明書と一緒に独自に設定したキーが送信されます。 [カスタム ドメイン キー] カスタム ドメイン キーを処理する次のオプションが表示されます。 このキーは、Web Gateway アプライアンスのドメイン全体に証明書を送信する場合に使用 します。 • [キーのインポート] - カスタム ドメイン キー ファイルのインポート元になる場所をフ ァイル システムで選択します。 • [キーのエクスポート] - カスタム ドメイン キー ファイルのエクスポート先になる場所 をファイル システムで選択します。 [ダイジェスト] ダイジェスト モードの選択リストが表示されます。 [RSA サーバー キー 証明書のキー ファイルのサイズを制限します。 サイズ] [CA の署名付き証明 証明機関の署名付き証明書の有効期間 (日数) を設定します。 書の有効期間] [クライアント暗号 化リスト] クライアント データの復号に使用する Open SSL 記号の文字列を指定します。 [SSL セッション キ キャッシュに SSL セッション パラメーターを保存する期間 (秒) を指定します。 ャッシュ TTL] [安全でないネゴシ 選択すると、安全に処理が実行できない場合でも、Web Gateway は SSL セキュア通信のパ エーションを実行す ラメーターと再度ネゴシエーションを行います。 る] McAfee Web Gateway 7.6.0 製品ガイド 387 11 Web フィルタリング SSL スキャン 表 11-31 SSL クライアント コンテキスト (証明機関) の定義 (続き) オプション 定義 [テキスト形式の空 選択すると、証明書と一緒にテキスト形式の空のフラグメントがクライアントに送信されま のフラグメントを送 す。 信する] [SSL プロトコル バ SSL スキャン モジュールがハンドシェイク処理で使用するプロトコルのバージョンを選択 ージョン] します。 • [TLS 1.2] - 選択すると、TLS (Transport Layer Security) バージョン 1.2 が使用され ます。 • [TLS 1.1] - 選択すると、TLS (Transport Layer Security) バージョン 1.1 が使用され ます。 • [TLS 1.0] - 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用され ます。 • [SSL 3.0] - 選択すると、SSL バージョン 3.0 が使用されます。 CA 以外の SSL クライアント コンテキストの設定 [CA 以外の SSL クライアント コンテキスト] の設定は、証明機関の情報を付けずに証明書だけを Web Gateway ア プライアンスのクライアントに送信する場合に使用します。 SSL クライアント コンテキスト (証明機関なし) の定義 証明機関の情報を付けずに証明書を送信する場合の設定 表 11-32 [SSL クライアント コンテキスト (証明機関なし) の定義] オプション 定義 [ホストまたは IP でサーバー 証明書を選択する] クライアントに送信された証明書とこれらの証明書を取得したホスト システムの 一覧が表示されます。 ホスト システムは、ホスト名または IP アドレスで識別さ れます。 証明書は、サーバーとして機能するアプライアンスからクライアントに送信されま す。 この証明書はサーバー証明書ともいいます。 388 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 表 11-33 ホストまたは IP でサーバー証明書を選択する - リスト項目 オプション 定義 [ホスト] 証明書を取得するホスト システムのホスト名または IP アドレスが表示されます。 [サーバー証明書] アプライアンスがサーバーとしてクライアントに送信している証明書の情報が表示されます。 リストに新しい証明書を追加すると、証明書の生成またはインポートが可能になります。 これ らの操作のオプションは、[サーバー証明書]で項目を追加するウィンドウに表示されます。 • [生成] - 新しい証明書の作成ウィンドウが開きます。 • [インポート] - 証明書のインポート ウィンドウが開きます。 このウィンドウには、ファイルと一緒に証明書の情報をインポートするオプションも表示され ます。 また、検証プロセスに関連する証明機関チェーンに関する情報を含むファイルを追加すること もできます。 証明書チェーンの情報を含むファイルは、ファイル システムで新たに作成したファ イルの場合も、すでに保存されているファイルの場合もあります。 この場合、ファイルには次の情報が含まれます。 • アプライアンスがサーバーとしてクライアントに送信した証明書 • 中間の証明機関。証明書に署名した機関の一つ。他の期間はそれぞれ別の証明機 関の検証を行います。 • ルート証明機関。別の証明機関を検証する最初のインスタンスです。 証明書チェーン ファイルをインポートする場合、中間証明機関の情報だけをファイ ルに入れてください。 他の情報はファイルから削除してください。 この操作を行わないと、インポートに 失敗します。 • [エクスポート] - 証明機関ファイルのエクスポート先になる場所をファイル システムで探 し、ファイルをエクスポートします。 • [キーのエクスポート] - キー ファイルのエクスポート先になる場所をファイル システムで 探し、ファイルをエクスポートします。 [HSM] 証明 s の情報を保護するハードウェア セキュリティ モジュールの情報が表示されます。 [証明書チェーン] クライアントに送信された証明書チェーンとこの証明書の検証プロセスに関係する証明機関の 情報が表示されます。 [コメント] 証明書のコメントがテキスト形式で表示されます。 表 11-34 SSL クライアント コンテキスト (証明機関なし) の定義 (続き) オプション 定義 [クライアント接続にのみ 選択すると、アプリケーションからクライアントの接続で SSL スキャン機能を使 SSL スキャナーの機能を適用 用してトラフィックが処理されます。 する] [クライアント暗号化リスト] クライアント データの復号に使用する Open SSL 記号の文字列を指定します。 [SSL セッション キャッシュ TTL] キャッシュに SSL セッション パラメーターを保存する期間 (秒) を指定します。 [安全でないネゴシエーション 選択すると、安全に処理が実行できない場合でも、Web Gateway は SSL セキュ を実行する] ア通信のパラメーターと再度ネゴシエーションを行います。 McAfee Web Gateway 7.6.0 製品ガイド 389 11 Web フィルタリング SSL スキャン 表 11-34 SSL クライアント コンテキスト (証明機関なし) の定義 (続き) (続き) オプション 定義 [テキスト形式の空のフラグメ 選択すると、証明書と一緒にテキスト形式の空のフラグメントがクライアントに送 信されます。 ントを送信する] [SSL プロトコル バージョン] SSL スキャナー モジュールがハンドシェイク処理で使用するプロトコルのバージ ョンを選択します。 • [TLS 1.2] - 選択すると、TLS (Transport Layer Security) バージョン 1.2 が使用されます。 • [TLS 1.1] - 選択すると、TLS (Transport Layer Security) バージョン 1.1 が使用されます。 • [TLS 1.0] - 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用されます。 • [SSL 3.0] - 選択すると、SSL バージョン 3.0 が使用されます。 証明書チェーン設定 証明書チェーン設定は、証明書チェーンの構築を処理するモジュールの構成に使用されます。 証明書の検証 証明書チェーンの構築の設定 表 11-35 証明書の検証 オプション 定義 [証明機関のリスト] 証明書チェーンの証明書に署名する証明機関(CAs)のリストを選択するためのリストを提供 します。 以下の表はリスト エントリの要素を説明しています 表 11-36 証明機関のリスト オプション 定義 [証明機関] 証明機関名を指定します。 [証明書失効リスト] この証明機関に署名された証明書が無効になる際の情報、およびリストにアクセスするために 使用される URL の情報のリストを指定します。 [信用] 選択されている場合、証明機関がアプライアンスで信頼済みです。 [コメント] 証明機関の標準テキスト形式のコメント SSL スキャナー ルール セット SSL スキャナー ルール セットは、SSL すきゃ人のためのデフォルト ルール セットです。 デフォルト ルール セット — SSL スキャナー 条件 — Always サイクル - 要求 (および IM) 390 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 以下のルール セットは、このルール セット内にネストされています。 • 接続呼び出しの処理 • 証明書の検証 • 共通名検証 (プロキシ設定) • コンテンツの検査 • 共通名検証 (透過型設定) 接続呼び出しの処理 このネストされたルール セットは、SSL セキュア通信の CONNECT 呼び出しを処理し、証明書の検証を有効にしま す。 ネストされたライブラリ ルール セット — CONNECT 呼び出し処理 条件 — Command.Name equals “CONNECT” サイクル - 要求 (および IM) このルールの条件は、要求が接続コマンドを含むアプライアンスで受信された場合、ルールが適用されるよう指定し ます。CONNECT コマンドは、SSL で保護された接続のオープニング フェーズで送信されます。 ルール セットは、以下のルールを含みます。 クライアント コンテキストの設定 Always –> Continue – Enable SSL Client Context with CA <Default CA> このルールは、クライアントに送信されたサーバー証明書の使用を有効にします。 イベント設定は、この証明書のデフォルトの発行者として、初期設定後、アプライアンスに実装される McAfee Web Gateway ルートの証明機関 (CA) を指定します。 Continue アクションは次のルールで処理を続行します。 トンネリング ホスト URL.Host is in list SSL Host Tunnel List –> Stop Cycle このルールは、指定されたホワイトリストにある URL を持つホストへのアクセスの要求で SSL スキャンをスキッ プさせます。 送信先ポートを許可された CONNECT ポートに限定する URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed> このルールは、許可された CONNECT ポートのリストにない送信先ポートを使った要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 EDH 以外のサーバー リストにあるホストの場合、EDH がなくても証明書の検証を有効にする URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL Scanner<Certificate Verification without edh> このルールは、EDH (Ephemeral Diffie-Hellman) 以外のサーバー リストにあるホストから送信された要求で証 明書の検証を有効にします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 イベント設定は、SSL スキャン モジュールの検証モードで実行、および EDH 以外のホストでデータ暗号化の特定 の暗号文字列を指定しています。 証明書の検証を有効にする Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification> McAfee Web Gateway 7.6.0 製品ガイド 391 11 Web フィルタリング SSL スキャン このルールは証明書の検証を有効にします。 イベント設定は、SSL スキャン モジュールが検証モードで実行することを指定します。 証明書の検証 このネストされたルール セットは、SSL セキュア通信で CERTVERIFY 呼び出しを処理します。ホワイトリストに 登録された証明書に検証をスキップさせ、特定の条件に従って、それ以外をブロックします。 ネストされたライブラリ ルール セット — 証明書の検証 条件 – Command.Name equals “CERTVERIFY* サイクル - 要求 (および IM) このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。 以下のルール セットは、このルール セットでネストされています。 • 共通名検証 (プロキシ設定) ルール セットは、以下のルールを含みます。 証明書ホワイトリストで見つかった証明書の検証をスキップする SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set このルールは、ホワイトリストに登録された証明書の検証をスキップさせます。 自己署名証明書をブロックする SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident> このルールは、自己署名証明書を持つ要求をブロックします。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 期限切れのサーバー (7 日間許容) および期限切れ CA 証明書をブロックする SSL.Server.Certificate.DaysExpired greater than 7 OR SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate incident> このルールは、期限切れのサーバーと CA 証明書を使った要求をブロックします アクションの設定で要求を行っているユーザーへのメッセージを指定します。 長すぎる証明書チェーンをブロックする SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate incident> このルールは、証明書チェーンがパスの長さを超えた場合にブロックします。 プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 破棄された証明書をブロックする SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate incident> このルールは、含まれている証明書のうちいずれかが失効した場合、証明書チェーンをブロックします。 プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 392 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング SSL スキャン 11 未知の証明機関をブロックする SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate incident> このルールは、含まれている証明書を発行する証明機関 (CA) がいずれも既知の CA ではない場合、証明書チェー ンをブロックします。 プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 信頼しない証明機関をブロックする SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident> このルールは、最初に見つかった既知の CA が信用されない場合、証明書チェーンをブロックします。 プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 共通名検証 (プロキシ設定) このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ れます。 ネストされたライブラリ ルール セット — 共通名検証 (プロキシ設定) 条件 – Connection.SSL.TransparentCNHandling equals false サイクル - 要求 (および IM) このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ ードで実行されない場合、ルール セットが適用されるよう指定します。 ルール セットは、以下のルールを含みます。 一致するホスト名を許可する URL.Host equals Certificate.SSL.CN –> Stop Rule Set このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。 ワイルドカード証明書を許可する Certificate.SSL.CN.HasWildcards equals true AND URL.Host matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可 します。 ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。 替わりの共通名を許可する URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。 インシデントをブロックする Always –> Block <Common name mismatch> 一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理 されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 McAfee Web Gateway 7.6.0 製品ガイド 393 11 Web フィルタリング SSL スキャン コンテンツの検査 このネストされたルール セットは CERTVERIFY 呼び出しの処理を実行します。特定の条件に従って、一部の要求で コンテンツの検証をスキップさせ、その他すべての検査を有効にします。 ネストされたライブラリ ルール セット — コンテンツ検査 条件 – Command.Name equals “CERTVERIFY* サイクル - 要求 (および IM) このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。 ルール セットは、以下のルールを含みます。 SSL 検査ホワイトリストで見つかったホストのコンテンツ検査をスキップする Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection Whitelist –> Stop Rule Set このルールは、ホワイトリストに登録されたホストに送信された要求でコンテンツの検査をスキップさせます。透 過型モード以外でのみ適用されます。 SSL 検査ホワイトリストで見つかった共通名のコンテンツをスキップする Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL Inspection Whitelist –> Stop Rule Set このルールは、証明書にホワイトリストに登録された共通名を持つ要求で、コンテンツの検査をスキップさせます。 透過型モードでのみ適用されます。 このルールは、初期状態では有効になっていません。 クライアント証明書を持つ接続を検査しない Connection.Client.CertificateIsRequested equals true –> Stop Rule Set このルールは、クライアント証明書の使用が必要な場合、要求に検査をスキップさせます。 このルールは、初期状態では有効になっていません。 コンテンツ検査を有効にする Always –> Continue – Enable SSL Scanner<Enable content inspection> このルールはコンテンツ検査を有効にします。 イベント設定は、SSL スキャン モジュールが検査モードで実行することを指定します。 コンテンツの検査をスキップするルールのうちいずれかが適用される場合、ルール セットの処理は停止し、この最 後のルール (検査を有効にする) は処理されません。そうでない場合、コンテンツの検査はこのルールによって有効 になります。 共通名検証 (透過型設定) このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ れます。透過型モードで送信された要求にのみ適用されています。 明示的プロキシ¥ モードで要求が送信されると、共通名と比較されたホスト名がクライアントが送信した CONNECT 要求から取り出されます。 CONNECT 要求が送信されない透過型モードとして、干すつ名はクライアントが送信する Web アクセスの要求から 取り出されます。 394 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ハードウェア セキュリティ モジュール 11 ネストされたライブラリ ルール セット — 共通名検証 (透過型セットアップ) 条件 – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not equal “CONNECT” AND Command.Name does not equal “CERTVERIFY” サイクル - 要求 (および IM) このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ ードで実行される場合、ルール セットが適用されるよう指定します。 ルール セットは、以下のルールを含みます。 一致するホスト名を許可する URL.Host equals Certificate.SSL.CN –> Stop Rule Set このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。 ワイルドカード証明書を許可する Certificate.SSL.CN.HasWildcards equals true AND URL.Host matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可 します。 ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。 替わりの共通名を許可する URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。 インシデントをブロックする Always –> Block <Common name mismatch> 一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理 されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。 アクションの設定で要求を行っているユーザーへのメッセージを指定します。 ハードウェア セキュリティ モジュール ハードウェア セキュリティ モジュール (HSM) は、秘密鍵を SSL セキュア通信でサーバーとクライアントに送信 し、セキュリティを強化します。 SSL 証明書には、公開鍵または秘密鍵を使用できます。 秘密鍵を使用している場合、Web Gateway アプライアン スに装着されたハードウェア セキュリティ モジュールに秘密鍵を保存すると、キーの漏えいを防ぐことができます。 証明書をインポートするときに、秘密鍵を有効にする必要がある場合、このキーは ID (キー名) で参照されます。キ ー自体はハードウェア コンポーネントで保護されています。 ファイル システム内のファイルに秘密鍵を保存すると、ファイルが簡単に読み取られる可能性がありますが、このよ うにキーを処理することでセキュリティを強化できます。 ハードウェア セキュリティ モジュールのインストールとアクセス ハードウェア セキュリティ モジュールは PCI カードで提供されます。このカードを Web Gateway が実行されて いるアプライアンスに装着し、必要なドライバーをインストールします。 McAfee Web Gateway 7.6.0 製品ガイド 395 11 Web フィルタリング ハードウェア セキュリティ モジュール モジュール カードをインストールしたら、システム コンソールからアプライアンスにログオンすると、モジュール にアクセスすることができます。 キーの生成やロックの解除など、モジュール上で操作を行うには、コマンドライン からコマンドを入力します。 ハードウェア セキュリティ モジュールの取り付け方法と操作方法については、モジュール提供元の McAfee パート ナー (Thales) のマニュアルを参照してください。 ハードウェア セキュリティ モジュールでのキーの処理 証明書の秘密鍵に関連する暗号操作はすべてハードウェア セキュリティ モジュールで実行されます。 キーは、モジュールで生成することも、モジュールにインポートすることもできます。 Web Gateway で利用する ときには、Web Gateway アプライアンス システムのコンポーネントである HSM エージェントが読み込みます。 キーの読み込みを有効にするには、Web Gateway のユーザー インターフェースで文字列形式のキーをリストに追 加し、キー ID をエージェントに通知する必要があります。 エージェントとの通信は HSM サーバーが処理します。このサーバーは、ハードウェア セキュリティ モジュールを 装着した Web Gateway アプライアンスでセットアップします。 このセットアップは、Web Gateway のユーザー インターフェースで行います。 秘密鍵を生成する場合、通常、パスワードまたはオペレーター カード システム (OCS) を使用してセキュリティを追 加します。 ただし、このようなオプションを使用しなくてもキーを生成できます。 キーがパスワードまたは OCS で保護されている場合には、ハードウェア セキュリティ モジュールでキーのロックを解除する必要があります。 証明書にハードウェア セキュリティ モジュールの秘密鍵を使用する場合 Web Gateway のユーザー インターフェースでは、いくつかの設定で証明書のインポート オプションを使用できま す。 HSM サーバーが構成されている場合には、証明書の秘密鍵をハードウェア セキュリティ モジュールから選択 できます。 証明書のキーを使用可能にするには、リストから選択できる ID でキーを参照する必要があります。 ハードウェア セキュリティ モジュールの高度な使用 Web Gateway アプライアンスのハードウェア セキュリティ モジュールは次の方法でも使用できます。 • ハードウェア セキュリティ モジュールをリモートから使用する - ハードウェア セキュリティ モジュールは、 ネットワーク内でモジュールが装着されていない Web Gateway アプライアンスから使用することもできます。 HSM サーバーは、モジュールが装着されているアプライアンスで設定されています。 モジュールが装着されて いないアプライアンスをこのサーバーのクライアントとして設定すると、サーバーに接続して秘密鍵を読み込む ことができます。 この設定は、Web Gateway のユーザー インターフェースで行います。 • ルート証明書の秘密鍵を生成する - 会社でセキュリティ インフラを構築し、会社全体で使用するルート証明機 関を設定できます。 会社全体のルート証明機関に従属する中間の証明機関として Web Gateway のルート証明 機関を設定できます。 これにより、会社全体のルート証明機関を発行した証明書を Web Gateway の中間証明機関で使用できます。 この証明書の秘密鍵はハードウェア セキュリティ モジュールで生成されます。 詳細については、本書の『セキュリティ インフラの使用』を参照してください。 キー処理における管理者の責任 キー処理のセキュリティを強化するため、管理者で責任を分担することができます。 396 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ハードウェア セキュリティ モジュール 11 たとえば、1 人の管理者がハードウェア セキュリティ モジュールでの秘密鍵の生成を担当し、Web Gateway の管 理者が Web Gateway のユーザー インターフェースでキーを使用して証明書を設定します。 Web Gateway の管理者は生成されたキー ID を知っている必要があります。また、キー パスワードの 確認も必要になる場合があります。 キー操作の記録 ハードウェア セキュリティ モジュールに関連するキー操作は Web Gateway で記録され、ユーザー インターフェ ースのダッシュボードに表示されます ([SSL スキャナー統計] の下の [リモートからの秘密鍵の操作]) に表示され ます。 キー処理にハードウェア セキュリティ モジュールを使用する ハードウェア セキュリティ モジュールを使用すると、SSL セキュア通信で使用する証明書の秘密鍵の保護を強化で きます。 モジュールでキーを生成して保存し、他のアクティビティを実行できます。 以下の手順は、異なる管理者で実行できます。 タスク 1 ハードウェア セキュリティ モジュールを実行するように Web Gateway アプライアンスを準備します。このモ ジュールは PCI カードとして提供されます。 a ハードウェア セキュリティ モジュールの PCI カードをアプライアンスに装着します。 b システム コンソールで、ハードウェア セキュリティ モジュールのドライバーをインストールします。 PCI カードの装着方法については、『McAfee Web Gateway インストール ガイド』を参照してください。 モジュール ドライバーのインストール方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメントを参照してください。 2 システム コンソールで、ハードウェア セキュリティ モジュールのキーに Security World と Operator Card Set (オプション) を作成します。 次に、キーを生成するかインポートし、キーの ID を記憶します。 これらの項目の作成方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメント を参照してください。 3 Web Gateway のユーザー インタフェースで、次のいずれかのオプションを設定します。 • モジュールのローカル使用 ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバーをセ ットアップします。 • 4 モジュールのリモート使用 • ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバー をセットアップします。 次に、このサーバーのクライアントにモジュールの使用を許可します。 • リモートから使用できるように、モジュールが装着されていないアプライアンスを HSM クライアントと して設定します。 システム コンソールで、パスワードまたは Operator Card Set で保護されているハードウェア セキュリティ モジュールでキーのロックを解除します。 キーのロックを解除する方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメ ントを参照してください。 McAfee Web Gateway 7.6.0 製品ガイド 397 11 Web フィルタリング ハードウェア セキュリティ モジュール 証明書をインポートするときに、Web Gateway のユーザー インターフェースでキーを選択できます。 関連トピック: 398 ページの「ハードウェア セキュリティ モジュールのローカル使用を設定する」 398 ページの「ハードウェア セキュリティ モジュールのリモート使用を設定する」 399 ページの「ハードウェア セキュリティ モジュールの秘密鍵を選択する」 ハードウェア セキュリティ モジュールのローカル使用を設定する ハードウェア セキュリティ モジュールのローカル使用を設定すると、モジュールを取り付けたアプライアンスでの みモジュールを使用することができます。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、モジュールのローカル使用を設定するアプライアンスを選択して [ハードウェア セキ ュリティ モジュール] をクリックします。 3 [HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。 4 [読み込まれるキー] リストで、読み込むキーの項目を追加します。 各キーの ID を文字列形式で入力します。 5 [変更の保存] をクリックします。 関連トピック: 400 ページの「ハードウェア セキュリティ モジュールの設定」 ハードウェア セキュリティ モジュールのリモート使用を設定する ネットワーク内でハードウェア セキュリティ モジュールが装着されていないアプライアンスでモジュールを使用可 能にするには、モジュールのリモート使用を設定します。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、モジュールのリモート使用を設定するアプライアンスを選択して [ハードウェア セキ ュリティ モジュール] をクリックします。 3 このアプライアンスで HSM サーバーを設定します。 a [HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。 b [読み込まれるキー] リストで、読み込むキーの項目を追加します。 各キーの ID を文字列形式で入力します。 398 c [リモート接続を許可する] をクリックします。 d [HSM サーバー ポートの定義] リストで、クライアント要求を待機するポートを追加します。 e [サーバー ID] で、サーバーの証明書を生成またはインポートします。 クライアントの設定時にインポート可 能な場所に証明書をエクスポートします。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ハードウェア セキュリティ モジュール 4 11 HSM クライアントとして設定するアプライアンスごとに次の操作を行います。 a アプライアンス ツリーで、モジュールが装着されていないアプライアンスを選択し、[ハードウェア セキュリ ティ モジュール] をクリックします。 b [HSM クライアント] で、[リモート HSM サーバーの使用] を選択します。 c [リモート サーバー] リストで、HSM サーバーの項目を追加します。 ホスト名とリスナー ポートを入力して、サーバーの証明書をインポートします。 d 5 [クライアント ID] で、クライアントの証明書を生成またはインポートします。 許可クライアント リストの 設定時にインポート可能な場所に証明書をエクスポートします。 [HSM サーバー] で、HSM クライアントの項目を [許可されているクライアント] リストに追加します。 ホスト名を入力して、クライアント証明書をインポートします。 6 [変更の保存] をクリックします。 ハードウェア セキュリティ モジュールの秘密鍵を選択する 証明書にハードウェア セキュリティ モジュールの秘密鍵を選択するには、リストからキーの ID を選択してキーを 参照します。 ハードウェア セキュリティ モジュールの秘密鍵は、SSL セキュア通信のフィルタリングに関連する設定で証明書を インポートする場合にも使用できます。 次の項目を設定します。 • [SSL クライアント証明書の処理] • [CA の SSL クライアント コンテキスト] • [CA 以外の SSL クライアント コンテキスト] 以下のサンプルでは、[CA の SSL クライアント コンテキスト] で秘密鍵を使用して証明書をインポートする手順を 説明します。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーの [エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト] を展開して [デフォルトの CA] を選択します。 3 [SSL クライアント コンテキストの定義] で、[証明機関] の横にある [インポート] をクリックします。 [証明機関のインポート] ウィンドウが開きます。 4 [証明書] の横にある [参照] をクリックし、証明書ファイルを選択してインポートします。 5 [秘密鍵のソース] の横にある [HSM] を選択します。 使用可能な HSM キーの ID を選択できるリストが開きます。 6 キー ID を選択して [インポート] をクリックし、キーの情報と証明書をインポートします。 7 [変更の保存] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 399 11 Web フィルタリング ハードウェア セキュリティ モジュール セキュリティ インフラの使用 社内に存在するセキュリティ インフラを使用して、Web Gateway の証明機関に証明書を生成できます。 この証明 書の秘密鍵は、ハードウェア セキュリティ モジュールから取得されます。 多くの企業には、SSL セキュア通信で使用する要素 (証明書、キーなど) を提供するセキュリティ インフラが存在し ています。 通常、このインフラには会社全体で使用するルート証明機関も含まれます。 セキュリティ インフラに公開鍵が含まれている点から見ると、この構造または構造の一部は PKI (Public Key Infrastructure) と言えます。 Web Gateway のルート証明機関は、会社全体のルート証明機関に従属する中間の証明機関として設定できます。 この構成では、会社全体のルート証明機関が発行する証明書が必要になります。 この証明書を作成するには、システム コンソールから Web Gateway に証明書署名要求を送信します。 この要求に は、Web Gateway に装着されているハードウェア セキュリティ モジュールの秘密鍵も指定します。 セキュリティ インフラを使用して証明書を作成する セキュリティ インフラ内で会社全体のルート証明機関が発行した証明書を Web Gateway でルート証明機関の証明 書として使用できます。 タスク 1 ハードウェア セキュリティ モジュールの証明書に秘密鍵を生成し、キー ID を覚えておいてください。 キーの生成方法については、モジュールの提供元である McAfee パートナー (Thales) のドキュメントを参照し てください。 2 証明書署名要求を使用して、Web Gateway でルート証明機関の証明書を生成します。 a Web Gateway アプライアンスに接続しているシステム コンソールで、ルート管理者としてログオンします。 b 次の openssl コマンドを使用します。 <key ID> には、手順 1 で生成したキーの ID を指定します。 openssl req -engine chil -keyform engine -new -sha256 -key <key ID> -out mwg.csr コマンドの出力として、証明書を含むファイルが生成されます。 このファイルは、コマンドに指定した名前 (mwg.csr) で生成されます。 3 証明書ファイルをファイル システム内に保存します。 SSL 通信のフィルタリング設定で Web Gateway のルート証明機関を設定するときに、この証明書をインポートで きます。 ハードウェア セキュリティ モジュールの設定 ハードウェア セキュリティ モジュールの設定では、ローカルまたはリモートのハードウェア セキュリティ モジュー ルの証明書キーの処理方法を設定します。 HSM サーバー 現在設定中の Web Gateway アプライアンスのハードウェア セキュリティ モジュールの設定 400 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング ハードウェア セキュリティ モジュール 11 表 11-37 HSM サーバー オプション 定義 [ローカル HSM 選択すると、このアプライアンスのハードウェア セキュリティ モジュールがキーの格納と読み サーバーの開始] 込みを行います。 ネットワーク内の他の Web Gateway アプライアンスは、このモジュールが装着されたサーバー にクライアントとして接続し、キーを読み込みます。 [読み込まれるキ ハードウェア セキュリティ モジュールに保管され、証明書と一緒に使用されるキーの ID リスト ー] が表示されます。 このリストに、Web Gateway で使用する各キーの ID を文字列形式で追加する必要があります。 ハードウェア セキュリティ モジュールでキーが生成またはインポートされると、キー ID が認識 されます。 以下の表では、キー リストの項目について説明します。 表 11-38 読み込まれるキー - リスト項目 オプション 定義 [文字列] ハードウェア セキュリティ モジュールに保存されているキーの ID を表します。 [コメント] キーのコメントがテキスト形式で表示されます。 オプション 定義 [ローカル接続を許可 する] 選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、このア プライアンスで設定されている接続に使用されます。 [リモート接続を許可 する] 選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、ネット ワーク内の他の Web Gateway アプライアンスで設定されている接続に使用されます。 このオプションを選択する場合には、このアプリアンスの HSM サーバーでリモート接続に 使用するポートを指定する必要があります。 [HSM サーバー ポー ト定義リスト] HSM サーバーのポート リストが表示されます。 [許可されているクラ イアント] ネットワーク内で HSM サーバーのクライアントとして実行可能で、キーの読み込みにハー ドウェア セキュリティ モジュールを使用するアプライアンスのリストが表示されます。 以下の表では、HSM サーバー ポートと許可されているクライアントのリスト項目について説明します。 表 11-39 HSM サーバー ポート定義リスト - リスト エントリ オプション 定義 [リスナー アドレス] リモート接続の確立で要求を待機している HSM サーバーの IP アドレスとポート番号。 [コメント] ポートのコメントがテキスト形式で表示されます。 表 11-40 許可されているクライアント - リスト項目 オプション 定義 [ホスト] ネットワーク内で、このアプライアンスに装着されたハードウェア セキュリティ モジュールのキー読 み込みが許可されている Web Gateway アプライアンスのホスト名または IP アドレスが表示されま す。 [証明書] HSM サーバーとの接続時にクライアントが送信する証明書が表示されます。 [コメント] 許可されたクライアントのコメントがテキスト形式で表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 401 11 Web フィルタリング ハードウェア セキュリティ モジュール サーバー ID クライアントとの接続で HSM サーバーが送信する証明書の設定 HSM サーバーのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に McAfee ル ート CA 発行の証明書が発行されます。 この証明書を独自の証明書で置換することをお勧めします。 表 11-41 サーバー ID オプション 定義 [件名、発行者、有効性、延長、秘密鍵] 現在使用中の証明書に関する情報が表示されます。 [サーバー証明書] 様々なサーバー証明書関連の操作を実行するボタンが表示されます。 • 証明書を生成しています • 証明書をインポートしています • 証明書をエクスポートしています • 証明書キーをエクスポートしています HSM クライアント ネットワーク内の別の Web Gateway アプライアンスに装着されているハードウェア セキュリティ モジュールの 使用を設定します 表 11-42 HSM サーバー オプション 定義 [リモート HSM このアプライアンスは、ネットワーク内の他の Web Gateway アプライアンスに装着されてい サーバーを使用] るハードウェア セキュリティ モジュールのキーを使用します。 このモジュールは、このアプライアンスがクライアントとして接続するサーバーに存在します。 このオプションを選択するには、サーバーを指定する必要があります。複数のサーバーを指定す る場合にはリストを使用します。 [リモート サー バー] ネットワーク内の他の Web Gateway アプライアンスのリストが表示されます。このアプライ アンスのハードウェア セキュリティ モジュールには、クライアントとして接続できます。 以下の表では、リモート サーバー リストについて説明します。 表 11-43 リモート サーバー - リスト項目 オプション 定義 [ホスト] ネットワーク内に存在し、サーバーでハードウェア セキュリティ モジュールを実行する Web Gateway アプライアンスのホスト名または IP アドレスが表示されます。 [証明書] クライアントとの接続にサーバーが送信する証明書。 [コメント] リモート サーバーのコメントがテキスト形式で表示されます。 402 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 クライアント ID HSM サーバーにクライアントとして接続するときに、このアプライアンスが送信する証明書の設定 このクライアントのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に McAfee ルート CA 発行の証明書が発行されます。 この証明書を独自の証明書で置換することをお勧めします。 表 11-44 サーバー ID オプション 定義 [件名、発行者、有効性、延長、秘密鍵] 現在使用中の証明書に関する情報が表示されます。 [クライアント証明書] 様々なクライアント証明書関連の操作を実行するボタンが表示されます。 • 証明書を生成しています • 証明書をインポートしています • 証明書をエクスポートしています • 証明書キーをエクスポートしています Advanced Threat Defense Web Gateway が Web オブジェクトをスキャンし、ウイルスなどのマルウェアの感染を検査した後で、同じオブジ ェクトを McAfee Advanced Threat Defense (Advanced Threat Defense) Web セキュリティ製品でスキャン できます。 ® Advanced Threat Defense は、スキャンにサンドボックスを利用しています。特定の Web オブジェクトの動作を サンドボックス環境で分析します。スキャン結果がレポートに記録され、Web Gateway に配信されます。 Advanced Threat Defense による追加のスキャンは、オフライン スキャンまたはバックグラウンド スキャンとも いいます。 Advanced Threat Defense の使用を有効にするには、適切なルールを Web Gateway に実装する必要があります。 このようなルールを含むルール セットは、ルール セット ライブラリからインポートできます。 Web Gateway で Advanced Threat Defense の使用を設定する場合、次のものを使用できます。 • ルールのキー要素 - Advanced Threat Defense 用のライブラリ ルール セットをインポートして、 このセットをルール セット ツリーでクリックすると、追加スキャン プロセスのルールのキー要素を 表示し、設定することができます。 • 完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、追加スキャン プロセス のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー ルの削除を行うことができます。 変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに 戻すことはできません。 McAfee Web Gateway 7.6.0 製品ガイド 403 11 Web フィルタリング Advanced Threat Defense Advanced Threat Defense の使用を設定する場合のオプション 異なるオプションを設定して、Advanced Threat Defense による追加のスキャンを実装できます。 • 追加のスキャン結果に応じて Web オブジェクトを転送する - このオプションでは、Advanced Threat Defense の追加スキャンの結果に応じて、Web オブジェクトを要求元のユーザーに転送するかどうかを判断し ます。 Web オブジェクトの安全性が確認されると転送されますが、確認できない場合には転送されません。 • 追加のスキャンを実行する前に Web オブジェクトを転送する - このオプションでは、Advanced Threat Defense の追加スキャンを実行する前に、Web オブジェクトを要求元のユーザーに転送します。 Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者に警告メッセージを 送信します。 Web オブジェクトがスキャン済みの場合、Advanced Threat Defense が再度スキャンを実行しないように設定す ることもできます。この場合、最初のスキャン後に生成されたレポートが再度評価されます。 Advanced Threat Defense の可用性 Web Gateway と一緒に使用するために、Advanced Threat Defense Web セキュリティ ソフトウェアが同じハー ドウェア プラットフォームにプリインストールされています。このソフトウェアは、別のサーバー上のアプライアン スとして実行されます。 製品の複数のインスタンスを異なるサーバーで実行し、Web Gateway をサポートすることができます。製品のイン スタンスは、固有のハードウェア プラットフォームにインストールする必要があります。 Advanced Threat Defense を使用する場合のワークフロー Advanced Threat Defense を使用して Web オブジェクトの追加のスキャンを実行する場合、異なるワークフロー を設定できます。 追加スキャンの結果に基づく Web オブジェクトの転送 以下の図は、Advanced Threat Defense のスキャン結果に基づいて Web オブジェクトを転送する場合のワークフ ローを表します。 図 11-1 追加スキャンの結果に基づいて Web オブジェクトを転送する場合 404 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 1 ユーザーがネットワーク内のシステム (Web Gateway のクライアント) から Web オブジェクト (ファイルな ど) に対するアクセス要求を送信します。 2 設定したルールに従って要求がフィルタリングされます。処理を通過すると、Web Gateway が要求を Web サ ーバーに転送します。 進行状況ページがクライアントに送信されます。要求の処理中であることをユーザーに通知します。 3 Web サーバーが Web Gateway にオブジェクトを送信します。 4 Advanced Threat Defense の使用条件を満たすと、Web Gateway がスキャン対象のオブジェクトを転送しま す。 スキャン状況に関する情報を取得するため、Web Gateway が Advanced Threat Defense に状況を定期的に照 会します。 5 Advanced Threat Defense がスキャンを完了すると、Web Gateway にオブジェクトのスキャン結果が通知さ れます。 6 この情報に従って、Web Gateway は、要求されたオブジェクトに対するアクセスをユーザーに許可したり、ブ ロック ページを送信します。ブロック ページでは、アクセスがブロックされた理由も通知されます。 Advanced Threat Defense 追加スキャンの条件 Web Gateway は、Web Gateway のマルウェア対策エンジンでスキャンを実行した後に、Advanced Threat Defense の機能を使用して Web オブジェクトをスキャンします。 Advanced Threat Defense ライブラリ ルール セットは、この可能性を条件として使用します。デフォルトでは、 60 に達すると条件を満たしたものと見なされます。Web Gateway で Web オブジェクトをスキャンした結果、マ ルウェアの可能性が 60% 以上になった場合にだけ、オブジェクトが Advanced Threat Defense に送信されます。 Advanced Threat Defense の使用を設定するときに、この値を変更できます。これにより、この製品が Web Gateway をサポートする頻度を調整することができます。 ルール セット ツリーで、Advanced Threat Defense のルールセットは、Web Gateway の通常のマルウェア対策 機能のルール セット (通常は Gateway Anti-Malware デフォルト ルール セット) の後に配置してください。 Web Gateway と Advanced Threat Defense を併用した場合、マルウェア対策モジュール (またはエンジン) は 2 つの設定で実行されます。1 つは Web Gateway の設定、もう 1 つはサポート製品の設定です。 この 2 つの設定のデフォルト名は、ゲートウェイ マルウェア対策とゲートウェイ ATD です。 この設定の違いで重要なポイントは、ゲートウェイ ATD の設定では Advanced Threat Defense を使用するオプシ ョンが選択されていますが、他の設定ではオプションが選択されていない点です。 McAfee Web Gateway 7.6.0 製品ガイド 405 11 Web フィルタリング Advanced Threat Defense Advanced Threat Defense を使用する場合の設定要素 Advanced Threat Defense による Web オブジェクトの追加スキャンを有効にするには、適切なルールを Web Gateway に実装する必要があります。このようなルールを含むルール セットは、ルール セット ライブラリからイ ンポートできます。このルール セットをインポートすると、リストと設定も実装されます。 追加スキャンのルール セット 追加スキャンの結果に応じて Web オブジェクトを転送するルール セットと、追加スキャンの前に Web オブジェク トを転送し、スキャン後に警告を通知するルール セットがあります。 • Advanced Threat Defense ライブラリ ルール セット - このルール セットでは、Advanced Threat Defense による追加スキャンを有効にし、スキャン結果によって Web オブジェクトの転送を判断するワークフ ローを実装します。 このルール セットをインポートすると、リストと設定も実装されます。 • ATD - オフライン スキャンを開始するライブラリ ルール セット - このルール セットには、追加スキャンの 結果に応じて Web オブジェクトをユーザーに転送するルール セットと同じ条件が設定されています。 このルール セットは、Web Gateway によるスキャン結果が所定の感染可能性に達し、Web オブジェクトがス キャン可能オブジェクトのリストにあり、特定のサイズを超えていない場合に適用されます。 このルールセットには、条件で Antimalware.MATD.InitBackgroundScan プロパティを使用するルール だけが含まれています。このプロパティのデフォルト値は true です。 この場合、現在のトランザクションのデータが記録されます。Web アクセス要求と Web サーバーからの応答に 関するすべてのデータが記録されます。たとえば、クライアントの IP アドレス、認証情報、Web サーバーの URL、応答メッセージで送信された Web オブジェクトなどが記録されます。 Advanced Threat Defense でのスキャンを開始するため、内部要求が送信されます。この処理が完了すると、 要求された Web オブジェクトがユーザーに転送されます。スキャンは、記録したデータを使用して後で実行され ます。 Antimalware.MATD.InitBackgroundScan プロパティの値が false の場合、Advanced Threat Defense のスキャンが開始できず、ルール イベントによってエラー メッセージを表示します。 • ATD -オフライン スキャンを処理するライブラリ ルール セット - このルール セットでは、条件として Antimalware.MATD.IsBackgroundScan プロパティが設定されています。この条件のデフォルト値は true です。 この場合、Advanced Threat Defense が「ATD - オフライン スキャンの開始」ルール セットで記録したデ ータを使用し、指定された Web オブジェクトをスキャンします。 このルール セットのルールでは、スキャン中のオブジェクトで感染が検出されると、イベントを使用してカウン ターの値を増やします。また、別のイベントを使用して、Web オブジェクトの感染を通知するメッセージを作成 し、管理者に送信します。最後に、処理サイクルを停止します。 追加スキャンが使用するリストと設定 Advanced Threat Defense ライブラリ ルール セットには、Web Gateway での Advanced Threat Defense の使用を有効にするルールと、スキャン結果に応じてユーザーに Web オブジェクトを転送するルールが含まれてい ます。 406 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 このルール セットをインポートすると、リストと設定も実装されます。 • Advanced Threat Defense サポート タイプ リスト - このリストは、ライブラリ ルール セットの条件で使 用されます。このリストにあるメディア タイプの Web オブジェクトだけが Advanced Threat Defense に渡 され、スキャンされます。 デフォルトでは、複数のメディア タイプがリストに記述されています。リストにメディア タイプを追加したり、 リストから削除することもできます。 • ゲートウェイ ATD の設定 - Web Gateway のマルウェア対策モジュール (またはエンジン) の設定です。ウ イルスとマルウェアのフィルタリングや Advanced Threat Defense の実行時に使用されます。 この設定には、次の設定を行うオプションが含まれています。 • Advanced Threat Defense が実行されているサーバーと Web Gateway との通信 • ファイルなどの Web オブジェクトを不正なオブジェクトと分類する重大度 Advanced Threat Defense がオブジェクトをスキャンすると、スキャン結果に 0 から 5 (最大) の重大度が 設定されます。 たとえば、重大度の値を 3 に設定すると、スキャン結果が 3 以上のオブジェクトが不正なオブジェクトと見 なされます。 オブジェクトが不正と見なされると、Antimalware.Infected プロパティが true に設定されます。このプロ パティを条件で使用するルールはこの Web オブジェクトをブロックし、アクセスを要求したユーザーに送信 しません。 既存の Advanced Threat Defense スキャン レポートの使用 Web オブジェクトのスキャン後に Advanced Threat Defense が生成したレポートを Web Gateway で使用する と、このオブジェクトを評価し、アクセスを処理することができます。 既存のレポートを使用すると、Web Gateway は Advanced Threat Defense で新しいスキャンをトリガーしませ ん。複数のレポートが存在する場合、最新のレポートが評価に使用されます。Web Gateway 内部でハッシュ値が計 算され、Web オブジェクトの識別を行います。これにより、同じレポートが使用できます。 Web Gateway の既存のスキャン レポートを使用するには、Antimalware.ATD.GetReport プロパティでルー ルを実装する必要があります。このブール値プロパティの値が true の場合、特定の Web オブジェクトが Advanced Threat Defense のスキャンで検出され、このスキャンのレポートが取得されています。 このレポートは他のルールでも使用できます。たとえば、Antimalware.Infected プロパティのルールで使用す ると、オブジェクトの感染を確認できます。 既存のスキャン レポートのオプション 既存のスキャン レポートを使用して Web オブジェクトへのアクセスを処理する場合、いくつかのオプションを使用 できます。 • スキャン レポートで感染していないことを確認した場合にファイルを許可する - ファイルを手動で Advanced Threat Defense にアップロードし、スキャンとレポートの生成を行います。レポートが存在し、ファイルが感 染していないことが確認されると、Web Gateway はファイルのダウンロードを許可します。 McAfee Web Gateway 7.6.0 製品ガイド 407 11 Web フィルタリング Advanced Threat Defense Web オブジェクトにスキャン レポートが存在しない場合には、適切なルールで Antimalware.ATD.GetReport プロパティを使用できます。これらのルールでは、スキャン レポートが取得されていないため、このプロパティの値 は false になります。 • スキャン レポートが使用不能な場合にファイルを許可し、このファイルをオフラインでスキャンする - ダウン ロードを要求したファイルにスキャン レポートが存在しない場合、ユーザーにファイルのダウンロードが許可さ れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ ーク管理者に転送されます。 • スキャン レポートが使用不能な場合にファイルをブロックし、このファイルをオフラインでスキャンする - ダ ウンロードを要求したファイルにスキャン レポートが存在しない場合、ファイルに対するアクセスがブロックさ れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ ーク管理者に転送されます。 既存のスキャン レポートを使用する場合のサンプル ファイル デフォルトのルール セット システムまたはルール セット ライブラリには、既存の Advanced Threat Defense ス キャン レポートの使用に必要なルール セットは事前に定義されていません。ただし、独自のルールとルール セット を作成できます。 次のサンプル ルールは、ファイルを手動で Advanced Threat Defense にアップロードします。Advanced Threat Defense が生成したレポートでファイルが感染していないことが確認されると、ファイルのダウンロードが許可され ます。 ルール セットの名前は「既存の Advanced Threat Defense スキャン レポートを使用する」のようにします。 メディア タイプの条件は、Advanced Threat Defense ライブラリ ルール セットと同じ条件にし、すべてのプ ロセス サイクルに適用する必要があります。 ルール セットには、次のルールが含まれている必要があります。 • Antimalware.ATD.GetReport プロパティを使用して既存のスキャン レポートを取得するルール • このレポートを使用してファイルを比較し、レポートでファイルの感染が確認された場合にアクセスをブロック するルール レポートを取得するルールは次のようになります。 名前 スキャン済みのファイルを許可する 条件 Antimalware.ATD.GetReport equals false アクション –> Block <BlockedByMATD> イベント – Statistics.Counter.Increment" (BlockedByMATD",1)<Default> このルールは、レポートが存在しない場合にファイルへのアクセスをブロックします。この場合は、次のルールは処 理されません。このルールはレポートを評価します。次のようになります。 名前 感染ファイルをブロックする 条件 Antimalware.Infected <Gateway ATD> equals true アクション –> Block <BlockedByMATD> イベント – Statistics.Counter.Increment ("BlockedByMATD",1)<Default> 両方のルールにより、Advanced Threat Defense 機能の使用時にファイルがブロックされた回数がカウンターに記 録されます。 408 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 実行中の Advanced Threat Defense スキャン結果の使用 Advanced Threat Defense がスキャンを実行している場合、この実行結果を開始済みの要求の処理だけでなく、同 じ Web オブジェクトに対する他のアクセス要求にも使用できます。 同じスキャン結果を複数の要求の処理で使用するには、スキャンの実行中に Web Gateway が要求を受信する必要 があります。Web Gateway 内部でハッシュ値が計算され、Web オブジェクトの識別を行います。これにより、受 信した要求が同じオブジェクトに対するものかどうかを判断します。 同じオブジェクトに対する複数のアクセス要求に同じスキャン結果を使用するには、マルウェア対策 (またはエンジ ン) のゲートウェイ ATD 設定で、オプションを有効にする必要があります。このオプションの名前は、[同じサンプ ルを分析する場合に実行中のタスクを再利用する] になります。 デフォルトのルール セットまたはルール セット ライブラリに、同じオブジェクトに対する複数の要求に同じスキャ ン結果を使用するためのルール セットは事前に定義されていません。ただし、独自のルールとルール セットを作成 できます。 Advanced Threat Defense でスキャンするオブジェクト サイズの制限 Advanced Threat Defense でスキャンするオブジェクトのサイズは、この製品のサイズ制限に合わせて調整する必 要があります。 Advanced Threat Defense には、スキャンする Web オブジェクトのサイズに制限があります。 全体的な制限は 125 MB です。タイプに関係なく、Web オブジェクトがこの制限を満たす必要があります。 Web オブジェクトのタイプによっては、別のサイズ制限が設定されています。 たとえば、アーカイブのサイズ制限 は 10 MB です。 既存のサイズ制限と Web オブジェクトに応じて制限を変更する方法については、『McAfee Advanced Threat Defense 製品ガイド』を参照してください。 Web Gateway でのサイズ制限の設定 Web Gateway では、特定のサイズ制限を超える Web オブジェクトをブロックするようにルールを設定できます。 Advanced Threat Defense スキャンを処理するルール セットにこれらのルールを追加すると、適切なサイズの Web オブジェクトだけが Advanced Threat Defense に転送されます。 Advanced Threat Defense のライブラリ ルール セットをインポートしている場合には、ここでサイズ制限ルール を挿入できます。 一部のルール セットには、Advanced Threat Defense に Web オブジェクトをアップロードす るルールが存在します。 このルールの前にサイズ制限ルールを挿入すると、サイズ制限を超えた Web オブジェクトはブロックされ、 Advanced Threat Defense へのアップロードを行うルールは実行されません。 サイズ制限の設定ルール 次のサンプル ルールでは、Advanced Threat Defense でスキャンされるアーカイブのサイズ制限を 10 MB に設定 しています。実行ファイルに特別なサイズ制限はありません。このタイプの Web オブジェクトには、Advanced Threat Defense の全般的なサイズ制限だけが適用されます。 このルールは、それぞれのサイズ制限を超えたアーカイブと実行ファイルをブロックします。 [名前] [Advanced Threat Defense がスキャンするオブジェクト サイズの制限] [条件] McAfee Web Gateway 7.6.0 [アクション] 製品ガイド 409 11 Web フィルタリング Advanced Threat Defense [(MediaType.IsArchive equals true AND Body.Size greater than 10000000)] –> [Block<ATD limit>] [OR (MediaType.IsExecutable equals true AND Body.Size greater than 125000000)] このサイズ チェックを他のタイプの Web オブジェクトにも適用するには、このルール条件を適切な部分に追加する 必要があります。 たとえば、音声ファイルもチェックする場合には、サンプル ルールの条件部分でメディア タイプ プロパティの代わりに [MediaType.IsAudio] プロパティを追加します。 制限超過のオブジェクトを含む要求を Web に送信できるようにするには、この要求がブロックされた理由を確認し、 ブロック アクションに適切な設定を行います。 サンプル ルールでは、これらの設定に [ATD limit] という名前が付 いています。 Advanced Threat Defense の使用を設定する Web Gateway がスキャンした Web オブジェクトを Advanced Threat Defense でもスキャンするように設定で きます。Advanced Threat Defense が Web オブジェクトに生成したスキャン レポートを Web Gateway で評 価し、このオブジェクトに対するアクセスを制御することもできます。 Web オブジェクトの既存のスキャン レポートを評価した場合、Web Gateway は、このオブジェクトに対して Advanced Threat Defense による追加スキャンを実行しません。 タスク • 410 ページの「Advanced Threat Defense によるスキャンを設定する」 Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するよ うに設定できます。 • 411 ページの「既存の Advanced Threat Defense スキャン レポートの使用を設定する」 Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の Advanced Threat Defense スキャン レポートを使用できます。 Advanced Threat Defense によるスキャンを設定する Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するように設定でき ます。 タスク 1 Advanced Threat Defense を設定して、ネットワークに統合します。 詳細については、『McAfee Advanced Threat Defense 製品ガイド』を参照してください。 2 Web Gateway のユーザー インターフェースで、次の操作を行います。 a ルール セット ライブラリからいずれかのスキャン ワークフローのルール セットをインポートします。 これらのルール セットは、Gateway Anti-Malware ルール セット グループにあります。 • Advanced Threat Defense - 追加スキャンの結果に応じて Web オブジェクトを転送します。 ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セットを 置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。 • 410 ATD - ファイルをすぐに使用可能にするオフライン スキャン - 追加スキャンの前に Web オブジェク トを転送します。 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 このルール セットをインポートすると、次の 2 つのルール セットがルール セット ツリーに表示されま す。 • ATD - オフライン スキャンの開始 - 追加スキャンを開始します。 ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セッ トを置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。 • ATD - オフライン スキャンの処理 - 開始後に追加スキャンを処理します。 ルール セット ツリーで、グローバルまたは共通の処理を実行するルール セットと特定のフィルタリン グを実行するルール セットの間にこのルール セットを配置します。 たとえば、デフォルトのルール セット ツリーでは、このルール セットを 共通ルール ルール セット と メディア タイプ フィルタリング ルール セットの間に置きます。 b Web Gateway で Advanced Threat Defense のスキャンをモニタリングするには、ルール セット ライブ ラリーから「ADT スキャン ログ」ルール セットと「ATD エラー時のブロック」ルール セットをインポー トし、既存のログ ハンドラー ルール セットとエラー ハンドラー ルール セットにそれぞれ追加します。 c 必要に応じて、サポート メディア タイプのリストにメディア タイプを追加したり、リストからメディア タ イプを削除します。ライブラリ ルール セットのいずれかをインポートすると、このリストの名前が 「Advanced Threat Defense サポート タイプ」になります。 ルール セットをインポートすると、ルール セットのキー要素ビューでリストを操作できます。 d Web Gateway のスキャンを設定します。 デフォルトでは、これらの設定の名前は Gateway Anti-Malware になります。 ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。 e Advanced Threat Defense のスキャンを設定します。 ライブラリ ルール セットのいずれかをインポートすると、これらの設定の名前が ゲートウェイ ATD になり ます。 ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。 f 変更を保存します。 既存の Advanced Threat Defense スキャン レポートの使用を設定する Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の Advanced Threat Defense スキャン レポートを使用できます。 既存のスキャン レポートを使用する場合、いくつかのオプションがあります。以下の説明は、次のことが前提となっ ています。 • Advanced Threat Defense に手動でアップロードしてスキャンした Web オブジェクトにスキャン レポート が生成されている。 • レポートで Web オブジェクトが感染していないことが確認された場合に Web Gateway がアクセスを許可し、 レポートが存在しない場合にはアクセスをブロックする。 次の手順に従います。 McAfee Web Gateway 7.6.0 製品ガイド 411 11 Web フィルタリング Advanced Threat Defense タスク 1 既存の Advanced Threat Defense スキャン レポートを処理するルールを含むルール セットを作成します。 2 このルール セットで、次のルールを作成します。 3 4 • ファイルのスキャン レポートを取得し、レポートが存在していない場合にファイルへのアクセスをブロック するルール • スキャン レポートを評価し、レポートで感染が報告されている場合にファイルをブロックするルール マルウェア対策モジュールのゲートウェイ ATD を設定します。 a [前の検出結果を再利用...] が選択されていることを確認します。 b (オプション) [最大検出期間] で、古いレポートを除外する時間制限を変更します。デフォルトの制限は 30 分です。 変更を保存します。 Advanced Threat Defense のキー要素を設定する Advanced Threat Defense の追加スキャンでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要 なフィルタリング プロセスを適用します。 タスク 1 ルール セット ライブラリから [Advanced Threat Defense] または [ATD - ファイルをすぐに使用可能にす るオフライン スキャン] ルール セットをインポートします。 2 ルール セット ツリーで、インポートしたルール セットを選択します。 スキャン プロセス ルールのキー要素が設定ペインに表示されます。 3 必要に応じて、キー要素を設定します。 4 [変更の保存] をクリックします。 関連トピック: 412 ページの「Advanced Threat Defense を使用する場合のキー要素」 Advanced Threat Defense を使用する場合のキー要素 Advanced Threat Defense で Web オブジェクトの追加スキャンを実行するルールのキー要素は、このプロセスで 重要な部分を処理します。 追加スキャン用に実装されたルール セットのルールには異なるキー要素を設定できます。 • • 412 Advanced Threat Defense - このルール セットを実装すると、以下のキー要素グループを設定できます。 • 次のサポート メディア タイプで Advanced Threat Defense を有効にする • Gateway Anti-Malware の設定 • Gateway Advanced Threat Defense の設定 ATD - オフライン スキャンの開始 - このルール セットを実装すると、以下のキー要素グループを設定できま す。 • 次のサポート メディア タイプで Advanced Threat Defense を有効にする • Gateway Anti-Malware の設定 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense • 11 ATD - オフライン スキャンの処理 - このルール セットを実装すると、以下のキー要素グループを設定できま す。 • Gateway Advanced Threat Defense の設定 以下では、これらのルール セットのキー要素について説明します。 次のサポート メディア タイプで Advanced Threat Defense を有効にする Advanced Threat Defense の追加スキャンの対象になる Web オブジェクトを選択する場合のキー要素 表 11-45 次のサポート メディア タイプで Advanced Threat Defense を有効にする オプション 定義 [挿入するメディア タイ [編集] をクリックすると、ウィンドウが開き、ルールが使用する Advanced Threat プ] Defense のサポート メディア タイプ リストを編集できます。 他の条件も満たした場合、このリストのメディア タイプに該当する Web オブジェクト だけが Advanced Threat Defense でスキャンされます。 リストに項目を追加したり、項目の変更や削除を実行できます。 Gateway Anti-Malware の設定 Advanced Threat Defense の追加スキャンの前に実行するマルウェア対策モジュールのスキャンを設定する場合 のキー要素 表 11-46 Gateway Anti-Malware の設定 オプション 定義 [設定] [編集] をクリックすると、ウィンドウが開き、Web Gateway で使用可能なモジュール コンポーネン トと併用される場合のマルウェア対策モジュールの設定を編集できます。 このスキャンは、Advanced Threat Defense のスキャンよりも前に実行されます。このスキャン結 果に応じて、Advanced Threat Defense による追加スキャンが実行されます。 Gateway Advanced Threat Defense の設定 Advanced Threat Defense の追加スキャンを設定する場合のキー要素 表 11-47 次のエージェントとホストでのスキャン回避 オプション 定義 [設定] [編集] をクリックすると、ウィンドウが開き、Advanced Threat Defense でスキャンが実行される 場合の Web Gateway マルウェア対策モジュールの設定を編集できます。 Advanced Threat Defense の使用に必要な設定を行う Web オブジェクトのスキャンに Advanced Threat Defense を使用するように、Web Gateway のマルウェア対策 モジュール (またはエンジン) を設定できます。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーの [エンジン] ブランチで [マルウェア対策] を展開し、Advanced Threat Defense の設定を選択し ます。 Advanced Threat Defense ライブラリ ルール セットをインポートすると、これらの設定の名前が「ゲートウ ェイ ATD」になります。 McAfee Web Gateway 7.6.0 製品ガイド 413 11 Web フィルタリング Advanced Threat Defense 3 必要に応じて、これらの項目を設定します。 4 [変更の保存] をクリックします。 関連トピック: 415 ページの「ゲートウェイ ATD の設定」 Advanced Threat Defense の使用状況のモニタリング Web Gateway と一緒に使用する Advanced Threat Defense のスキャン活動は、いくつかの方法でモニタリング することができます。 モニタリングは、Web Gateway と McAfee Content Security Reporter で実行できます。 Web Gateway での Advanced Threat Defense の使用状況のモニタリング Web Gateway でルール セットのルールを実装すると、Advanced Threat Defense が実行するスキャン ジョブの 情報を記録し、ジョブ実行時に発生したエラーを処理できます。 また、ユーザー インターフェースのダッシュボードで Advanced Threat Defense のアクティビティを確認できま す。 • ログ ハンドラー - ルール セット ライブラリのロギング グループから「ATD スキャン ログ」ルール セットを インポートします。 このルール セットに含まれるログ ルールは、Advanced Threat Defense から渡された Web オブジェクトに Web Gateway が実行したスキャン ジョブに関する情報を記録します。 次のような情報を記録します。 • スキャン結果の重大度 • Advanced Threat Defense が実行されているサーバー • スキャン ジョブのタスク ID • スキャン ジョブのハッシュ値 このルール セットは、適切なプロパティを使用して、この情報を提供するログ エントリを作成します。 • エラー ハンドラー - ルール セット ライブラリのエラー処理グループから「ATD エラー時にブロック」ルール セットをインポートします。 このセットのブロック ルールは、Advanced Threat Defense がスキャン ジョブを実行しているときに発生し たエラーを処理します。 このルールは、適切なエラー ID を条件として使用します。エラー ID の範囲は 14010 から 14012 までです。 「マルウェア対策エンジン エラーでのブロック」ルール セットのルールは、14002 から 14050 までのエラーに 対応します。したがって、 「ATD エラー時のブロック」ルール セットは、このマルウェア対策ルール セットの前 に配置する必要があります。 それ以外の場合に、 「ATD エラー時のブロック」ルール セットのブロック ルールは処理されません。マルウェア 対策エラーに関連するテキストを含む一般的なブロック メッセージがユーザーに送信されます。 414 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense • 11 マルウェア対策プロパティ - Advanced Threat Defense のモニタリングで使用可能なプロパティがいくつか あります。これらのプロパティの名前は Antimalware.MATD で始まります (例: Antimalware.MATD.Server、Antimalware.MATD.Report)。 これらのプロパティは、「ATD スキャン ログ」ルール セットのログ ルールで使用されます。 Advanced Threat Defense がスキャン ジョブを実行すると、ジョブの結果が Antimalware.MATD.Report プロパティの値に保存されます。このレポートは、JavaScript Object Notation (JSON) オブジェクトのデータ 構造を表す文字列として提供されます。 Antimalware.MATD.Report プロパティと一緒に JSON プロパティを使用すると、レポート情報を抽出でき ます。 • ダッシュボード - ダッシュボードのグラフと表に、特定の期間中に生成されたデータが表示されます。 • [エグゼクティブ サマリー]:Advanced Threat Defense のスキャン結果によってブロックされた Web オ ブジェクトの要求数 • [マルウェア統計]:スキャンを実行するために Advanced Threat Defense に渡された Web オブジェクト の数、スキャン結果によってブロックされた要求の数、スキャン時間 Content Security Reporter での Advanced Threat Defense の使用状況のモニタリング ® Web Gateway と併用している場合、McAfee Content Security Reporter を使用すると、Advanced Threat Defense のスキャン アクティビティのデータを収集できます。 • データを収集するには、Web Gateway と Advanced Threat Defense の両方をログ ソースとして設定してく ださい。 • データを表示するには、Advanced Threat Defense が稼動するサーバーを登録します。 これにより、ダッシュ ボード モニターでデータを確認できます。 詳細については、『McAfee Content Security Reporter 製品ガイド』を参照してください。 ゲートウェイ ATD の設定 ゲートウェイ ATD の設定は、Web Gateway が受信した Web オブジェクトを Advanced Threat Defense でスキ ャンする場合に使用します。 スキャン エンジンと動作を選択する スキャン エンジンと感染を検出した場合の動作を選択します。 McAfee Web Gateway 7.6.0 製品ガイド 415 11 Web フィルタリング Advanced Threat Defense 表 11-48 スキャン エンジンを選択する オプション 定義 [両方の McAfee エンジン: 高性能 な構成に推奨] 選択すると、McAfee Gateway Anti-Malware エンジンと McAfee マルウェ ア対策エンジンがアクティブになります。 Web オブジェクトは次の組み合せでスキャンされます。 プロアクティブな方法 + ウイルス シグネチャ このオプションはデフォルトで選択されています。 [段階的な対応: McAfee の両方の 選択すると、McAfee Gateway Anti-Malware エンジンと McAfee マルウェ エンジンと特定の Avira エンジン ア対策エンジンがアクティブになります。また、一部の Web オブジェクトで 機能 (パフォーマンスに対する影響 は、サードパーティの Avira エンジンもアクティブになります。 を最小にする)] Web オブジェクトは次の組み合せでスキャンされます。 プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュー ルの機能 (一部の Web オブジェクト) [重複対応: McAfee の両方のエン ジンと Avira エンジン (パフォー マンスに対する影響は最も少ない が、誤検知が多くなる)] 選択すると、McAfee Gateway Anti-Malware エンジン、McAfee マルウェ ア対策エンジン、サードパーティの Avira エンジンがアクティブになります。 Web オブジェクトは次の組み合せでスキャンされます。 プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュー ル機能 [Avira のみ: Avira エンジンのみ を使用 (非推奨) ] 選択すると、Avira エンジンのみがアクティブになります。 Web オブジェクトは次の組み合せでスキャンされます。 サードパーティ モジュールの機能 [McAfee Advanced Threat Defense のみ: サンドボックスで 詳細な解析を行うために MATD ア プライアンスにファイルを送信] 選択すると、Advanced Threat Defense のスキャンだけがアクティブにな ります。 Web オブジェクトは次の組み合せでスキャンされます。 Advanced Threat Defense の機能 このオプションはデフォルトで選択されています。 [エンジンがウイルスを検出した直 選択すると、ウイルスまたはマルウェアに感染した項目を検出するとすぐに 後にウイルス スキャンを停止する] Web オブジェクトのスキャンを停止します。 MATD のセットアップ Advanced Threat Defense の使用を設定する共通部分 表 11-49 MATD のセットアップ オプション 定義 [ユーザー名] Advanced Threat Defense との接続時に Web Gateway が送信するユーザー名で す。 [パスワード] Advanced Threat Defense との接続時に Web Gateway が送信するパスワードで す。 [設定] をクリックすると、パスワードの設定ウィンドウが開きます。 [サーバー リスト] 416 McAfee Web Gateway 7.6.0 Advanced Threat Defense が実行されているサーバーのリストです。 製品ガイド Web フィルタリング Advanced Threat Defense 11 表 11-49 MATD のセットアップ (続き) オプション 定義 [証明機関のリスト] ドロップダウン リストから既知の証明機関のリストを選択できます。 Web Gateway と Advanced Threat Defense との通信が HTTPS プロトコルの SSL セキュア モードで行われる場合に、この証明機関が参照されます。 [不正なファイルを表す重 大度のしきい値] Advanced Threat Defense によるスキャン時に Web オブジェクト (ファイルなど) で検出された不正な特徴を示す重大度のしきい値が表示されます。 このしきい値に達すると、オブジェクトは不正として分類され、Antimalware.Infected プロパティの値が true に設定されます。 スライダーを動かすと、しきい値を 0 から 5 (最大) までの間で設定できます。 [前の検出結果を再利用 選択すると、Advanced Threat Defense による前回のスキャン時に設定された重大度 し、McAfee Web によって、Web オブジェクトが不正なオブジェクトかどうか判断されます。 Gateway がファイルのハ ッシュで MATD から最新 このオプションを選択すると、次のオプションが使用可能になります。 のレポートを取得する] [最大検出期間] Web オブジェクトの重大度が設定されてからの最大経過時間 (分) が設定されます。 この時間が経過すると、この値が不正オブジェクトの評価に使用されません。 デフォルトの最大時間は 30 分です。 [同じサンプルを分析する 場合に実行中のタスクを 再利用する] 同じ Web オブジェクトを分析している場合、実行中のタスクが評価に使用されます。 [クライアント IP を MATD サーバーに送信す る] Advanced Threat Defense が実行されているサーバーに、Web オブジェクトのダウ ンロード要求を送信したクライアントの IP アドレスが送信されます。 以下の表では、サーバー リストの項目について説明します。 表 11-50 サーバー リスト - リスト項目 オプション 定義 [文字列] Advanced Threat Defense が実行されているサーバーの名前を指定します。 [コメント] サーバーのコメントがテキスト形式で表示されます。 ネットワーク設定 Advanced Threat Defense が実行されているサーバーとの接続の説明が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 417 11 Web フィルタリング Advanced Threat Defense 表 11-51 ネットワーク設定 オプション 定義 [接続タイムアウ ト] 接続の待機時間 (秒) が表示されます。この時間が経過すると、サーバーとの接続が終了しま す。 デフォルトの時間は 5 秒です。 [スキャン タイム アウト] Advanced Threat Defense が Web オブジェクトをスキャンできる時間 (分と秒) が表示さ れます。 この時間が経過すると、Web Gateway がエラーとして記録します。 [分] - タイムアウトまでの時間 (分) を指定します。 [秒] - タイムアウトまでの時間 (秒) を指定します。 デフォルトは 10 分です。 [ポーリング間隔] Web オブジェクトのスキャン状況に関する情報を Advanced Threat Defense から取得する 間隔 (秒) が表示されます。 デフォルトの時間は 20 秒です。 「Advanced Threat Defense」ルール セット Advanced Threat Defense ルール セットは、Web オブジェクトのフィルタリング時に Web Gateway と Advanced Threat Defense の併用を有効にするライブラリ ルール セットです。 ルール セット - Advanced Threat Defense 条件 - Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types サイクル - 応答、埋め込みオブジェクト ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。 • Web Gateway のマルウェア対策エンジンの前のスキャン結果で、不正な Web オブジェクトの可能性が 60% 以上になっている場合。 • オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合 このルール セットには、以下のルールが含まれます。 進行状況ページを有効にする Always –> Continue – Enable Progress Page<Default> このルールは、Web オブジェクトがクライアントにダウンロードされるときに進行状況をページに表示するイベン トを有効にします。 ファイルを ATD にアップロードしてスキャン結果を待機する Antimalware.Infected<Gateway ATD> –> Block<Virus Found> – Statistics.Counter.Increment("BlockedByMATD",1)<Default> このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス やマルウェアに感染しているかどうかを確認します。 この検査で必要なスキャンがゲートウェイ ATD の設定で実行されます。このスキャンは Advanced Threat Defense によって実行されます。 418 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Advanced Threat Defense 11 オブジェクトで感染が見つかると、要求側のクライアントへのオブジェクトの転送を中止し、オブジェクトへのア クセスを要求したユーザーにブロック メッセージを表示します。 このブロック アクションは統計カウンターで記録されます。 ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ル ール セット ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セットは、Web オブジェクトの フィルタリング時に Web Gateway と Advanced Threat Defense の併用を有効にするライブラリ ルール セット です。 このルール セットを実装すると、Advanced Threat Defense のスキャンを実行する前に要求元のユーザーに Web オブジェクトが転送されます。ユーザーは、このオブジェクトをすぐに使用することができます。 スキャンの結果、Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者にメ ッセージが送信されます。 このように Advanced Threat Defense を利用するスキャンをオフライン スキャンまたはバックグラウンド スキ ャンといいます。 このルール セットをインポートすると、次の 2 つのルール セットが実装され、ルール セット ツリーに表示されま す。 • ATD - オフライン スキャンの開始 • ATD - オフライン スキャンの処理 「ATD - ファイルをすぐに使用可能にするオフライン スキャン」という名前のルール セットは実装されません。 ATD - オフライン スキャンの開始 このルール セットは、Advanced Threat Defense による追加スキャンを開始します。 ライブラリ ルール セット - ATD - オフライン スキャンの開始 条件 – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types AND Body.Size less than 30000000 サイクル - 応答、埋め込みオブジェクト ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。 • Web Gateway の前のスキャン結果で、不正な Web オブジェクトの可能性が 60% 以上になっている場合。 • オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合 • Web オブジェクトが特定のサイズを超えていない場合 このルール セットには、以下のルールが含まれます。 ファイルをすぐに使用可能にするオフライン スキャン Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed> McAfee Web Gateway 7.6.0 製品ガイド 419 11 Web フィルタリング Advanced Threat Defense このルールが処理されると、Web Gateway に送信された Web オブジェクト要求に関連するすべてのデータが記 録されます。Web サーバーからの応答も記録されます。応答には、要求された Web オブジェクト (ファイルなど) が含まれます。Web オブジェクトを含む応答は Web Gateway に保存されます。 Advanced Threat Defense でのスキャンを開始するため、Web Gateway で内部要求が作成されます。Web Gateway は、内部要求に対する応答を待機し、要求が受け入れられ、スキャンが実行されるかどうかを確認しま す。 Web Gateway の待機時間は、Antimalware.MATD.InitBackgroundScan プロパティのパラメーターに秒 単位で設定します。デフォルトは 5 秒です。この時間を変更数 r には、プロパティのパラメーターを編集します。 設定した時間内に内部応答に対する応答がない場合、プロパティが false に設定され、この条件に従ってルールが 適用されます。管理者にメッセージが送信され、Advanced Threat Defense の追加スキャンが実行できなかった ことが通知されます。 時間内に応答を受信した場合、Web オブジェクトがユーザーに転送されます。 次のルール セットによって追加のスキャン処理が実行されます。 ライブラリ ルール セット - ATD - オフライン スキャンの処理 条件 – Antimalware.MATD.IsBackgroundScan equals true サイクル - 応答、埋め込みオブジェクト ルール セットの条件では、Antimalware.MATD.IsBackgroundScan の値が true の場合にルール セットが 適用されることを指定します。 前のルール セットのルールによって Advanced Threat Defense の追加スキャンが正常に開始した場合、true が設 定されます。この場合、Advanced Threat Defense がルールによって記録されているデータを使用して、要求され た Web オブジェクトをスキャンします。 このルール セットには、以下のルールが含まれます。 ファイルを ATD にアップロードしてスキャン結果を待機する Antimalware.Infected<Gateway ATD> equals true –> Continue – Statistics.Counter.Increment("BlockedByMATD",1)<Default> このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス やマルウェアに感染しているかどうかを確認します。この検査で必要なスキャンがゲートウェイ ATD の設定で実 行されます。このスキャンは Advanced Threat Defense によって実行されます。 保存済みの Web オブジェクトが Web Gateway から Advanced Threat Defense に転送されます。 スキャンの結果、Web オブジェクトで感染が検出されると、統計カウンターに感染が記録されます。 ファイルをすぐに使用可能にするオフライン スキャン Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set User-Defined.MessageText = "Client.IP:" + IP.ToString(Client.IP) + "Requested URL:" + URL + "Virus name:" + ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, "," Email.Send ("Administrator@", "MATD offline scan detected a virus", User-Defined.MessageText)<Default> 420 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 11 このルールが処理されると、Antimalware.Infected プロパティの値が true かどうか確認されます。 true の場合、Advanced Threat Defense が実行したスキャンでウイルスなどのマルウェア感染が検出されていま す。 警告メッセージが生成され、Web オブジェクトへのアクセスを要求したユーザーのネットワーク管理者に送信され ます。このメッセージには、前のルール セットのルールで記録された要求に関する情報が含まれます。 サイクルの停止 常時 –> Stop Cycle このルールは処理サイクルを終了します。このルールは、先行するルールが処理された後に実行されます。 Data Loss Prevention Data loss prevention (DLP) は、機密情報がネットワークから流出しないようにします。防御のプロセスでは、こ のコンテンツを検出し、Web へ流出するトラフィックを適宜にブロックします。 このプロセスには、以下の要素が含まれています。 • プロセスを制御する Data loss prevention ルール • data loss prevention のエントリを記入したデフォルトの分類およびディクショナリ • 機密情報の検索を処理するルールによって呼び出される Data loss prevention モジュール また、data loss prevention ルールを使用して、ネットワークへ流入しないように不適切なコンテンツを保持でき ます。しかし、これはパフォーマンスへ影響を与える可能性があります。 data loss prevention プロセスは、要求または応答とともに送信される本文に含まれるテキスト、または、URL パ ラメーターまたはヘッダーなど、要求または応答に含まれるその他テキストにも適用できます。 フィルタリング プロセスに対して、ICAP サーバーを使用する DLP ソリューションと共にアプライアンスを実行中 の場合、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確認するためにルール セットを施行で きます。 Data loss prevention ルール Data loss prevention は、アプライアンスのデフォルトによって実行されませんが、ライブラリから Data Loss Prevention ルール セットをインポートできます。 これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。 data loss prevention ルールは、たとえばテキストが機密コンテンツを含む本文として送信される要求などをブロ ックします。要求本文を提供するのが「true」かどうか検索するため、ルールは本文を検査するモジュールを呼び出 します。何が機密と見なされるか知るには、構成されたものに従って、システム リストのモジュールがデフォルトの 分類、またはディクショナリ エントリを参照します。 要求または応答が処理されたとき、本文が Body.Text プロパティの値として保管されます。本文が保管され、検査 される前に、抽出する必要があります。コンポジット オープナー モジュールはオープニング ジョブを実行します。 共通ルール ルール セットのルール セットにおけるルールは、デフォルトでオープナーを有効にします。 要求本文は、たとえば、Web へのアップロードが要求されるテキスト ファイルに存在する可能性があります。ルー ル条件の適合した本文関連プロパティの値は、適用するルールおよびブロックの実行に「true」になります。 以下のルールは、この方法で DLP.Classification.BodyText.Matched を使用します。要求が本文に機密コンテ ンツを含む場合、これは、これは data loss prevention モジュールによって検出されます。プロパティの値は true に設定され、要求がブロックされます。 McAfee Web Gateway 7.6.0 製品ガイド 421 11 Web フィルタリング Data Loss Prevention 名前 SOX 情報でファイルをブロックする 条件 DLP.Classification.BodyText.Matched<SOX> equals true アクション –> Block<DLP.Classification.Block> このルールが処理されるとき、data loss protection モジュールはその設定によって、企業の責任に対応する SOX (サーベンス オクスリー法) 規制に関して機密コンテンツを検索する必要があることを知っています。 イベントをルールに追加し、data loss prevention の情報をログ記録するか、このルールによってブロックされた 要求が発生する頻度をカウントするカウンターをインクリメントできます。 デフォルトの分類およびディクショナリ エントリ デフォルトの分類およびディクショナリ エントリは、data loss prevention で使用され、ネットワークからの流出 を防ぐ必要がある機密コンテンツを指定します。 システム リストとディクショナリの項目を使用して不適切なコンテンツ (差別的な表現や不快な表現など) を指定 し、ネットワークへの配信を防ぐことができます。このような方法で不適切なコンテンツを指定すると、要求に対す る応答で Web サーバーから送信されたコンテンツをルールでブロックすることができます。 data loss prevention のライブラリ ルール セットは、応答サイクルの本文を処理するためにネストされたルール セットを含みます。 デフォルトの分類およびディクショナリ エントリは以下の方法で異なります。 • デフォルトの分類 — たとえば、クレジット カード番号、社会保険番号、医療診断データなど、異なる種類の機 密または不適切なコンテンツを検出するための情報を提供します。 デフォルトの分類は、システム リストのフォルダーおよびサブフォルダーに含まれており、アプライアンス シス テムによって更新されます。リスト ツリーの [システム リスト] ブランチの [DLP 分類]の下で、システム リス トを表示できますが、編集または削除はできません。 分類を処理するモジュールの設定を編集する場合、これらのリストのフォルダーから適合したサブフォルダーを 選択し、ネットワーク内の data loss prevention の分類とともにリストを作成できます。 • ディクショナリ エントリ — たとえば、ネットワークから流出させるべきではないコンテンツを示唆する人物の 名前やキーワードなど、機密または不適切なコンテンツを指定します。 ディクショナリは、このリストを処理するモジュールの設定の一部として作成されます。 ディクショナリを作成し、機密または不適切なコンテンツに対してエントリを記入することは、システム リスト のデフォルト分類を使用して何が可能かを超えて、data loss prevention プロセスの構成を意味します。この方 法でネットワークの要件に対してプロセスを合わせることができます。 Data Loss Prevention モジュール data loss prevention モジュールのジョブ (エンジンとも呼ばれる) は、要求および応答の本文、および要求および 応答とともに送信される他のテキストで、機密または不適切なコンテンツを検出するためのものです。 アーカイブ ドキュメント、POST 要求の本文、およびその他など、複合オブジェクトが要求または応答とともに送信 される場合、data loss prevention プロセスにも含まれます。このようなオブジェクトを分析するため、data loss prevention ルールは、埋め込みオブジェクト サイクルでも処理されます。 検出された data loss prevention モジュールによって、ルール条件の本文関連プロパティは、true または false に設定されます。そのため、Web トラフィックは最終的にブロックまたは許可されます。 422 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 11 関連コンテンツを検出するためのリストの使用で異なる、2 つのモジュールがあります。 • Data Loss Prevention (分類) — data loss prevention のためにシステム リストのデフォルトの分類を使 用します。 • Data Loss Prevention (ディクショナリ) — data loss prevention に対して提供する機密および不適切な コンテンツに、エントリとともにディクショナリを使用します。 モジュールの設定を構成するとき、検索するべきコンテンツを指定します。コンテンツを指定するデフォルトの分類 およびディクショナリは、設定パラメーターの間にあります。 data loss prevention の検索方法 ネットワークからの流出や流入をふせぐべきコンテンツの検索には異なる方法があります。 • 検索は、機密又は不適切として指定されるコンテンツの一部を含む、要求または応答本文を提供するか否かの検 索を目的にできます。 • 検索は URL パラメーターまたはヘッダーコンテンツの一部で開始し、構成されたものに従って、機密または不適 切かどうかを検索できます。 最初の方法として、サンプル ルールで既に表示された DLP.Classification.BodyText.Matched プロパティを 使用できます。 2 つ目に、DLP.Classification.AnyText.Matched プロパティを使用できます。このプロパティは、システム リストまたはディクショナリにあるため確認されるコンテンツの一部のため、文字列のパラメーターを取得します。 作業しているものによって、システムリストと DLP.Dictionaries.BodyText.Matched、ディクショナリを備え た DLP.Dictionaries.AnyText.Matched とともに、すでに述べた 2 つを使用できます。 Data Loss Prevention のログ記録 追加プロパティが、data loss prevention プロセスの結果をログ記録するために提供されます。ルールのイベント を使用するなど、このデータをログ記録できます。 DLP.Classification.BodyText.Matched の値が、処理された要求または応答の本文に対して true の場合、以 下が関連ログ記録プロパティに適用されます。 • DLP.Classification.BodyText.MatchedTerms は、本文から一致する用語のリストを含みます。 • DLP.Classification.BodyText.MatchedClassifications は、一致する分類のリストを含みます。 DLP.Dictionary.BodyText.Matched の値が true の場合、DLP.Dictionary.BodyText.MatchedTerms は一致するすべての用語のリストを含みます。 同じく、一致する用語と分類は、提供されたテキスト文字列の一致を検索する検索方法のため、ログ記録できます。 DLP.Classification.AnyText.Matched の値が true の場合: • DLP.Classification.AnyText.MatchedTerms は、本文以外のテキストで見つかった一致する用語のリス トを含みます。 • DLP.Classification.AnyText.MatchedClassifications は、本文以外のテキストで見つかった一致する分 類のリストを含みます。 一致がディクショナリにある場合、DLP.Dictionary.AnyText.Matched が true であり、 DLP.Dictionary.AnyText.MatchedTerms は一致する用語のリストを含みます。 data loss prevention 結果の情報は、ダッシュボードにも表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 423 11 Web フィルタリング Data Loss Prevention 医療データの消失の防止 以下は、米国病院のネットワークから医療データの流出を防ぐことを保証する、data loss prevention の一例です。 医療データの消失を防ぐデフォルトの分類は、HIPAA (医療保険の携行性と責任に関する法律) フォルダーに含まれ ています。このデフォルト情報に加えて、病院に勤務する医師の名前がディクショナリに入力され、ネットワークか らデータが流出しないことを保証します。 この例で、data loss prevention を構成するために完了する必要があるアクティビティは以下です。 • デフォルトの HIPAA 分類を含む Data Loss Prevention (分類) モジュールの設定を構成する • ディクショナリのエントリとして医師の名前を含む、Data Loss Prevention (ディクショナリ) モジュールの設 定を構成する • コンポジット オープナーを有効にするルールが有効になっていることを確認する デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル ールのルール セットでネストされます。 • 構成された設定に従って、コンテンツを確認するルールを作成する ルールは、病院ネットワークから Web までデータをアップロードする要求のための、要求サイクルで適用される ルール セットに含まれる必要があります。 ルール セットは、data loss prevention または自身で作成するルール セットの、デフォルトのルール セットの ネストされたルール セットになる可能性があります。 この例として、ルールは要求本文に含まれたテキストのみを確認します。以下のようになります。 名前 HIPAA データと医師の名前の Prevent loss 条件 アクション DLP.Classification.BodyText.Matched<HIPAA> equals true AND DLP.Dictionary.BodyText.Matched<Doctors'Names> equals true – > Block<DLP.Classification.Block> Data Loss Prevention の構成 data loss prevention を構成して、ネットワークから流出しないように機密コンテンツを保持できます。不適切な コンテンツが流入しないようにするためにも使用できます。 以下の高レベル手順を完了します。 タスク 1 ライブラリから Data Loss Prevention ルール セットをインポートします。 2 ルールを確認し、必要に応じて変更します。 たとえば、以下のことが実行可能です。 • デフォルトの分類を使用して data loss prevention の設定を構成する。 • ディクショナリ エントリを使用して data loss prevention の設定を構成する。 • その他の設定パラメーターを変更する。 • 独自のルールを作成する。 ライブラリ ルール セットを使用する代わりに、data loss prevention の独自のルール セットも作成できます。 424 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 3 11 Composite Opener が有効になっていることを確認したため、リクエストおよび応答を送信した本文を検査でき ます。 デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル ールのルール セットでネストされます。 4 ICAP で data loss prevention を実行する場合、ライブラリから他のルール セットをインポートし、必要に応 じてルールを変更できます。 5 変更を保存します。 デフォルトの分類を使用して Data Loss Prevention を構成する システム リストからデフォルトの分類選択することで、data loss prevention を構成し、分類処理のための data loss prevention モジュールの設定に含まれているリストに入力できます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[Data Loss Prevention(分類)] を選択し、[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 3 一般設定パラメーターを構成します。 a [名前]フィールドで、設定名を入力します。 b [オプション][コメント]フィールドで、設定の平文コメントを入力します。 c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。 4 [DLP 分類]のツールバーで、[編集]アイコンをクリックします。 [編集]ウィンドウが、デフォルト分類のサブフォルダーを含むフォルダーのツリー構造とともに開きます。 5 たとえば [SOX コンプライアンス]などのフォルダーを展開し、[コンプライアンス レポート]などのサブフォル ダーを選択します。次に、[OK]をクリックします。 また、フォルダーのいくつかのサブフォルダーを一度に選択、異なるサブフォルダーからフォルダーを選択、ま たは個別サブフォルダーすべてとともに完全なフォルダーを選択できます。 [編集]ウィンドウが閉じ、サブフォルダーが[DLP 分類]インライン リストに表示されます。 6 [変更の保存]をクリックします。 ディクショナリ エントリを使用して data loss prevention を構成する data loss prevention のディクショナリにエントリとして、機密または不適切なコンテンツを指定するテキストと ワイルドカード式を入力できます。 ライブラリ Data Loss Prevention ルール セットをインポートした後、機密または不適切なコンテンツを指定した エントリが入力されたディクショナリの使用は、まだ実行されません。適切な設定を作成し、実行して、ディクショ ナリにエントリを入力する必要があります。 タスク • 426 ページの「ディクショナリの設定の作成」 ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作 成する必要があります。 • 426 ページの「辞書のエントリーの入力」 辞書の設定を作成した後で、辞書のエントリーを入力できます。 McAfee Web Gateway 7.6.0 製品ガイド 425 11 Web フィルタリング Data Loss Prevention ディクショナリの設定の作成 ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作成する必要が あります。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[Data Loss Prevention(ディクショナリ)] を選択し、[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 3 一般設定パラメーターを構成します。 a [名前]フィールドで、設定名を入力します。 b [オプション][コメント] フィールドで、設定の平文コメントを入力します。 c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。 これで、ディクショナリにエントリを入力できます。 辞書のエントリーの入力 辞書の設定を作成した後で、辞書のエントリーを入力できます。 タスク 1 辞書エントリーを使用してデータ喪失防止のために作成した設定の中で、[辞書]インライン リストのツールバー の[追加]アイコンをクリックします。 [DLP 辞書エントリーの追加]ウィンドウが開きます。 2 [検索するデータのタイプ]の下で、[テキスト]または[ワイルドカード式]を選択します。 3 [テキストまたはワイルドカード式]フィールドにテキスト文字列またはワイルドカード式を入力します。 4 [オプション] エントリーの追加情報を指定: • • テキスト文字列を入力している場合、以下のオプションの 1 つまたはそれらの組み合わせを選択してくださ い。 • [大文字と小文字を区別] • [単語の先頭] • [単語の末尾] ワイルドカード式を入力している場合は、[大文字小文字を区別]を選択するか、必要に応じてその選択を解除 します。 5 [オプション][コメント]フィールドで、エントリーの平文コメントを入力します。 6 [OK]をクリックします。 [DLP 辞書エントリーの追加]ウィンドウが閉じて、辞書に新しいエントリーが表示されます。 エントリーを追加するには、ステップ 1 から 6 を繰り返します。 7 [設定の追加]で[OK]をクリックします。 このウィンドウは閉じ、新しい設定が[データ喪失防止(辞書)]の下の設定ツリーに表示されます。 426 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 11 Data Loss Prevention(分類)の設定 Data Loss Prevention(分類)設定は、機密またじゃ不適切なコンテンツを指定する分類 リストのエントリの構成 に使用されます。 DLP 分類パラメーター 機密または不適切なコンテンツを検索する場合、分類リストの使用を構成する設定 表 11-52 DLP 分類パラメーター オプション 定義 [ポリシーの追 跡] リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。 検索は選択したすべての分類に対して実行されます。ただし、以下の方法で構成することができ ます。 • 最小 — 特定の分類で機密または不適切なコンテンツのインスタンスが検出された場合、または インスタンスを検出できなかった場合に、検索を停止します。検索は次の分類に対して続行さ れます。 これは、分類がすべて処理されるまで続行されます。 • 最大 — 検索では、特定の分類に対して機密または不適切なコンテンツのインスタンスをすべて 検索しようとします。1 つの分類に対して検索が完了したら、次で続行されます。 これは、分類がすべて処理されるまで続行されます。 [DLP 分類] リスト ツリーの[DLP 分類]で提供されるシステム リストの分類リストでエントリを選択するた めのリストを提供します。 次の表では、DLP 分類リストのエントリを説明しています。 表 11-53 DLP 分類パラメーター – リスト エントリ オプション 定義 [DLP 分類] 機密または不適切なコンテンツの検出についての情報を提供するエントリを提供します。 [コメント] エントリの平文テキストのコメントを提供します。 詳細パラメーター data loss prevention の拡張機能を構成する設定 表 11-54 詳細パラメーター オプション 定義 [報告されたコンテキストの 幅] リストに一致する用語に関して表示される文字の数を指定値に制限します。 一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。 [コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。 一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。 Data Loss Prevention(ディクショナリ)の設定 Data Loss Prevention(ディクショナリ)設定は、機密または不適切なコンテンツを指定するテキストおよびワイ ルドカード式の構成に使用されます。 DLP ディクショナリ パラメーター 密または不適切なコンテンツを指定するテキストおよびワイルドカード式の構成の設定 McAfee Web Gateway 7.6.0 製品ガイド 427 11 Web フィルタリング Data Loss Prevention 表 11-55 DLP ディクショナリ パラメーター オプション 定義 [ポリシーの追 跡] リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。 検索は作成したすべてのディクショナリのエントリに対して実行されます。ただし、以下の方法 で構成することができます。 • 最小 — 特定のディクショナリのエントリで機密または不適切なコンテンツのインスタンスが 検出された場合、またはインスタンスを検出できなかった場合に、検索を停止します。検索は 次のエントリに対して続行されます。 これは、エントリがすべて処理されるまで続行されます。 • 最大 — 検索では、特定のディクショナリのエントリに対して機密または不適切なコンテンツ のインスタンスをすべて検索しようとします。1 つのエントリに対して検索が完了したら、次 で続行されます。 これは、エントリがすべて処理されるまで続行されます。 [ディクショナ リ] 機密または不適切なコンテンツ、またはそれに一致するテキスト文字列およびワイルドカード式 のリストを提供します。 次の表では、[ディクショナリ] リストのエントリを説明しています。 表 11-56 ディクショナリ – リスト エントリ オプション 定義 [テキストまたはワイルドカード 式] 機密または不適切なコンテンツ、またはそれに一致するテキスト文字列および ワイルドカード式を指定します。 [コメント] テキスト文字列またはワイルドカード式の平文テキスト形式のコメントを提供 します。 詳細パラメーター data loss prevention の拡張機能を構成する設定 表 11-57 詳細パラメーター オプション 定義 [報告されたコンテキストの 幅] リストに一致する用語に関して表示される文字の数を指定値に制限します。 一致する用語は、DLP.Dictionary.Matched.Terms プロパティの値です。 [コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。 一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。 Data Loss Prevention ルール セット Data Loss Prevention (DLP) ルール セットは、ネットワークからの機密コンテンツの流出や不適切なコンテンツ の流入を防ぐライブラリ ルール セットです。 デフォルト ルール セット – Data Loss Prevention (DLP) 条件 — Always サイクル – Requests (and IM), responses, embedded objects 428 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 11 以下のルール セットは、このルール セット内にネストされています。 • 要求サイクルの DLP • 応答サイクルの DLP このルール セットは、デフォルトでは有効になっていません。 要求サイクルの DLP このネストされたルール セットは、機密情報が含まれていることが確認された場合、ネットワークのクライアントか ら Web サーバーへ送信される要求をブロックします。たとえば、機密コンテンツを含むファイルの Web へのアッ プロード要求をブロックします。 ネストされたライブラリ ルール セット - 要求サイクルの DLP 条件 – Cycle.TopName equals "Request" サイクル — Requests (and IM) and embedded objects ルール セット条件は、要求がアプライアンスで処理される場合、ルールセットの適用を指定します。 ルール セットは、以下のルールを含みます。 HIPAA 情報でファイルをブロックする DLP.Classification.BodyText.Matched <HIPAA> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default> ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求 されるファイルに存在する可能性があります。 テキストは、、HIPAA ヘルスケア規制に従って、機密コンテンツであるとみなされます。関連情報の死湯は、モジ ュール設定の一部として構成され、プロパティ名の後に指定されます。 要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定 は要求しているユーザーへのメッセージを指定します。 また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。 Payment Card Industry 情報によるファイルのブロック DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default> ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求 されるファイルに存在する可能性があります。 テキストは、、ペイメント カードへ適用される規制に従って、機密コンテンツであるとみなされます。クレジット カード番号は、たとえば、これらの規制のもとでコンテンツとなる可能性があります。テキスト内に機密コンテン ツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。 要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定 は要求しているユーザーへのメッセージを指定します。 また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。 SOX 情報でファイルをブロックする DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default> ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求 されるファイルに存在する可能性があります。 McAfee Web Gateway 7.6.0 製品ガイド 429 11 Web フィルタリング Data Loss Prevention 株式公開企業の説明責任が規定されている SOX (Sarbanes-Oxley) 法により、機密コンテンツが定義されていま す。たとえば、この法律では取締役会の議事録は機密コンテンツになります。機密コンテンツは、HIPAA 関連のル ールと同じ方法で検出されます。 要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定 は要求しているユーザーへのメッセージを指定します。 また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。 DLP 応答サイクル このネストされたルール セットは、差別的または攻撃的な言葉など、不適切なコンテンツを含んでいることがわかっ た場合、Web サーバーからアプライアンスで受け取った応答をブロックします。 ネストされたライブラリ ルール セット – DLP 応答サイクル 条件 – Cycle.TopName equals "Response" サイクル - 応答、埋め込みオブジェクト ルール セット条件は、応答がアプライアンスで処理される場合、ルールセットの適用を指定します。 ルール セットは、以下のルールを含みます。 有効な使用 DLP.Classification.BodyText.Matched <Acceptable Use> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default> ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ ストを含む、現在処理されている応答の本文を確認します。このテキストは、たとえば、ダウンロード要求に応答 するファイルに存在する可能性があります。 ルールによって、応答に不適切なコンテンツが含まれるかどうか検査するモジュールが呼び出され、分類リストか ら適切な情報を使用します。これらのリストの使用は、モジュールの設定でプロパティ名の後に指定します。 応答本文のテキストに不適切なコンテンツが含まれている場合、応答はブロックされます。ブロック アクションの 設定は、応答が転送されるユーザーへのメッセージを指定します。 また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。 ICAP サーバーを使用した Data Loss Prevention フィルタリング プロセスを処理する ICAP サーバーで Data Loss Prevention を実施すると、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確保するために、設定を構成し、ルール セットを施行することが できます。 Data Loss Prevention のために、nDLP と呼ばれるソリューションを使用できます。このソリューションの中で、 ユーザーがネットワークから Web にアップロードするデータは、Data Loss Prevention のためにフィルタリング されます。フィルタリングは ICAP サーバーで実行されます。データ フローは、以下のとおりです。 • ユーザーのクライアント システムから送信されたデータは、アプライアンスに転送されます。 • アプライアンスは、ユーザー データで REQMOD リクエストを ICAP サーバーに送信する ICAP クライアントを 備えています。 • リクエストは ICAP プロトコルに従ってそれらを変換することでサーバーでフィルタリングされ、リクエストの 宛先となる Web サーバーに渡されます。 ライブラリから ICAP による Data Loss Prevention ルール セットをインポートした後で、アプライアンス上で 施行されるルールは ICAP サーバーへのリクエストの送信を制御します。 430 McAfee Web Gateway 7.6.0 製品ガイド Web フィルタリング Data Loss Prevention 11 これらのルールに従って、リクエストは以下のような場合は転送されません。 • リクエストの本文にデータがなく、リクエストに URL パラメーターが含まれない。 • リクエストの本文が指定されたサイズ(デフォルト: 50 MB)を超えている。 ルール セットと共に、構成する必要がある設定がインポートされます。これらには、アプライアンスがリクエストを 転送できる ICAP サーバーのリストが含まれます。 また、特定の ICAP サーバーが同時に処理できるよりも多くの接続をリクエスト送信のために開かないように、アプ ライアンスの ICAP クライアントを構成することもできます。 data loss prevention の ICAP サーバー リストの作成 フィルタリング データの ICAP サーバーを使用する、data loss prevention の nDLP を実行する場合、これらの設 定のリストを構成する必要があります。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[ICAP クライアント]を選択し、[ReqMod] 設定をクリックします。 3 必要に応じて、これらの設定で指定された ICAP サーバー リストを構成します。 4 [変更の保存]をクリックします。 ICAP クライアントの設定 ICAP クライアントの設定は、アプライアンスの ICAP クライアントと ICAP サーバーの間で REQMOD モードの通 信を構成するために使用されます。 ICAP サービス アプライアンスの ICAP クライアントがリクエストを送信する ICAP サーバーの設定 表 11-58 スキャン エンジンの選択 オプション 定義 [ICAP サーバーのリスト] ICAP 通信で使用するサーバーのリストが表示されます。 ICAP クライアントからの要求は、選択したリストのサーバーにラウンドロビン モード で送信されます。 このため、このリストは 60 秒間隔でチェックされます。 次の表では、サーバー リストの ICAP サーバーのエントリーを説明しています。 表 11-59 ICAP サーバーのリストのエントリー オプション 定義 [URI] ICAP サーバーの URI が表示されます。 形式:ICAP://<IP アドレス>:<ポート番号> [最大同時接続数制限を保持] 選択すると、アプライアンスの ICAP クライアントは要求送信時に、ICAP サーバー が処理可能な数以上の接続を開かないようになります。 [コメント] McAfee Web Gateway 7.6.0 ICAP サーバーの平文コメントを提供します。 製品ガイド 431 11 Web フィルタリング Data Loss Prevention ICAP ルール セットの Data Loss Prevention ICAP ルール セットの Data Loss Prevention は、data loss prevention のソリューションで、アプライアンスと ICAP サーバー間のデータ フローを構成するライブラリ ルール セットです。 ライブラリ ルール セット – ICAP の Data Loss Prevention 条件 — 条件 — URL.Host は “ ”と等しくありません サイクル — Requests (and IM) and embedded objects ルール セット条件は、アプライアンスにリクエストで送信される URL のホスト名を見つけることができるときにル ール セットが適用されることを指定します。 このルール セットは、以下のルールを含みます。 情報をもたないリクエストをスキップする Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule Set このルールは、リクエストに空の本文があるかどうかをチェックする Body.Size プロパティを使用します。また、 ListOfString.IsEmpty プロパティを使用して、リクエストが URL パラメーターをもつかどうかチェックしま す。 この条件の 2 つの部分の 1 つが一致する場合、ルール セットの処理が停止し、リクエストが ICAP サーバーに転 送されません。 50 MB を超える本文をスキップする Body.Size greater than 52428800 –> Stop Rule Set ルールは Body.Size プロパティを使用して、リクエストの本文が 50 MB を超えないかどうかを確認します。50 MB を超える場合、ルール セットの処理が停止し、リクエストは ICAP サーバー転送されません。 ルール セットの条件で、要求本文の上限サイズがバイト数で指定されています。 ReqMod サーバーのコール ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle ルール セットの最初の 2 つのルールに従ってリクエストがフィルタリングを通過するときに、ICAP サーバーに転 送されます。それが行われると、ICAP.ReqMod.Satisfaction プロパティが true になります。 ルールはこれがリクエストであるかどうか、現在のサイクルの処理を最終的に停止するかどうかをチェックします。 432 McAfee Web Gateway 7.6.0 製品ガイド 12 サポート機能 アプライアンスの一部の機能は、Web オブジェクトをフィルタリングせずに、さまざまな方法でフィルター処理を サポートします。 サポート機能を使用して、以下を実行することができます。 • ダウンロード進行状況の表示 — Web オブジェクトのダウンロード中の進行状況をユーザーに表示する方法を設 定できます。 • 更新とダウンロード時の帯域幅の制限 - クライアントからアプライアンスにデータをアップロードしたり、 Wweb サーバーからアプライアンスにデータをダウンロードするときの通信速度を制限することができます。 • Web オブジェクトを保管し、提供するために Web キャッシュを使用 — アプライアンスの Web キャッシュか らオブジェクトを配布することにより、クライアント要求への応答をスピードアップできます。 • ネクスト ホップ プロキシによるルーティング要求 - これらのプロキシを使用して要求を送信先までルーティン グできます。 目次 進行状況の表示 帯域幅スロットル Web キャッシング ネクスト ホップ プロキシ 進行状況の表示 オブジェクトのダウンロードの進行状況を Web オブジェクトのダウンロードを開始したユーザーに示すプロセスで す。 このプロセスには、以下の要素が含まれています。 • プロセスを制御する進行状況表示ルール • 進行状況の表示の様々な方法を扱うために、ルールによりコールされる進行状況表示モジュール 進行状況表示ルール 進行状況表示を制御するルールは、1 つのルール セットに含まれます。さまざまなルールが、進行状況表示のさまざ まな方法の使用を制御します。適宜、これらの方法を扱うためのさまざまなモジュールをコールします。 McAfee Web Gateway 7.6.0 製品ガイド 433 12 サポート機能 進行状況の表示 アプライアンスでは、進行状況表示に 2 つの方法が利用可能です。ダウンロードに適した方法がどちらであるかは、 ユーザーがダウンロード リクエストを送信するブラウザーによります。 • 進行状況ページ — Mozilla ブラウザー。 この方法の下で、進行状況バーのある 1 つのページがダウンロードを開始するユーザーに示され、ダウンロード の完了に対して別のページが示されます。 • データ トリックル — ほかのすべてのブラウザーの場合 この方法の下で、Web オブジェクトがチャンクで、特定の転送率でユーザーに送信されます。 進行状況表示は、デフォルトのルール セット システムでは実施されません。ライブラリ ルール セットは、これらの 機能を提供します。その名前は、進行状況の表示です。 このルール セットを施行し、ルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき ます。 進行状況表示モジュール 2 つの進行状況表示モジュール(エンジンとも呼ばれる)は、以下のようなさまざまな方法の進行状況表示を扱うた めに使用できます。 • 進行状況ページ モジュール — 進行状況ページ方法の場合 • データ トリックル モジュール — データ トリックル方法の場合 これらの方法を扱う方法を変更するために、これらのモジュールの設定を構成できます。 進行状況ページ方法に使用される 2 ページを構成するためのテンプレートが提供されます。ユーザー メッセージの テンプレートと同じ方法で設定できます。 進行状況の表示の構成 進行状況の表示を実行し、構成して、ネットワークの要件に合わせることができます。 以下の高レベル手順を完了します。 タスク 1 ライブラリから進行状況の表示ルール セットをインポートします。 2 このルール セットにあるルールを確認し、必要に応じて修正します。 たとえば、以下の操作を実行できます。 • • 3 434 進行状況ページ モジュールの設定を構成します: • 進行状況ページに特定の言語を選択します • 進行状況ページのテキストを変更します • ダウンロード後にページが利用可能な時間のタイムアウトなど、ダウンロード ページのタイムアウトを指 定します。 データ トリックル モジュールの設定を構成します: • トリックル プロセスにおける最初のチャンクのサイズ • 転送レート 変更を保存します。 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 進行状況の表示 12 進行状況の表示モジュールの構成 進行状況の表示モジュールを構成し、Web オブジェクトをダウンロードする進行情報がユーザーに表示される方法 を変更できます。 進行状況の表示に 2 つの異なるモジュールがあります。進行状況ページおよびデータ トリックル モジュール。 タスク 1 [ポリシー][ルール セット]を選択します。 2 ルール セット ツリーで、進行状況の表示のためにルール セットを選択します。 この機能にライブラリ ルール セットを実行した場合、これは進行状況の表示です。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 構成するものにしたがって、進行状況ページ モジュールを呼び出す、またはデータ トリックル モジュールを呼 び出すルールを検索します。 ライブラリ ルール セットで、ルール進行状況ページを有効にする および データ トリックルを有効にするがあり ます。 5 適切なルールのルール イベントで、設定名をクリックします。 [設定の編集]ウィンドウが開きます。進行状況ページまたはデータ トリックル モジュールの設定を提供します。 6 必要に応じて、これらの設定を構成します。 7 [OK]をクリックしてウィンドウを閉じます。 8 [変更の保存]をクリックします。 関連トピック: 436 ページの「データ トリックル設定」 437 ページの「進行状況の表示(ルール セット)」 進行状況ページ設定 進行状況ページ設定は、Web オブジェクトをダウンロードしているときに、ユーザーに示される進行状況ページを 設定するために使用されます。 進行状況ページ パラメーター 進行状況ページの設定 表 12-1 進行状況ページ パラメーター オプション 定義 [テンプレート] 進行状況ページで使用されるテンプレートの設定を提供します。 [タイムアウト] 進行状況ページに関連するタイムアウトの設定を提供します。 テンプレート 進行状況ページで使用されるテンプレートの設定 McAfee Web Gateway 7.6.0 製品ガイド 435 12 サポート機能 進行状況の表示 表 12-2 テンプレート オプション 定義 [言語] 進行状況ページの言語を選択する設定を提供します。 • [オート (ブラウザー)]— 選択すると、ブロックされた要求が送信されたブラウザーの言語でメッ セージが表示されます。 • [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示されます。 • [‘Message.Language’ プロパティの値] — 選択すると、 Message.Language プロパティの値 である言語でメッセージが表示されます。 このプロパティはルールの作成にも使用できます。 [コレクショ ン] テンプレート コレクションを選択するリストを提供します。 • [追加] — テンプレート コレクションを追加するための [テンプレート コレクションの追加] ウ インドウを開きます。 • [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。 [進行状況バ テンプレートを選択するリストを提供します。 ー ページのテ • [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。 ンプレート 名] • [編集] — [テンプレート エディター] を開き、テンプレートを編集します。 [ダウンロー ド終了ページ のテンプレー ト名] テンプレートを選択するリストを提供します。 [ダウンロー ド取り消しペ ージのテンプ レート名] テンプレートを選択するリストを提供します。 • [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。 • [編集] — [テンプレート エディター] を開き、テンプレートを編集します。 • [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。 • [編集] — [テンプレート エディター] を開き、テンプレートを編集します。 タイムアウト 進行状況ページに関連するタイムアウトの設定 表 12-3 テンプレート オプション 定義 [進行状況ページへのリダイレクト遅延] 進行状況ページが表示されるまでの経過時間 (秒単位) を指定値に制限し ます。 [ダウンロード前のファイルの使用期間] ダウンロードの前にファイルが使用不能になるまでの経過時間 (分) を制 限します。 [ダウンロード後のファイルの使用期間] ダウンロードの後にファイルが使用不能になるまでの経過時間 (分) を制 限します。 データ トリックル設定 データ トリックル設定は、ユーザーが Web オブジェクトのダウンロードを開始したときに、適用されるデータ ト リックル プロセスの構成に使用されます。 データ トリックル パラメーター データ トリックル モードで転送される Web オブジェクトの一部の設定 436 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 進行状況の表示 12 表 12-4 データ トリックル パラメーター オプション 定義 [最初のチャンクのサイ ズ] データ トリックル方法を使用して転送される Web オブジェクトの最初のチャンクの サイズ(バイト単位)を指定します。 [転送レート] 5 秒ごとに転送される Web オブジェクト部分を指定します。 転送レートは、転送されるすべてのボリュームの 1000 分の 1 にここで設定した値を 掛けたものになります。 進行状況の表示(ルール セット) 進行状況の表示ルール セットは、ユーザーの Web オブジェクトのダウンロードの進行状況を示すライブラリ ルー ル セットです。 ライブラリ ルール セット — 進行状況の表示 条件 - MediaType.FromHeader does not equal text/html サイクル — Requests (and IM), responses, embedded objects ユーザーが送信した要求に対する応答で Web から戻されたメディアがテキスト形式または HTML 形式でない場合 に、このルール セットが適用されます。 このルール セットは、以下のルールを含みます。 進行状況ページを有効にする Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable Progress Page <Default> このルールは、Mozilla ブラウザーの進行状況ページを有効にします。イベント設定は、進行状況ページの外観(た とえば、使用する言語など)を指定します。 FTP アップロードのタイムアウト防止 URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable FTP Upload Progress Indication FTP プロトコルで Web にアップロードするファイルがクライアントから送信されると、このルールにより、FTP アップロードの進行状況表示機能が有効になります。 アップロードの実行中、アップロードの進行状況を表すメッセージがクライアントに送信されます。これにより、 アップロードに時間がかかる場合にクライアントでのタイムアウトの発生を防ぎます。 アップロードするファイルに対してウイルスやマルウェアのスキャンが実行されると、この問題が発生する可能性 があります。 データ トリックルを有効にする Always –> Stop Rule Set – Enable Data Trickling<Default> このルールは、Mozilla 以外のすべてのブラウザーのデータ トリックルを有効にします。イベント設定は、トリッ クルに使用されるチャンクおよびブロックサイズを指定します。 McAfee Web Gateway 7.6.0 製品ガイド 437 12 サポート機能 帯域幅スロットル 帯域幅スロットル bandwidth throttling と呼ばれるプロセスのアプライアンスに対するデータのアップロードおよびダウンロード 速度を制限できます。 特定のタスクが個別にオブジェクトを Web にアップロードするか、Web から大きいダウンロードをリクエストす る、その他のユーザーによる影響の完了が必要なネットワーク パフォーマンス状況を避けるなど、帯域幅スロットル を使用できます。 帯域幅スロットル ルール 帯域幅スロットル ルールは、ユーザーがオブジェクトを Web にアップロードする、またはオブジェクトをダウンロ ードする際に、転送速度を制限します。 帯域幅スロットル ルールのイベント 帯域幅スロットルを制御するルールでは、2 つのイベントが利用可能です。 • Throttle.Client — クライアントからアプライアンスへのデータ転送速度を制限します これは、クライアントが Web サーバーへオブジェクトをアップロードする要求を送信し、要求がオブジェクトと もにアプライアンスでインターセプトされた場合です。 • Throttle.Server — Web サーバーからアプライアンスへのデータ転送速度を制限します この場合、Web サーバーからオブジェクトをダウンロードするようにクライアント要求があり、この要求がアプ ライアンスでフィルターされ送信された後に、Web サーバーは応答でオブジェクトを送信します。 アップロード時の帯域幅を制限するルール 次のものは、アップロードに対して、帯域幅スロットル ルールを実行できるルールの例です。 スロットル リストのホストに対するアップロード速度の制限 URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10) データがアップロードされる Web サーバーが特定のリストにある場合、ルールは Throttle.Client イベントを使 用して、10 Kbps で実行されるアップロードで速度を制限します。 ルールの条件で、URL.Host プロパティは、要求のアップロードで指定される Web サーバーのホスト名を取得する ために使用されます。 アップロード スロットル リストにこの名前が含まれている場合、条件が一致し、ルールが適用されます。それから、 スロットル イベントが実行されます。 Continue アクションは次のルールでルール処理を続行します。 ダウンロード時の帯域幅を制限するルール 次のものは、ダウンロードに対して、帯域幅スロットル ルールを実行できるルールの例です。 スロットル リストのメディア タイプに対するダウンロード速度の制限 MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue – Throttle.Server (1000) ダウンロードする Web オブジェクトが特定のリストのメディア タイプに属する場合、、ルールは Throttle.Server イベントを使用して、1000 Kbps で実行されるダウンロードで速度を制限します。 ルールの条件で、MediaType.EnsuredTypes プロパティは、Web サーバーが送信した Web オブジェクトのメディ ア タイプを検出するために使用されます。オブジェクトは、1 つ以上のタイプに属することもわかります。 438 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 帯域幅スロットル 12 これらのタイプのいずれかがメディア タイプ スロットル リストにある場合、条件が一致し、ルールが適用されま す。それから、スロットル イベントが実行されます。 Continue アクションは次のルールでルール処理を続行します。 帯域幅スロットル ルールおよびルール セット 帯域幅スロットル ルールのすべてのルール セットを作成し、1 つはスロットルのアップロードに、もう 1 つはスロ ットルのダウンロードに、2 つのルール セットを埋め込むことをお勧めします。埋め込みアップロード ルール セッ トを、要求サイクルに、埋め込みダウンロード ルール セットを応答サイクルに適用できます。 各埋め込みルール セット内で、異なる種類の Web オブジェクトに適用する複数のスロットル ルールを持つことが できます。 帯域幅スロットルのすべてのルール セットは、ルール セット システムの最初に置く必要があります。これが完了し ない場合、その他のルール セットのルールは、スロットル ルールが実行される前に、Web オブジェクトのスロット ル化されていないダウンロードを開始する可能性があります。 たとえば、ウイルスおよびマルウェア フィルタリングのルールは、応答で Web サーバーによってユーザー要求に送 信された Web オブジェクトのダウンロードをトリガーする可能性があります。Web オブジェクトはそれから、アプ ライアンスへの完全なダウンロードが必要になり、感染しているかどうか確認します。 ウイルスおよびマルウェア フィルタリング ルールのルール セットの後に、帯域幅スロットル ルール セットが置か れ処理されている場合、帯域幅スロットルは、ダウンロードに適用されません。 帯域幅スロットルの構成 帯域幅スロットルを実行し、構成して、ネットワークの要件に合わせることができます。 以下の高レベル手順を完了します。 タスク 1 帯域幅スロットル ルールで使用することで、Web オブジェクトのリストを作成します。 たとえば、以下を作成できます。 • 転送速度はホストのリストは、オブジェクトがアップロードされるときに制限されます。 • これらの 1 つに属するオブジェクトがダウンロードされるとき、転送速度が制限されるメディア タイプのリ スト 2 帯域幅スロットルのルール セットを作成します。 3 このルール セット内で、帯域幅スロットルのルールを作成します。 たとえば、以下を作成できます。 4 • オブジェクトが特定のホストにアップロードされるとき、転送速度の制限のルール。 • 特定のメディア タイプに属するオブジェクトがダウンロードされるときの転送速度を制限するルール。 必要に応じて、これらのルールを設計します。 たとえば、以下の操作を実行できます。 5 • Web へのオブジェクトのアップロードのために帯域幅スロットルを有効にする Throttle.Client イベント の特定の転送速度を構成します。 • Web からのオブジェクトのダウンロードのために帯域幅スロットルを有効にする Throttle.Server イベン トの特定の転送速度を構成します。 変更を保存します。 McAfee Web Gateway 7.6.0 製品ガイド 439 12 サポート機能 Web キャッシング Web キャッシング Web キャッシュは、アプライアンスに置かれ、クライアント リクエストへの応答をスピードアップするために、Web オブジェクトを保管するためのものです。 アプライアンスの Web キャッシュの使用は、ルール セット内のルールで管理されます。 Web キャッシュ ルール セットがアプライアンスで実装されているかどうかを確認するには、[ポリシー]トップレベ ル メニューの[ルール セット]タブのルール セットのシステムを見直してください。 何も実装されていない場合、Web キャッシュ ライブラリ ルール セットをインポートできます。このルール セット をインポートした後で、ネットワークに合わせて[ルール セット]タブでそれを見直し、変更することができます。代 わりに、固有のルールでルール セットを作成することもできます。 Web キャッシュ ルール セットは、一般的に、キャッシュからオブジェクトを読み取ったり、それに書き込むルール を含みます。 さらに、読み取りまたは書き込みからオブジェクトを除外するバイパス ルールも設定できます。 Web キャッシュの有効化の検証 Web キャッシュが有効化されているかどうかを検証することができます。 タスク 1 [構成][アプライアンス]を選択します。 2 アプライアンス ツリーで、Web キャッシュの有効化を検証するアプライアンスを選択し、[プロキシ (HTTP(S)、 FTP、ICAP、および IM)]を選択します。 3 [Web キャッシュ]セクションにスクロール ダウンして、[キャッシュを有効にする]が選択されているかどうかを 確認します。必要な場合、このオプションを有効にします。 4 必要な場合、[変更を保存]をクリックします。 Web キャッシュ ルール セット Web キャッシュ ルール セットは、Web キャッシュのためのライブラリ ルール セットです。 ライブラリ ルール セット - Web キャッシュ 条件 — Always サイクル — Requests (and IM) and responses 以下のルール セットは、このルール セット内にネストされています。 • キャッシュからの読み取り • キャッシュへの書き込み キャッシュからの読み取り このネストされたルール セットは、キャッシュからの Web オブジェクトの読み取りを有効にし、バイパス リスト の URL についてはそれを禁じます。 ネストされたライブラリ ルール セット - キャッシュからの読み取り 条件 — Always サイクル - リクエスト(および IM) このルール セットは、以下のルールを含みます。 440 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 Web キャッシング 12 Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする URL matches in list Web Cache URL Bypass List –> Stop Rule Set このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか をチェックします。 リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され ません。 次のルール セットで処理が続行されます。 このルールは、デフォルトでは有効になっていません。 Web キャッシュを有効にする Always –> Continue — Enable Web Cache このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。 次のルール セットで処理が続行されます。 キャッシュへの書き込み このネストされたルール セットは、キャッシュへの Web オブジェクトの書き込みを有効にし、大きなオブジェクト のみならず、特定のバイパス リストの URL とメディア タイプに対して禁じられます。 ネストされたライブラリ ルール セット - キャッシュへの書き込み 条件 — Always サイクル — Responses このルール セットは、以下のルールを含みます。 Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする URL matches in list Web Cache URL Bypass List –> Stop Rule Set このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか をチェックします。 リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され ません。 次のルール セットで処理が続行されます。 このルールは、デフォルトでは有効になっていません。 Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする URL matches in list Web Cache URL Bypass List –> Stop Rule Set このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか をチェックします。 リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され ません。 次のルール セットで処理が続行されます。 このルールは、デフォルトでは有効になっていません。 Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする URL matches in list Web Cache URL Bypass List –> Stop Rule Set このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか をチェックします。 McAfee Web Gateway 7.6.0 製品ガイド 441 12 サポート機能 ネクスト ホップ プロキシ リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され ません。 次のルール セットで処理が続行されます。 このルールは、デフォルトでは有効になっていません。 Web キャッシュを有効にする Always –> Continue — Enable Web Cache このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。 次のルール セットで処理が続行されます。 ネクスト ホップ プロキシ アプライアンスのクライアントから受信した要求を宛先に転送する場合に、ネクスト ホップ プロキシを使用するこ ともできます。 ネクスト ホップ プロキシを実装すると、対応するルール セットのルールがモジュール (エンジンともいう) を使用 して、要求転送リストに入力されたネクスト ホップ プロキシを呼び出します。 たとえば、内部のネクスト ホップ プロキシを使用して、内部の送信先に対する要求を転送することができます。内 部の送信先 IP アドレスは、転送ルールが適用されるリストに入力されます。この他に、ルールが使用する内部ネク スト ホップ プロキシのリストがあります。 ネクスト ホップ プロキシを使用するルールのルール セットは、初期設定の後でアプライアンスに実装されていませ ん。ライブラリからルール セットをインポートし、必要に応じて変更するか、独自のルール セットを作成できます。 ネクスト ホップ プロキシ ルール セットをインポートすると、ネクスト ホップ プロキシとして使用可能なサーバー のリストもインポートされます。このリストは初期状態では空です。ユーザーが値を設定する必要があります。複数 のリストを作成すると、状況に応じてルーティングを行うことができます。 ネクスト ホップ プロキシ モジュールの設定がライブラリ ルール セットと一緒にインポートされます。これらの設 定を行うと、モジュールが特定のネクスト ホップ プロキシ リストを使用し、ネクスト ホップ プロキシの呼び出し モード (ラウンドロビンまたはフェールオーバー) を決定します。 ネクスト ホップ プロキシ モード ルーティング要求にネクスト ホップ プロキシとして複数のサーバーが使用可能な場合、ネクスト ホップ プロキシ モジュールはラウンドロビン、フェールオーバーまたは持続性モードでサーバーを呼び出します。 ネクスト ホップ プロキシのラウンドロビン モード ラウンドロビン モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールはリストを参照し、前 回呼び出したプロキシの次にあるネクスト ホップ プロキシを呼び出します。 次の要求は同じ方法で処理されるため、リスト上のすべてのサーバーが最終的にネクスト ホップ プロキシとして使 用されます。 442 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 12 次の図に、ラウンドロビン モードのネクスト ホップ プロキシ構成を示します。 図 12-1 ラウンドロビン モードのネクスト ホップ プロキシ ラウンドロビン モードの設定は、ネクスト ホップ プロキシの設定で行います。 関連トピック: 453 ページの「ネクスト ホップ プロキシの設定」 ネクスト ホップ プロキシのフェールオーバー モード フェールオーバー モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールは、リストの先頭に あるネクスト ホップ プロキシを呼び出します。 ネクスト ホップ プロキシが応答しない場合、設定されている再試行回数に達するまで、呼び出しが繰り返し実行さ れます。 この場合、リスト内で次にあるネクスト ホップ プロキシが呼び出されます。 最初のプロキシと同じ方法で 呼び出しが実行され、応答がないと、リストで 3 番目にあるネクスト ホップ プロキシに接続が試行されます。 この処理は、応答するネクスト ホップ プロキシが見つかるまで継続します。リスト内のネクスト ホップ プロキシが すべての応答不能の場合、処理が停止します。 次の図に、フェールオーバー モードのネクスト ホップ プロキシ構成を示します。 図 12-2 フェールオーバー モードのネクスト ホップ プロキシ フェールオーバー モードの設定は、ネクスト ホップ プロキシの設定で行います。 McAfee Web Gateway 7.6.0 製品ガイド 443 12 サポート機能 ネクスト ホップ プロキシ 関連トピック: 453 ページの「ネクスト ホップ プロキシの設定」 ネクスト ホップ プロキシの持続性 ネクスト ホップ プロキシは持続性モードで選択できます。 このモードでは、Web Gateway の同じクライアントか ら受信した要求が同じネクスト ホップ プロキシに転送されます。 ネクスト ホップ プロキシの持続性モードで処理される要求部分は、Web Gateway のプロパティの値として設定さ れます。 ルールのイベントがこの値をプロパティに設定します。 ネクスト ホップ プロキシの持続性を有効にするプロパティは [NextHopProxy.StickinessAttribute] です。 同じ クライアントからの要求を同じネクスト ホップ プロキシに転送するには、このプロパティの値にクライアントの IP アドレスを使用します。 ルールを作成するだけでなく、ネクスト ホップ プロキシを処理する設定でオプションとして持続性を選択する必要 があります。 また、ネクスト ホップ プロキシの持続性モードを適用する期間も設定する必要があります。 ネクスト ホップ プロキシの持続性を設定するルール 以下のサンプル ルールは、[NextHopProxy.StickinessAttribute] プロパティに [Client.IP] プロパティの値を設定 し、同じクライアント IP アドレスの要求を同じネクスト ホップ プロキシに転送します。 [名前] [ネクスト ホップ プロキシの持続性属性を 設定する] [条件] [アクション] [イベント] [Always ] –> [Continue] [Set NextHopProxy.StickinessAttribute = IP.ToString(Client.IP)] このルールは、イベントを使用して [NextHopProxy.StickinessAttribute] プロパティを設定します。 このプロパ ティは文字列タイプのため、[NextHopProxy.StickinessAttribute] プロパティの設定に使用する前に、[Client.IP] プロパティの値を文字列に変換する必要があります。 関連トピック: 453 ページの「ネクスト ホップ プロキシの設定」 446 ページの「ネクスト ホップ プロキシの持続性を設定する」 ネクスト ホップ プロキシの構成 ネクスト ホップ プロキシの使用を実行し、構成して、ネットワークの要件に合わせることができます。 以下の高レベル手順を完了します。 タスク 1 ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートします。 2 このルール セットにあるルールを確認し、必要に応じて修正します。 たとえば、以下の操作を実行できます。 • ネクスト ホップ プロキシ ルール セットで使用するリストを編集します。 リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを 示します。 • 444 ネクスト ホップ プロキシ モジュールの設定を構成します McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 3 12 変更を保存します。 ネクスト ホップ プロキシをリストに追加する ネクスト ホップ プロキシをリストに追加するには、次の手順に従います。 タスク 1 [設定の編集] ウィンドウで、ネクスト ホップ プロキシ モジュールを設定します。 2 [ネクスト ホップ プロキシ サーバー] で、[ネクスト ホップ プロキシ サーバー リスト] からネクスト ホップ プ ロキシのリストを選択し、[編集] をクリックします。 [リストの編集 (ネクスト ホップ プロキシ サーバー)] ウィンドウが開きます。 3 [リスト コンテンツ] で [追加] アイコンをクリックします。 [ネクスト ホップ プロキシの追加] ウィンドウが開きます。 4 必要に応じて、ネクスト ホップ プロキシを設定します。 5 開いているすべてのウィンドウで [OK] をクリックします。 6 [変更の保存] をクリックします。 選択したリストにネクスト ホップ プロキシが追加されます。 関連トピック: 453 ページの「ネクスト ホップ プロキシ設定を追加する」 ネクスト ホップ プロキシ モジュールの構成 ネクスト ホップ プロキシ モジュールを構成し、ネクスト ホップ プロキシが Web へ要求を転送するために使用す る方法を変更できます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーで、ネクスト ホップ プロキシのルール セットを選択します。 この機能にライブラリ ルール セットを実行した場合、これはネクスト ホップ プロキシです。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示]が選択されていることを確認します。 4 ネクスト ホップ プロキシ モジュールを呼び出すルールを検索します。 ライブラリ ルール セットで、これはルール内部ホストに内部プロキシを使用するです。 5 ルール イベントで、設定名をクリックします。 ライブラリ ルール セットでは、この名前は 内部プロキシです。 [設定の編集]ウィンドウが開きます。これはネクスト ホップ プロキシ モジュールの設定を提供します。 6 必要に応じて、これらの設定を構成します。 7 [OK]をクリックしてウィンドウを閉じます。 8 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 445 12 サポート機能 ネクスト ホップ プロキシ 関連トピック: 455 ページの「ネクスト ホップ プロキシ ルール セット」 ネクスト ホップ プロキシの持続性を設定する ネクスト ホップ プロキシの持続性を設定するには、[ネクスト ホップ プロキシ] の設定でこのモードを選択し、ネ クスト ホップ プロキシを処理するルール セットに持続性を追加します。 タスク 1 2 3 ネクスト ホップ プロキシの持続性モードを選択します。 a [ポリシー] 、 [設定] の順に選択します。 b 設定ツリーの [エンジン] ブランチで [ネクスト ホップ プロキシ] を展開し、必要な設定を選択してネクスト ホップ プロキシの持続性を設定します。 c [ネクスト ホップ プロキシ サーバー] で [持続性] を選択します。 d 必要に応じて、[持続性の最小時間] で持続性モードの適用期間を変更します。 ネクスト ホップ プロキシの持続性にルールを追加します。 a [ポリシー] 、 [ルール セット] の順に選択します。 b ネクスト ホップ プロキシを処理するルール セット ([ネクスト ホップ プロキシ] ライブラリ ルール セット など) を開きます。 c 同じプロキシに転送される要求を識別する値を [NextHopProxy.Stickiness.Attribute] プロパティに設定す るルールを追加します。 [変更の保存] をクリックします。 設定した期間、追加ルールの一部に一致する要求が同じネクスト ホップ プロキシに転送されます。 関連トピック: 453 ページの「ネクスト ホップ プロキシの設定」 444 ページの「ネクスト ホップ プロキシの持続性」 SOCKS トラフィックのネクスト ホップ プロキシ SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、ネクスト ホップ プロキシを設定できます。 このプロトコルでは、Web トラフィックは埋め込みプロトコルにも従います。このプロトコルは Web Gateway で 検出されます。埋め込みプロトコルが HTTP または HTTPS の場合、設定したルールに従って Web トラフィックを フィルタリングできます。 Web トラフィックの転送にはバージョン 4 と 5 の SOCKS プロトコルを使用できます。ネクスト ホップ プロキ シをセットアップするときに、使用する SOCKS バージョンを設定できます。デフォルトでは、受信トラフィックの バージョンが転送時に使用されます。 446 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 12 SOCKS トラフィックのネクスト ホップ プロキシを設定する SOCKS トラフィックのネクスト ホップ プロキシを設定するには、Web Gateway を SOCKS プロキシとして実行 し、ネクスト ホップ プロキシを有効にしてトラフィックをフィルタリングするルール セットを実装します。 タスク • 447 ページの「SOCKS プロキシを有効にする」 Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。 • 447 ページの「SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する」 SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール セットの条件を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加しま す。 • 448 ページの「SOCKS プロキシ ルール セットを設定する」 SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な SOCKS プロキシ ルール セットを設定します。 SOCKS プロキシを有効にする Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、SOCKS プロキシとして実行する Web Gateway アプライアンスを選択し、[プロキ シ] をクリックします。 3 [SOCKS プロキシ] まで下にダウンロードし、[SOCKS プロキシを有効にする] を選択します。 4 [変更の保存] をクリックします。 SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール セットの条件 を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加します。 タスク 1 ライブラリから ネクスト ホップ プロキシ ライブラリ ルール セットをインポートします。 2 ルール セット ツリーでルール セットを上に移動し、ユーザー認証用のルール (たとえば、明示的プロキシに認証 と許可 ルール セット) の直後に使用されるようにします。 3 ルール セットの条件として Always を Connection.Protocol equals "SOCKS" に置換します。 4 ネクスト ホップ プロキシを有効にするルールを追加します。 a 特定の要求にルールを適用するルール条件を設定します。 たとえば、ルール条件に Client.IP matches in list Client IP を使用して、特定のリストに含まれる IP アドレスのクライアントからの要求にだけルールを適用するようにします。 b ルール アクションに Continue を設定します。 c ルール イベントに Enable Next Hop Proxy を設定します。 McAfee Web Gateway 7.6.0 製品ガイド 447 12 サポート機能 ネクスト ホップ プロキシ d ルール イベントを設定します。 • ネクスト ホップ プロキシのリストにネクスト ホップ プロキシを追加します。 ネクスト ホップ プロキシを追加するときに、必要に応じて SOCKS パラメーターを指定します。 • 5 必要に応じて、残りのオプションを設定します。 [変更の保存] をクリックします。 ネクスト ホップ プロキシを設定するたびに異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに複 数のルールを追加できます。 関連トピック: 455 445 453 448 ページの「ネクスト ホップ プロキシ ルール セット」 ページの「ネクスト ホップ プロキシをリストに追加する」 ページの「ネクスト ホップ プロキシ設定を追加する」 ページの「SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール」 SOCKS プロキシ ルール セットを設定する SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な SOCKS プロ キシ ルール セットを設定します。 タスク 1 ライブラリから SOCKS プロキシ ルール セットをインポートします。 このルール セットは共通ルールの下にあります。 2 ルール セット ツリーで、このルール セットをネクスト ホップ プロキシ ルール セットの直後に移動します。 3 SOCKS プロキシ ルール セットでネストされているプロトコル検出ルール セットで、プロトコル ディテクター モジュールの設定をクリックします。 これらの設定のデフォルト名は「デフォルト」です。 [設定の編集] ウィンドウが開きます。 4 [プロトコル ディテクター オプション] で、[埋め込みデータの受信後にネクスト ホップ プロキシーを決める] を選択します。 5 [OK] をクリックして、ウィンドウを閉じます。 6 [変更の保存] をクリックします。 SOCKS プロキシ ルール セットの詳細については、「プロキシ」を参照してください。 関連トピック: 454 ページの「プロトコル ディテクターの設定」 SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール ネクスト ホップ プロキシの設定で異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに様々な複数 のルールを追加できます。 以下のルールを使用すると、特定のリストに IP アドレスが登録されている Web Gateway クライアントから受信し た要求にネクスト ホップ プロキシを使用できます。 名前 リストにあるクライアントから受信した場合に SOCKS トラフィックにネクスト ホップ プロキシを有効にする 条件 448 McAfee Web Gateway 7.6.0 アクション 製品ガイド サポート機能 ネクスト ホップ プロキシ Client.IP matches in list Client IPs –> Continue 12 Enable Next Hop Proxy<SOCKS Next Hop Proxy> このルールは Client.IP プロパティを使用し、要求を送信したクライアントの IP アドレスがリストににあるかどう かを確認します。 存在する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行 されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま す。 次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTP の場合にネクスト ホップ プロキシが有効に します。 名前 HTTP プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする 条件 アクション ProtocolDetector.DetectedProtocol<Default> equals –> Continue "HTTP" Enable Next Hop Proxy<Embedded Protocol HTTP Next Hop Proxy> このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP がどうか確認します。 該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行 されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま す。 このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ ップ プロキシーを決める] も有効にする必要があります。 次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTPS の場合にネクスト ホップ プロキシが有効 にします。 名前 HTTPS プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする 条件 アクション ProtocolDetector.DetectedProtocol<Default> equals –> Continue "HTTPS" Enable Next Hop Proxy<Embedded Protocol HTTPS Next Hop Proxy> このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP がどうか確認します。 該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行 されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま す。 このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ ップ プロキシーを決める] も有効にする必要があります。 次のルールは、SOCKS プロトコルに任意のプロトコルが埋め込まれている場合にネクスト ホップ プロキシが有効 にします。 McAfee Web Gateway 7.6.0 製品ガイド 449 12 サポート機能 ネクスト ホップ プロキシ 名前 任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする 条件 Connection.Protocol.Parent equals " SOCKS" アクション –> Continue Enable Next Hop Proxy<Embedded Protocol Next Hop Proxy> このルールは、Connection.Protocol.Parent プロパティを使用して、Web への SOCKS トラフィックの転送 要求で SOCKS プロトコルが親プロトコルとして設定されているかどうかを確認します。SOCKS が親プロトコル の場合、埋め込みプロトコルが存在しています。 該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行 されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま す。 次のルールは前のルールに非常によくに似ています。SOCKS プロトコルのトラフィックや、SOCKS プロトコルに 埋め込まれていない HTTP プロトコルのトラフィックでネクスト ホップ プロキシを有効にします。 名前 任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする 条件 Connection.Protocol.Parent equals " SOCKS" OR Connection.Protocol equals "HTTP" アクション –> Continue Enable Next Hop Proxy<Embedded Protocol Next Hop Proxy> 関連トピック: 454 ページの「プロトコル ディテクターの設定」 ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティン グ ネクスト ホップ プロキシの設定を見直すと、通信の遅延や可用性に関する問題を解決できます。 ネクスト ホップ プロキシの問題が発生すると、ダッシュボードにアラートが表示されます。 ネクスト ホップ プロ キシの設定を見直し、適切な設定を行うことで、これらの問題を解決し、URL フィルタリングのクラウド検索や他の フィルタリング情報の定期的な更新が可能になります。 ネクスト ホップ プロキシのアラート ネクスト ホップ プロキシの問題が発生すると、次のようなアラートがダッシュボードに表示されます。 • [ネクスト ホップ プロキシ 10.44.44.44 が 10 秒間停止しています] 接続を試みたネクスト ホップ プロキシが 10 秒間停止していることを Web Gateway が検出したときに、次の 再試行まで待機するように設定されていると、このアラートが表示されます。 設定した回数を試行しても成功しない場合、すぐに待機時間が開始します。 • [ネクスト ホップ プロキシ 10.44.44.44 との接続に失敗しました] 接続を試みたネクスト ホップ プロキシが停止していることを Web Gateway が検出したときに、待機時間が設 定されていないと (0 秒に設定されている)、このアラートが表示されます。 設定した回数を試行しても成功しな いと、Web Gateway は次の再試行をすぐに実行します。 450 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 12 ネクスト ホップ プロキシの接続再試行の設定 ネクスト ホップ プロキシの接続が遅くなった場合には、接続再試行の設定を見直してください。この設定は、[ネク スト ホップ プロキシ] で設定できます。 ここでは、接続試行の失敗後に Web Gateway が実行する再試行回数、設定した再試行回数を失敗して次の再試行 を実行するまでの待機時間を設定します。 再試行回数は少なく設定し (たとえば 3)、待機時間は設定しないことを推奨します。 このように設定すると、アラートの表示を抑止し、接続再試行の遅延を防ぐことができます。 遅延の回避も重要です。Web Gateway でネクスト ホップ プロキシが誤って停止と認識される場合もあります。こ の場合、次の再試行まで待機時間が発生します。 URL フィルタリングのネクスト ホップ プロキシ URL フィルタリングの遅延やエラーは、ネクスト ホップ プロキシの設定に起因する場合があります。 デフォルトの URL フィルタリングでは、特定の URL のカテゴリが Web Gateway アプライアンスのローカル デー タベースで見つからない場合、URL のカテゴリが McAfee Global Threat Intelligence McAfee Global Threat Intelligence のクラウド サーバーで検索されます。 [URL フィルター] の設定で、これらのサーバーに接続するようにネクスト ホップ プロキシを設定できます。 ネク スト ホップ プロキシが設定されていない場合や設定に誤りがある場合、クラウド検索に失敗するか、処理速度が低 下します。 更新のネクスト ホップ プロキシ マルウェア対策フィルタリング、URL フィルタリングなどの更新を定期的に配信する更新サーバーとの接続にもネク スト ホップ プロキシを使用できます。 更新用のネクスト ホップ プロキシは、[集中管理] で設定します。 関連トピック: 451 ページの「ネクスト ホップ プロキシの接続再試行の設定を確認する」 452 ページの「URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認する」 452 ページの「更新に使用するネクスト ホップ プロキシの設定を確認する」 ネクスト ホップ プロキシの接続再試行の設定を確認する ネクスト ホップ プロキシの接続再試行の設定を確認して、接続問題のトラブルシューティングを行います。 接続再試行が正しく設定されていないと、接続で遅延が発生する場合があります。 タスク 1 ネクスト ホップ プロキシの接続再試行の設定に移動します。 a [ポリシー] 、 [設定] の順に選択します。 b 設定ツリーで [ネクスト ホップ プロキシ] を展開し、確認する設定をクリックします。 設定ペインに設定が表示されます。 c [ネクスト ホップ プロキシ サーバー] で、ネクスト ホップ プロキシ サーバーのリストを選択し、[編集] を クリックします。 [リストの編集 (ネクスト ホップ プロキシ)] ウィンドウが開きます。 d [リスト コンテンツ] リストでネクスト ホップ プロキシを選択して、[編集] をクリックします。 [ネクスト ホップ プロキシの編集] ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 451 12 サポート機能 ネクスト ホップ プロキシ 2 [ネクスト ホップ プロキシの定義] で、次の設定を行います。 a [再試行回数] を 3 に設定します。 b [最後に失敗した後の待機時間] を 10 (秒) に設定します。 完了したら、開いているウィンドウをすべて閉じます。 3 [変更の保存] をクリックします。 関連トピック: 450 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」 URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認する URL フィルタリングに使用するネクスト ホップ プロキシの設定を確認して、接続問題のトラブルシューティングを 行います。 ネクスト ホップ プロキシは、URL フィルタリングで McAfee Global Threat Intelligence のクラウド サーバーに 接続する場合にも使用できます。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーで [URL フィルター] を展開し、確認する設定をクリックします。 設定ペインに設定が表示されます。 3 [詳細設定] までスクロールし、[プロキシ設定] で 1 つ以上のネクスト ホップ プロキシが正しく設定されている ことを確認します。 4 必要に応じて設定を修正します。 ネクスト ホップ プロキシが設定されていない場合には、1 つまたは複数のプ ロキシの設定を追加します。 5 設定を変更または追加した場合には、[変更の保存] をクリックします。 関連トピック: 450 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」 更新に使用するネクスト ホップ プロキシの設定を確認する 更新に使用するネクスト ホップ プロキシの設定を確認して、接続問題のトラブルシューティングを行います。 ネクスト ホップ プロキシは、様々な更新サーバーとの接続に使用できます。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、設定を確認するアプライアンスを選択して [集中管理] をクリックします。 3 [エンジンの自動更新] までスクロールし、次の条件を満たしているかどうか確認します。 • [更新プロキシを有効にする] が選択されている。 • [更新プロキシ] で 1 つ以上のネクスト ホップ プロキシが正しく設定されている。 4 必要に応じて設定を修正します。 ネクスト ホップ プロキシが設定されていない場合には、1 つまたは複数のプ ロキシの設定を追加します。 5 設定を変更または追加した場合には、[変更の保存] をクリックします。 関連トピック: 450 ページの「ベストプラクティス - ネクスト ホップ プロキシ問題のトラブルシューティング」 452 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 12 ネクスト ホップ プロキシの設定 ネクスト ホップ プロキシの設定は、Web へのアプライアンスで受信した要求を転送するために、ネクスト ホップ プロキシを構成するために使用されます。 ネクスト ホップ プロキシ サーバー ネクスト ホップ プロキシの設定 表 12-5 ネクスト ホップ プロキシ サーバー オプション 定義 [ネクスト ホップ ネクスト ホップ プロキシ サーバー リストのリストを提供します。 プロキシ サーバ ーのリスト] [ラウンドロビン] これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最後に使用され たネクスト ホップ プロキシに続くネクスト ホップ プロキシを使用します。 リストの末尾に達すると、リストの最初のネクスト ホップ プロキシが再度選択されます。 [フェールオーバ ー] これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最初にある最初 のネクスト ホップ プロキシを試します。 最初のネクスト ホップ プロキシが応答しなかった場合、設定されている再試行の最大値に達す るまで再試行されます。その後、リスト上 2 番目のネクスト ホップ プロキシが試行され、同様 に、サーバーが応答するかすべて使用不可であると確認されるまで繰り返されます。 [持続性] 選択すると、ネクスト ホップ プロキシ モジュールは一定の期間同じネクスト ホップ プロキシ を使用します。この期間は変更できます。 [持続性の最小時 間] 要求の転送で同じネクスト ホップ プロキシを使用する期間 (秒) を設定します。 デフォルトの期間は 300 秒です。 [プロキシ スタイ 選択すると、要求された Web サーバーにネクスト ホップ プロキシを使用してプロキシ スタイ ル要求] ルの要求が転送されます。 このオプションはデフォルトで選択されています。 ネクスト ホップ プロキシ設定を追加する ネクスト ホップ プロキシ設定は、リストに追加されたネクスト ホップ プロキシを設定するときに使用します。 ネクスト ホップ プロキシの定義 ネクスト ホップ プロキシの設定 表 12-6 ネクスト ホップ プロキシの定義 オプション 定義 [識別子] ネクスト ホップ プロキシの説明を入力します。 [プロキシ アドレス] ネクスト ホップ プロキシが存在するホストをホスト名で指定するか、IP アドレスとポート 番号で指定します。 [ホスト ] ホストの名前または IP アドレスを指定します。 [ポート] Web トラフィックの転送要求を待機するホストのポート番号を指定します。 [プロキシ認証] ネクスト ホップ プロキシの認証プロセスをユーザー名で指定し、パスワードを設定します。 [ユーザー] ネクスト ホップ プロキシの認証を行うユーザーの名前を指定します。 [パスワード] ネクスト ホップ プロキシの認証を行うユーザーのパスワードを設定します。 McAfee Web Gateway 7.6.0 製品ガイド 453 12 サポート機能 ネクスト ホップ プロキシ 表 12-6 ネクスト ホップ プロキシの定義 (続き) オプション 定義 [接続動作] ネクスト ホップ プロキシの動作を一連のパラメーターで指定します。 [再送の数] 最初の試行に失敗した後で実行可能な試行回数を指定します。 デフォルトの再送回数は 1 です。 [最後に失敗した後の 待機時間] ネクスト ホップ プロキシに対する試行がすべて失敗したときに、次のネクスト ホップ プ ロキシを試行するまでの待機時間を秒単位で指定します。 デフォルトの時間は 10 秒です。 [固定接続を使用] 選択すると、ネクスト ホップ プロキシは Web トラフィックの転送に固定接続を使用しま す。 SOCKS 固有のバラメーター SOCKS プロトコルでのネクスト ホップ プロキシの設定 表 12-7 ネクスト ホップ プロキシの定義 オプション 定義 [ネクスト ホップ プロキシで ネクスト ホップ プロキシが SOCKS プロトコルで Web トラフィックを転送する 使用する SOCKS のバージョ 場合のプロトコルのバージョンを指定します。 ン] [SOCKS 受信接続と同じ] 選択すると、ネクスト ホップ プロキシが受信トラフィックの場合と同じ SOCKS プロトコルのバージョンを使用します。 デフォルトでは、この設定が選択されています。 [SOCKS v4] 選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 4 を使用 します。 [SOCKS v5] 選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 5 を使用 します。 プロトコル ディテクターの設定 [プロトコル ディテクター] の設定は、SOCKS プロトコルでのトラフィック関連のアクティビティを処理するモジ ュール (エンジン) の設定に使用します。 プロトコル ディテクターのオプション プロトコル ディテクター モジュールの設定 表 12-8 プロトコル ディテクターのオプション オプション 定義 [埋め込みデータの受信後に ネクスト ホップ プロキシー を決める] 選択すると、Web Gateway でトラフィックを受信したときに、プロトコル ディテ クター モジュールがネクスト ホップ プロキシを使用し、HTTP または HTTPS プロ トコルで SOCKS トラフィックを転送できます。このトラフィックは次のいずれか のプロトコルでも処理されます。 デフォルトでは、このオプションは選択されていません。 454 McAfee Web Gateway 7.6.0 製品ガイド サポート機能 ネクスト ホップ プロキシ 12 ネクスト ホップ プロキシ ルール セット ネクスト ホップ プロキシ ルール セットは、ネクスト ホップ プロキシを使用して適切な宛先に要求を転送するライ ブラリ ルール セットです。 ライブラリ ルール セット — ネクスト ホップ プロキシ 条件 — Always サイクル - 要求 (IM) ルール セットには、以下のルールが含まれます。 宛先に応じてプロキシを使用する URL.Destination.IP is in range list Next Hop Proxy IP Range List OR URL.Destination.IP is in list Next Hop Proxy IP List –> 続行 — ネクスト ホップ プロキシを有効にす る <内部プロキシ > このルールは、URL.Destination.IP プロパティを使用して、URL に対応する IP アドレスがリストの範囲内か どうか、あるいはリストに直接入力されたアドレスかどうかを確認します。条件を満たしている場合、イベントを 使用して内部ネクスト ホップ プロキシ経由でこれらの URL への要求を転送します。 イベント設定はネクスト ホップ プロキシ リストおよびプロキシを呼び出すモードを含む設定を指定します。 McAfee Web Gateway 7.6.0 製品ガイド 455 12 サポート機能 ネクスト ホップ プロキシ 456 McAfee Web Gateway 7.6.0 製品ガイド 13 ユーザー メッセージ フィルタリング ルールが Web アクセスのリクエストをブロックし、他の方法で影響がある場合、ユーザーにメッセ ージが送信されます。 このプロセスを管理するとき、主に以下の項目を処理します。 • メッセージ — Web アクセスのリクエストがブロック、リダイレクトされるか、認証がひつようであるかを通知 するメッセージがユーザーに送信されます。 • アクション設定 — ユーザーに対するメッセージは、メッセージで説明されているアクションに対する設定の一部 です。 • テンプレート — ユーザーへのメッセージはテンプレートに基づいており、そのテンプレートはテンプレート エ ディターにより編集できます。 デフォルト設定はアプライアンスの初期セットアップごにユーザー メッセージとそのテンプレートに適用されます。 それらは確認して、必要に応じて変更できます。 目次 ユーザーへのメッセージの送信 ユーザー メッセージのテキストを編集する 認証設定 ブロック設定 リダイレクト設定 テンプレート タブ テンプレート エディター ユーザーへのメッセージの送信 影響を与えるフィルタリング ルールのアクションに関して通知するメッセージがユーザーに送信されます。 ユーザー メッセージは別のタイプに属し、テンプレートに基づいています。 メッセージの種類 メッセージがユーザーに通知するアクションに応じて、異なる種類のユーザー メッセージがあります。 • 認証メッセージ - URL にアクセスするには、認証が必要であることをユーザーに知らせます。 • ブロック メッセージ- 要求されたオブジェクトでウイルスが検出されたためなど、種々の理由でリクエストがブ ロックされたことを通知します。 • リダイレクト メッセージ- 要求されたオブジェクトにアクセスするためには、別の URL にリダイレクトするこ とが必要であることをユーザーに通知します。 McAfee Web Gateway 7.6.0 製品ガイド 457 13 ユーザー メッセージ ユーザーへのメッセージの送信 メッセージ テンプレート メッセージはテンプレートをもとにユーザーに送信されます。メッセージの表示形式を変更するには、これらのテン プレートを採用する必要があります。アクションの設定の下でこれを行うことができます。 メッセージ テンプレートには、変数をもつ標準のテキストが含まれています。変数は、与えられた状況で必要に応じ た値が入力されます。 メッセージ テンプレートに使用されるすべての変数はルールで使用されるプロパティでもあります。たとえば、 URL は、メッセージ テキストおよび、URL をフィルターから除外するルールに使用されるプロパティにある変数で す。 特定のテンプレートに関連して、次のようにさまざまなバージョンが存在します。 • 言語 - 英語とその他の言語 • ファイル形式 - html または txt メッセージ テンプレートの編集時に次の操作を行うことができます。 • メッセージの言語を選択する • ログ記録を目的としてブロック理由を指定する ([ブロック]アクションのテンプレートの場合の み) • メッセージ テキストを編集する • リダイレクトする URL を記入する([リダイレク ト]アクションのテンプレートの場合のみ) • テンプレートの変数を置き換える メッセージ テキストと変数 以下のテキストと変更は、オブジェクトのウイルス感染のためにブロックされた要求されたオブジェクトにアクセス するときに、ユーザーに送信されるブロックメッセージに含むことができます。 • 標準テキスト — 転送フィイルにはウイルスが含まれていたためブロックされました。 • 変数 — 次の通りです。 • URL — ユーザーがファイルにアクセスすることをリクエストした URL。 URL を表示するために使用する変数は $URL$ です。 • ウイルス名 — ファイルのブロックをトリガーする検出されたウイルスの名前。 ウイルス名を表示するために使用する変数は $List.OfString.ByName(String)$ です。 メッセージ テンプレートを編集する際、プロパティのリストから変数を選択して挿入できます。メッセージ テンプレートで変数として機能するために、これらは文字列に変換されます(すでに文字列でない場合)。 この理由から、 たとえば、 NumberToString(String) プロパティなど、その他のデータ タイプを文字列に 変換するジョブを持つプロパティである“string converter” プロパティをここで選択するのは意味がありま せん。 458 McAfee Web Gateway 7.6.0 製品ガイド ユーザー メッセージ ユーザー メッセージのテキストを編集する 13 テンプレート エディター テンプレート エディターは、ユーザー メッセージのテンプレートを編集するユーザー インターフェースのコンポー ネントです。 アクセス方法はいくつかあります。 • [ポリシー] 最上位メニューで選択します。 • アクションの設定を選択します。 • [ポリシー] 、 [設定] の順に選択します。 または • ルール セットのルールで、ルール ビューを有効にして [詳細を表示] を選択します。 テンプレート コレクションまたは個々のテンプレートの設定で [編集] をクリックします。 ユーザー メッセージのテキストを編集する ネットワークの要件に対応させるために、ユーザー メッセージのテキストを編集できます。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ユーザーが編集するユーザー メッセージをもつアクションを含むルールのルール セットを選択します。 たとえば、[Gateway Antimalware]ルール セットを選択します。 このルール セットのルールは設定パネルに表示されます。 3 [詳細を表示] が有効になっていることを確認します。 4 適切なルールで、ユーザー メッセージをもつアクションの設定をクリックします。 たとえば、[ウイルスが検出された場合はブロックする]というルールで、ブロック アクションの[検出されたウイ ルス]設定をクリックします。 settings of the Block action. [設定の編集]ウィンドウが開きます。 5 [テンプレート名]フィールドの隣の[追加]をクリックします。 [テンプレート エディター]が開きます。 6 テンプレート ツリーで、[検出されたウイルス]などの該当するアクション テンプレート フォルダーーを展開し ます。 使用可能な言語バージョンのテンプレートが表示されます。 7 たとえば、英語を表す[en]など、言語バージョンを拡張してください。 使用可能な言語バージョンのメッセージ形式が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 459 13 ユーザー メッセージ 認証設定 8 形式 (例: [html]) を選択します。 選択した形式でテンプレートのコンテンツが設定ペインに表示されます。 ここには、ユーザー メッセージのテキ ストが表示されます。 たとえば、英語の[検出されたウイルス]テンプレートの HTML 形式でこのテキストは、最初は以下のように示さ れます。 The transferred file contained a virus and was therefore blocked.(転送されたフィイルにはウイ ルスが含まれていたためブロックされました。) 9 必要に応じてこのテキストを編集します。 10 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。 11 [変更の保存] をクリックします。 関連トピック: 463 ページの「テンプレート エディター」 認証設定 認証設定は、アクションを伴うフィルタリング ルールが適用されるとき、認証アクションを実行する方法に構成に使 用されます。 失敗したログインのメッセージ テンプレート ログ記録の目的でユーザー メッセージの設定とブロック理由の設定 表 13-1 失敗したログインのメッセージ テンプレート オプション 定義 [言語] ユーザー メッセージの言語を選択する設定を提供します。 • [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウ ザーの言語でメッセージが表示されます。 • [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ れます。 • [Message.Language プロパティの値] — 選択すると、Message.Language プロ パティの値である言語でメッセージが表示されます。 このプロパティはルールの作成にも使用できます。 [テンプレート コレクシ テンプレート コレクションを選択するリストを提供します。 ョン] • [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの 追加]ウインドウを開きます。 • [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集しま す。 [テンプレート名] テンプレートを選択するリストを提供します。 • [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。 • [編集]— [テンプレート エディター]を開き、テンプレートを編集します。 460 McAfee Web Gateway 7.6.0 製品ガイド ユーザー メッセージ ブロック設定 13 表 13-1 失敗したログインのメッセージ テンプレート (続き) オプション 定義 [McAfee Web ブロック理由を識別する数値を提供します。 Reporter ブロック理由 ID] [ブロックされた理由] プレーン テキストのブロック理由を説明します。 関連トピック: 644 ページの「ブロック理由 ID のリスト」 ブロック設定 ブロック設定では、フィルタリング ルール適用時のブロック アクションの実行方法を設定します。 言語およびテンプレート設定 ログ記録の目的でユーザー メッセージの設定とブロック理由の設定 表 13-2 言語およびテンプレート設定 オプション 定義 [言語] ユーザー メッセージの言語を選択する設定を提供します。 • [オート (ブラウザー)] - 選択すると、ブロックされた要求が送信されたブラウザーの言語 でメッセージが表示されます。 • [強制] — 選択すると、ここで表示されたリストから選択した言語でメッセージが表示され ます。 • [Message.Language プロパティの値] — 選択すると、Message.Language プロパテ ィの値である言語でメッセージが表示されます。 このプロパティはルールの作成にも使用できます。 [テンプレート コレ クション] テンプレート コレクションを選択するリストを提供します。 • [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの追 加]ウインドウを開きます。 • [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。 [テンプレート名] テンプレートを選択するリストを提供します。 • [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。 • [編集] — [テンプレート エディター] を開き、テンプレートを編集します。 [McAfee Web Reporter ブロック 理由 ID] ブロック理由を識別する数値を提供します。 [ブロックされた理 由] プレーン テキストのブロック理由を説明します。 関連トピック: 644 ページの「ブロック理由 ID のリスト」 McAfee Web Gateway 7.6.0 製品ガイド 461 13 ユーザー メッセージ リダイレクト設定 リダイレクト設定 リダイレクト設定は、そのアクションのフィルタリング ルールが適用されるとき、リダイレクト アクションが実行 される方法を構成するために使用されます。 リダイレクト設定 ログ記録の目的でユーザー メッセージの設定とブロック理由の設定 表 13-3 リダイレクト設定 オプション 定義 [Redirect.URL] 選択されると、リダイレクトに使用される URL は Redirect.URL プロパティに指定 された値となります。 このプロパティは適切なルールで使用できます。 [ユーザー定義 URL] 選択すると、リダイレクトする URL を指定する必要があります。 [リダイレクト URL] URL をリダイレクトする URL を指定します。 [言語] ユーザー メッセージの言語を選択する設定を提供します。 • [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブ ラウザーの言語でメッセージが表示されます。 • [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表 示されます。 • [Message.Language プロパティの値] — 選択すると、Message.Language プ ロパティの値である言語でメッセージが表示されます。 このプロパティはルールの作成にも使用できます。 [テンプレート コレクショ テンプレート コレクションを選択するリストを提供します。 ン] • [追加] — テンプレート コレクションを追加するための[テンプレート コレクショ ンの追加]ウインドウを開きます。 • [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集し ます。 [テンプレート名] テンプレートを選択するリストを提供します。 • [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。 • [編集]— [テンプレート エディター]を開き、テンプレートを編集します。 [McAfee Web Reporter ブロック理由 ID] ブロック理由を識別する数値を提供します。 [ブロックされた理由] プレーン テキストのブロック理由を説明します。 関連トピック: 644 ページの「ブロック理由 ID のリスト」 462 McAfee Web Gateway 7.6.0 製品ガイド ユーザー メッセージ テンプレート タブ 13 テンプレート タブ [テンプレート] タブでは、Web Gateway ユーザーに表示するメッセージのテンプレートを設定します。 図 13-1 [テンプレート] タブ このタブには、[ポリシー] トップレベル メニューからアクセスします。 タブのコンテンツが [テンプレート エディター] にも表示されます。 設定ツリーからアクションの設定を選択し、 [言語とテンプレートの設定] でテンプレートまたはテンプレート コレクションの [編集] をクリックすると、このエ ディターが開きます。 関連トピック: 463 ページの「テンプレート エディター」 テンプレート エディター [テンプレート エディター] は、ネットワーク ユーザーに送信するメッセージのテンプレートを編集するユーザー イ ンターフェースのコンポーネントです。 このエディターでは、SSO アプリケーションの Launchpad とログオン ペ ージのテンプレートや、外部 ID プロバイダーとの SAML 通信に使用するテンプレートもカスタマイズできます。 テンプレート 既存のテンプレートがツリー構造で表示されます。 以下の表では、[テンプレート] オプションについて説明します。 McAfee Web Gateway 7.6.0 製品ガイド 463 13 ユーザー メッセージ テンプレート エディター 表 13-4 テンプレート オプション 定義 テンプレート グ テンプレートはグループ別に表示されます。このグループをテンプレート コレクションといい ループ ます。 各コレクションは、ツリー構造の最上位フォルダーに保存されます。 デフォルトでは、次のテンプレート コレクションが使用できます。 • [デフォルト スキーマ] - ユーザー メッセージを作成するカスタマイズ可能なテンプレート です。 • [シングル サインオン スキーマ] - 外部の ID プロバイダーと送受信する SAML 認証の要求 (SAMLRequest.html) と応答 (SAMLRedirectToAuth.html) 用のテンプレートです。 • [SAML 要求スキーマ] - アプリケーションの Launchpad とログオン ページをカスタマイズ するテンプレートです。 [テンプレート] 1 つのテンプレートに、言語と形式の異なるバージョンを作成できます。 特定のテンプレートのすべての言語バージョンと形式は、同じテンプレート名 (例: [Anti-Malware Engine Overload]) のサブフォルダーに保存されます。 テンプレート フォルダー内に言語別のサブフォルダーが作成されます。 言語フォルダーに個々 のテンプレートが異なる形式で保存できます。 使用可能な形式は HTML と .txt です。 たとえば、[Anti-Malware Engine Overload] フォルダーには次のものが保存されます。 • [en] - テンプレートの英語版があるサブフォルダー • [html] - HTML 形式のテンプレート • [txt] - .txt 形式のテンプレート デフォルトでは、各テンプレートに HTML 形式の英語バージョンが用意されていますが、大半の テンプレートは .txt 形式でも使用できます。 テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツが 表示されます。 [展開] アイコン テンプレート ツリーで折りたたまれているすべての項目を展開します 464 McAfee Web Gateway 7.6.0 製品ガイド ユーザー メッセージ テンプレート エディター 13 表 13-4 テンプレート (続き) オプション 定義 [折りたたみ] ア 展開されているすべての項目を折りたたみます。 イコン コレクション、 テンプレート、 言語バージョン または形式を右 クリックしま す。 メニューが開き、次のオプションが表示されます。 選択できるオプションは、右クリックした項 目によって変わります。 • [テンプレート コレクションの追加] - コレクション フォルダーを追加できるウィンドウが 開きます。 • [テンプレートの追加] - テンプレート フォルダーを追加できるウィンドウが開きます。 新しいテンプレート フォルダーには、フォルダーの追加時に選択した言語用のフォルダーが作 成され、選択した形式で空のテンプレートが作成されます。 • [インデックス ファイルの追加] - 特定のテンプレート フォルダーに属さない言語フォルダ ーを追加します。 このフォルダーは、コレクション フォルダーのすぐ下に作成されます。 ここには、選択した 形式で空のテンプレートが作成されます。 • [コンテンツ ファイルの追加] - 特定のテンプレート フォルダー内に言語フォルダーを追加 します。 この新しいフォルダーには、選択した形式で空のテンプレートが作成されます。 • [テンプレート ファイルのインポート] - テンプレートをインポートできるウィンドウが開き ます。 • [テンプレート ファイルのエクスポート] - テンプレートをエクスポートできるウィンドウが 開きます。 • [複製] - コンテンツを含むテンプレート フォルダーまたはコレクションのコピーを別名で挿 入します。 • [変更 ] - 言語バージョンを変更するウィンドウが開きます。 • [名前の変更] - テンプレート フォルダーの名前を変更できるウィンドウが開きます。 • [削除] — 項目を削除します。 削除を確認するためのウィンドウが開きます。 ファイル システム 既存のテンプレート、テンプレートに関連するイメージなどのファイルがツリー構造で表示されます。 以下の表では、[ファイル システム] オプションについて説明します。 McAfee Web Gateway 7.6.0 製品ガイド 465 13 ユーザー メッセージ テンプレート エディター 表 13-5 ファイル システム オプション 定義 テンプレート グル テンプレートは、グループに分類されています。 各グループは、ツリー構造の最上位フォルダ ープ ーに保存されます。 デフォルトで次のテンプレート グループを使用できます。 • [SAML] • [デフォルト] • [singleSignOn] テンプレート、画 像、他の関連ファ イル 各グループ フォルダーで、テンプレートは言語フォルダー内に英字順に保存されます。画像フ ァイルは別のフォルダーに保存されます。 その他の関連ファイルは、言語フォルダーと画像フォルダー以外のグループ フォルダーに保存 されます。 たとえば、[default] グループ フォルダーには次のものが保存されます。 • [en] - 既存のテンプレートの英語バージョンが入るサブフォルダー テンプレートが HTML と .txt の両方の形式で存在する場合には、これらのテンプレートが 順番に保存されます。 • [img] - 既存の画像ファイルがあるサブフォルダー • インデックスやスタイル シートなどの関連ファイル テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツ が表示されます。 [追加] 次のメニューを開きます。 • [新しいファイル] - ファイルを追加するウィンドウが開きます。 • [新しいディレクトリ] - ディレクトリを追加するウィンドウが開きます。 • [既存のファイルまたはディレクトリ] - ローカルのファイル マネージャーが開きます。こ こで、ファイルまたはフォルダーを選択して追加できます。 [編集] 次のメニューを開きます。 • [名前の変更] - 項目名の変更を行うウィンドウが開きます。 • [削除] — 項目を削除します。 削除を確認するためのウィンドウが開きます。 [切り取り ] 選択した項目をコピーおよび削除します。 [コピー] 選択した項目をコピーします。 [貼り付け] 切り取った項目またはコピーした項目を貼り付けます。 [展開] アイコン ファイル システム ツリーで折りたたまれているすべての項目を展開します。 [折りたたみ] アイ 展開されているすべての項目を折りたたみます。 コン 項目を右クリックすると、メニューが表示され、展開と折りたたみを除く前述のオプションを選択できま す。 項目に使用できないオプションはグレー表示になります。 HTML エディター [テンプレート] または [ファイル システム] ペインで選択されているテンプレートのコンテンツを表示します。 466 McAfee Web Gateway 7.6.0 製品ガイド ユーザー メッセージ テンプレート エディター 13 以下の表では、[HTML エディター] オプションについて説明します。 表 13-6 HTML エディター オプション 定義 [追加] 次のメニューを開きます。 • [リソース参照] - リソースのパスを入力します。たとえば、テンプレートに挿入する画像など のグラフィック要素のパスを入力します。 • [プロパティ] - テンプレートで変数として使用されるプロパティ (例: $URL$) の追加ウィ ンドウが開きます。 [編集] 次のメニューを開きます。 • [切り取り] — テンプレート コンテンツ の選択した部分をコピーおよび削除しま す。 • [削除] — 選択した部分を削除します。 • [コピー] —選択した部分をコピーしま す。 • [すべて選択] — テンプレート コンテン ツ全体を選択します。 • [貼り付け] — コピーした部分を貼り付 けます。 [ソースを表示] トグル ボタンでテンプレートの HTML ソース コードを表示します。 言語ドロップダ プレビューの言語を選択します。 ウン リスト [プレビュー] テンプレートのプレビューを表示します。 ビューワ 選択した画像ファイルに含まれる画像が表示されます。 ファイル システム ツリーで画像ファイルを選択すると、[HTML エディター] ではなく、[ビューアー] が使用できま す。 以下の表では、[ビューアー] オプションについて説明します。 表 13-7 ビューワ オプション 定義 [ズーム拡大] 画像を拡大します。 [ズーム縮小] 画像を縮小します。 [ウィンドウに合わせる] 画像を [ビューアー] ペインの幅に合わせます。 [元のサイズ] 元のサイズに戻して画像を表示します。 McAfee Web Gateway 7.6.0 製品ガイド 467 13 ユーザー メッセージ テンプレート エディター 468 McAfee Web Gateway 7.6.0 製品ガイド 14 クラウド シングル サインオン Web Gateway のサービスであるクラウド シングル サインオン (SSO) を使用すると、組織内のエンドユーザーは、 認証情報を 1 回入力するだけで、クラウド上の複数のサービスとアプリケーションにアクセスできます。 SSO サー ビスは、シングル サインオン モジュールによって実装されています。 クラウド シングル サインオンの説明では、特に断りのない限り、以下のように用語を使用します。 • クラウド サービスとクラウド アプリケーションは同じ意味で使用しています。 • ユーザーとは、組織内でクラウド サービスとアプリケーションにアクセスするエンドユーザーを意味します。 ユ ーザーは、Web Gateway の Launchpad を使用して認証情報を送信し、アプリケーションを起動してアカウン トの管理を行います。 • ユーザー インターフェースは、管理者が SSO サービスを設定する Web Gateway のユーザー インターフェー スを意味します。 • カスタム コネクターとは、テンプレートで設定されたクラウド コネクターを意味します。 Web Gateway では、 様々なコネクター テンプレートが用意されています。 一部のテンプレートは事前に値が設定されています (す べての設定が定義されているとは限りません)。 他のテンプレートの場合、クラウド コネクターの設定をすべて 行う必要があります。 目次 クラウド シングル サインオンの設置方法 プロキシ モードと非プロキシ モードでの SSO プロセス 対応する認証方法 サポートされるクラウド サービスの SSO カタログ SSO コネクター リスト HTTP クラウド アプリケーションへの SSO サービスの提供 SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 外部 ID プロバイダーを使用する SAML 認証 .NET と Java Web アプリケーションへの SSO サービスの提供 エンドユーザーによるアプリケーション Launchpad の使用 アプリケーション Launchpad のカスタマイズ クラウド サービスのブックマークの作成 ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング シングル サインオン ルール セットのサマリー クラウド シングル サインオン設定のキー要素 シングル サインオン ルール セットのリファレンス シングル サインオンのリストと設定 SSO ロギングの概要 SSO 問題の解決 McAfee Web Gateway 7.6.0 製品ガイド 469 14 クラウド シングル サインオン クラウド シングル サインオンの設置方法 クラウド シングル サインオンの設置方法 クラウド サービスとアプリケーションに対する SSO アクセスを設定するには、次の作業を行います。 SSO タスクを実行するには、ルール セット ライブラリからシングル サインオン ルール セットをインポートする必 要があります。 すべての作業で、このルール セットのキー要素ビューに表示されたデフォルト ルール、設定、リス トを使用できます。 ルール セットを構成するルールを確認して固有のルール、設定、リストを作成するには、キー 要素ビューのロックを解除します。 タスク 1 ユーザーの認証方法を設定します。 2 ルール セット ライブラリからシングル サインオン ルール セットをインポートし、ルールを設定します。 シングル サインオン ルール セットは、クラウド サービス ルール セット グループにあります。 キー要素ビュー でルールを設定できます。また、[ビューのロック解除] をクリックして詳細を表示し、独自のルールを作成できま す。 3 シングル サインオン モジュールのシングル サインオンを設定します。これにより、シングル サインオン ルール セットの SSO プロパティとイベントから値とパラメーターが取得されます。 このモジュールでは、Default と いう名前のデフォルトの設定が用意されています。 SSO ルールで、これらの設定を必要とするプロパティとイベ ントは、<Default> という評価でこれらの情報を参照します。 デフォルトの設定を変更したり、新しい設定を 作成できます。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォルト] の 順に選択します。 4 SAML と IceToken クラウド サービスにシングル サインオンを行う場合には、X.509 証明書と秘密鍵のペアを 設定します。 これらの設定を検索するには、 [ポリシー] 、 [設定] 、 [エンジン] の順に選択し、[SSO 証明書] または [SSO 秘密鍵] を選択します。 5 SSO リストを使用すると、テンプレートからカスタム クラウド コネクターを設定できます。また、ユーザーが アクセスを許可されているクラウド サーバーのコネクター リストも設定できます。 • [SSO ホストとサービス ID の関連付け] - (オプション) 覚えやすい名前 (ホスト名) と設定済みのカスタ ム コネクターのサービス ID を関連付けます。 このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択し ます。 • [SSO コネクター] - ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。 SSO サービスに付属のデフォルト リストにコネクターを追加したり、独自のリストを作成して設定することもで きます。 SSO サービス リストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター] の 順に選択します。 • [SSO カタログ] - 事前定義のコネクターとテンプレートから設定されたカスタム テンプレートを表示でき ます。 テンプレートから新しいコネクターを設定して、カスタム コネクター リストに表示できます。 カタログを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] の順に選択します。 470 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン プロキシ モードと非プロキシ モードでの SSO プロセス 6 14 すべての Launchpad 通信を HTTPS プロトコルで保護することをお勧めします。 保護するには、SSL 保護通信 の証明書を処理する CA 以外の SSL クライアント コンテキスト モジュールで使用される Launchpad の証明書 を設定します。 キー要素ビューで Launchpad の証明書を検索するには、SSL スキャナーの設定を検索して [編集] をクリックし ます。 7 Web Gateway とクラウド サービス間の接続を HTTPS プロトコルで保護するには、SSL スキャナー モジュー ルを設定します。 プロキシ モードの場合、この手順は必須です。 8 クラウド サービスへの SSO で OTP 認証を行う場合には、OTP 認証を有効にして OTP サーバーの設定を行い、 OTP の配布方法を選択します。OTP 認証を行うサービスのコネクター リストを設定します。 この設定を検索するには、キー要素ビューで OTP の使用 (ワンタイム パスワード) を確認します。 9 汎用のアクセス ログではなく、SSO アクセス ログに SSO 要求を記録するには、SSO ロギングを有効にしま す。 デバッグ目的で詳細ロギングを有効にするには、SSO 追跡ロギングを有効にします。 これらの設定にアクセスするには、[ポリシー] 、 [ルール セット] 、 [ログ ハンドラー] の順に選択し、[ルール セット ライブラリ] の [ロギング] ルール セット グループから [SSO ログ] ルール セットをインポートします。 10 変更を保存します。 プロキシ モードと非プロキシ モードでの SSO プロセス SSO プロセスの手順は、ユーザーの認証情報がクラウド アプリケーションに直接送信されるのか (非プロキシ モー ド)、Web Gateway 経由で送信されるのか (プロキシ モードまたはインライン モード) によって異なります。 Web Gateway はプロキシ モードまたは非プロキシ モードでユーザーの認証を行い、Launchpad を表示します。 Launchpad には、ユーザーがアクセス可能なクラウド アプリケーションのアイコンが表示されます。 ユーザーから 見ると、どちらのモードでも SSO プロセスは同じです。 1 ユーザーが Web Gateway クライアントの Web ブラウザーを使用して Launchpad を要求します。 2 ユーザーが認証されると、Web Gateway が Launchpad を送信します。 3 アプリケーションを開始するには、Launchpad にあるアプリケーションのアイコンをクリックします。 4 Web Gateway がユーザーにログオン フォームを送信します。 5 初めてアクセスを要求する場合、ユーザーは認証情報を入力するように指示されます。入力した情報が Web Gateway に送信されます。 2 回目以降は、ユーザーが Web Gateway に送信した認証情報がログイン フォー ムに自動的に挿入されます。 6 認証情報が有効な場合、クラウド アプリケーションに対する SSO アクセスがユーザーに許可されます。 McAfee Web Gateway 7.6.0 製品ガイド 471 14 クラウド シングル サインオン プロキシ モードと非プロキシ モードでの SSO プロセス プロキシ モード プロキシ モードの場合、Web Gateway がユーザーの認証情報をクラウド アプリケーションに転送します。 図 14-1 プロキシ モードでのシングル サインオン プロキシ モードでシングル サインオンを実行すると、Web Gateway は非プロキシ モードでは使用できない機能を 提供します。 • 動的なクラウド アプリケーション - Web Gateway は、ログオン ページに JavaScript を追加してログオン ペ ージ情報を動的に提供する HTTP クラウド アプリケーション (DropBox など) に対応しています。 JavaScript がページのフィールドに情報を入力します。 • 暗号化されたパスワード - パスワードは暗号化され、クライアント コンピューターに表示されません。 非プロキシ モード 非プロキシ モードの場合、ユーザーのブラウザーが認証情報をクラウド アプリケーションに転送します。 図 14-2 非プロキシ モードでのシングル サインオン 非プロキシ モードでシングル サインオンを実行する場合、Web Gateway は Web サーバーとして機能します。 DNS と SSO の設定を行うときに、ホスト名の代わりに Web Gateway アプライアンスの IP アドレスを使用する必 要があります。 472 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 対応する認証方法 14 対応する認証方法 一般に、それぞれのクラウド サービスまたはアプリケーションは、1 つの認証方法でエンド ユーザーのログオンを 処理します。 Web Gateway は、HTTP または SAML 2.0 認証を使用するクラウド アプリケーションに SSO サービスを提供し ます。 Web Gateway は、IceToken というカスタム トークンによる専用の認証方法を使用するクラウド アプリ ケーションにも SSO サービスを提供します。 クラウド コネクター Web Gateway は、個別のクラウド コネクターを使用して、多くの HTTP と SAML 2.0 クラウド アプリケーショ ンに対応しています。 Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、 識別情報と SSO サービスを提供します。 Web Gateway には、完全に設定された事前定義のクラウド コネクター が用意されています。 クラウド コネクターのテンプレートは部分的に設定されています。使用する前に設定の一部 を変更する必要があります。 SSO データソース Web Gateway がエンドユーザーの認証情報または情報を取得するデータソースは、シングル サイオンが HTTP サ ービスか SAML サービスかによって異なります。 • HTTP サービス - Web Gateway は統合された認証情報ストアを使用します。このストアは、HTTP サービス が必要とするユーザー名やパスワードなどの認証情報を格納するセキュアなデータベースです。 HTTP サービス にアクセスするユーザーは、このデータベースで認証を受ける必要があります。 • SAML サービス - Web Gateway は外部のデータソースから識別情報を取得し、ユーザーの身元を証明する SAML アサーションを生成します。 関連トピック: 493 ページの「SAML シングル サインオンで使用する外部データソースの設定」 サポートされるクラウド サービスの SSO カタログ SSO カタログは、Web Gateway がサポートするすべてのクラウド サービスとクラウド コネクターから構成されま す。 コネクターには、設定済みのコネクター (事前定義のコネクター) と、自由に設定できるテンプレート (カスタム コ ネクター) があります。 カタログには、管理者がテンプレートから設定したコネクターも含まれます。 組織のエン ドユーザーは、ワンタイム認証の後で数百のクラウド アプリケーションとサービスにアクセスできます。 Web Gateway は、クラウド コネクターを使用してクラウド サービスまたはアプリケーションに接続し、識別情報 と SSO サービスを提供します。 設定済みのコネクターはファイルに保存されます。次のような情報が記録されま す。 • クラウド サービスに関する情報 (名前、カテゴリなど) • SSO プロセスに必要な URL • ログオン フォームを含むページ • Launchpad の生成に必要なデータ McAfee Web Gateway 7.6.0 製品ガイド 473 14 クラウド シングル サインオン サポートされるクラウド サービスの SSO カタログ SSO カタログの表示 SSO カタログは、ユーザー インターフェースに表示するだけでなく、PDF 形式でダウンロード可能なできるテクニ カル ノートでも確認できます。 ユーザー インターフェース ユーザー インターフェースには、SSO カタログの最新情報が表示されます。 カタログを構成する事前定義のコネク ター、コネクター テンプレート、管理者がテンプレートで設定したカスタム コネクターがすべて表示されます。 カタログは、システム リストとして実装されます。 他のシステム リストと同様に、Web Gateway の新しいリリー スが公開されると、更新されます。 変更は更新サーバーから配信され、ユーザー インターフェースに表示されます。 新しいコネクターが追加され、可能であれば、壊れたコネクターが修正されます。 サポート対象外になったコネクタ ーは強調表示され、説明が付きます。 システム リストは、以下のサブリストから構成されます。 ユーザー インターフェースにサブリストを表示するに は、[ポリシー] 、 [リスト] の順に選択します。 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に 展開します。 • [事前定義のコネクター] - Web Gateway で事前に設定されたコネクターです。カタログで選択するだけで使 用できます。 • [カスタム コネクター] - 組み込みのテンプレートを使用して設定したコネクターです。 カタログに追加して選 択する前にコネクターを設定する必要があります。 ユーザー インターフェースでは、事前定義のコネクターとコネクター テンプレートが対応のクラウド アプリケーシ ョンとサービスの名前順に表示されます。 コネクター テンプレートで設定されたカスタム コネクターは、指定した 名前順に表示されます。 カスタム コネクターの設定に使用するコネクター テンプレートを表示するには、[ポリシー] 、 [リスト] の順に選 択します。 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開します。 [カスタム コネクター] を選択して、[追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスで [テンプレート] ドロ ップダウン リストを開きます。 汎用のコネクター テンプレートがリストの先頭に表示されます。 カスタム コネクターには、テンプレートから設定したすべてのコネクターが含まれます。 汎用のテンプレート (汎用 HTTP や汎用 SAML 2.0 など) から設定したコネクターもカスタム コネクターです。 テクニカル ノート テクニカル ノートは、Web Gateway の次のメジャー リリースまでの SSO カタログのスナップショットになりま す。 SSO カタログがリリースされるたびに更新されるわけではありません。 テクニカル ノートには、すべての事前定義コネクターとコネクター テンプレートが記述されています。 各サービス が使用する認証方法が記載されています。また、サービスの状態も記述されている場合もあります。 たとえば、コネ クターがサポート対象外になったり、名前が変更された場合、この状態が記述されます。 カスタム コネクターは、管理者がコネクター テンプレートで設定するまで存在しないため、テクニカル ノートには 記載されません。 ユーザー インターフェースの SSO カタログ 事前定義のコネクターとカスタム コネクターが表記式で表示されます。 表に同じ情報が表示されていても、リスト の種類によって詳細が異なります。 事前定義のコネクターの値は、シングル サインオン モジュールが設定しています。これらの値は変更できません。 カ スタム コネクターの値は管理者が設定します。これらの値は変更できます。 474 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン サポートされるクラウド サービスの SSO カタログ 列ヘッ ダー 14 説明 [アイコ クラウド アプリケーションまたはサービスを表すロゴが表示されます。 カスタム コネクターを設定す ン] る場合、カスタム イメージを指定できます。 [名前] 事前定義のコネクターまたはカスタム コネクターのインスタンスを識別する固有の名前。 • [事前定義のコネクター] - クラウド アプリケーションまたはサービスの名前が表示されます。スペ ースが含まれる場合もあります 例: Air Canada • [カスタム コネクター] - コネクター インスタンスに設定した名前が表示されます。 1 つのコネクター テンプレートから複数のコネクター インスタンスを設定できます。 たとえば、ユーザ ー グループごとに 1 つのコネクター インスタンスを設定し、次のように各インスタンスに別の名前を割 り当てることができます。 • Google カレンダー - IT • Google カレンダー - 営業 [説明] (カスタム コネクター) コネクター インスタンスの説明を入力できます。 [カテゴ クラウド サービスまたはアプリケーションが提供するサービスの種類を指定します。 カスタム コネク リ] ターを設定する場合、デフォルトのカテゴリを変更したり、新しいカテゴリを作成できます。 例: コラボレーション、マーケティング、ソーシャル [サービ • [事前定義のコネクター] - SSO カタログにある事前定義のコネクターの名前が表示されます。 通 ス ID] 常、サービス ID は名前と同じですが、スペースは削除されます。 例: AirCanada • [カスタム コネクター] - SSO カタログにあるカスタム コネクターの番号が表示されます。 この番 号は、シングル サインオン モジュールが設定します。この番号は変更できません。 [タイ プ] クラウド アプリケーションまたはサービスがエンド ユーザーの認証に使用するメソッドが表示されま す。 アプリケーションとサービスは、HTTP アプリケーション、SAML サービスのように、タイプで参照 される場合があります。 この値は、シングル サインオン モジュールが設定します。 サービスとしての SSO カタログ SSO カタログはクラウド サービスです。 このため、Web Gateway の新しいリリースが公開されると、更新されま す。 SSO カタログは、サービスとしてのコネクター カタログ (CCaaS) ともいいます。 サービス プロバイダーがクラウド サービスへの接続に必要な設定を変更したり、クラウド サービスの提供を停止す る場合があります。 これらの変更を行うと、コネクターとの接続が一時的または完全に切断されます。また、SSO カタログの変更が必要になります。 この変更 (新しいコネクターと修正済みのコネクターを含む) は更新サーバーに よって配信されます。 カタログが更新されると、Web Gateway ユーザー インターフェースに更新メッセージが表示されます。 解決策が ないために切断されたコネクターは非対応になり、ユーザー インターフェースで次のようにフラグが付きます。 McAfee Web Gateway 7.6.0 製品ガイド 475 14 クラウド シングル サインオン サポートされるクラウド サービスの SSO カタログ • • SSO カタログ • コネクター - 非対応のサービスに対する事前定義のコネクターとカスタム コネクターがカタログで選択可 能になります。 ただし、これらのコネクターには黄色い三角形の印が付き、[非対応]であることを示すメッセ ージが表示されます。 • テンプレート - 非対応のサービスに対するカスタム コネクターのテンプレートがカタログで選択可能にな り、設定できるようになります。 ただし、これらのコネクターには黄色い三角形の印が付き、[非対応]である ことを示すメッセージが表示されます。 SSO コネクター リスト - エンド ユーザーにアクセスを許可するクラウド サービスの SSO コネクター リス トを設定できます。 コネクター リストでは、非対応のコネクターが黄色で強調表示されます。 コネクター リス トで、非対応のコネクターが黄色で表示され、[非対応]であることを示すメッセージが表示されます。 コネクター テンプレート (汎用と個別) 汎用のクラウド コネクター テンプレートは、指定した認証方法を使用するクラウド アプリケーションをサポートし ます。 汎用のテンプレートは個別のコネクター テンプレートよりも柔軟ですが、設定する項目は多くなります。 個別のコネクター テンプレート 個別のクラウド コネクター テンプレートは、特定のクラウド アプリケーションとの接続を設定する場合に利用でき ます。たとえば、Salesforce コネクター テンプレートを使用すると、クラウドの Salesforce アプリケーションへ のカスタム接続を設定できます。 テンプレートは設定可能です。Salesforce などの 1 つのクラウド アプリケーションに複数のカスタム コネクター を作成できます。カスタム コネクターを識別できるように、コネクターに固有の名前を割り当てます。 汎用のコネクター テンプレート 汎用のクラウド コネクター テンプレートを使用すると、指定した認証方法を使用するクラウド アプリケーションと の接続を設定できます。 たとえば、汎用 HTTP コネクター テンプレートを使用すると、HTTP 認証でユーザーのロ グオンを処理しているクラウド アプリケーションとの接続を設定できます。 汎用テンプレートを使用すると、SSO カタログにないクラウド アプリケーションへのコネクターを設定できます。 Web Gateway では、次の認証方法に汎用のクラウド コネクター テンプレートを用意しています。 • 汎用 HTTP コネクター - Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場 合、このテンプレートを選択します。 • 汎用 SAML2 コネクター - Web Gateway が個別のコネクターで対応していない SAML 2.0 サービスに接続 する場合、このテンプレートを選択します。 • 汎用 IceToken コネクター - Web Gateway で対応していない認証方法を使用するサービスに接続する場合、 このテンプレートを選択します。 関連トピック: 480 ページの「HTTP クラウド コネクターを設定する」 480 ページの「汎用 HTTP クラウド コネクターを設定する」 487 ページの「SAML2 クラウド コネクターを設定する」 489 ページの「汎用 SAML2 クラウド コネクターを設定する」 509 ページの「汎用 IceToken クラウド コネクターを設定する」 476 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン サポートされるクラウド サービスの SSO カタログ 14 テンプレートを使用してカスタム クラウド コネクターを設定する テンプレートを使用してクラウド サービスのコネクターを設定すると、組織内のユーザーは 1 回認証を受けるだけ でサービスにアクセスできるようになります。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 4 以下のフィールドに値を入力して設定します。 • [名前] - クラウド コネクター インスタンスを一意に識別できる名前を指定します。 • [説明] - (オプション) クラウド コネクター インスタンスの説明を入力します。 • [テンプレート] - ドロップダウン リストで、SSO アクセスを設定するクラウド サービスのテンプレートを 選択します。 テンプレート固有の設定が表示されます。 • [カテゴリ] - クラウド サービスまたはアプリケーションが提供するサービスの種類を指定します。テンプ レートを選択した場合、デフォルトの値が自動的に読み込まれます。[選択] をクリックして、この値を変更で きます。 • [参照] - 作成するクラウド コネクターのログを追加または変更できます。 5 テンプレート固有の設定を行います。 6 [OK] をクリックします。 新たに設定したクラウド コネクターが SSO カタログに追加されます。 カタログ内のコネクターを表示するには、 [カスタム コネクター] を選択します。 カスタム クラウド コネクターを削除する SSO コネクター リストにない場合、SSO カタログからカスタム クラウド コネクターを削除できます。 カスタム クラウド コネクターは、テンプレートで設定されたコネクターです。 SSO カタログからカスタム クラウド コネクターを削除すると、このコネクターに入力されたすべてのエンドユーザー の認証情報が削除されます。 同じ設定でコネクターを再度作成しても、コネクターの削除時に削除されたユーザー認 証情報は復元されません。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 削除するカスタム クラウド コネクターを選択して、[削除] アイコンをクリックします。 [削除の確認] ダイアログ ボックスが開きます。 4 削除するには、[はい] をクリックします。 SSO カタログからカスタム クラウド コネクターが削除されます。 McAfee Web Gateway 7.6.0 製品ガイド 477 14 クラウド シングル サインオン SSO コネクター リスト 最新の SSO 更新に関する情報を検索する シングル サインオン機能の利用中に、使用しているソフトウェアとカタログのバージョン確認が必要になる場合があ ります。 ユーザー インターフェースで、SSO 機能またはエンジンのバージョン番号と最新の更新ファイルの日時を 確認できます。 • [McAfee Single Sign On] - この更新には、SSO ソフトウェアに対する変更 (SSO ルールの変更など) が含ま れます。 • [McAfee SSO コネクター カタログ] - この更新には、Web Gateway がコネクターでサポートするクラウド アプリケーションとサービスのリストに対する変更が含まれます。 SSO の更新を受信していない場合には、有効なライセンスがあるかどうか確認してください。 タスク 1 [ダッシュボード] 、 [グラフおよび表] 、 [システム サマリー] の順に選択します。 2 SSO 更新の最新バージョン番号を確認するには: [更新状況] 表の [機能] 列で、次の行を探します。 3 4 • [McAfee Single Sign On] • [McAfee SSO コネクター カタログ] SSO 更新の最新バージョンの日時を確認するには: [最終更新日] 表の [エンジン] 列で、次の行を探します。 • [McAfee Single Sign On] • [McAfee SSO コネクター カタログ] ビューを更新して最新のデータを表示するには、[更新状況] 表と [最終更新日] 表の右上隅にある更新アイコンを クリックします。 SSO コネクター リスト Web Gateway は、SSO コネクター リストを使用して、クラウド サービスとアプリケーションに対するアクセスを 制御します。 SSO コネクター リストを使用したクラウド アクセスの設定 クラウド サービスとアプリケーションに対するアクセスはクラウド コネクターのリストで設定します。各コネクタ ーは、SSO カタログの対応サービスに対応しています。 一部の SSO コネクター リストはすぐにアクセスできます。 他のリストは、アクセスする前に OTP 認証が必要にな る場合があります。 ユーザーは、Web Gateway ポリシーによってリストに関連付けられます。 コネクター リストにコネクターを追加すると、カタログでコネクターを確認し、選択することができます。 SSO カ タログでは、クラウド コネクターが次の 2 つのグループに分類されています。 • [事前定義のコネクター] - Web Gateway で事前に設定されたコネクターです。カタログで選択するだけで使 用できます。 • [カスタム コネクター] - 組み込みのテンプレートを使用して設定したコネクターです。 カタログに追加して選 択する前にコネクターを設定する必要があります。 汎用コネクターは、カスタム コネクターの特別なタイプです。 クラウド サービスへのアクセス設定は、次の手順で行います。 478 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン HTTP クラウド アプリケーションへの SSO サービスの提供 14 1 (カスタム コネクター) ユーザーがアクセスするクラウド サービスのクラウド コネクターを設定します。 コネ クターが SSO カタログに追加されます。 2 SSO カタログから事前定義またはカスタムのクラウド コネクターを選択し、SSO コネクター リストに追加しま す。 クラウド コネクターを SSO コネクター リストに追加する クラウド サービスへのアクセスを制御するには、SSO カタログで対応するクラウド コネクターを選択して SSO コ ネクター リストに追加します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[カスタム リスト] 、 [SSO コネクター] の順に展開して、変更するリストをクリックしま す。 3 [編集] 記号をクリックします。 ダイアログ ボックスが開き、フォルダーが表示されます。指定したカテゴリのコネクターが各フォルダーに入っ ています。 例: 旅行と交通 4 コネクターをリストに追加するには、カテゴリまたは個々のコネクターを選択し、[OK] をクリックします。 必要なコネクターが存在しない場合には、[新規作成] をクリックして作成できます。 5 [変更の保存] をクリックします。 HTTP クラウド アプリケーションへの SSO サービスの提供 Web Gateway は、HTTP 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。事前定義 のクラウド コネクターまたは個別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処 理します。 Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、識別情報と SSO サー ビスを提供します。 Web Gateway では、汎用の HTTP コネクター テンプレートも用意しています。この汎用テン プレートは、SSO カタログに未登録で HTTP を使用するクラウド アプリケーションに設定できます。 HTTP アプリケーションのコネクターを設定する前に、SSO カタログでアプリケーションを検索します。 事前定義 の HTTP コネクターは、カタログで選択するだけで使用できます。 必要なコネクターが事前定義コネクター リスト またはカスタム コネクター リストにない場合には、テンプレートを使用してコネクターを作成できます。 大半のコネクター テンプレートは、特定のクラウド アプリケーション用に部分的に設定されています。 HTTP アプ リケーションにテンプレートが存在しない場合には、汎用 HTTP コネクター テンプレートを選択します。 汎用 HTTP テンプレートを使用すると、Web Gateway に事前定義コネクターやコネクター テンプレートが存在しない HTTP アプリケーションのコネクターを設定できます。 Web Gateway は、ログオン ページに JavaScript を追加してログオン ページ情報を動的に提供する動的 HTTP ア プリケーション (DropBox など) のシングル サインオンに対応しています。 ログオン ページを変更する前に、SSO プロセスをプロキシ モードで実行する必要があります。 プロキシ モードの場合、Web Gateway は実際のパスワー ドをトークンで置換し、クライアント コンピューターに表示されないようにします。 動的でない HTTP アプリケーションのシングル サインオンは、プロキシ モードまたは非プロキシ モードで実装でき ます。 McAfee Web Gateway 7.6.0 製品ガイド 479 14 クラウド シングル サインオン HTTP クラウド アプリケーションへの SSO サービスの提供 HTTP クラウド アプリケーションの SSO 認証情報モデル HTTP クラウド サービスとアプリケーションの SSO 認証情報モデルは、クラウド サービスまたはアプリケーション ンに複数のアカウントを持っているユーザーをサポートしています。 また、複数のエンドユーザーが同じ認証情報で 1 つ以上のクラウド サービスまたはアプリケーションにアクセスできる共有アカウントもサポートしています。 大半の SSO プロパティとイベントに以下の認証情報が渡されます。 • 領域 - 現在のユーザーが認証されているドメインの名前。認証ドメインは、LDAP や Active Directory などの 識別ストアや認証サービスになります。 • ユーザー ID - 現在のユーザーを識別する ID。 デフォルトでは、Authentication.UserName プロパティと同 じ値になります。 別の認証情報とユーザー ID を関連付けて、デフォルトの値を変更することもできます。 • サービス ID - クラウド サービスまたはアプリケーションの ID。 • アカウント ID - クラウド サービスまたはアプリケーションの個々のアカウントまたは共有アカウントの ID。 個々のユーザーは領域または認証ドメインに編成されています。認証ドメインのユーザーは、アクセスが許可されて いるクラウド サービスまたはアプリケーションのリストと関連付けられています。各ユーザーは、それぞれのクラウ ド サービスまたはアプリケーションに 1 つ以上のアカウントを持つことができます。アカウントは、個別アカウン トまたは共有アカウントになります。 HTTP クラウド コネクターを設定する テンプレートを使用して、HTTP サービスまたはアプリケーションに接続するコネクターを設定します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 4 フィールドに値を入力し、すべてのクラウド コネクターに共通の設定を行います。 5 [テンプレート] ドロップダウン リストで、HTTP サービスに対応するテンプレートを選択します。 6 [アプリケーション ドメイン名] フィールドに、HTTP サービスまたはアプリケーションのインスタンスのドメイ ン名を指定します。 例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ドメインの名前 になります。 7 [OK] をクリックします。 新たに設定した HTTP コネクターが [SSO カタログ] の [カスタム コネクター ] リストに追加されます。 汎用 HTTP クラウド コネクターを設定する Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場合、汎用の HTTP クラウド コネ クターを設定します。 タスク 480 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン HTTP クラウド アプリケーションへの SSO サービスの提供 3 14 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 4 フィールドに値を入力し、すべてのコネクターに共通の設定を行います。 5 [テンプレート] ドロップダウン リストから [汎用 HTTP コネクター] を選択します。 6 動的な HTTP クラウド サービスにコネクターを設定するには、[動的サービス] を選択します。 7 ドロップダウン リストで、フォームの送信方法を表す HTTP メソッドを選択します。 8 [https://] フィールドに、フォームの送信元が URL 形式で表示されます。 9 フォームで送信された属性ごとに、1 つのフォーム フィールドを設定します。 10 ソースが認証情報ストアになっているフォーム フィールドに、1 つの Launchpad フィールドを設定します。 11 (オプション) 1 つ以上のログオン ページを設定します。 動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウドサービスによっては、 複数のログオン ページが必要になる場合があります。 12 (オプション) ログオン ページのフィールドを設定します。 ログオン フィールドの設定が必要になるのは、フォーム フィールドと異なる場合だけです。 13 汎用の HTTP コネクターを設定するには、[新しいサインオン要求] をクリックします。 14 HTTP コネクターの設定を保存するには、[OK] をクリックします。 [SSO カタログ] 、 [カスタム コネクター] の順に移動すると、新たに設定した汎用 HTTP コネクターがリストに追 加されています。 汎用 HTTP コネクターの設定 汎用 HTTP コネクター テンプレートを使用して HTTP サービスまたはアプリケーションのコネクターを設定するに は、以下の表にある設定に値を指定します。HTTP サービスですべての設定が必要になるわけではありません。動的 HTTP サービスなど、一部のサービスと状況では、より詳しい設定が必要になる場合があります。 表 14-1 汎用 HTTP コネクターの設定 オプション 定義 [サインオン要求] [動的サービス] 動的 HTTP クラウド サービスまたはアプリケーションのコネクターを指定します。 [POST] HTTP メソッドを選択します。 • [POST] - (デフォルト) 選択したコンテンツ タイプのフォームが生成され、HTTP 要求の 本体で送信されます。 • [GET] - すべての情報が URL 文字列で送信されます。 [コンテンツ タイ プ] (POST) フォーム データのエンコーディングを指定します。次のオプションを選択します。 • [application/x-www-form-urlencoded] - (デフォルト) 大半の場合、このオプションを 使用します。 • [multipart/form-data] - 大量のフォーム データを送信する場合に使用します。 McAfee Web Gateway 7.6.0 製品ガイド 481 14 クラウド シングル サインオン HTTP クラウド アプリケーションへの SSO サービスの提供 表 14-1 汎用 HTTP コネクターの設定 (続き) オプション 定義 [https://] フォーム データの送信先である サービス プロバイダーの URL を指定します。 ログオン フォームのデータを保護するため、HTTPS プロトコルの使用を強くお勧めします。 [正規表現 (オプシ ョン)] サービス プロバイダー URL の検出で使用する正規表現を指定します。 たとえば、https:// www.mycompany.com/login.* という正規表現を使用すると、次の URL を検出できます。 • https://www.mycompany.com/login • https://www.mycompany.com/login?session=abc 動的 HTTP クラウド サービスに対する POST トランザクションを検出する場合にも使用で きます。 [フォーム フィール ID プロバイダーのソース (SSO サービス) とサービス プロバイダーのターゲット (クラウ ド] ド サービスまたはアプリケーション) の属性名を関連付けます。 フォームで送信される属性 ごとに 1 つのフォーム フィールドを設定します。 1 つ以上のフォーム フィールドが必要です。 • [設定] (パラメーター) - フォームで送信される属性の名前を指定します。 この値は、ク ラウド サービスまたはアプリケーションが予期する属性名になります。 • [宛先] (ソース) - 属性値のソースを指定します。 次のいずれかを選択します。 • [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定し ます。 • [認証情報ストア] - Web Gateway に統合されている認証情報ストアに属性が指定さ れます。 [属性]フィールドに属性の名前を指定します。 クラウド サービスまたはアプ リケーションの属性名と異なる名前も使用できます。 ID プロバイダーからソース プロバイダーに関連付けられる属性には、ユーザー名とパス ワードが含まれます。 ユーザーを一意に識別する属性は、IdP ソースから SP ターゲッ トに関連付けてください。 • [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用 するクライアント コンピューターに送信されます。 クライアント コンピューターからサ ーバーにフォームが送信されると、トークン値が実際の値に置換されます。 ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。 482 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン HTTP クラウド アプリケーションへの SSO サービスの提供 表 14-1 14 汎用 HTTP コネクターの設定 (続き) オプション 定義 [ログイン ページ] (オプション) ユーザーがクラウド サービスまたはアプリケーションにログオンするページ を指定します。 • [https://] - ログオン ページの URL を指定します。 • [正規表現 (オプション)] — ログオン ページ URL の検出で使用する正規表現を指定しま す。 ユーザーがログオン ページにリダイレクトするときに動的 HTTP クラウド サービスが URL に行った変更を検出する場合にも使用できます。 • [フォーム ロケーターの JavaScript (オプション)] - JavaScript を使用するページに複 数のフォームが存在する場合に、ログオン ページ内でのフォームの位置を指定します。 • [送信アクションの JavasSript (オプション)] — JavaScript を使用した別のフォーム送 信アクションを指定します。 動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウド サービスによっては、複数のログオン ページが必要になる場合があります。 たとえば、モバ イル ブラウザーとデスクトップ ブラウザーに別々のログオン ページを作成します。 [ログイン フィール (オプション) ログオン ページのフィールド名を指定します。 ログオン フィールド名の設定 ド] が必要になるのは、フォーム フィールド名と異なる場合だけです。 この場合、ソースの設定 は同じになります。 ログオン ページの名前に合わせてパラメーター フィールドの名前だけ が変更されます。 • [設定] (パラメーター) - ログオン ページのフィールド名を指定します。 • [宛先] (ソース) - 属性値のソースを指定します。 フォーム フィールドとログオン フィ ールドのソース設定は同じです。 次のいずれかを選択します。 • [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定し ます。 • [認証情報ストア] - Web Gateway に統合されている認証情報ストアに属性が指定さ れます。 [認証情報ストア フィールド名]に属性の名前を指定します。 クラウド サービ スまたはアプリケーションの属性名と異なる名前も使用できます。 • [要素ロケーターの JavaScript (オプション)] - フォーム フィールドが固有でない場合、 JavaScript を使用する対応フォーム フィールドの場所を指定します。 • [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用 するクライアント コンピューターに送信されます。 クライアント コンピューターからサ ーバーにフォームが送信されると、トークン値が実際の値に置換されます。 ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。 [サインオン要求の 追加] McAfee Web Gateway 7.6.0 クリックすると、同じ HTTP サービスまたはアプリケーションの SSO 要求に別の値を設定 できます。 製品ガイド 483 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 表 14-1 汎用 HTTP コネクターの設定 (続き) オプション 定義 [Launchpad のフィールド] [Launchpad のフ ィールド] HTTP サービスに対する自分の認証情報の管理をユーザーに許可するには、Launchpad のフ ィールドを指定します。 ソースが認証情報ストアになっているフォーム フィールドに、1 つ の Launchpad フィールドを設定します。 • Launchpad で生成する入力フィールドのタイプをドロップダウン リストから選択しま す。 • [電子メール] - 有効な電子メールのフォームに含まれるテキストがフィールドに表示 されます。 • [数字] - 数字で構成されるテキストがフィールドに表示されます。 • [パスワード] - フィールドの入力時にテキストがマスキングされます。 • [テキスト] - フィールドにテキストが表示されます。 • [プロンプト] - フィールドに表示するプロンプトを指定します。 • [検証用の正規表現 (オプション)] - ユーザーが入力したテキストの検証に使用する正規 表現を指定します。 SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 Web Gateway は、SAML 2.0 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。個 別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処理します。 Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションまたはサービスに接続し、識別 情報と SSO サービスを提供します。 Web Gateway では、クラウド サービスとアプリケーション用にコネクター テンプレートが用意されています。 Web Gateway には、汎用の SAML2 コネクター テンプレートも用意されてい ます。 この汎用テンプレートは、SSO カタログに未登録で SAML 2.0 を使用するクラウド サービスまたはアプリ ケーションに設定できます。 SAML 2.0 クラウド アプリケーションのシングル サインオンを設定するには、SAML 2.0 アプリケーションの管理者 アカウントと Web Gateway ユーザー インターフェースの設定を行う必要があります。 SAML シングル サインオンの開始方法 SAML SSO プロセスは、ID プロバイダー (IdP) またはサービス プロバイダー (SP) によって開始されます。 ID プロバイダーは、エンドユーザーを認証するサービスです。 サービス プロバイダーは、エンドユーザーがアクセ スする SAML クラウド サービスまたはアプリケーションです。 以下の SAML シングル サインオンの例では、Web Gateway が ID プロバイダー役割を実行しています。 ユーザーがクラウドの SAML アプリケーションへのアクセスを要求すると、SSO プロセスが開始します。 Web Gateway がユーザーを認証し、ユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクト します。 メッセージのリダイレクトは自動的に実行されます。ユーザーが背景で実行されている認証プロセスを意 識することはありません。 IdP が開始する SAML シングル サインオン Web Gateway は、次のように SSO プロセスを実行します。 484 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 14 1 Web Gateway がユーザーを認証します。 2 Web Gateway がユーザーに Launchpad を表示します。ここには、ユーザーがアクセスできる SAML アプリケ ーションのアイコンが表示されます。 ユーザーが Launchpad のアイコンを選択して、Web Gateway (ID プロ バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。 3 Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。 4 SAML アプリケーションがユーザーにアクセス権を付与します。 図 14-3 IdP が開始する SAML シングル サインオン SP が開始する SAML シングル サインオン クラウド上の SML アプリケーションは、次のように SSO プロセスを実行します。 1 ユーザーが SAML アプリケーション (サービス プロバイダー) に直接アクセスを要求します。 2 SAML アプリケーションがユーザーの要求をユーザーのブラウザーを介して Web Gateway (ID プロバイダー) にリダイレクトします。 3 Web Gateway がユーザーを認証します。 4 Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。 5 SAML アプリケーションがユーザーにアクセス権を付与します。 図 14-4 SP が開始する SAML シングル サインオン McAfee Web Gateway 7.6.0 製品ガイド 485 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 SP だけで開始するピュア SAML シングル サインオン すべての SAML アプリケーションが IdP 開始と SP 開始の両方のシングル サインオンに対応しているわけではあ りません。 一部の SAML アプリケーションは片方の SSO しか対応していません。 SP 開始のシングル サインオン だけに対応している SAML アプリケーションは、SP 開始のピュア シングル サインオンを実行します。 1 Web Gateway がユーザーを認証します。 2 Web Gateway がユーザーに Launchpad を表示します。ここには、ユーザーがアクセスできる SAML アプリケ ーションのアイコンが表示されます。 ユーザーが Launchpad のアイコンを選択して、Web Gateway (ID プロ バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。 3 この SAML アプリケーションは SP 開始のシングル サインオンにのみ対応しているので、Web Gateway はユ ーザーの要求をユーザーのブラウザーを介してアプリケーションにリダイレクトします。 ユーザーの認証は実行 されていないため、SAML アプリケーションがユーザーを Web Gateway にリダイレクトして、認証を要求しま す。 4 Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。 5 SAML アプリケーションがユーザーにアクセス権を付与します。 図 14-5 SP だけで開始するピュア SAML シングル サインオン SAML シングル サインオンの集中管理 SAML シングル サインオンでは、X.509 証明書と秘密鍵が必要になります。 X.509 証明書と秘密鍵を合わせて X.509 証明書キー ペアとも言います。X.509 証明書には、キー ペアと署名から 構成される公開鍵が含まれています。証明書には自己署名または証明機関の署名が付いています。 486 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 14 秘密鍵は、送信する SAML アサーションと要求に署名する場合に使用されます。また、X.509 証明書は受信した署 名の検証に使用されます。秘密鍵で SAML アサーションまたは要求に署名する側が署名を検証する側に X.509 証 明書を提供します。 SAML サービスやアプリケーションによって証明書の要件が異なります。以下では、一般的なシナリオで説明しま す。 表 14-2 証明書管理 SSO プ ロセス 証明書の管理手順 SSO の手順 IdP 開 1 Web Gateway のインターフェースで、管理者が秘密鍵 1 Web Gateway が秘密鍵を使用して、エ 始/SP 開 と証明書のペアを生成またはインポートし、サービス プ ンドユーザーの身元を保証する署名付 始の SSO きの SAML アサーションを作成します。 ロバイダーが使用する証明書をエクスポートします。 2 サービス プロバイダーのインターフェースで、管理者が 2 サービス プロバイダーが証明書を使用 秘密鍵に対応する証明書をアップロードします。 して署名を検証します。 SP 開始 の SSO 1 サービス プロバイダーのインターフェースで、管理者が 1 サービス プロバイダーが秘密鍵を使用 秘密鍵に対応する証明書をダウンロードします。 して、署名付きの SAML SSO 要求を作 成します。 2 Web Gateway のインターフェースで、管理者がサービ 2 Web Gateway が証明書を使用して署 ス プロバイダーの証明書をインポートします。 名を検証します。 SAML2 クラウド コネクターを設定する テンプレートを使用して、SAML 2.0 サービスまたはアプリケーションに接続するコネクターを設定します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 487 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 4 フィールドに値を入力し、すべてのコネクターに共通の設定を行います。 5 [テンプレート] ドロップダウン リストで、SAML 2.0 サービスに対応するテンプレートを選択します。 6 SAML 設定の値を入力します。 7 [OK] をクリックします。 新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。 SAML2 コネクターの設定 SAML 2.0 サービスまたはアプリケーションのコネクターを設定するには、以下の表にある設定に値を指定します。 SAML アプリケーションですべての設定が必要になるわけではありません。 Web Gateway は ID プロバイダーです。 表 14-3 SAML2 コネクターの設定 オプション 定義 [アプリケーシ クラウド サービスまたはアプリケーションのインスタンスのドメイン名を指定します。 ョン ドメイン 例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ド 名] メインの名前になります。 [SAML アサー ユーザーの身元を証明する SAML アサーションを発行した SSO サービス (IdP) の URL を指定 ション発行者 します。 (IdP)] [アサーション クラウド サービスまたはアプリケーション (SP) が使用するアサーション コンシューマー サー コンシューマ ビス (ACS) の URL を指定します。ACS は、SSO サービス (IdP) が生成した SAML アサーショ ー サービスの ンを使用します。 URL (SP)] この値は、サービス プロバイダーから取得できます。 [SAML SSO 要求作成 URL (SP)] シングル サインオンを SP が開始する場合に必要なクラウド サービスまたはアプリケーション (SP) の URL を指定します。 [SAML サブジ SAML アサーションのサブジェクトとして使用する属性の名前を指定します。 SAML サブジェク ェクト属性名] トは、ユーザーを一意に識別します。 この値は、クラウド サービスまたはアプリケーションが予 期する属性名になります。 他の属性名 (オプション) SAML サブジェクト以外に、他の属性の名前/値ペアを ID プロバイダーからサービ ス プロバイダーに渡すことができます。 たとえば、メール アドレス、姓名などを渡すことができ ます。 [秘密鍵 (IdP)] SSO サービス (IdP) が SAML アサーション、要求、応答に署名するときに使用する秘密鍵に対応 する X.509 証明書をドロップダウン リストから選択します。 サービス プロバイダーが証明書を 使用して署名を検証します。 [秘密鍵 (SP)] クラウド サービスまたはアプリケーション (SP) が SAML アサーション、要求、応答に署名する ときに使用する秘密鍵に対応する X.509 証明書をドロップダウン リストから選択します。 ID プロバイダーが証明書を使用して署名を検証します。 [名前 ID フォ ーマット] クラウド サービスまたはアプリケーションが予期するサブジェクト属性のフォーマットを指定し ます。 この属性は、ユーザーを一意に識別します。 [名前の修飾子 名前空間でクラウド サービスまたはアプリケーション (SP) を一意に識別する文字列を指定しま (SP)] す。 [認証コンテキ クラウド サービスまたはアプリケーション (SP) が使用する認証コンテキスト クラス参照に対応 スト クラス参 する URI を指定します。 この URI は、OASIS SAML 標準の一部です。 照] 例: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport 488 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 表 14-3 14 SAML2 コネクターの設定 (続き) オプション 定義 [ライフタイム SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定します。有効期 (秒)] 間が終了すると、SAML アサーションは無効になります。 [クロック ス キュー (秒)] 2 つのクロックの時間差を指定します。この値は、SAML アサーションの有効期間を計算するとき に使用します。 汎用 SAML2 クラウド コネクターを設定する Web Gateway が個別のコネクター テンプレートで対応していない SAML2 サービスに接続する場合、汎用の SAML2 クラウド コネクターを設定します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 4 フィールドに値を入力し、すべてのコネクターに共通の設定を行います。 5 [テンプレート] ドロップダウン リストから [汎用 SAML2 コネクター] を選択します。 6 汎用 SAML2 の設定に値を入力します。 7 [OK] をクリックします。 新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。 汎用 SAML2 コネクターの設定 汎用 SAML2 コネクター テンプレートを使用して SAML2 サービスまたはアプリケーションのコネクターを設定す るには、以下の表にある設定に値を指定します。 メタデータは、サービス プロバイダーから提供された SAML の設定から構成されます。 汎用の SAML2 コネクター を設定する場合、メタデータを手動で入力することも、URL を使用してメタデータを自動的にダウンロードすること もできます。 McAfee Web Gateway 7.6.0 製品ガイド 489 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 表 14-4 SAML 認証情報のマッピング オプション 定義 [サブジェク SAML サブジェクトは、クラウド サービスまたはアプリケーションへのアクセスを要求するユーザ ト] ーを一意に識別します。 SAML サブジェクトは、ソースと値のペアとして指定されます。 ドロップ ダウン リストからソースを選択します。 • [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力 します。 • [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに 属性の名前を入力します。 属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。 [属性] (オプション) SAML アサーションで SAML サブジェクトと一緒に名前と値のペアとしてサービス プロバイダーに渡される 1 つ以上のユーザー属性をしています。 [設定] - ([パラメーター]) SAML アサーションで送信される属性名を指定します。 この値は、サー ビス プロバイダーが必要とする属性名です。 [宛先] - ([ソース]) SAML アサーションで属性名と一緒に送信される属性値を指定します。 属性 値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。 • [定数] - SAML アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に 指定します。 • [認証タイプ] - SAML アサーションで送信する値を [認証タイプ] フィールドで入力した属性の 値に設定する場合に指定します。 標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックしま す。 表 14-5 メタデーター - メタデータを自動的にダウンロードする オプション 定義 [メタデータの URL] SAML メタデータを XML 形式でダウンロードする URL を指定します。 この形式は、SAML メタデータの仕様に準拠する必要があります。 [エンティティ ID] 490 サービス プロバイダーを一意に識別します。 この値は、SAML メタデータ ファイルの先頭 にあるタグ内の entityID 属性で指定されます。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 14 表 14-6 メタデータ - メタデータを手動で指定する オプション 定義 [アサーション コンシュー [ACS URL] - SAML アサーションが送信され、使用されるサービスの URL を指定し マー サービ (ACS)] (オ ます。 プション) [IdP が開始する SSO] (オプション) [有効] - 選択すると、ID プロバイダーが開始するシングル サインオンを有効にしま す。 サービス プロバイダーが IdP 開始のシングル サインオンに対応している必要が あります。 [リレー状態] - シングル サインオンに成功した場合に表示されるクラウド サービス またはアプリケーションのページを指定します。 [SP が開始する SSO] (オ [有効] - 選択すると、サービス プロバイダーが開始するシングル サインオンを有効 プション) にします。 サービス プロバイダーが SP 開始のシングル サインオンに対応している 必要があります。 [SP 発行者] - SAML 認証要求を受信してシングル サインオンを開始するサービス プロバイダーの名前を指定します。 [SSO URL] - (SP だけで開始するピュア SSO) SP 開始の SSO がサポートされて いる場合に Web Gateway が SAML 認証要求をリダイレクトするサービス プロバイ ダーの URL を指定します。 [署名] - (オプション) サービス プロバイダーが SAML 認証要求に署名する場合に使 用する秘密鍵の X.509 証明書を指定します。 Web Gateway が証明書を使用して署 名を検証します。 [署名] ドロップダウン リストから証明書を選択するには、次の操作を行う必要があり ます。 1 サービス プロバイダーのインターフェースで証明書をダウンロードしま す。 2 Web Gateway のインターフェースで証明書をインポートします。 表 14-7 メタデータ - SAML アサーション オプション 定義 [署名キー] Web Gateway が SAML アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロップ ダウン リストから選択します。 ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア をインポートする必要があります。 [発行者] SAML アサーションの発行者として Web Gateway の名前を指定します。 McAfee Web Gateway 7.6.0 製品ガイド 491 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 表 14-8 詳細 オプシ ョン 定義 [件名] [名前 ID の形式] - SAML アサーションで送信するサブジェクトの形式を表すオプションをドロップダ ウン リストから選択します。 例: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress 詳細については、OASIS SAML 2.0 の仕様 (『Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0』) を参照してください。 1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/ saml-core-2.0-os.pdf をクリックします。 2 開いた文書で、『Name Identifier Format Identifiers』セクションを参照します。 [認証 ステー トメン ト] [認証方法] - SAML アサーションで送信するサブジェクトの認証方法を表す認証コンテキスト クラスを ドロップダウン リストから選択します。 例: urn:oasis:names:tc:SAML:2.0:ac:classes:Password 詳細については、OASIS SAML 2.0 の仕様 (『Authentication Context for the OASIS Security Assertion Markup Language (SAML) V2.0』) を参照してください。 1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/ saml-authn-context-2.0-os.pdf をクリックします。 2 開いた文書で、『Schemas』セクションを参照します。 [タイ ムスタ ンプ] [形式] - 日時スタンプの形式を選択するには、設定ボタンをクリックします。 オプションは次のとおり です。 • [yyyy-MM-dd'T'HH:mm:ss'Z' (デフォルト)] • [yyyy-MM-dd'T'HH:mm:ss.SSS'Z' (ミリ秒を含む)] 492 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 14 表 14-8 詳細 (続き) オプシ ョン 定義 [条件] [対象] - (オプション) 1 つまたは複数の SAML アサーション コンシューマーに対象を制限できます。 対象を指定するには: 1 [追加] アイコンをクリックします。 2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、サービ ス プロバイダーから取得できます。 [クロック スキュー (秒)] - サーバーの時計の時差を表す値を指定します。たとえば、ID プロバイダーの サーバーとサービス プロバイダーのサーバーの時間差を指定します。 この値は、SAML アサーションの 有効期間を計算するときに使用します。 デフォルト値: 20 [ライフタイム (秒)] - SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定 します。 有効期間が終了すると、SAML アサーションは無効になります。 この設定を使用すると、リプ ライ攻撃を防ぐことができます。 デフォルト値: 60 [署名] [方法] - ドロップダウン リストから署名方法を選択します。 • [応答全体に署名] - Web Gateway が SAML 応答全体に署名する場合に指定します。 • [アサーションに署名] - Web Gateway が SAML 応答の SAML アサーションだけに署名する場合に 指定します。 [署名の生成方法] - 署名の生成に使用するアルゴリズムをドロップダウン リストから選択します。 • [rsaWithSha1] • [rsaWithSha256] SAML シングル サインオンで使用する外部データソースの設定 HTTP サービスに対するシングル サインオンの認証情報は Web Gateway に統合された認証情報ストアに保存され ますが、SAML の認証情報は、LDAP サーバー、データベース、Web サービスなどの外部のデータソースから取得 します。 いくつかの外部データソースが外部リスト機能で設定されています。 識別情報は、ユーザー属性の名前と値のペアで外部データソースから取得されます。名前は、クラウド コネクターの 作成時に設定した属性名と一致する必要があります。 SAML シングル サインオンの LDAP 認証設定 SAML シングル サインオンでデータソースとして 1 つ上の LDAP サーバーを使用するように、認証モジュールを設 定できます。 1 つのサーバーが使用不能になると、認証モジュールは別のサーバーへのフェールオーバーをサポート します。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [認証] の順に選択します。 [設定]ツリーの上 にある 追加 アイコンをクリックします。 表 14-9 SAML シングル サインオンの LDAP 認証設定 オプション 定義 [名前] 認証モジュールの設定名を指定します。 例:SAML SSO の LDAP [認証方法] McAfee Web Gateway 7.6.0 ドロップダウン リストから [LDAP] を選択します。 製品ガイド 493 14 クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 表 14-9 SAML シングル サインオンの LDAP 認証設定 (続き) オプション 定義 [LDAP サーバーの接続先] 1 つ以上の LDAP サーバーを追加して、サーバーの URI を指定します。 形式: [ldap[s]://]server[:port] [証明機関のリスト] (安全な LDAP 接続プロトコル) ドロップダウン リストから証明機関を選択します。 [認証情報] LDAP サーバーとの接続で必要になるユーザー名を指定します。 [パスワード] LDAP サーバーとの接続で必要になるパスワードを指定します。 [ユーザー オブジェクトの ユーザーを検索する LDAP ツリー項目の識別名を指定します。 基本識別名] 形式: attribute=value{, attribute=value} [ユーザー名を DN にマッ ピングする] 選択すると、フィルター式を設定できます。 [ユーザー オブジェクトを 項目またはユーザーのフィルタリングに使用する LDAP 式を指定します。%u はユー 検索するための表現をフ ザー名を表すプレースホルダーです。 ィルタリングする] Active Directory の例: (samaccountname=%u) OpenLDAP の例: (cn=%u) 形式: (attribute operator value) | (operator filter1 filter2) [ユーザー属性の取得] 選択すると、ユーザー属性を設定できます。 [取得するユーザー属性] 以下の属性はすべての SAML コネクターで必要となります。 取得するユーザー属性 のリストに追加します。 • mail - 電子メール アドレスを指定します。 • cn - (commonName) 名前と苗字を指定します。 • gn - (givenName) 名前を指定します。 • sn - (surname) 苗字を指定します。 SAML シングル サインオンでデータソースに Web サービスを使用する 外部リストを設定すると、SAML シングル サイオンのデータを JSON 対応の Web サービスから取得できます。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ ーの上にある [追加] アイコンをクリックします。 オプション 定義 [名前] 外部リストの名前を指定します。 例:SAML SSO の Web サービス [データ ソース タイプ] ドロップダウン リストから [Web サービス] を選択します。 [データ タイプ] ドロップダウン リストから [JSON] を選択します。 [Web サービスの URL] Web サービスの URL を指定します。 例:https://webservice.com:5984/users/${0} users には、ユーザー情報を含むテーブルを指定します。 ${0} は、Web サービスに渡すユーザー ID です。 494 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 14 SAML シングル サインオンでデータソースにデータベースを使用する 外部リストを設定すると、SAML シングル サイオンのデータをデータベースから取得できます。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ ーの上にある [追加] アイコンをクリックします。 以下に、SQLite3 データベースを使用する場合の設定を示します。 オプション 定義 [名前] 外部リストの名前を指定します。 例:SAML SSO のデータベース [データ ソース タイプ] ドロップダウン リストから [データベース] を選択します。 [SQL クエリー] データベースからデータを取得する SQL クエリーを指定します。 select firstname as gn, lastname as sn, email as mail from users where uid = '${0}'; ${0} は、データベースに渡すユーザー ID です。 データベースの属性名は、SAML コネクターに設定した名前に対応しています。 [データベースのタイプ] ドロップダウン リストから [SQLite3] を選択します。 [SQLite3 データベースのフ ァイル パス] SQLite3 データベースのパスを指定します。 SAML シングル サインオンでデータソースに LDAP サーバーを使用する 外部リストを設定すると、SAML シングル サイオンのデータを LDAP サーバーから取得できます。 これらの設定を 使用すると、データソースとして 1 つの LDAP サーバーを設定できます。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。 [設定]ツリ ーの上にある [追加] アイコンをクリックします。 オプション 定義 [名前] 外部リストの名前を指定します。 例:SAML SSO の LDAP サーバー [データ ソース タイプ] ドロップダウン リストから [LDAP] を選択します。 [LDAP サーバーの URL] LDAP サーバーの URL を指定します。 形式: ldap[s]://server[:port] [ユーザー名] LDAP サーバーとの接続で必要になるユーザー名を指定します。 [LDAP パスワード] LDAP サーバーとの接続で必要になるパスワードを指定します。 [検索 DN] ユーザーを検索する LDAP ツリー項目の識別名を指定します。 [検索範囲] ドロップダウン リストから [サブツリー] を選択します。 McAfee Web Gateway 7.6.0 製品ガイド 495 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 オプション 定義 [検索フィルター] 項目のフィルタリングとユーザーの検索に使用する LDAP 式を指定します。 例:(uid=${0}) ${0} は、データベースに渡すユーザー ID です。 [属性] SAML コネクターが必要とする属性をすべて指定します。 [取得する追加の LDAP 属性 (JSON タイプの場合のみ)] • mail - 電子メール アドレスを指定します。 • cn - (commonName) 名前と苗字を指定します。 • gn - (givenName) 名前を指定します。 • sn - (surname) 苗字を指定します。 外部 ID プロバイダーを使用する SAML 認証 信頼済みの外部 ID プロバイダーを使用した認証を可能にするため、Web Gateway は SAML サービス プロバイダ ー役割を実行します。 SAML 認証は、ID プロバイダーとサービス プロバイダー間で個人情報が共有される方法を表しています。 この SAML では、組織が信頼し、Web Gateway の外側に存在する外部 ID プロバイダーがデータベースまたは認 証サービスとして機能しています。 Web Gateway は、外部 ID プロバイダーに SAML 認証要求を送信します。 ID プロバイダーは任意の認証方法でユーザーを認証し、SAML 認証応答の SAML アサーションで識別情報を戻します。 Web Gateway は、ID 情報を SAML アサーションから抽出し、Cookie を設定します。これは、ユーザーがクラウ ド アプリケーションの認証を行うときに使用されます。 内部的に、Web Gateway は外部 ID プロバイダーを使用して認証サーバーとプロキシ経由で SAML 認証を実装し ます。これにより、認証サーバーにない SAML 機能が提供されます。 クラウドでサービスを提供するアプリケーションはサービス プロバイダーともいいます。 この場合、クラウドで提供 されるサービスではなく、SAML 認証プロセスのプレーヤーに ID プロバイダーとサービス プロバイダーの役割が割 り当てられます。 496 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 14 外部 ID プロバイダーを使用する SAML 認証プロセス 認証サーバーは、外部 ID プロバイダーが送信する応答の SAML アサーションを使用して、認証済みのユーザーに Cookie を設定します。 ユーザーが Web Gateway 経由でクラウド上のアプリケーションへのアクセスを要求すると、SAML 認証プロセス が開始します。 このプロセスは、ユーザーのブラウザー経由で送信される HTTP リダイレクト (GET) と POST メ ッセージから構成されます (破線)。 また、ユーザーが送受信するメッセージからも構成されます (実線)。 ユーザー のブラウザー経由で別の SAML パーティに送信されるメッセージは自動的に生成されます。 ユーザーが背景で実行 される認証プロセスを意識することはありません。 Web Gateway は、HTTP POST メソッドを使用して ID プロバイダーに SAML 認証要求を送信し、SAML 認証応答 を受信します。 図 14-6 外部 ID プロバイダーを使用する SAML 認証プロセス 1 ユーザーが Web Gateway 経由でクラウド上のアプリケーションに対するアクセス権を要求します。 2 Web Gateway がユーザーを認識できない場合、プロキシがユーザーのブラウザー経由で要求をリダイレクトし、 認証サーバーに送信します。 3 認証サーバーがユーザーのブラウザー経由で SAML 認証要求を ID プロバイダーに送信します。 ID プロバイダ ーがユーザーを認証し、SAML 認証応答を認証サーバーに戻します。この処理もユーザーのブラウザー経由で実 行されます。 認証サーバーの URL が静的な場合、プロキシは認証応答を傍受して動的 URL を再構成し、認証サーバーに応答を リダイレクトします。 4 認証サーバーは、応答の SAML アサーションを使用して Cookie を設定します。Cookie を持つ認証済みユーザ ーをプロキシ経由でクラウド上のアプリケーションにリダイレクトします。 5 プロキシが Cookie を持つユーザーをユーザーのブラウザー経由でクラウド上のアプリケーションにリダイレク トします。 6 アプリケーションがユーザーにアクセス権を付与します。 McAfee Web Gateway 7.6.0 製品ガイド 497 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 Web Gateway が静的 ACS URL を使用する方法 Web Gateway は、RelayState パラメーターで動的 ACS URL を保存することで、動的 URL を使用できない ID プロバイダーにも対応しています。 RelayState パラメーター アサーション コンシューマー サービスを提供する認証サーバーの URL は動的です。 すべての ID プロバイダーが パラメーターを含む動的 URL に対応しているとは限りません。 Web Gateway は、RelayState パラメーターで認 証要求を作成するときに動的 ACS URL の値を保存することで、このような ID プロバイダーにも対応しています。 RelayState パラメーターは自動的に設定されます。 ユーザー側で設定を行う必要はありません。 認証サーバーが RelayState パラメーターと認証要求を POST 形式で ID プロバイダーに送信します。 ID プロバ イダーが RelayState パラメーターと認証応答を POST 形式で戻すときに、RelayState パラメーターの値は変更さ れません。 応答の ACS URL が静的な場合、プロキシは応答を傍受すると、静的 ACS URL と RelayState 値から動的 ACS URL をリストアします。 プロキシは、リストアされた ACS URL を使用して SAML 認証応答を認証サーバーにリダ イレクトします。 静的 ACS URL の設定 外部 ID プロバイダーが動的 URL に対応している場合、認証サーバーは ID プロバイダーに動的値を自動的に送信 し、応答で受信した ACS URL を検証します。 Web Gateway インターフェースで設定を行う必要はありません。 外部の ID プロバイダーが動的 URL に対応していない場合、Web Gateway インターフェースの次の 2 箇所に静的 ACS URL を設定する必要があります。 設定値が一致している必要があります。 • ID プロバイダーに SAML 要求 で送信される静的 ACS URL 値 - この値は 修正された ACS URL を準備する ルールに設定されています。 • ID プロバイダーからの SAML 応答 で予期される静的 ACS URL 値 - この値は、SAML 応答 設定で定義され ています。 ID プロバイダーからの応答で予期される ACS URL 値も ID プロバイダーで設定する必要があります。 設定タスクの概要 サービス プロバイダー役割を使用して Web Gateway で SAML 認証を設定するには、以下のタスクを実行します。 1 ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルール セット をインポートします。 このルール セットは、認証 ルール セット グループにあります。 2 静的 ACS URL を設定します。 外部の ID プロバイダーが動的 URL に対応していない場合には、このタスクが必要になります。 3 SAML 認証要求を設定します。 Web Gateway は、SAML 認証要求に署名しません。X.509 証明書も提供しません。 4 498 SAML 認証応答を設定します。 ID プロバイダーが SAML 認証応答とアサーションの署名に使用する X.509 証 明書をインポートします。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 14 5 認証サーバーが外部の ID プロバイダーから受信した認証応答を認識できるように、ID プロバイダーのサービス URL を SAML IdP ホワイトリストに追加してください。 6 Authentication.UserName プロパティと Authentication.UserGroups プロパティに関連付ける SAML 属性 を設定します。 7 Web Gateway ユーザー インターフェースで設定した要件を満たす SAML 認証応答を生成するには、外部 ID プロバイダーを手動で設定します。 静的 ACS URL を設定する 外部の ID プロバイダーが動的 URL に対応していない場合には、静的 ACS URL を設定します。 開始する前に ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セットをインポートする必要があります。 タスク 1 [ポリシー] 、 [ルール セット]の順に選択します。 2 [SAML バックエンドと修正済みの ACS URL を含む Cookie 認証] 、[認証サーバーで Cookie 認証]の順に展開 し、[認証サーバー要求] を選択します。 3 [修正された ACS URL を準備する] ルールを選択して、[編集] をクリックします。 [ルールの編集] ダイアログ ボックスが開きます。 4 [イベント] でイベントを選択して、[編集] をクリックします。 [プロパティ設定の編集] ダイアログ ボックスが開き、[User-Defined.SAMLUrlRewrite] プロパティが選択され ます。 5 ["- enter your URL here -"] を選択して、[編集] をクリックします。 6 [文字列の入力] ダイアログ ボックスで静的 URL を入力して、[OK] をクリックします。 7 [ルールの編集] ダイアログ ボックスを終了するには、[完了] をクリックします。 認証サーバー要求 ルール セット ビューに、更新された静的 ACS URL が表示されます。 SAML 認証要求を設定する 認証サーバーが外部の ID プロバイダーに送信する SAML 認証要求を設定します。 開始する前に ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セットをインポートする必要があります。 タスク 1 [ポリシー] 、 [設定]の順に選択します。 2 [エンジン] 、 [SAML 要求]の順に展開し、[SAML 要求] を選択します。 設定を行う [認証要求] ウィンドウが開きます。 McAfee Web Gateway 7.6.0 製品ガイド 499 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 3 [認証要求] 設定に値を入力します。 4 [変更の保存] をクリックします。 SAML 認証要求の設定 サーバー プロバイダー (Web Gateway) の固有の名前と外部 ID プロバイダーの URL を指定します。 表 14-10 SAML 認証要求 オプション 定義 [EntityID] SAML 認証要求を送信するサービス プロバイダーの固有の名前を指定します (Web Gateway)。 [IdP URL] 認証要求が送信される外部 ID プロバイダーの URL を指定します。 SAML 認証応答を設定する 認証サーバーが外部の ID プロバイダーから受信する SAML 認証応答を設定します。 認証サーバーは、SAML 認証 応答の有効性を確認するため、設定済みの値と応答に含まれる値を比較します。 開始する前に ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セットをインポートする必要があります。 タスク 1 [ポリシー] 、 [設定]の順に選択します。 2 [エンジン] 、 [応答]の順に展開し、[SAML 応答] を選択します。 設定を行う [認証応答] ウィンドウが開きます。 3 [認証応答] 設定に値を入力します。 4 [変更の保存] をクリックします。 SAML 認証応答の設定 SAML 認証応答では、ID プロバイダーで設定した値を指定します。 表 14-11 SAML 認証応答 オプション 定義 [応答に署名が必要] 選択すると、SAML 応答で署名が必要になります。 [アサーションに署名 が必要] 選択すると、SAML アサーションで署名が必要になります。 [インポート] クリックすると、外部 ID プロバイダーが提供する X.509 証明書を検索してインポートで きます。 証明書ファイルがインポートされると、証明書の値が [認証応答] ウィンドウに 表示されます。 [EntityID] SAML 認証応答を送信する外部 ID プロバイダーの固有の名前を指定します。 この値と応答の <saml2:Issuer> 要素が一致する必要があります。 500 [応答がすでに有効に なっている] 選択した場合、現在のローカル時間が応答の <saml2:Conditions> 要素にある notBefore 属性値以上になっている必要があります。 [負の時間差] (応答がすでに有効になっている) 指定した値だけ、応答の notBefore 属性の設定を延長 します。 [正の時間差] 指定した値だけ、応答の notAfter 属性の設定を延長します。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 表 14-11 14 SAML 認証応答 (続き) オプション 定義 [対象を応答に設定す る] 応答に <saml2:Audience> 要素を追加する必要があります。 [対象が事前定義の値 に一致する] 応答の <saml2:Audience> 要素の値が、設定の [対象 URI] または [ACS URL] フィー ルドに指定された値に一致する必要があります。 [対象 URI] (対象が事前定義の値に一致する) 対象 (認証サーバー) の URI を指定します。 [宛先] 外部 ID プロバイダーが応答を送信するアドレスの URI を指定します。 [ACS URL] 認証サーバーが提供するアサーション コンシューマー サービスの URL を指定します (認 証サーバーが応答で SAML アサーションを使用します)。 外部 ID プロバイダーが動的 URL に対応していない場合には、静的 ACS URL を設定しま す。 それ以外の場合は、この設定はブランクのままにします。 設定する場合、この値は、 修正された ACS URL を準備する ルールで設定した ACS URL 値に一致させる必要があ ります。 以下のいずれかの形式で静的 ACS URL を設定します。 • 任意の Web Gateway URL • プロキシが認証サーバーとして認識する形式の URL。次の形式で指定します。 http[s]://<proxy>:<port>/mwg-internal/<internal-path-id>/plugin? target=Auth&reason=Auth&setCookie=true <proxy> と <port> は、プロキシの IP アドレスとポート番号です。 <internal-path-id> は 内部パス ID です。 内部パス ID を検索するには、[設定] 、 [プロキシ] 、 [詳細設定] の順に選択します。 外部の IdP URL を SAML IdP ホワイトリストに追加する 認証サーバーが外部の ID プロバイダーから受信した認証応答を認識できるように、ID プロバイダーの URL を SAML IdP ホワイトリストに追加してください。 開始する前に ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セットをインポートする必要があります。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [カスタム リスト] 、 [ワイルドカードの式]の順に展開し、[SAML IdP ホワイトリスト] を選択します。 3 [追加] をクリックします。 [ワイルドカード式の追加] ダイアログ ボックスが開きます。 4 [ワイルドカード式] フィールドに、外部 ID プロバイダーの URL を照合する式を指定します。 5 [OK] をクリックします。 一致する式が [SAML IdP ホワイトリスト] に追加されます。 McAfee Web Gateway 7.6.0 製品ガイド 501 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 SAML 属性マッピングを設定する Authentication.UserName プロパティと Authentication.UserGroups プロパティに関連付ける SAML 属性の名 前を設定します。 開始する前に ルール セット ライブラリから SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セットをインポートする必要があります。 タスク 1 [ポリシー] 、 [ルール セット]の順に選択します。 2 [SAML バックエンドと修正済みの ACS URL を含む Cookie 認証] 、[認証サーバーで Cookie 認証]の順に展開 し、[認証サーバー要求] を選択します。 3 [ユーザー名とグループを設定する] ルールを選択して [編集] をクリックします。 [ルールの編集] ダイアログ ボックスが開きます。 4 [イベント] でイベントを選択して、[編集] をクリックします。 [プロパティ設定の編集] ダイアログ ボックスが開き、[Authentication.UserName] プロパティまたは [Authentication.UserGroups] プロパティが選択されます。 5 ["Map.GetStringValue" プロパティのパラメーター] ダイアログ ボックスに移動します。 6 次のオプションを選択します • [Authentication.UserName] - [2. キー (文字列) 値: "userId"] を選択します。 ユーザー名プロパティ に関連付ける SAML 属性の名前を [userID] に設定します。 • [Authentication.UserGroups] - [2. キー (文字列) 値: "userGroup"] を選択します。 ユーザー グルー プ プロパティに関連付ける SAML 属性の名前を [userGroup] に設定します。 7 変更を保存するには、[OK] をクリックします。 8 [ルールの編集] ダイアログ ボックスを終了するには、[完了] をクリックします。 認証サーバー要求 ルール セット ビューに、関連付けた SAML 属性の名前が表示されます。 SAML 認証応答の検証 外部 ID プロバイダーが送信した SAML 認証応答を検証するときに、認証サーバーが応答の値と Web Gateway イ ンターフェースで設定した値を比較します。 Web Gateway ユーザー インターフェースで設定した要件を満たす SAML 認証応答を生成するには、外部 ID プロバ イダーを手動で設定する必要があります。 次の要件を満たす SAML 認証応答が有効と見なされます。 502 • 応答に有効な XML 文字列が含まれている必要があります。 • 応答に 1 つ以上の SAML アサーションが含まれている必要があります。 • 応答の <saml2p:StatusCode> 要素の値が Success になっている必要があります。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 • 14 設定する場合、応答とアサーションの署名が有効でなければなりません。 • [応答に署名が必要] - この設定を SAML 認証応答設定で選択すると、認証サーバーは応答に有効な署名が付 いているかどうか確認します。 • [アサーションに署名が必要] - この設定を SAML 認証応答設定で選択すると、認証サーバーはアサーション に有効な署名が付いているかどうか確認します。 • 応答の <saml2:Issuer> 要素は、SAML 認証応答設定の EntityID に一致している必要があります。 • 応答の <saml2:Conditions> 要素に notBefore 属性と notAfter 属性が含まれている必要があります。 • 次のように、現在のローカル時間が指定した範囲内にある必要があります。 • • • [応答がすでに有効になっている] - 選択する場合、現在のローカル時間が notBefore 値以上になっている 必要があります。 • [負の時間差] - 現在のローカル時間が、SAML 認証応答設定で指定した負の時間差を notBefore から引い た値以上でなければなりません。 • [正の時間差] - 現在のローカル時間が、SAML 認証応答設定で指定した正の時間差に notAfter を加えた値 以上でなければなりません。 設定する場合、応答に対象要素を追加し、次のように事前定義の値を設定してください。 • [対象を応答に設定する] - SAML 認証応答設定を選択した場合、応答に <saml2:Audience> を追加する必 要があります。 • [対象が事前定義の値に一致する] - SAML 認証応答プロセスを選択する場合、<saml2:Audience> 要素の 値を設定の 対象 URI または ACS URL フィールドと比較する必要があります。 <saml2p:Response> 応答要素にある 宛先属性の値が SAML 認証応答設定に指定した ACS URL 設定と一致 している必要があります。 SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 - ルール セット 外部 ID プロバイダーを使用する SAML 認証をサポートするため、Web Gateway はサービス プロバイダー役割を 使用します。 このルール セットのルールは、この SAML のシナリオに対応しています。 ライブラリ ルール セット - SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 条件 - Always サイクル - 要求 (IM) このルール セットには、次のネストされたルール セットが含まれています。 • SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 • IdP が修正済みの ACS URL を使用する場合に SAML アサーションを傍受する • HTTP(S) プロキシでの Cookie 認証 • • 認証されたクライアントの Cookie を設定する • 認証サーバーでクライアントを認証する 認証サーバーでの Cookie 認証 • 認証サーバー要求 このルール セットには以下のルールが含まれます。 McAfee Web Gateway 7.6.0 製品ガイド 503 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 クライアント コンテキストの設定 ルール要素 定義 [条件] Always [アクション] Continue [イベント] Enable SSL Client Context without CA <Default Without CA> このルールは、Web Gateway に付属のデフォルトの証明書またはユーザーがインポートした証明書を使用して、す べての HTTP 通信を SSL プロトコルで保護します。 SSL 証明書を設定するには、[<CA を使用しないデフォルト >] をクリックします。 IdP が修正済みの ACS URL を使用する場合に SAML アサーションを傍受する プロキシは、静的 ACS URL を含む SAML 認証応答を傍受します。 SAML 応答を処理し、SAML アサーションを認 証サーバーにリダイレクトします。このサーバーがアサーション コンシューマー サービスを提供します。 ネストされたライブラリ ルール セット - IdP が修正済みの ACS URL を使用する場合に SAML アサーション を傍受する 条件 - Command.Name equals "POST" AND URL.Path is in list SAMLAuthResponseList サイクル - 要求 (IM) 修正済みの ACS URL のリストを設定するには、[SAMLAuthResponseList] をクリックします。 このルール セットには以下のルールが含まれます。 SAML 受信応答を処理する ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set Authentication.Token = Request.POSTForm.Get ("SAMLResponse") Set Authentication.SAML.RelayState = Request.POSTForm.Get ("RelayState") プロキシは、外部 ID プロバイダーが送信した POST から SAML 応答と RelayState パラメーターを取得します。 応答を Authentication.Token プロパティに保存し、RelayState を Authentication.SAML.RelayState プロパテ ィに保存します。 ID プロバイダーが動的 URL に対応していない場合、プロキシは RelayState に戻された URL を 使用し、動的認証サーバーの URL をリストアします。 SAML アサーションを認証サーバーにリダイレクトする ルール要素 定義 [条件] Always [アクション] Block <SAMLRedirectToAuth> [イベント] HTTP.SetStatus (200) 動的認証サーバーの URL を復元すると、プロキシは SAML アサーション (Authentication.Token プロパティに保 存) を認証サーバーにリダイレクトし、HTTP ステータス コードを 200 (OK) に設定します。 ロギング目的でカス タム設定を行うには、[<SAMLRedirectToAuth>] をクリックします。 504 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 14 HTTP(S) プロキシでの Cookie 認証 外部 ID プロバイダーを使用した SAML 認証の場合、プロキシーは有効な Cookie がない要求を認証サーバーにリダ イレクトします。 認証サーバーは、SAML アサーションを使用してユーザーの ID を Cookie に格納します。 ネストされたライブラリ ルール セット - HTTP(S) プロキシでの Cookie 認証 条件 - Authentication.IsServerRequest equals false AND ( Connection.Protocol equals "HTTP" OR Connection.Protocol equals "HTTPS") AND Command.Name does not equal "CONNECT" AND Command.Name does not equal "CERTVERIFY" サイクル - 要求 (IM) このルール セットには、次のネストされたルール セットが含まれています。 • 認証されたクライアントの Cookie を設定する • 認証サーバーでクライアントを認証する 認証されたクライアントの Cookie を設定する 認証サーバーは、SAML アサーションを使用してユーザーの識別情報を Cookie に保存すると、Cookie を持つユー ザーをプロキシ経由で要求されたアプリケーションにリダイレクトします。 ネストされたライブラリ ルール セット - 認証済みクライアントの Cookie の設定 条件 - Authentication.IsLandingOnServer equals true サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 Internet Explorer でサードパーティの Cookie を許可する P3P ヘッダー ルール要素 定義 [条件] Always [アクション] Continue [イベント] Header.Block.Add ("P3P", "CP="NOI CUR OUR STP STA"") P3P 文字列は、P3P (Privacy Preferences Project) プラットフォームで必要になります。 この文字列は、エンド ユーザーのブラウザーのプライバシー設定に一致させる必要があります。 この表のように P3P 文字列が更新され ず、ブラウザーが Internet Explorer の場合、処理が失敗します。 Cookie を設定し、要求された URL にクライアントをリダイレクトする ルール要素 定義 [条件] Always [アクション] Redirect <Redirect Back From Authentication Server> [イベント] なし 認証サーバーは、Cookie を持つ認証済みユーザーをプロキシ経由で要求されたアプリケーションにリダイレクトし ます。 ロギング目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリッ クします。 McAfee Web Gateway 7.6.0 製品ガイド 505 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 認証サーバーでクライアントを認証する プロキシを使用すると、URL が SAML IdP ホワイトリストに登録されている外部 ID プロバイダーからの要求を許 可し、要求に含まれる Cookie の有効性を確認できます。 存在しない場合、プロキシは認証サーバーに要求をリダイ レクトします。 ネストされたライブラリのルール セット - 認証サーバーでクライアントを認証する 条件 - Always サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 IDP 要求の許可 ルール要素 定義 [条件] URL.Domain matches in list SAML IdP Whitelist [アクション] Stop Rule Set [イベント] なし 要求を送信した外部 ID プロバイダーの URL が SAML IdP ホワイトリストの URL に一致するかどうかプロキシが 検査します。 ホワイトリストに URL を追加するには、[SAML IdP ホワイトリスト] をクリックします。 有効な Cookie のないクライアントを認証サーバーにリダイレクトする ルール要素 定義 [条件] Authentication.Authenticate <Local Cookie Authentication Server> equals false [アクション] Authenticate <Default> [イベント] なし 外部 ID プロバイダーからの要求に有効な Cookie が含まれていない場合、プロキシが認証サーバーに要求をリダイ レクトします。 別の認証方法を設定する場合には、[<Local Cookie Authentication Server>] をクリックします。 ロギング目的でカスタム設定を行うには、[<Default>] をクリックします。 認証サーバーでの Cookie 認証 このルール セットは、認証サーバー要求 ルール セットのコンテナーです。 ネストされたライブラリ ルール セット - 認証サーバーでの Cookie 認証 条件 - Always サイクル - 要求 (IM) このルール セットには、ネストされたルール セット (認証サーバー要求) が含まれています。 506 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 14 認証サーバー要求 このルール セットのルールは、外部 ID プロバイダーで SAML 認証を管理している場合に認証サーバーに適用され ます。 認証サーバーは、SAML 認証応答を処理しますが、このルール セットに Cookie を設定しません。 Cookie 認証は、HTTP(S) プロキシで Cookie 認証 ルール セットのルールで処理されます。 ネストされたライブラリ ルール セット - 認証サーバー要求 条件 - Authentication.IsServerRequest equals true サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 有効な Cookie を持つクライアントをリダイレクトする ルール要素 定義 [条件] Authentication.Authenticate <Authentication Server - Cookie Check> equals true [アクション] Redirect <Redirect Back From Authentication Server> [イベント] なし 認証サーバーは、有効な Cookie を持つユーザーをプロキシにリダイレクトします。 認証サーバーが使用する Cookie の確認方法を変更するには、[<Authentication Server - Cookie Check>] をクリックします。 ロギング 目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリックします。 修正された ACS URL を準備する ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.SAMLUrlRewrite = URL.Protocol + "://" + URL.Host + "- enter your URL here -" このルールを使用すると、動的 URL に対応していない外部 ID プロバイダーに静的 ACS URL を設定できます。 設 定する場合、この値は、[SAML 応答] で設定した ACS URL 値に一致させる必要があります。 POST SAML 認証要求 ルール要素 定義 [条件] Command.Name does not match POST [アクション] Block <SAML request> [イベント] Set Authentication.SAML.RelayState = URL Set Authentication.Token = Authentication.SAML.CreateAuthnRequest (User-Defined.SAMLUrlRewrite)<SAML Request> HTTP.SetStatus (200) 認証サーバーが RelayState パラメーターと SAML 要求を POST で外部 ID プロバイダーに送信します。 RelayState パラメーターには、要求作成時の認証サーバー URL の値が格納されます。 要求が、Web Gateway イ ンターフェースで設定された値で作成されます。 認証サーバーが HTTP ステータス コードを 200 (OK) に設定し ます。 SAML 認証要求の設定を変更するには、このイベントの [<SAML Request>] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 507 14 クラウド シングル サインオン 外部 ID プロバイダーを使用する SAML 認証 SAML 認証応答を処理する ルール要素 定義 [条件] Command.Name equals "POST" [アクション] Continue [イベント] Set Authentication.Token = Request.POSTForm.Get ("SAMLResponse") Set Authentication.IsAuthenticated = Authentication.SAML.ParseAuthnResponse ("POST", User-Defined.SAMLUrlRewrite, Authentication.Token) <SAML Response> このルールは、POST で外部 ID プロバイダーからの SAML 応答を取得し、その値を Authentication.Token プロ パティに格納します。 応答を解析し、応答が有効であれば TRUE を戻します。有効でない場合には、FALSE を戻し ます。 SAML 認証応答設定を変更するには、[<SAML Response>] をクリックします。 無効な SAML 応答をブロックする ルール要素 定義 [条件] Command.Name equals "POST" AND Authentication.IsAuthenticated equals false [アクション] Block <Authorized Only> [イベント] なし SAML 応答の解析後、このルールが Authentication.IsAuthenticated プロパティの値を検査します。 プロパティ が false の場合、SAML 応答は無効です。応答の処理はブロックされます。 ロギング目的でカスタム設定を行うに は、[<Authorized Only>] をクリックします。 ユーザー名とグループを設定する ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set Authentication.UserName = Map.GetStringValue (Authentication.SAML.Attributes, "userId") Set Authentication.UserGroups = String.ToStringList (Map.GetStringValue (Authentication.SAML.Attributes, "userGroup"), ", ", "") このルールは、SAML の "userId" 属性を Authentication.UserName プロパティに関連付け、 "userGroup" 属性 を Authentication.UserGroups プロパティに関連付けます。 認証プロパティに関連付ける SAML 属性を変更す るには、ルール エディターを使用します。 空のユーザー名をブロックする ルール要素 定義 [条件] Authentication.UserName equals "" [アクション] Block <Authorized Only> [イベント] なし ユーザー名プロパティが空の場合、このルールが応答の処理をブロックします。 ロギング目的でカスタム設定を行う には、[<Authorized Only>] をクリックします。 508 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン .NET と Java Web アプリケーションへの SSO サービスの提供 14 Internet Explorer でサードパーティの Cookie を許可する P3P ヘッダー ルール要素 定義 [条件] Always [アクション] Continue [イベント] Header.Block.Add ("P3P", "CP="NOI CUR OUR STP STA"") P3P 文字列は、P3P (Privacy Preferences Project) プラットフォームで必要になります。 この文字列は、エンド ユーザーのブラウザーのプライバシー設定に一致させる必要があります。 この表のように P3P 文字列が更新され ず、ブラウザーが Internet Explorer の場合、処理が失敗します。 認証されたクライアントをプロキシにリダイレクトする ルール要素 定義 [条件] Always [アクション] Redirect <Redirect Back From Authentication Server> [イベント] なし ルール セットの最後のルールに応じて、認証サーバーが認証済みユーザーをプロキシーにリダイレクトします。 ロ ギング目的でカスタム設定を行う場合には、[<Redirect Back From Authentication Server>] をクリックします。 .NET と Java Web アプリケーションへの SSO サービスの提供 シングル サインオン ルール セットと汎用の IceToken クラウド コネクター テンプレートを使用すると、.NET ま たは Java Web アプリケーションにシングル サインオンを設定できます。 このオプションは、Web Gateway の事 前定義のコネクターまたはコネクター テンプレートで Web アプリケーションがサポートされていない場合に使用 します。 Web Gateway は、IceToken 認証を使用してシングル サインオンを実行します。この方法は、SAML 認証でシング ル サインオンを実装する場合と同じです。 この 2 つの認証方法でシングル サインオンを実行する場合の相違点は 次のとおりです。 • いずれの場合も、ID プロバイダーがアサーションでユーザー情報をサービス プロバイダーに送信します。 アサ ーションのユーザー情報の形式は、使用する認証方法によって異なります。 • SAML 認証よりも IceToken 認証を使用したシングル サインオンのほうが簡単に設定できます。 汎用 IceToken クラウド コネクターを設定する .NET または Java Web アプリケーションへのシングル サインオンを設定するには、汎用の IceToken クラウド コ ネクター テンプレートを使用します。 タスク 1 [ポリシー] 、 [リスト] の順に選択します。 2 [リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし ます。 3 [追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスが開きます。 4 フィールドに値を入力し、すべてのコネクターに共通の設定を行います。 McAfee Web Gateway 7.6.0 製品ガイド 509 14 クラウド シングル サインオン .NET と Java Web アプリケーションへの SSO サービスの提供 5 [テンプレート] ドロップダウン リストから [汎用 IceToken コネクター] を選択します。 6 汎用 IceToken の設定に値を入力します。 7 [OK] をクリックします。 新たに設定した IceToken コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。 汎用 IceToken コネクターの設定 汎用 IceToken コネクター テンプレートを使用して .NET または Java アプリケーションにコネクターを接続する には、以下の表にある設定に値を指定します。 表 14-12 認証情報 オプショ ン 定義 [サブジェ IceToken サブジェクトは、.NET または Java Web アプリケーションへのアクセスを要求するユーザ クト] ーを一意に識別します。 IceToken サブジェクトは、ソースと値のペアとして指定されます。 ドロップ ダウン リストからソースを選択します。 • [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力し ます。 • [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに属 性の名前を入力します。 属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。 [属性] (オプション) IceToken アサーションで IceToken サブジェクトと一緒に名前と値のペアとしてサービ ス プロバイダーに渡される 1 つ以上のユーザー属性をしています。 [設定] - ([パラメーター]) IceToken アサーションで送信される属性名を指定します。 この値は、サ ービス プロバイダーが必要とする属性名です。 [宛先] - ([ソース]) IceToken アサーションで属性名と一緒に送信される属性値を指定します。 属性 値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。 • [定数] - IceToken アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に 指定します。 • [認証結果] - IceToken アサーションで送信する値を [認証結果] フィールドで入力した属性の値に 設定する場合に指定します。 標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックします。 表 14-13 アサーション コンシューマー サービ (ACS) オプション 定義 [ACS URL] IceToken アサーションが送信され、使用されるサービスの URL を指定します。 [ACS バインド] IceToken アサーションの送信に使用する HTTP メソッドを指定します。 • [POST] - HTTP POST メソッドを指定します。 • [リダイレクト] - HTTP GET メソッドを指定します。 510 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン エンドユーザーによるアプリケーション Launchpad の使用 14 表 14-14 IceToken アサーション オプション 定義 [署名キー] Web Gateway が IceToken アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロ ップダウン リストから選択します。 ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア をインポートする必要があります。 [発行者] IceToken アサーションの発行者として Web Gateway の名前を指定します。 表 14-15 条件 オプション 定義 [対象] (オプション) 1 つまたは複数の IceToken アサーション コンシューマーに対象を制限できます。 対象を指定するには: 1 [追加] アイコンをクリックします。 2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、 サービス プロバイダーから取得できます。 [クロック ス キュー (秒)] 異なるサーバーの 2 つのクロックの時間差を指定します。 この値は、IceToken アサーションの有 効期間を計算するときに使用します。 デフォルト値: 20 [ライフタイ ム (秒)] IceToken アサーションの有効期間を計算するときに使用するライフタイム値を指定します。 有効 期間が終了すると、IceToken アサーションは無効になります。 この設定を使用すると、リプライ 攻撃を防ぐことができます。 デフォルト値: 60 エンドユーザーによるアプリケーション Launchpad の使用 Launchpad を使用すると、アプリケーションを起動したり、アプリケーションのアカウントを選択または管理でき ます。 全体のワークフロー ユーザーの側から見ると、Launchpad のワークフローは次のようになります。 1 管理者から提供された Launchpad の URL を使用して Launchpad を開きます。 2 Launchpad が開き、ログオン フォームが表示されます。ここに認証情報を入力します。 3 認証に成功すると、ユーザーにアクセスが許可されているアプリケーションのアイコンが Launchpad に表示さ れます。 アプリケーションを実行するため、ユーザーが該当するアイコンをクリックします。 表示されるアプリケーションがフィルタリングされます。 たとえば、非プロキシ モードの動的 HTTP アプリケーショ ンや非対応のアプリケーション、ユーザーが許可されていないアプリケーションは表示されません。 Launchpad を開く 管理者から提供された Launchpad の URL を使用して、Web Gateway クライアントの Web ブラウザーで Launchpad を開きます。 Web ブラウザーで JavaScript を有効にする必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 511 14 クラウド シングル サインオン エンドユーザーによるアプリケーション Launchpad の使用 Launchpad の URL には、シングル サインオン で設定した管理ホストの名前が含まれている必要があります。 た とえば、ホスト名が sso.mwginternal.com の場合、Launchpad の URL には次のいずれかの値が含まれます。 • https://sso.mwginternal.com • https://sso.mwginternal.com/launchpad クラウド アプリケーションの選択 左パネルにクラウド アプリケーションのアイコンが表示されます。 ユーザーがアイコンをクリックすると、右ペイ ンにアプリケーションのアカウント情報が表示されます。 アカウント情報が表示されない場合、いくつかの原因が考 えられます。 • HTTP アプリケーション - HTTP アプリケーションに初めてアクセスした場合、ユーザーが [アカウントの追 加] をクリックして認証情報を入力する必要があります。 追加したアカウントを編集または削除することもでき ます。 • SAML アプリケーション - SAML ユーザー情報が外部ソースから取得されるため、アカウント情報が表示また は要求されません。 左または右パネルのアプリケーション リンクをクリックすると、SAML アプリケーションと HTTP アプリケーショ ンにシングル サインオンを開始できます。 ユーザーがアプリケーションい複数のアカウントを持っている場合、左パネルにアプリケーションのアイコンが複数 回表示されます。 それぞれのアイコンにアカウントのユーザー名が表示されます。 特定のアプリケーション アカ ウントを開く場合には、アプリケーションとアカウントのペアに対応するアイコンをダブルクリックします。 Launchpad オプション Launchpad には、クラウド アプリケーションを選択するオプションが用意されています。また、アプリケーション のアカウントを操作したり、他のアプリケーションを表示することもできます。 以下の表は、これらのオプションに ついて説明します。 表 14-16 Launchpad オプション オプション 定義 アプリケーションのロゴ クラウド アプリケーションを選択できます。 [アプリケーションの検索] 文字列を入力して、表示するクラウド アプリケーションを名前でフィルタリングでき ます。 表示モード ドロップダウン リストから表示モードを選択します。 • [アイコン] - 行内にアプリケーション アイコンが表示されます。 • [リスト] - アプリケーションのアイコンがリスト形式で表示されます。アプリケ ーションのカテゴリも表示されます。 アプリケーションのソート クラウド アプリケーションのソート方法をドロップダウン リストから選択します。 • [名前別] - 名前でソートされたクラウド アプリケーションが表示されます。 • [カテゴリ別] - カテゴリと名前でソートされたクラウド アプリケーションが表示 されます。 [名前] ユーザーが選択したクラウド アプリケーションのアイコンと名前が表示されます。 次のアカウント情報は、HTTP アプリケーションでのみ使用できます。 SAML ユーザー情報は外部ソースから取得され ます。 512 [アカウント] ユーザーが選択したクラウド アプリケーション アカウントのメール アドレスが表示 されます。 [アカウントの編集] 選択したクラウド アプリケーションのアカウントを編集できます。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン アプリケーション Launchpad のカスタマイズ 14 表 14-16 Launchpad オプション (続き) オプション 定義 [アカウントの追加] クラウド アプリケーションにアカウントを追加できます。 [Web Gateway ユーザー] クラウド アプリケーションを選択したユーザーの名前が表示されます。 [カテゴリ] ユーザーが選択したクラウド アプリケーションのカテゴリが表示されます。 [説明] ユーザーが選択したクラウド アプリケーション アカウントの説明が表示されます。 [アカウントの削除] 選択したクラウド アプリケーションのアカウントを削除できます。 アプリケーション Launchpad のカスタマイズ Web Gateway のインターフェースで、組織の名前と説明を指定したり、文字表示をカスタマイズできます。また、 組織や製品のロゴ画像をインポートできます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイ ズできます。 テンプレート エディターを開く Launchpad をカスタマイズするには、シングル サインオン スキーマというファイルとテンプレートのコレクション を編集します。 テンプレート エディターでコレクションを開くには、[シングル サインオン] のデフォルトの設定に 移動し、[コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択します。 あるいは、[テンプレート] タブでテンプレートに直接アクセスすることもできます。 /dat フォルダーのファイルと /files フォルダーのファイル Launchpad を生成するときにシングル サインオン モジュールが使用するファイルは、アプライアンスがインストー ルされ、SSO プロセスが実行されているサーバーの次のフォルダーにあります。 • /dat - このフォルダーのファイルは、アプライアンスが管理するシステム ファイルです。 更新サーバーから 更新が取得されるたびに上書きされます。 • /files - このフォルダーとサブフォルダー (/img など) のファイルはカスタマイズできます。これらのファイ ルは更新サーバーに上書きされません。 Launchpad.html ファイルを編集する Launchpad.html ファイルには組織の名前と説明を指定できます。また、スタイル シートの名前とロゴを含む画像 ファイルも指定できます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイズできます。 たとえば、IT 組織へのメッセージやリンクをサイドバーに追加できます。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 [エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。 [シングル サインオン] の設定が開きます。 3 [コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし ます。 [テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。 McAfee Web Gateway 7.6.0 製品ガイド 513 14 クラウド シングル サインオン アプリケーション Launchpad のカスタマイズ 4 [シングル サインオン スキーマ] 、 [Launchpad] 、 [en] の順に展開し、[html] を選択します。 [HTML エディター] が開きます。 5 6 エディターで次の操作を行います。 a Your Company Name を組織の名前で置換します。 b Your Company Description を組織の説明で置換します。 c (オプション) customLaunchpad.css をカスタム .css ファイルの名前で置換します。 d sample_logo.png を組織のロゴを含む画像ファイルの名前で置換します。 e productCompLogo.png を製品のロゴを含む画像ファイルの名前で置換します。 ヘッダーをカスタマイズするには、<div id="header"></div> 要素にコンテンツを追加します。 空の場合でも "header" 要素を削除しないでください。 7 フッターをカスタマイズするには、<div id="footer"></div> 要素にコンテンツを追加します。 空の場合でも "footer" 要素を削除しないでください。 8 サイドバーをカスタマイズするには: a 次のように、<div id="aside"></div> 要素を launchpad.html ファイルに追加します。 <div id="main"> <div id="aside"> : : </div> $SSO.GetDatFile(“launchpadMain.html”)$ </div> b <div id="aside"></div> 要素にコンテンツを追加します。 例: <div id="aside"> <img src="/files/img/your_logo.png"> <hr> $first line of SSO.GetDatFile(“version.txt”)$ <hr> MWG: $MWG.Version$<br>$MWG.BuildNumber </div> この例では、指定したロゴ、更新サーバーから取得した最新の更新のバージョン番号、アプライアンスのバー ジョンとビルド番号がサイドバーに表示されます。 9 [テンプレート エディター] を閉じるには、[OK] をクリックします。 10 [変更の保存] をクリックします。 Launchpad のスタイル シートを編集する アプライアンスには Launchpad のデフォルト スタイル シートが用意されています。このシートを使用すると、組 織名や説明の表示方法を変更できます。 また、Launchpad のヘッダー、フッター、サイドバーもカスタマイズでき ます。 たとえば、Launchpad の背景に表示する画像を指定できます。 画像ファイルは、/files/img または /dat フォルダ ーにあります。 カスタム スタイル シートをインポートすることもできます。 514 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン アプリケーション Launchpad のカスタマイズ 14 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 [エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。 [シングル サインオン] の設定が開きます。 3 [コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし ます。 [テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。 4 [ファイル システム] 領域で [singleSignOn] を展開し、[customLaunchpad.css] を選択します。 [エディター] が開きます。 5 エディターで、Launchpad で組織名と説明の表示に使用するフォントの色、サイズ、ファミリーを指定します。 例: /* Organization Name */ #mainDesc { color:RGB(51,51,51); font-size: 12pt; font-family:verdana; } /* Organization Description */ #subDesc { color:RGB(102,102,102); font-size: 9pt; font-family:verdana; } 6 エディターで、Launchpad の背景に表示する画像を指定します。 次の例では、Launchpad を囲む枠がいっぱいになるまで背景にロゴを表示します。 body { width: 100%; } #main { // In one of the following lines, replace <image_file> with the filename // of the background image and remove the comment tag from that line: // background: url("/files/img/<image_file>") repeat; // background: url("/dat/<image_file>") repeat; padding: 0px; } #aside { display: inline-block; width: 100px; align-self: flex-start; } 7 [テンプレート エディター] を閉じるには、[OK] をクリックします。 8 [変更の保存] をクリックします。 カスタム Launchpad のスタイル シートをインポートする ユーザー インターフェースで、Launchpad のスタイル シートをインポートできます。 エクスポートして編集した スタイル シートまたは独自に作成したスタイル シートをインポートできます。 独自のスタイル シートを使用する場合には、.css ファイルを /files ディレクトリに置き、Launchpad.html で .css ファイルの名前を変更してください。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 [エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。 [シングル サインオン] の設定が開きます。 McAfee Web Gateway 7.6.0 製品ガイド 515 14 クラウド シングル サインオン クラウド サービスのブックマークの作成 3 [コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし ます。 [テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。 4 [ファイル システム] 領域で [singleSignOn] を選択します。 5 [追加] ドロップダウン リストから [既存のファイルまたはディレクトリ] を選択し、スタイル シート ファイル を選択して [開く] をクリックします。 [ファイル システム] の [singleSignOn] の下にスタイル ファイル シートが追加されます。 6 [テンプレート エディター] を閉じるには、[OK] をクリックします。 7 [変更の保存] をクリックします。 Launchpad でカスタム ロゴを表示する アプリケーションの Launchpad で組織または製品のロゴを表示するには、カスタム ロゴの画像ファイルをインポー トします。 画像ファイルを /files/img または /dat フォルダーに置き、Launchpad.html で画像ファイルの名前と場所 (必要な 場合) を変更してください。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 [エンジン] 、 [シングル サインオン] の順に展開し、[デフォルト] を選択します。 [シングル サインオン] の設定が開きます。 3 [コレクション] ドロップダウン リストから [シングル サインオン スキーマ] を選択して、[編集] をクリックし ます。 [テンプレート エディター] が開きます。[シングル サインオン スキーマ] フォルダーが選択されています。 4 [ファイル システム] 領域で [singleSignOn] を展開し、[img] を選択します。 5 [追加] ドロップダウン リストから [既存のファイルまたはディレクトリ] を選択し、ロゴを含むファイルを選択 して [開く] をクリックします。 [ファイル システム] の [img] の下に画像ファイルが追加されます。 6 [テンプレート エディター] を閉じるには、[OK] をクリックします。 7 [変更の保存] をクリックします。 クラウド サービスのブックマークの作成 組織のユーザーがアクセスするクラウド サービスやアプリケーションにブックマークを作成できます。 ブックマークを作成するには、次の形式でリンクを記述します。 https://sso.mwginternal.com/login?service=<S> <S> は、SSO カタログのサービス ID です。 516 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング 14 ユーザーがサービスのリンクをクリックすると、SSO モジュールがログオン ページ用の HTML テンプレートを送信 します。 HTML テンプレートの JavaScript がユーザーのアカウント情報を取得し、サービスに渡します。 ユーザ ーが持っているアカウントの数に応じて、次のいずれかのアクションが実行されます。 • ユーザーがサービスのアカウントを持っていない場合 - Launchpad に移動し、アカウントの作成オプションが 表示されます。 アカウントの作成後、SSO プロセスに従ってサービスにログオンできます。 • ユーザーがサービスに 1 つのアカウントを持っている場合 - アカウントの作成後、SSO プロセスに従ってサー ビスにログオンできます。 • ユーザーがサービスに複数のアカウントを持っている場合 - Launchpad に移動し、アカウントの選択オプショ ンが表示されます。 アカウントの選択後、SSO プロセスに従ってサービスにログオンできます。 ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング ユーザー インターフェースのダッシュボードでは、統計情報を表示して、クラウド アプリケーションとサービスに 対するログオン数を確認できます。 [ダッシュボード] 、 [グラフおよび表] 、 [シングル サインオン統計] の順に選択します。次の情報が表示されます。 • [すべてのログイン] - クラウドアプリケーションとサービスに対して、指定した期間内に発生したログオンの総 数が表示されます。 • [サービスごとのログイン] - 指定した期間内に発生したログオンの数がクラウド アプリケーションまたはサー ビス別に表示されます。 • [サービスごとのログイン] - 指定したクラウド アプリケーションまたはサービスの数が、アクセス数の多いも のから順に表示されます。また、各サービスがアクセスされた回数も表示されます。 • [禁止されたログイン数] - クラウド アプリケーションとサービスに対して指定した期間内に実行され、無効な トークンが原因で拒否されたログオンの数が表示されます。 シングル サインオン ルール セットのサマリー シングル サインオンを設定し、管理するには、シングル サインオン ルール セット、関連リストと設定を使用しま す。 シングル サインオン ルール セットにはデフォルトの値が設定されています。この値をそのまま使用することも、変 更することができます。 ルール セットを初めてインポートして選択すると、ロックされたビューでデフォルトの設 定が表示されます。 シングル サインオンの設定と管理は、ロックされたビューで行います。 ルール セットの詳細にアクセスするには、ビューのロックを解除します。 ビューのロックを解除してこの操作を行 った場合、操作を元に戻すことはできません。 ロックされたビューに戻すには、ルール セットを削除して再度イン ポートする必要があります。 デフォルト設定のロックを解除して表示すると、ネストされたルール セットが表示されます。これらのルール セッ トは次の順番に処理されます。 特に断りのない限り、すべてのルール セットがデフォルトで有効になっています。 1 [サービスの選択] - このルール セットのルールは内部マップにサービスを追加します。このマップにより、現 在のユーザーが要求されたクラウド サービスにアクセス可能かどうかが判断されます。 サービスはデフォルト のリストから追加されます。 2 [SSO 管理] - このルール セットには、シングル サインオンを管理するルール セットがネストされています。 3 [SSO の実行] - このルール セットには、ログオン フォームを処理するルールが含まれています。 SSO 管理 ルール セットには次のルール セットがネストされています。 これらは、表示された順番に処理されます。 McAfee Web Gateway 7.6.0 製品ガイド 517 14 クラウド シングル サインオン クラウド シングル サインオン設定のキー要素 1 [HTTPS 処理] - このルール セットのルールは、HTTPS プロトコルを使用して Launchpad との通信をすべて 保護します。 2 [Launchpad] - このルール セットのルールは、シングル サインオン モジュールの設定を使用して、アプリケ ーションの Launchpad とログオン ページを生成します。 3 [OTP 認証] - このルール セットのルールは、2 番目の認証方法として OTP 認証を施行します。 このルール セ ットは、デフォルトで無効になっています。 4 [ログイン アクションの取得] - このルール セットは、ユーザーが要求しているサービスのコネクターに関する 情報を取得します。 HTTP サービスの場合、ルール セットの処理が停止します。 他のサービスの場合、要求さ れたサービスに対するユーザーのアクセス権を確認します。 5 [共通タスク処理] - このルール セットは、シングル サインオン モジュールの設定を使用して、共通の SSO タ スクを処理します。 また、存在しない SSO リソースに対するアクセスをブロックするルールも含まれています。 ログイン アクション取得 ルール セットには次のルールが含まれています。 これらは、表示された順番に処理されま す。 1 [オンプレミスでのデータの取得] - このルール セットのルールは、外部の LDAP データソースから SAML シン グル サインオンのユーザー情報を取得します。 このルール セットは、Web Gateway がオンプレミスにインス トールされ、実行されている場合にのみ適用されます。 2 [クラウドでの属性の取得] - このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユー ザー名から作成します。 これは、Web Gateway がクラウド上にインストールされ、実行されている場合にのみ 適用されます。 3 [SAML SSO の実行] - このルール セットは、要求された SAML サービスでのシングル サインオンの完了に必 要な情報を含む応答を生成します。 4 [IceToken SSO の実行] - このルール セットは、Web Gateway が提供するカスタム IceToken を使用して、 要求されたサービスでのシングル サインオンの完了に必要な情報を含む応答を生成します。 クラウド シングル サインオン設定のキー要素 シングル サインオン ルール セットのキー要素ビューを使用すると、よく使用する SSO 設定を変更できます。 SSO の設定 SSO 設定により、シングル サインオン モジュールを設定できます。 SSL スキャナーの設定により、Launchpad と SSO のすべての通信が HTTPS プロトコルで保護されます。 シングル サインオンがプロキシ モードで実装されて いる場合には、SSL スキャナー モジュールも有効にする必要があります。 表 14-17 SSO の設定 オプション 定義 [SSO の設定] [編集] をクリックすると、シングル サインオン モジュールが使用するデフォルトの SSO 設定が表示されます。 [SSL スキャナーの設定] [編集] をクリックすると、証明書の設定が表示されます。これにより、Launchpad と SSO の通信を保護することができます。 SSO サービス この設定により、ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。 518 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン クラウド シングル サインオン設定のキー要素 14 表 14-18 SSO サービス オプション 定義 [認証ユーザーのサ [編集] をクリックすると、デフォルトの SSO サービス リストが開きます。個々のユーザーに ービス] アクセスが許可されているサービスのコネクターが表示されます。 このリストにコネクター を追加したり、リストからコネクターを削除できます。 [共有 SSO サービ [編集] をクリックすると、共有 SSO サービスのリストが開きます。アカウントを共有するユ ス] ーザーにアクセスが許可されているサービスのコネクターが表示されます。 このリストにコ ネクターを追加したり、リストからコネクターを削除できます。 簡易ログインのホスト名 この設定を使用すると、サービス ID として使用するホスト名を設定できます。 表 14-19 ホスト名の関連付け オプション 定義 [ホスト名の関連 付け] [編集] をクリックすると、[SSO ホストとサービス ID の関連付け] リストが開きます。ここ で、ホスト名とサービス ID の関連付けを行います。 関連付けを設定すると、ユーザーはブラ ウザーのアドレス バーに次のいずれかの簡易 URL を入力して、クラウド サービスにアクセス できます。 • http://<ホスト名> • https://<ホスト名> SAML と IceToken SSO のサポート これらの設定を使用すると、SAML または IceToken 認証を使用するクラウド サービスとアプリケーションへのシ ングル サインオンに LDAP データの取得方法を設定できます。 表 14-20 SAML と IceToken SSO のサポート オプション 定義 [SAML と IceToken SAML または IceToken 認証を使用するサービスとアプリケーションに対するシングル SSO サポートを有効に サインオンを有効にします。 する] [追加属性の取得] LDAP データの取得方法を選択します。 • [LDAP] - 認証モジュールを使用して、1 つ以上の LDAP サーバーからデータを取得し ます。 複数の LDAP サーバーを設定している場合、認証モジュールがフェールバックに対応し ています。 • [外部リストとしての LDAP] - 外部リスト モジュールを使用して、1 つの LDAP サー バーからデータを取得します。 [LDAP の設定] [編集] をクリックすると、認証モジュールの設定が表示されます。ここで、データソース として 1 つ以上の LDAP サーバーを設定できます。 [外部リスト設定として [編集] をクリックすると、外部リスト モジュールの設定が表示されます。ここで、デー の LDAP] タソースとして 1 つの LDAP サーバーを設定できます。 OTP の使用 (ワンタイム パスワード) この設定により、OTP 認証を設定できます。 McAfee Web Gateway 7.6.0 製品ガイド 519 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 表 14-21 OTP (ワンタイム パスワード) の使用 オプション 定義 [サービスへのアクセス 選択すると、シングル サインオン時に基本的な認証方法以外にワンタイム パスワードの に OTP が必要] 入力が必要になります。 [OTP サーバーの設定] [編集] をクリックすると、OTP の設定が開きます。 [OTP の配布方法] オプションを選択して、ワンタイム パスワードの配布方法を指定します。 • [生成された OTP (Pledge)] - Pledge (デスクトップ コンピューターまたは携帯端 末の OTP クライアント) がワンタイム パスワードを生成します。 • [配布された OTP] - OTP サーバーがワンタイム パスワードを生成し、電子メールま たは SMS を配布します。 [OTP を必要とするサ ービス] [編集] をクリックすると、[OTP で保護された SSO サービス] リストが表示されます。 ここで、サービスをリストに追加できます。 シングル サインオン ルール セットのリファレンス シングル サインオン ルール セットにあるネストされたルール セットを使用すると、組織内のエンドユーザーにクラ ウド サービスとアプリケーションに対する SSO アクセスを設定できます。 ライブラリ ルール セット - シングル サインオン 条件 - Always サイクル - 要求 (IM)、応答 シングル サインオン ルール セットには次のルールが含まれています。 • • サービスの選択 SSO 管理 • HTTPS 処理 • Launchpad • OTP 認証 • ログイン アクションの取得 • • • オンプレミスでの属性の取得 • クラウドでの属性の取得 • SAML SSO の実行 • IceToken SSO の実行 共通タスク処理 SSO の実行 SSO 管理ルール セットにネストされているルール セットは、SSO.IsManagementRequest プロパティが true を 戻したときに実行されます。 このプロパティは、内部または外部の SSO 要求が次の場合に true に設定されます。 • 内部 SSO 要求 - SSO.Action プロパティが内部 SSO 要求アクションに対応する文字列を戻した場合。 • 外部 SSO 要求 - 外部 SSO 要求が Web Gateway の SSO サービス URL に送信された場合。 ログイン アクションの取得ルール セットにネストされたルール セットは、ユーザー情報を取得し、SAML クラウド サービスまたはアプリケーションにシングル サインオンを実行します。 520 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 サービス選択ルール セット このルール セットのルールは、クラウド サービスのリストを取得します。このリストに従って、認証ユーザーまた は共有アカウントのユーザーにアクセスが許可されます。 他の SSO 操作のモジュールでは、このリストだけでな く、このルール セットのルールを使用して設定した情報も使用できます。 ネストされたライブラリ ルール セット - サービスの選択 条件 - Always サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 デフォルトの SSO サービスを追加する (個々のアカウント) ルール要素 定義 [条件] Authentication.IsAuthenticated equals true AND String.IsEmpty(Authentication.UserName) equals false [アクション] Continue [イベント] SSO.AddServices ("defaultIDP", Authentication.UserName, Default SSO Services, { "label":"Individual", "permit-usage":"yes", "permit-management":"yes" })<Default> ユーザーが認証されると、シングル サインオン モジュールがクラウド サービスのリストを取得します。このリスト に基づいて、ユーザーにアクセスが許可されます。 シングル サインオン モジュールが次のプロパティと設定でイベントを実行します。 • ["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。 • [Authentication.UserName] - 認証ユーザーの名前。 • [デフォルトの SSO サービス] - 認証ユーザーにアクセスが許可されているサービスのリスト。 • 以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。 • • ["label"] - アカウントのタイプ (個別または共有) • ["permit-usage"] - リストのサービスに対する認証済みユーザーのアクセスを許可または拒否します。あ るいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定します。 • ["permit-management"] - 認証済みユーザーによるアカウント管理機能へのアクセスを許可または拒否 します。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定し ます。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 McAfee Web Gateway 7.6.0 製品ガイド 521 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス OTP で保護された SSO サービスの追加 (個々のアカウント、OTP 認証後の使用) ルール要素 定義 [条件] Authentication.IsAuthenticated equals true AND String.IsEmpty(Authentication.UserName) equals false [アクション] Continue [イベント] SSO.AddServices ("defaultIDP", Authentication.UserName, OTP Secured SSO Services, { "label":"Individual", "permit-usage":"otp", "permit-management":"otp" })<Default> ユーザーが認証されると、シングル サインオン モジュールがクラウド サービスのリストを取得します。 Launchpad に入力されたワンタイム パスワードで再度認証を実行した後で、OTP で保護されたサービスに対するア クセスまたは管理を認証済みユーザーに許可します。 モジュールが次のプロパティと設定でイベントを実行します。 • ["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。 • [Authentication.UserName] - 認証ユーザーの名前。 • [OTP で保護された SSO サービス] - ワンタイム パスワードで再度認証を受けた後に認証ユーザーにアクセス が許可されるサービスのリスト。 • 以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。 • • ["label"] - アカウントのタイプ (個別または共有) • ["permit-usage"] - リストのサービスに対する認証済みユーザーのアクセスで、OTP 認証を要求します。 値: "otp" • ["permit-management"] - 認証済みユーザーによるアカウント管理機能に対するで、OTP 認証を要求しま す。 値: "otp" [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 共有の SSO サービスを追加する (共有アカウント) ルール要素 定義 [条件] Always [アクション] Continue [イベント] SSO.AddServices ("defaultIDP", "sharedAccounts", Shared SSO Services, { "label":"Shared", "permit-usage":"yes", "permit-management":"yes" })<Default> 522 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 シングル サインオン モジュールがクラウド サービスのリストを取得します。このリストに従って、共有アカウント の認証ユーザーにアクセスが許可されます。 • ["defaultIDP"] - ユーザー アカウント情報が保存されている認証情報ストアのドメイン。 • ["sharedAccounts"] - 共有アカウント。 • [共有 SSO サービス] - 共有アカウントの認証ユーザーにアクセスを許可するサービスのリスト。 • 以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。 • • ["label"] - アカウントのタイプ (個別または共有) • ["permit-usage"] - リストのサービスに対する共有アカウント ユーザーのアクセスを許可または拒否しま す。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定しま す。 • ["permit-management"] - 共有アカウントのユーザーによるアカウント管理機能へのアクセスを許可ま たは拒否します。あるいは、OTP 認証を要求します。 アクセスを設定するには、"yes"、"no" または "otp" を指定します。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 覚えやすいホスト名でのシングル サインオンの処理 ルール要素 定義 [条件] Map.HasKey (SSO Host to Service ID mapping, URL.Host) equals true [アクション] Redirect [イベント] Set Redirect.URL = "http://" + SSO.ManagementHost<Default> + "/login?service=" + Map.GetStringValue (SSO Host to Service ID mapping, URL.Host) SSO ホストとサービス ID のマッピングに、要求されたサービスのホスト名が含まれている場合、そのサービスに設 定された URL に要求がリダイレクトされます。 シングル サインオン モジュールが指定された文字列、以下のプロパティと設定からリダイレクト URL を作成しま す。 • [SSO.ManagementHost] - Web Gateway 提供の SSO サービスのホスト名。 • [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 • [Map.GetStringValue (SSO Host to Service ID Mapping, URL.Host)] - SSO ホストとサービス ID のマ ップで要求されたサービスのホスト名を検索し、サービスのサービス ID を戻します。 HTTPS 処理ルール セット このルール セットは、HTTPS プロトコルで実行されるエンドユーザーと Launchpad 間の SSO 通信を保護します。 ネストされたライブラリ ルール セット - HTTPS の処理 条件 - Always サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 McAfee Web Gateway 7.6.0 製品ガイド 523 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス SSL を有効にする ルール要素 定義 [条件] Command.Name equals "CONNECT" [アクション] Stop Cycle [イベント] Enable SSL Client Context without CA <Launchpad certificate> Enable SSL Scanner <Enable Content Inspection> SSO 接続が必要な場合、このルールは要求サイクルを停止します。 シングル サインオン モジュールが SSL 証明書 を提供し、コンテンツ検査を有効にします。 モジュールが次の設定でイベントを実行します。 • [<Launchpad certificate>] - SSL 証明書と設定を指定します。 デフォルトの証明書を使用することも、イン ポートして使用することもできます。 • [<Enable Content Inspection>] - SSL スキャナー モジュールによるコンテンツ検査を有効にするように設 定を行います。 SSL を施行する ルール要素 定義 [条件] Connection.Protocol equals "HTTP" [アクション] Redirect<Default> [イベント] Set URL.Protocol = "https" Set Redirect.URL = URL 接続プロトコルが HTTP の場合、シングル サインオン モジュールが SSO プロトコルを "https" に設定し、SSO 要 求を指定の URL にリダイレクトします。 ルールが次の設定でリダイレクト アクションを実行します。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 Launchpad ルール セット このルール セットは、必要な情報をすべて使用して Launchpad またはログオン ページを生成します。 ネストされたライブラリ ルール セット - Launchpad 条件 - Always サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 Launchpad の作成 ルール要素 定義 [条件] URL.Path equals "/" OR URL.Path equals "/launchpad" [アクション] Block<SSO Launchpad> [イベント] HTTP.SetStatus (200) 要求された URL が SSO サービスまたは Launchpad を指定している場合、このルールが次の設定を使用して Launchpad を生成します。 524 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 [<SSO Launchpad>] - Launchpad の生成に使用する言語とテンプレートの設定を指定します。 Launchpad の設定は変更しないことをお勧めします。 シングル サインオン モジュールは HTTP ステータス コードを 200 (OK) に設定します。 ログイン ページを自動的に作成する ルール要素 定義 [条件] URL.Path equals "/login" [アクション] Block<SSO Login Page> [イベント] HTTP.SetStatus (200) 要求された URL が SSO ログオン ページを指定している場合、このルールが次の設定を使用して、JavaScript を含 むログオン ページを生成します。 [<SSO Login Page>] - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。 ログオン ページの設定は変更しないことをお勧めします。 シングル サインオン モジュールは HTTP ステータス コードを 200 (OK) に設定します。 ログイン ページを自動的に作成する (一部のサービスで利用可能) ルール要素 定義 [条件] URL.Path matches regex(/login-.+) [アクション] Block<SSO Login Page> [イベント] Set URL.Parameters = List.OfString.Append (URL.Parameters, String.Concat ("service=", String.SubString (URL.Path, 7, -1))) Set URL.Path = "/login" HTTP.SetStatus (200) このルールは、要求された URL がデフォルトの形式ではなく、/login-<Service ID> という形式で SSO ログオン ページを指定している場合に適用されます。SSO サービスが予期する形式は /login?service=<Service ID> で す。 このルールは、次の設定を使用してログオン ページを生成します。 [<SSO Login Page>] - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。 ログオン ページの設定は変更しないことをお勧めします。 シングル サインオン モジュールは、要求された URL をデフォルトの形式で再構築し、HTTP ステータス コードを 200 (OK) に設定します。 シングル サインオンを SP で開始した場合、一部の SAML サービスは IdP URL でクエリー パラメーターを使用でき ません。 McAfee Web Gateway 7.6.0 製品ガイド 525 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス OTP 認証ルール セット このルール セットを有効にすると、クラウド サービスとアプリケーションにアクセスするエンド ユーザーの 2 番目 の認証方法として OTP 認証を施行できます。 ネストされたライブラリ ルール セット — OTP 認証 条件 - SSO.OtpRequired<Default> equals true サイクル - 要求 (IM) このルール セットのルールは、SSO アクションで OTP 認証が必要な場合に実行されます。 OTP コンテキストの準備 ルール要素 定義 [条件] URL.HasParameter ("requestOTP") equals true OR URL.HasParameter ("pledgeOTP") equals true [アクション] Continue [イベント] Authentication.SendOTP<OTP> 認証ユーザーからワンタイム パスワードが要求されると、シングル サインオン モジュールがユーザーにパスワード を送信します。 OTP 要求の種類は次のとおりです。 • ["requestOTP"] - ユーザーが McAfee OTP サーバーを介してワンタイム パスワードを要求します。 • ["pledgeOTP"] - ユーザーが Pledge を介してワンタイム パスワードを要求します。Pledge は、コンピュータ ーまたは携帯端末のローカルで実行される OTP クライアントです。 モジュールが次の設定でイベントを実行します。 <OTP> - OTP 認証の設定 OTP コンテキストを戻す ルール要素 定義 [条件] URL.HasParameter ("requestOTP") equals true [アクション] Stop Cycle [イベント] HTTP.GenerateResponse (JSON.ToString (JSON.StoreByName (JSON.CreateObject, "otp-context", JSON.FromString (Authentication.OTP.Context<OTP>)))) HTTP.SetStatus (403) 認証ユーザーからワンタイム パスワードが要求されると、このルールが要求サイクルを停止します。 シングル サイ ンオン モジュールが OTP コンテキストを含む応答を JSON オブジェクトとして生成します。 McAfee OTP サー バーがワンタイム パスワードに応答すると、OTP コンテキストはヘッダー フィールドで提供されます。 モジュールが次の設定でイベントを実行します。 <OTP> - OTP 認証の設定。 モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。 526 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 配布された OTP の検証 ルール要素 定義 [条件] Authentication.Authenticate<OTP> equals false [アクション] Stop Cycle [イベント] HTTP.GenerateResponse ("{"authentication-required":"delivered-otp"}") HTTP.SetStatus (403) OTP 認証に失敗すると、このルールが要求サイクルを停止します。 シングル サインオン モジュールが認証結果と方 法を含む応答を生成します。 この方法 (配布された OTP) は、McAfee OTP サーバーからワンタイム パスワードが 配布されたことを意味します。 モジュールが次の設定でイベントを実行します。 <OTP> - OTP 認証の設定。 モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。 ワンタイム パスワードが McAfee OTP サーバーから配布される場合には、このルールを有効にします。 Pledge で生成された OTP の検証 ルール要素 定義 [条件] Authentication.Authenticate<OTP> equals false [アクション] Stop Cycle [イベント] HTTP.GenerateResponse ("{"authentication-required":"generated-otp"}") HTTP.SetStatus (403) OTP 認証に失敗すると、このルールが要求サイクルを停止します。 シングル サインオン モジュールが認証結果と方 法を含む応答を生成します。 この方法 (生成された OTP) は、Pledge OTP クライアントがワンタイム パスワード を生成したことを意味します。 モジュールが次の設定でイベントを実行します。 <OTP> - OTP 認証の設定。 モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。 ワンタイム パスワードが Pledge OTP クライアントで生成される場合には、このルールを有効にします。 ログイン アクション取得ルール セット このルール セットは、要求されたクラウド サービスまたはアプリケーションのコネクターに関する情報を取得しま す。 HTTP クラウド コネクターの場合、ルール セットを処理した後に停止します。 他のクラウド コネクターの場 合、要求されたクラウド サービスまたはアプリケーションに対するユーザーのアクセス権を確認します。 ネストされたライブラリ ルール セット - ログイン アクションの取得 条件 - SSO.Action<Default> equals "GetLoginAction" サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 McAfee Web Gateway 7.6.0 製品ガイド 527 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス コネクター情報の取得 ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.sso-conn-info = SSO.GetConnectorInfo (String.ToSSOConnector (URL.GetParameter ("service"))) シングル サインオン モジュールが、ユーザーから要求されたサービスのコネクターに関する情報を取得し、 [sso-conn-info] というローカル変数に JSON オブジェクトとして保存します。次の情報が取得されます。 • 名前 (文字列) - クラウド コネクターのユーザー定義の名前。 • サービス ID (文字列) - クラウド サービスまたはアプリケーションの ID。 • タイプ (文字列) - クラウド サービスが使用する認証方法。 値: HTTP、SAML2 • インライン (ブール値) - true の場合、クラウド コネクターはプロキシ モードまたはインライン モードでのシ ングル サインオンを必要とする動的 HTTP クラウド サービスをサポートしています。 • 廃止 (ブール値) - true の場合、クラウド コネクターはサポートされていません。 フォーム ベース ログインのルール セットを停止する ルール要素 定義 [条件] JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type")) equals "http" [アクション] Stop Rule Set [イベント] なし クラウド コネクター タイプが HTTP の場合、このルールはログイン アクション取得ルール セットを停止します。 ユーザーのアクセス権限の検証 ルール要素 定義 [条件] SSO.UserHasAccessToService (URL.GetParameter ("realm"), URL.GetParameter ("user"), URL.GetParameter ("service"), "usage")<Default> equals false [アクション] Block<SSO: User Has No Access To Service> [イベント] なし このルールは、"service" と "usage" パラメーターを検証し、要求されたサービスまたはアプリケーションに対する アクセス権がユーザーに付与されているかどうか確認します。 "service" パラメーターが空か、"usage" パラメータ ーが "no" に設定されている場合、要求されたサービスに対するアクセスをブロックします。 このルールは次の設定で実行されます。 528 • [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 • [<SSO: User Has No Access To Service>] - ユーザーに表示するブロック メッセージに使用する言語とテ ンプレートの設定を指定します。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 「オンプレミスでの属性の取得」ルール セット このルール セットのルールは、外部の LDAP データソースから SAML シングル サインオンのユーザー情報を取得し ます。 このルール セットはデフォルトで無効になっています。インストールされた Web Gateway がオンプレミ スで実行され、SSO タイプが SAML2 の場合にのみ、このルール セットが適用されます。 ネストされたライブラリ ルール セット - オンプレミスでの属性の取得 条件 - InTheCloud equals false AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type")) does not equal "HTTP" サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 LDAP からの追加属性の取得 ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set Authentication.RawUserName = Authentication.UserName Set User-Defined.sso-user-data = Authentication.GetUserGroupsJSON<LDAP Authentication> シングル サインオン モジュールが、認証フィルターを使用して外部の LDAP データ ソースからユーザー情報を取得 します。 [sso-user-data] というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザー情報は、 name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用されます。 このイベントは次の設定で実行されます。 [<LDAP Authentication>] - 外部 LDAP データソースに設定した認証モジュールを指定します。 外部リストによる LDAP からの追加属性の取得 ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.sso-user-data = ExtLists.JSON (Authentication.UserName, "", "")<LDAP Source> シングル サインオン モジュールが、外部リスト モジュールを使用して外部の LDAP データ ソースからユーザー情 報を取得します。 [sso-user-data] というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザ ー情報は、name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用さ れます。 このイベントは次の設定で実行されます。 [<LDAP Source>] - 外部 LDAP データソースに設定した外部リスト モジュールを指定します。 McAfee Web Gateway 7.6.0 製品ガイド 529 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス クラウドでの属性の取得ルール セット このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユーザー名から作成します。 これはデ フォルトで無効になっています。インストールされた Web Gateway がクラウドで実行され、SSO タイプが SAML2 の場合にのみ、このルール セットが適用されます。 ネストされたライブラリ ルール セット - クラウドでの属性の取得 条件 - InTheCloud equals true AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type")) does not equal "HTTP" サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 ユーザー名からユーザー データを取得する ルール要素 定義 [条件] Authentication.IsAuthenticated equals true AND Authentication.UserName matches *@* AND JSON.Size (User-Defined.sso-user-data) equals 0 [アクション] Continue [イベント] Set User-Defined.sso-user-data = JSON.StoreByName (User-Defined.sso-user-data, "mail", JSON.FromString (Authentication.UserName)) このルールは、ユーザーが認証済みの場合にのみ適用されます。ユーザー名は電子メール アドレス、 [sso-user-data] 変数は空です。 このルールは、name-value ペア属性を mail で保存します。ユーザーの電子メ ール アドレスは JSON オブジェクトとして [sso-user-data] 変数に保存されます。 SAML SSO 実行ルール セット このルール セットは、要求された SAML サービスまたはアプリケーションでのシングル サインオンの完了に必要な 情報を含む応答を生成します。 ネストされたライブラリ ルール セット - SAML SSO の実行 条件 - Always サイクル - 要求 (IM)、応答、埋め込みオブジェクト このルール セットには以下のルールが含まれます。 ログイン アクションの取得 (SAML) ルール要素 定義 [条件] JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type")) matches saml* [アクション] Stop Cycle [イベント] HTTP.GenerateResponse (SSO.GetSAMLLoginAction (URL.GetParameter ("service"), User-Defined.sso-user-data)<Default>) 530 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオン ルール セットのリファレンス 14 クラウド コネクター タイプが SAML2 の場合、このルールは要求サイクルを停止します。 シングル サインオン モ ジュールが、要求された SAML サービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー 情報を含む応答を生成します。 このイベントは次の設定で実行されます。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 IceToken SSO 実行ルール セット このルール セットは、要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要な情報を 含む応答を生成します。 ネストされたライブラリ ルール セット - IceToken SSO の実行 条件 - Always サイクル - 要求 (および IM) このルール セットには以下のルールが含まれます。 ログイン アクションの取得 (IceToken) ルール要素 [条件] 定義 JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type")) equals "icetoken" [アクション] Stop Cycle [イベント] HTTP.GenerateResponse (SSO.GetIceTokenLoginAction (URL.GetParameter ("service"), User-Defined.sso-user-data)<Default>) クラウド コネクター タイプが IceToken の場合、このルールは要求サイクルを停止します。 シングル サインオン モジュールが、要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー情報を 含む応答を生成します。 このイベントは次の設定で実行されます。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 共通タスク処理ルール セット このルール セットでは、共通の SSO タスクを処理し、存在しない SSO リソースへのアクセスをブロックします。 ネストされたライブラリ ルール セット - 管理要求ブロック 条件 - Always サイクル - 要求 (IM) このルール セットには以下のルールが含まれます。 共通タスク処理 ルール要素 定義 [条件] SSO.ProcessTask<Default> equals true [アクション] Stop Cycle [イベント] なし McAfee Web Gateway 7.6.0 製品ガイド 531 14 クラウド シングル サインオン シングル サインオン ルール セットのリファレンス このルールは、共通の SSO タスク (認証情報の管理など) を処理します。 無効な管理要求または未処理の管理要求のブロック ルール要素 定義 [条件] Always [アクション] Block<File Not Found> [イベント] HTTP.SetStatus (404) このルールは、要求されたリソースが存在せず、以下の設定で実行されている場合に、リソースに対するアクセスを ブロックします。 [<File Not Found>] - エンドユーザーに表示するブロック メッセージに使用する言語とテンプレートの設定を指 定します。 シングル サインオン モジュールは HTTP ステータス コードを 404 (Not Found) に設定します。 SSO 実行ルール セット このルール セットを使用すると、シングル サインオンがプロキシ (インライン) モードで実装されている場合に、エ ンドユーザーが HTTP クラウド サーバーまたはアプリケーションにログオンンできます。 ネストされたライブラリ ルール セット - SSO の実行 条件 - Always サイクル - 要求 (IM)、応答 このルール セットには以下のルールが含まれます。 ログイン フォームの処理 ルール要素 定義 [条件] Always [アクション] Continue [イベント] SSO.ProcessFormLogin<Default> [シングル サインオン] モジュールがログオン フォームを処理します。ユーザーは、このフォームを使用してプロキ シ (インライン) モードの HTTP クラウド サービスまたはアプリケーションにアクセスします。 イベントの処理 は、ログオン プロセスの手順によって異なります。 • ユーザーがログオン フォームを要求したとき - ログオン ページに JavaScript が追加されます。これにより、 動的 HTTP クラウド サービスへのシングル サインオンが可能になります。また、実際のパスワードがパスワー ド トークンに置換されます。 • ユーザーがログオン フォームを送信したとき - パスワード トークンが実際のパスワードに置換されます。 SSO モジュールが次の設定でこのイベントを実行します。 [<Default>] - Web Gateway 提供の SSO サービスに接続する設定。 532 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオンのリストと設定 14 シングル サインオンのリストと設定 シングル サインオン モジュールは、設定に従ってシングル サインオン ルール セットのルールで使用されている SSO プロパティとイベントから値とパラメーターを取得します。 モジュールが使用する設定の一部はリストとして 設定されます。 シングル サインオン リスト シングル サインオン モジュールが使用する設定の一部はリストとして設定されます。 SSO ホストとサービス ID の関連付け このリストを使用すると、覚えやすい名前 (ホスト名) と設定済みのコネクターのサービス ID を関連付けることが できます。 ユーザーが Web ブラウザーのアドレス フィールドにホスト名を入力します。 シングル サインオン モ ジュールがマップでホスト名を検索し、サービス ID を取得します。 ホスト名とサービス ID はキー/値ペアとして 保存されます。 モジュールがカスタム コネクターに割り当てたサービス ID が数値の場合、この機能は非常に便利です。 このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択します。 表 14-22 SSO ホストとサービス ID の関連付け オプション 定義 [キー] 設定済みのコネクターに分かりやすい名前を指定します。 例:MyConnector [値] 設定済みのコネクターのサービス ID を指定します。 サービス ID は SSO カタログで検索できます。 SSO サービス シングル サインオン モジュールのデフォルトのリストを使用すると、ユーザーにアクセスを許可するクラウド サー ビスを設定できます。 独自のアクセス制御リストを作成して設定することもできます。 これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター] の順に選択し ます。 表 14-23 SSO サービス リスト名 定義 [デフォルトの SSO サービ ス] ユーザーにアクセスを許可するクラウド サービスのコネクターが記述されたデフォ ルトのリストです。 [OTP で保護された SSO サ ービス] 基本的な認証方法以外に OTP 認証を必要とするクラウド サービスのコネクターが 記述されたリストです。 [共有 SSO サービス] アカウントを共有しているユーザーにアクセスを許可するクラウド サービスのコネ クターが記述されたリストです。 SSO カタログ [SSO カタログ] では、事前定義のクラウド コネクターとカスタム クラウド コネクターの情報を確認できます。 テ ンプレートから新しいコネクターを設定して、カスタム コネクターのリストに表示できます。 これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] 、 [SSO カタログ] の順に選択しま す。 McAfee Web Gateway 7.6.0 製品ガイド 533 14 クラウド シングル サインオン シングル サインオンのリストと設定 表 14-24 SSO カタログ オプショ ン 定義 [アイコ ン] デフォルトのアイコンは、コネクターが設定されているクラウド サービスまたはアプリケーションのロ ゴです。カスタム コネクターの場合、デフォルトのアイコンを任意の画像で置換できます。 [名前] 事前定義コネクターまたはカスタム コネクターの名前です。 • 事前定義のコネクター - モジュールが割り当てた名前です。サービス ID と同じです。 • カスタム コネクター - コネクター インスタンスを設定した管理者によって割り当てられた名前で す。 [説明] (オプション) コネクター インスタンスの説明。 [カテゴ リ] クラウド サービスまたはアプリケーションがユーザーに提供するサービスの種類。 デフォルトの値を 変更したり、複数のカテゴリを設定できます。 例: ビジネス インテリジェンス、コンテンツ管理、セキュリティ [サービス 各コネクターを一意に識別する ID。 ID] • [事前定義のコネクター ]- ID はクラウド サービスまたはアプリケーションの名前になります。 例: [ABIresearch] • [カスタム コネクター] - ID はモジュールが割り当てた番号になります。 例:229 [タイプ] コネクターが設定されているクラウド サービスまたはアプリケーションが使用する認証方法。 値: [HTTP]、[SAML2] シングル サインオンの設定 シングル サインオン モジュールは、設定に従ってシングル サインオン ルール セットのルールで使用されている SSO プロパティとイベントから値とパラメーターを取得します。 デフォルトの SSO 設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォ ルト] の順に選択します。 シングル サイン オン Web Gateway 提供の SSO サービスとの接続に必要な設定を指定します。 534 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン シングル サインオンのリストと設定 14 表 14-25 シングル サインオン オプショ 定義 ン [管理ホ スト] Web Gateway がインストールされ、SSO プロセスが実行されるサーバーの URL を指定します。 SSO 要求は、この URL で解決されます。 Web Gateway は、この URL で受信した要求を SSO 要求として 認識します。 SSO 要求を受信すると、[SSO.IsManagementRequest] プロパティが true に設定され ます。 デフォルト値: sso.mwginternal.com 非プロキシ モードの場合、この設定は Web Gateway アプライアンスの IP アドレスとして使用されま す。 プロキシ モードと非プロキシ モードの要求を処理するには、2 つのルール セットを使用し、それぞ れのルール セットで異なる管理ホストを設定します。 [言語] 次のオプションを選択します • [自動 (ブラウザー)] - Launchpad とログオン ページにテキストを表示するときに、ブラウザーの言 語設定が使用されます。 • [強制:] - Launchpad とログオン ページにテキストを表示するときに使用する言語をドロップダウ ン リストから選択します。 [コレク ション] ドロップダウン リストからテンプレート コレクションを選択して、[編集] をクリックします。 テンプ レート エディターが開きます。 • デフォルト スキーマ - ユーザー メッセージを作成するカスタマイズ可能なテンプレートです。 • SAML 要求スキーマ - 外部の ID プロバイダーと送受信する SAML 認証の要求 (SAMLRequest.html) と応答 (SAMLRedirectToAuth.html) 用のテンプレートです。 • シングル サインオン スキーマ - アプリケーションの Launchpad とログオン ページをカスタマイ ズするテンプレートです。 これらの設定は、[テンプレート] タブでも実行できます。 ログイン フォーム プロキシ モードを有効にして、秘密鍵を PEM 形式でインポートまたはエクスポートします。 表 14-26 ログイン フォーム オプション 定義 [MWG をインラインで実行する (必 須: SSL スキャン有効)] 選択すると、Web Gateway はプロキシ (またはインライン) モードで SSO プロセスを処理します。 [SSO トークンの署名に使用する秘 密鍵] SSO プロセスで生成された SAML アサーションの署名に使用する秘密鍵 を PEM ファイル形式でインポートできます。秘密鍵は、PEM ファイル形式 でエクスポートできます。 詳細設定 SSO プロセスの P3P 文字列とデバッグ ロギング レベルを設定します。 McAfee Web Gateway 7.6.0 製品ガイド 535 14 クラウド シングル サインオン シングル サインオンのリストと設定 表 14-27 詳細設定 オプション 定義 [SSO トークン Cookie の設定に使用 する P3P 文字列] P3P (Privacy Preferences Project) プラットフォームで必要な設定文字列を指定しま す。 この値は、エンドユーザーのブラウザーのプライバシー設定に一致させる必要があり ます。 通常、デフォルト値 (CP="NOI CUR OUR STP STA") を使用します。 Internet Explorer の場合、このデフォルト値を変更する必要があります。 P3P 文字列を 正しく設定しないと、SSO プロセスに失敗します。 [ログ レベル (必須: SSO デバッグ ログ ルール セット)] ドロップダウン リストからログ レベルを選択します。 • [無効] - ロギングが無効になっています。 • [エラー] - エラー メッセージだけがログに記録されます。 • [アクセス] - エラー メッセージと情報メッセージが SSO アクセス ログ ファイルに記 録されます。 • [完全] - すべてのメッセージが SSO アクセス ログ ファイルに記録されます。 SSO ロギングを有効にするには、[ルール セット ライブラリ] の [ロギング] ルール セッ ト グループから [SSO ログ] ルール セットをインポートします。 ログ レベルを [完全] に設定した場合には、[追跡ログ] ルール セットが有効になっている ことを確認してください。 SSO 証明書と秘密鍵の設定 SAML のシングル サインオンでは、SAML アサーションと要求に署名し、SAML 署名を検証するため、X.509 の証 明書と秘密鍵が必要です。 SSO 証明書 SSO プロセスは、SAML サービス プロバイダーが提供した X.509 証明書を使用して、SP 要求を検証します。X. 509 証明書は、[SSO 証明書] でインポートできます。 この設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 証明書] の順に選択します。 表 14-28 SSO 証明書 オプション 定義 [名前] ユーザー インターフェースで区別できるように、インポートする X.509 証明書に固有の名前を指 定します。 [インポート] このオプションをクリックすると、インポートする X.509 証明書を検索して選択できます。 [SSO 証明書] 証明書をインポートすると、次の証明書データが表示されます。 • [サブジェクト] - X.509 証明書を含む項目の識別名が表示されます。 この値は、サービス プロ バイダーに対応しています。 • [発行者] - 証明書に署名した証明機関 (CA) の識別名が表示されます。 サブジェクトと発行者 が同じ場合、証明書は自己署名になります。 • [有効性] - 証明書の有効期間。 • [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。 536 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SSO ロギングの概要 14 SSO 秘密鍵 SSO プロセスは、エンドユーザーの身元を証明する SAML アサーションに秘密鍵で署名します。 SAML サービス プロバイダーは、対応する X.509 証明書を使用して署名を検証します。 SAML SSO プロセスを実行するには、X. 509 証明書と秘密鍵の 1 つ以上のペアを生成またはインポートする必要があります。 キー ペアを生成またはイン ポートすると、証明書と秘密鍵が Web Gateway ユーザー インターフェースのドロップダウン リストで選択可能に なります。 これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 秘密鍵] の順に選択します。 表 14-29 SSO 秘密鍵 オプショ ン 定義 [名前] ユーザー インターフェースで区別できるように、生成またはインポートする X.509 証明書と秘密鍵に 固有の名前を指定します。 [生成] このオプションをクリックすると、X.509 証明書と秘密鍵のペアが生成されます。 以下のフィールド により、秘密鍵で指定された証明書のサブジェクトが一意に識別されます。 証明書サブジェクトは、 証明書または組織の情報を保存する項目です。 設定を行うときに、組織の値を入力します。 • [コモン ネーム (必須)] • [州] • [組織 (必須)] • [国/地域] • [組織単位] • [電子メール アドレス] • [ローカリティ (必須)] [有効期間] - 証明書の有効期間。年単位で指定します。 [コメント] - (オプション) 証明書データ にコメントを追加できます。 [インポー ト] このオプションをクリックすると、X.509 証明書と秘密鍵のペアをインポートできます。このオプシ ョンは、すでに X.509 証明書ファイルと秘密鍵のペアがあり、ユーザー インターフェースにインポー トする場合に使用します。 [秘密鍵と 証明書] X.509 証明書と秘密鍵のペアを生成またはインポートすると、次のデータが表示されます。 • [サブジェクト] - X.509 証明書を含む項目の識別名が表示されます。 この値は、Web Gateway に対応しています。 • [発行者] - 証明書に署名した証明機関 (CA) の識別名が表示されます。 サブジェクトと発行者が 同じ場合、証明書は自己署名になります。 • [有効性] - 証明書の有効期間。 • [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。 • [秘密鍵] - 秘密鍵が存在するかどうかを表します。 [エクスポ ート] このオプションをクリックすると、X.509 証明書をエクスポートできます。SAML サービス プロバイ ダーは、このファイルを使用して署名付きの SAML アサーションと要求を検証します。 [キーのエ クスポー ト] このオプションをクリックすると、秘密鍵をエクスポートできます。 SSO ロギングの概要 SSO ログ ルール セットは、SSO アクセス ログを生成します。また、プロキシが SSO.LogAttributes プロパティ に保存する SSO 要求の情報から SSO 追跡ログを生成することもできます。 SSO プロキシは、内部と外部の SSO 要求の情報を SSO.LogAttributes プロパティに保存します。 SSO ロギング が有効な場合: McAfee Web Gateway 7.6.0 製品ガイド 537 14 クラウド シングル サインオン SSO ロギングの概要 • 内部要求が汎用のアクセス ログではなく、SSO アクセス ログに記録されます。 • Web Gateway の外部から送信される外部要求は、汎用のアクセス ログに記録されます。 SSO ロギングを有効にするには、[ルール セット ライブラリ] の [ロギング] ルール セット グループから [SSO ロ グ] ルール セットをインポートします。 [SSO ログ] ルール セットには次のルール セットがネストされています。 • [アクセス ログ] - エラー メッセージと情報メッセージを SSO アクセス ログ ファイルに記録します。 • [追跡ログ] - すべてのメッセージを SSO 追跡ログ ファイルに記録します。 • [ロギング停止] - [SSO ログ] ルール セット サイクルを停止します。 追跡ログはアクセス ログよりも詳細で、SSO 機能のデバッグに使用するログです。 SSO ロギングを有効にするには、次の操作を行います。 1 [SSO ログ] ルール セットを [ログ ハンドラー] ルール セット ツリーに追加します。 2 [ログ ハンドラー] ツリーで、[デフォルト] ロギング ルールの上に [SSO ログ] ルール セットを移動します。 これにより、汎用アクセス ログではなく SSO アクセス ログに SSO 要求が記録され、ロギング サイクルが停止 します。 3 (オプション) SSO 追跡ロギングを有効にします。 SSO ロギングを有効にする SSO ロギングを有効にすると、SSO 要求が汎用のアクセス ログではなく、SSO アクセス ログに記録されます。 SSO 追跡ロギングも有効にできます。 追跡ロギングを有効にする場合には、ログ レベルを 完全 に設定してください。 ログ レベルの設定を確認するには、 [ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォルト] 、 [詳細設定] の順に選択します。 タスク 1 [ポリシー] 、 [ルール セット] 、 [ログ ハンドラー] 、 [デフォルト] の順に選択します。 2 [追加] ドロップダウン リストから [ライブラリのルール セット] を選択します。 [ルール セット ライブラリから追加] ダイアログ ボックスが表示されます。 3 [ロギング] を展開して [SSO ログ] を選択します。 4 ルール セットのインポートで競合が発生した場合には、[競合の自動解決] をクリックし、以下のいずれかのオプ ションをクリックして [OK] をクリックします。 • [既存のオブジェクトを参照する] • [推奨をコピーして名前を変更する] [SSO ログ] ルール セットが [ログ ハンドラー] ツリーに追加されます。 538 5 [ログ ハンドラー] ツリーで、[デフォルト] ルール セットの上に [SSO ログ] ルール セットを移動します。 6 (オプション) 詳細ロギングを有効にするには: a [ログ ハンドラー] ツリーで [SSO ログ] を展開し、[追跡ログ] ルール セットを選択します。 b 設定ウィンドウで [有効] チェックボックスを選択します。 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SSO ロギングの概要 14 SSO ログ ルール セットのリファレンス SSO.Client や SSO.Proxy などの SSO コンポーネントが要求を送信すると、SSO ログ ルール セットが有効にな ります。 SSO ログ ルール セット ライブラリ ルール セット - SSO ログ 条件 - JSON.AsString (JSON.GetByName (SSO.LogAttributes, "origin")) matches SSO.* サイクル - 要求 (IM)、応答、埋め込みオブジェクト SSO.LogAttributes プロパティは、以下の表で説明する SSO 要求属性を格納する JSON オブジェクトです。 SSO ログ ルール セットは、SSO アクセス ログを生成します。また、JSON オブジェクトの属性から SSO 追跡ログを生 成することもできます。 表 14-30 SSO.LogAttributes プロパティ SSO 要求ログ 属性 定義 [action] SSO 要求の応答で実行された内部アクションの名前を指定します。 例: • LoadLaunchpad • GetServices • StartHTMLLogin、StartSAMLLogin、StartIceTokenLogin • AddCredentials、UpdateCredentials、DeleteCredentials [config] SSO 要求の応答で実行された内部アクションで使用された文字列の名前を指定します。 [message] SSO 要求の内容を記述します。 [origin] プロキシが SSO.LogAttributes プロパティにコピーする値のソースを指定します。 ソースは、 次のいずれかの SSO コンポーネントにします。 • [SSO.Client] - プロキシは、クライアント (ブラウザー) から提供された値を検査せずにプロ パティにコピーします。 • [SSO.Proxy] - プロキシは、クライアント (ブラウザー) から提供された値を検査してからこ のプロパティにコピーします。 SSO.Client 値は、開発者が SSO の機能をテストまたはデバッグするときに使用します。これら の属性は SSO 追跡ログにも記録されます。 セキュリティ上の理由から、プロキシが検査する値 は 1 つだけです (SSO.Proxy 値)。この値は SSO アクセス ログにも記録されます。 [レベル] ログ レベルを指定します。 ログ レベルが 4 以下の SSO 要求だけが SSO アクセス ログに記 録されます。 ログ レベルが 4 を超える SSO 要求は、SSO 追跡ログに記録されます。このログ には詳細な情報が記録されます。 ログ レベルは次のとおりです。 • [無効] (0) - ロギングが無効になっています。 • [エラー] (1, 2) - エラー メッセージだけがログに記録されます。 • [情報] (3、4) - エラー メッセージと情報メッセージが SSO アクセス ログ ファイルに記録 されます。 • [完全] (5、6) - すべてのメッセージが SSO アクセス ログ ファイルに記録されます。 McAfee Web Gateway 7.6.0 製品ガイド 539 14 クラウド シングル サインオン SSO ロギングの概要 表 14-30 SSO.LogAttributes プロパティ (続き) SSO 要求ログ 属性 定義 [サービス] SSO 要求のクラウド サービスの名前を指定します。 [外部] Web Gateway が Web サーバー役割を実行するか、Web サービスが Web Gateway の外部に あるかどうかを指定します。 この属性値は次のとおりです。 • [FALSE] - Web Gateway が SSO 要求の宛先で、SSO 応答を作成します。 この場合、Web Gateway は Web サーバーの役割を実行します。 たとえば、ユーザーが Launchpad にアク セスすると、Web Gateway は Web サーバー役割を実行します。 • [TRUE] - SSO 要求は外部の Web サーバーに送信され、このサーバーが SSO 応答を作成し ます。 この場合、Web Gateway は Web サーバーの役割を実行しません。 [SSO アクセス ログ] ルール セット [アクセス ログ] ルール セットの条件に一致すると、このルール セットのルールがログ エントリを SSO アクセス ログ ファイルに書き込みます。 各 SSO ログ エントリは 1 つの SSO 要求に対応します。 条件を満たすには、要求 を作成した SSO コンポーネントがプロキシで、要求のログ レベルが 4 以下でなければなりません。 ネストされたライブラリ ルール セット - アクセス ログ 条件 - JSON.AsString (JSON.GetByName (SSO.LogAttributes, "origin")) matches SSO.Proxy* AND JSON.AsNumber (JSON.GetByName (SSO.LogAttributes, "level")) less than or equals 4 サイクル - 要求 (IM)、応答、埋め込みオブジェクト このルール セットには以下のルールが含まれます。 540 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SSO ロギングの概要 14 [sso_access.log を書き込む] ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.logLine = DateTime.ToWebReporterString + " "" + Authentication.UserName + "" " + String.ReplaceIfEquals (IP.ToString (Client.IP), "", "-") +"" + String.ReplaceIfEquals (Number.ToString (Response.StatusCode), "", "-") + " "" + Request.Header.FirstLine + "" " + """ + JSON.AsString (JSON.GetByName (SSO.LogAttributes, "action")) + "" "" + JSON.AsString (JSON.GetByName (SSO.LogAttributes, "service")) + "" "" + JSON.AsString (JSON.GetByName (SSO.LogAttributes, "message")) + """ FileSystemLogging.WriteLogEntry (User-Defined.logLine)<SSO Access Log> このルールは、SSO アクセス ログ エントリを作成し、SSO アクセス ログ ファイルに書き込みます。 このルール は、以下の情報を文字列形式で取得して文字列を連結し、ログ エントリを作成します。 • Web Reporter 形式の日時スタンプ • SSO 要求ヘッダーの先頭行 • ユーザー名 • SSO 要求の種類 (アクション) • クライアント IP アドレス (存在する場合) • SSO 要求のクラウド サービスの名前 (サービス) • 応答のステータス コード (存在する場合) • SSO 要求の説明 (メッセージ) ファイル システムのログ設定を開いて変更するには、[<SSO Access Log>] をクリックします。 SSO 追跡ログ ルール セット 追跡ログ ルール セットのルールは、SSO 追跡ログ エントリを作成し、SSO 追跡ログ ファイルに書き込みます。 追跡ログはアクセス ログよりも詳細で、SSO 機能のデバッグに使用するログです。 追跡ログ ルール セットは、デフォルトで無効になっています。 追跡ロギングを有効にする場合には、ログ レベルを 完全 に設定してください。 ログ レベルの設定を確認するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サ インオン] 、 [デフォルト] 、 [詳細設定] の順に選択します。 ネストされたライブラリ ルール セット - 追跡ログ 条件 - Always サイクル - 要求 (IM)、応答、埋め込みオブジェクト McAfee Web Gateway 7.6.0 製品ガイド 541 14 クラウド シングル サインオン SSO ロギングの概要 このルール セットには以下のルールが含まれます。 Web Reporter タイムスタンプ ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.logLine = DateTime.ToWebReporterString このルールは、Web Reporter 形式の日時タイムスタンプに等しい SSO 追跡ログ エントリを設定します。 すべての SSO 属性を追加する ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.logLine = User-Defined.logLine + " '" + JSON.ToString (SSO.LogAttributes) + "'" このルールは、SSO ログ属性を既存の SSO 追跡ログ エントリに文字列形式で追加します。 外部への要求の先頭行を追加する ルール要素 定義 [条件] JSON.AsBool (JSON.GetByName (SSO.LogAttributes, "outward")) equals true [アクション] Continue [イベント] Set User-Defined.logLine = User-Defined.logLine + " '" + Request.Header.FirstLine + "'" このルールは、SSO 要求が外部の Web サーバーで処理される場合、要求ヘッダーの先頭行を SSO 追跡ログ エン トリに追加します。 先頭行を追加する ルール要素 定義 [条件] Always [アクション] Continue [イベント] Set User-Defined.logLine = User-Defined.logLine + " '" + Request.Header.FirstLine + "'" このルールは、デフォルトで無効になっています。 有効にすると、SSO 要求ヘッダーの先頭行が SSO 追跡 ログ エ ントリに追加され、外部要求と内部要求で使用されます。 542 McAfee Web Gateway 7.6.0 製品ガイド クラウド シングル サインオン SSO 問題の解決 14 sso_trace.log を作成する ルール要素 定義 [条件] Always [アクション] Continue [イベント] FileSystemLogging.WriteLogEntry (User-Defined.logLine)<SSO Trace Log> このルールは、SSO 追跡ログ エントリを SSO 追跡ログ ファイルに書き込みます。 ファイル システムのログ設定 を開いて変更するには、[<SSO Trace Log>] をクリックします。 SSO ロギング停止ルール セット SSO ロギング停止 ルール セットは、SSO 内部要求が SSO アクセス ログに記録されてから汎用アクセス ログに記 録される前にロギング サイクルを停止します。 ネストされたライブラリ ルール セット - ロギング停止 条件 - Always サイクル - 要求 (IM)、応答、埋め込みオブジェクト このルール セットには 1 つのルールが含まれます。 SSO 内部要求の追加ロギングを回避する ルール要素 定義 [条件] JSON.AsBool (JSON.GetByName (SSO.LogAttributes, "outward")) equals false [アクション] Stop Cycle [イベント] なし SSO 要求が Web Gateway の内部で処理されると、このルールにより、[SSO ログ] ルール セットの現在のサイク ルが停止します。 このアクションにより、SSO 内部要求が汎用のアクセス ログに記録されなくなります。 このルールを有効にするには、[ログ ハンドラー] ツリーで [デフォルト] ロギング ルール セットの上に [SSO ログ] ルール セットを追加する必要があります。 SSO 問題の解決 SSO の問題とその解決方法については、以下の表を参照してください。 表 14-31 SSO 問題の解決 問題 解決策 認証情報ストアが、要求された 認証情報を戻しません。 エラー ログで認証情報ストア エラー (34050-34090) を確認してください。 エンド ユーザーは選択したク ラウド サービスにログオンで きません。 サービスのコネクターが壊れている可能性があります。 SSO カタログのサポー ト チームに連絡してください。 エンド ユーザーがクラウド サ ービスの認証情報を更新できま せん。 シングル サインオン ルール セット内のルールの順序を確認してください。 SSO コネクターにサービスを追加するサービス選択ルール セットは、フォーム の認証情報を管理するルール セットより前にある必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 543 14 クラウド シングル サインオン SSO 問題の解決 表 14-31 SSO 問題の解決 (続き) 問題 解決策 SAML シングル サインオンに 失敗します。 SAML SSO エラーで考えられる原因は次のとおりです。 • 一部のユーザー情報が入力されていない - 一部のクラウド アプリケーション が特別なユーザー属性を必要としています。 不足しているユーザー属性を調 べるには、エラー ログで SSO エラー (34000-34999) を確認してください。 • シングル サインオンが正しく設定されていない - Web Gateway ユーザー インターフェースと SAML アプリケーションの管理者アカウントでシングル サインオンが正しく設定されているかどうか確認してください。 SAML メタデータの自動ダウン このエラーで考えらえる原因は次のとおりです ロードが設定されているときに • 信頼された証明書のない HTTPS URL からメタデータをダウンロードしてい ダウンロードに失敗すると、エ る。 ラーが戻され、要求されたサー ビスが存在しないことが通知さ • SAML メタデータの署名が間違っている。 れます。 • SAML メタデータ ファイルに署名がない。 このエラーの詳細については、/opt/mcfc/log/mcfc.log ファイルを確認してく ださい。 544 McAfee Web Gateway 7.6.0 製品ガイド 15 クラウド ストレージの暗号化 ネットワークのユーザーがクラウド ストレージ サービスを介してクラウド上のデータを使用する場合、Web Gateway はデータの暗号化機能と復号機能を提供します。 • クラウド ストレージの暗号化 - ユーザーがクラウド ストレージ サービスにデータをアップロードするときに、 データを暗号化します。 • クラウド ストレージの復号 - ユーザーがクラウド すとれーじサービスから暗号化データをダウンロードすると きに、データを復号し、ユーザーが操作できるようにします。 Web Gateway のルール セット ライブラリから適切なルール セットを使用すると、クラウド ストレージの暗号化 と復号を設定できます。 目次 クラウド ストレージ データの暗号化と復号 クラウド ストレージ データの暗号化と復号を設定する データの暗号化と暗号化解除を設定する クラウド ストレージ暗号化の設定 クラウド ストレージ暗号化サポートの設定 クラウド ストレージ データを手動で復号する クラウド ストレージ暗号化ルール セット クラウド ストレージ データの暗号化と復号 ユーザーがクラウド ストレージ サービスにアップロードするデータを暗号化すると、ネットワークのユーザーがク ラウド上で行う操作のセキュリティを強化することができます。データをダウンロードすると、ユーザーが操作でき るように暗号化が解除されます。 Web Gateway のクラウド ストレージ暗号化モジュール (クラウド ストレージ暗号化フィルターまたはエンジン) がメタデータを含むデータの暗号化と復号の両方を処理します。暗号化と復号は自動的に行われます。 暗号化と復号は、要求サイクルと応答サイクルで処理されるトップ レベル データに実行されます。要求または応答 に埋め込まれているデータと、埋め込みオブジェクト サイクルで処理されるデータは暗号化も復号も行われません。 このモジュールは、標準的なアルゴリズムでデータの暗号化と復号を行います。使用するアルゴリズムは以下のいず れかです。 • AES-128 • AES-192 • AES-256 このアルゴリズムは暗号ともいいます。 暗号化プロセスまたは復号プロセスでは、パラメーターとしてパスワードを設定する必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 545 15 クラウド ストレージの暗号化 クラウド ストレージ データの暗号化と復号 このモジュールは、プロセスを実行するためにサービス記述ファイルを使用します。このファイルは、クラウド スト レージ サービスごとに存在します。 このファイルには、異なるデータ形式の処理方法、アップロードまたはダウンロード要求で使用可能なメソッド (PUT または POST)、要求で送信される URL が記述されています。この URL により、データのアップロードまたはダウ ンロードを行う場所が識別されます。 新しいバージョンの Web Gateway をインストールすると、サービス記述ファイルが更新されます。更新サーバーか ら新しいバージョンの記述ファイルをダウンロードすることはできません。 データの暗号化と復号は、以下のクラウド ストレージ サービスに実行されます。 • Box • Dropbox • Google Drive • Microsoft SkyDrive Box クラウド ストレージ サービスで暗号化と復号がサポートされるのは、Web ブラウザーまたはネイティブの Box クライアントでデータのアップロードとダウンロードを行う場合です。Dropbox、Google Drive、Sky Drive の場合、Web ブラウザーでアップロードまたはダウンロードを実行するときに暗号化や復号が行われます。 暗号化と復号の設定 暗号化プロセスと復号プロセスを設定するには、Web Gateway で適切なルールを実装する必要があります。これら のルールは、ライブラリからインポート可能なクラウド ストレージ暗号化ルール セットに含まれています。 ライブラリ ルール セットのルールでクラウド ストレージ暗号化モジュールを制御し、暗号化プロセスと復号プロセ スにデフォルトのパスワードを設定します。ルール セットには、プロセスを記録するオプションのルールも含まれて います。 暗号化モジュールを制御するルールは、設定済みのストレージ サービスにデータをアップロードする要求を Web Gateway で受信した場合に適用されます。同様に、これらのサービスからデータをダウンロードする要求を受信す ると、復号モジュールを呼び出すルールが適用されます。 いずれかのルールが適用されると、モジュールが暗号化または復号を実行します。 復号は、ルール処理モジュール (ルール エンジン) が関連するルールの適用を確認するとすぐに実行されますが、暗 号化は、後続のルール (埋め込みオブジェクト サイクルで処理されるルールも含む) がすべて処理されるまで実行さ れません。 これにより、他のルールは、アップロード要求またはダウンロード要求と一緒に送信されたデータを暗号化されてい ない形式で処理することができます。 ライブラリ ルール セットをインポートすると、モジュールの設定が実装されます。この設定では次の項目を指定す る必要があります。 546 • 暗号化と復号に使用するアルゴリズム (暗号) • サポートされるクラウド ストレージ サービス McAfee Web Gateway 7.6.0 製品ガイド クラウド ストレージの暗号化 クラウド ストレージ データの暗号化と復号 15 データ トリックルと復号 データの転送モードとしてデータ トリックルを実装すると、クラウド ストレージ サービスからダウンロードされた 暗号化ファイルの復号に失敗する場合があります。したがって、これらの機能を次のように設定してください。 • ルール セット ツリーで、データ トリックルの実装に使用したルール セットの直前または直後に、クラウド スト レージ暗号化ルール セットを配置してください。 これにより、復号とデータ トリックルの間に他のルール セットのルールが処理されなくなり、復号エラーが発生 しなくなります。 データ トリックルを有効にするルールは、進行状況表示ルール セットに含まれています。これは、デフォルト ル ール セットの共通ルール セットに組み込まれています。 次の操作を行うと、データ トリックルによる復号の失敗を確実に防ぐことができます。 • データ トリックル ルールの条件にある Always を CloudEncryption.IsDecryptionSupported equals false に置換します。 これにより、ダウンロード データの復号中にデータ トリックルが開始しません。ただし、このような条件を設定 すると、データ トリックル プロセスのパフォーマンスが低下します。 クラウド ストレージ サービスからダウンロードされたファイルが壊れていて開くことができない場合、復号エラーが 報告されません。このため、復号とデータ トリックルで矛盾が生じます。 複数の暗号化データ クラウド ストレージ サービスへのデータのアップロード要求を受信したときに、異なる設定を使用してデータの暗 号化を複数回行うことができます。 それぞれの暗号化にルールを設定する必要があります。たとえば、1 つのルールにユーザー グループのパスワードを 指定して特定のアルゴリズムで暗号化を実行し、次のルールにユーザーのパスワードを指定して別のアルゴリズムで 暗号化を実行することができます。 データをダウンロードするときに、両方のパスワードが正しい場合にだけデータが復号されます。 複数のルールで暗号化されたデータを復号する場合、同じ数の復号ルールが必要になります。暗号化と同じアルゴリ ズムとパスワードを使用する必要がありますが、ルールの順序は暗号化ルールの配置順と逆にする必要があります。 SSL で保護されたアップロード/ダウンロード要求 SSL セキュア接続でクラウド ストレージ サービスへのデータのアップロード要求またはデータのダウンロード要求 を処理するには、SSL スキャナー ルール セットを有効にする必要があります。 Web Gateway のデフォルト ルール セットでは、このルール セットは無効になっています。 ユーザーがアップロード要求とダウンロード要求の送信に使用する Web ブラウザーに、SSL セキュア通信に必要な 証明書をインストールする必要があります。 手動でのデータの復号 ネットワークで Web Gateway が一時的に使用不能になった場合、またはパスワードに矛盾がある場合、クラウド ストレージ データを手動で暗号化する必要があります。 この操作を行うには、データの暗号化に使用したアルゴリズムとパスワードを使用する必要があります。クラウド ス トレージ サービスからシステムにデータを直接ダウンロードし、アルゴリズムとパスワードのパラメーターを指定し て手動復号のコマンドを実行します。 McAfee Web Gateway 7.6.0 製品ガイド 547 15 クラウド ストレージの暗号化 クラウド ストレージ データの暗号化と復号を設定する ダッシュボードでの暗号化と復号の監視 クラウド ストレージ データの暗号化と復号に関する統計をユーザー インターフェースのダッシュボードで監視す ることができます。 次のパラメーターが表示されます。 • 暗号化と復号の操作回数とエラーの数 (累計) • 暗号化されたデータと復号されたデータの量 (累計) • 各クラウド ストレージ サービスで実行された暗号化と復号の操作回数とエラーの数 • 各クラウド ストレージ サービスで暗号化されたデータと復号されたデータのボリューム クラウド ストレージ データの暗号化と復号を設定する クラウド ストレージ サービスにアップロードまたはダウンロードするデータの暗号化と復号を設定するには、次の 手順に従います。 タスク 1 ルール セット ライブラリからクラウド ストレージ暗号化ルール セットをインポートします。 このルール セットは、クラウド サービス ルール セット グループにあります。 2 クラウド ストレージ データの暗号化と復号を設定します。 3 データの暗号化と復号を行う通信を SSL セキュア モードで実行するように設定します。 4 a Web Gateway デフォルト ルール セットの SSL スキャナー ルール セットを有効にします。 b クラウド ストレージ データのアップロードとダウンロードを行う Web Gateway クライアントのブラウザ ーに、SSL セキュア通信に必要な証明書をインストールします。 設定を保存します。 データの暗号化と暗号化解除を設定する クラウド ストレージ データの暗号化と暗号化解除を設定するには、2 つの異なるモジュール (エンジン) を使用しま す。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーの [エンジン] ブランチで [クラウド ストレージの暗号化] を展開して、必要なクラウド ストレージ 暗号化モジュールの設定 (たとえば、[デフォルト]) を選択します。 設定パネルに設定が表示されます。 3 必要に応じて、これらの項目を設定します。 4 [クラウド ストレージの暗号化サポート] を展開し、必要なクラウド ストレージ暗号化サポート モジュールの設 定 ([デフォルト] など) を選択します。 設定パネルに設定が表示されます。 548 McAfee Web Gateway 7.6.0 製品ガイド クラウド ストレージの暗号化 クラウド ストレージ暗号化の設定 5 必要に応じて、これらの項目を設定します。 6 [変更を保存] をクリックします。 15 クラウド ストレージ暗号化の設定 クラウド ストレージ暗号化の設定は、クラウド ストレージ データの暗号化と復号を設定するときに使用します。 暗号化パラメーター クラウド ストレージ データの暗号化と復号の設定 表 15-1 暗号化パラメーター オプション 定義 [暗号] クラウド ストレージ データの暗号化と復号に使用するアルゴリズムをリストから選択します。 以下のアルゴリズムを選択できます。 • AES 128 • AES 192 • AES 256 クラウド ストレージ暗号化サポートの設定 クラウド ストレージ暗号化サポートの設定は、Web Gateway でサポートされ、データが暗号化または復号される クラウド ストレージ サービスの設定に使用されます。 サポートされるクラウド ストレージ サービス クラウド ストレージ サービスの設定 表 15-2 サポートされるクラウド ストレージ サービス オプション 定義 クラウド ストレージ サービ データが暗号化または復号されるときに、Web Gateway でサポートされているク ス リスト ラウド ストレージ サービスを選択します。 以下のサービスを選択できます。 • Box • Dropbox • Google Drive • Microsoft SkyDrive デフォルトでは、すべてのサービスが選択されています。 McAfee Web Gateway 7.6.0 製品ガイド 549 15 クラウド ストレージの暗号化 クラウド ストレージ データを手動で復号する クラウド ストレージ データを手動で復号する Web Gateway でクラウド ストレージ データを復号できない場合、暗号化のアルゴリズムとパスワードが分かれば、 適切なコマンドを実行して手動で復号することができます。 タスク 1 データが保存されているクラウド ストレージ サービスから暗号化データをシステムにダウンロードします。 2 以下のコマンドを実行して、データを復号します。 openssl enc -<暗号> -d -in <暗号化されたファイル> -out <復号後のファイル> -k <パスワード > -md sha256 変数パラメーターの意味は次のとおりです。 <暗号> データの暗号化に使用されたアルゴリズム <暗号化されたファイル> 暗号化されたデータを含むファイルのパスとファイル名 <復号後のファイル> 復号後のデータを書き込むファイルのパスとファイル名 <パスワード> データの暗号化で使用したパスワード データが復号され、指定したファイルに書き込まれます。 クラウド ストレージ暗号化ルール セット クラウド ストレージ暗号化ルール セットは、クラウド ストレージにアップロードされるデータの暗号化とクラウド ストレージ サービスからダウンロードされるデータの復号を処理するライブラリ ルール セットです。 ライブラリ ルール セット - クラウド ストレージ暗号化 条件 - Always サイクル - 要求 (IM)、応答 このルール セットには、以下のルールが含まれます。 暗号化パスワードを設定する Always –> Continue – Set User-Defined.Encryption Password = "webgateway" このルールは、イベントを使用して Web Gateway のデフォルトのパスワードを設定します。このパスワードはデ ータの暗号化で使用されます。 暗号化を有効にする CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue – CloudEncryption.Encrypt(User-Defined.Encryption Password)<Default> このルールは、CloudEncryption.IsEncryptionSupported プロパティを使用して、データの暗号化が実行可能か どうかを確認します。条件を満たす場合、イベントを使用して暗号化を実行します。 復号を有効にする CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue – CloudEncryption.Decrypt(User-Defined.Encryption Password)<Default> このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、データの復号が実行可能かど うかを確認します。条件を満たす場合、イベントを使用して復号を実行します。 550 McAfee Web Gateway 7.6.0 製品ガイド クラウド ストレージの暗号化 クラウド ストレージ暗号化ルール セット 15 復号後にコンテンツ タイプを修正する CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue – MediaType.Header.FixContentType このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、クラウド ストレージ データ の復号が実行されているかどうかを確認します。 条件を満たすと、イベントが発生し、Web Gateway へのデータ配信の応答ヘッダー情報にある Content-Type フ ィールドを変更します。デフォルトでは、クラウド ストレージ サービスがこのフィールドに application/ octet-stream を設定しています。データが暗号化されていると、実際のメディア タイプを認識することはできま せん。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設 定されます。 クラウド ストレージ サービスは、デフォルトでこのフィールドに application/octet-stream を設定するた め、データが暗号化されると他のメディア タイプが認識できなくなります。このルールはこの問題を修正するもの です。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設 定されます。 このルールは、デフォルトでは有効になっていません。 暗号化パスワードを記録する CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue – Set User-Defined.encrypt-log.= DateTime.ToGMTString + ", User: " + Authentication.UserName + ", IP: " + IP.ToString (Client.IP) + ", Service: " + CloudEncryption.ServiceName + ", Cipher: " + CloudEncryption.CipherName<Default> + ", Password: " + User-Defined.EncryptionPassword FileSystemLogging.WriteLogEntry (User-Defined.encrypt-log)<Encryption Log> このルールは、イベントを使用して暗号化をログに記録します。 2 番目のイベントは、この項目をイベントの設定で指定された Encryption Log に書き込むために使用されます。 データは暗号化された形式でログに記録されるため、このデータにアクセスするにはパスワードが必要になります (デフォルト パスワード: webgateway)。 このルールは、デフォルトでは有効になっていません。 McAfee Web Gateway 7.6.0 製品ガイド 551 15 クラウド ストレージの暗号化 クラウド ストレージ暗号化ルール セット 552 McAfee Web Gateway 7.6.0 製品ガイド 16 ハイブリッド ソリューション Web Gateway ではハイブリッド ソリューションを実装できます。これにより、ローカル ネットワーク以外で発生 した Web 利用も保護することができます。 このソリューションを有効にするには、McAfee SaaS Web Protection を Web Gateway と一緒に統合プロセスで実行します。 ® このソリューションで重要な概念は次のとおりです。 • ハイブリッド ポリシー - ローカル ネットワークの内部と外部の Web 利用に同じポリシーを適用できます。 • ハイブリッド同期 - ポリシーを同期して、ローカル ネットワークの内外の Web 利用に一貫したポリシーを適 用します。 従来のソリューションでも、ホスト名、IP アドレス、URL カテゴリなどの一部のポリシー要素は同期が可能です。 目次 ハイブリッド ソリューションの使い方 ハイブリッド ソリューションの制限 ハイブリッド ソリューションを設定する ハイブリッド ソリューションを設定する ハイブリッド ソリューションのルール セットを選択する 同期を手動で実行する Web Hybrid の設定 レガシー ハイブリッド ソリューション ハイブリッド ソリューションの使い方 ハイブリッド ソリューションを使用すると、ローカル ネットワークの内部と外部のユーザーに同じポリシーを使用 して Web セキュリティを実行できます。 組織内のユーザーは、ローカル ネットワーク内に物理的にインストールされたシステムから Web にアクセスできま す。多くの場合、オンプレミスという用語は、このような利用形態を指すときに使用されます。また、このネットワ ークに仮想プライベート ネットワーク (VPN) 経由で接続するユーザーにも使用される場合があります。 組織の中には、自宅や移動中など、このような方法でローカル ネットワークに接続していないシステムで作業を行う ユーザーもいます。 ハイブリッド ソリューションでは、オンプレミス ユーザーの Web 利用は Web Gateway が保護し、それ以外のユ ーザーは McAfee SaaS Web Protection で保護します。この製品を使用して Web にアクセスすると、クラウ ド内通信が実行されます。 McAfee Web Gateway 7.6.0 製品ガイド 553 16 ハイブリッド ソリューション ハイブリッド ソリューションの制限 ハイブリッド ソリューションでは、この両方のユーザーに同じセキュリティ ポリシーを使用して Web 利用を保護 できます。 • Web Gateway で設定済みのポリシーから、McAfee SaaS Web Protection に適用するルール セットを選択で きます。 • ポリシーは設定した間隔で同期されます。これにより、両方の製品で同じルール セットが使用されます。Web Gateway で行った変更も反映されます。 • 設定した間隔に関わらず、同期は手動でも実行できます。 Web Gateway の新しいバージョンで使用可能になった追加機能は、ハイブリッド ソリューションにすぐに追加でき ます。 ハイブリッド ソリューションにはいくつかの制約があります。Web Gateway のポリシーの一部は McAfee SaaS Web Protection に適用されません。これらの制約については、Web Gateway のユーザー インターフェースに警告 として表示されます。 ハイブリッド ソリューションの製品 ハイブリッド ソリューションは、次の 2 つの機能を提供します。 • Web Gateway - オンプレミス ユーザーの Web 利用を保護する • McAfee SaaS Web Protection - クラウド ユーザーの Web 利用を保護する McAfee SaaS Web Protection の詳細については、『Web Protection Services セットアップ ガイド』を参照 してください。 Web Gateway と McAfee SaaS Web Protection は McAfee Web Protection 製品スイートに含まれていま す。このため、ハイブリッド ソリューションは McAfee Web Protection – Hybrid ともいいます。 ソリューション全体の詳細については、『McAfee Web Protection – Hybrid 配備ガイド』を参照してください。こ のガイドには、ソリューションと一緒に使用できる製品 (McAfee ePolicy Orchestrator、McAfee Client Proxy な ど) の情報も記載されています。 ハイブリッド ソリューションと McAfee Client Proxy を一緒に使用することをお勧めします。このソリューショ ンは、アクセス要求の送信元がネットワークの内部かどうかを識別します。要求が内部からの場合、Web Gateway が Web セキュリティ ジョブを実行し、外部からの要求は McAfee SaaS Web Protection にリダイレクトされま す。 Web Gateway でのハイブリッド ソリューションの設定 Web Gateway でハイブリッド ソリューションを設定する場合には、このソリューションの設定を行い、McAfee SaaS Web Protection に適用する Web セキュリティ ポリシーのルール セットを選択する必要があります。 ポリシー要素がソリューションに追加できず、警告が表示された場合には、適切な処置を行い、問題を解決してくだ さい。 ハイブリッド ソリューションの制限 Web Gateway で設定した Web セキュリティ ポリシーを McAfee SaaS Web Protection にも適用する場合、い くつかの制限事項があります。 たとえば、ネットワーク内から Web アクセス要求を送信するときに NTLM 認証で認証できますが、この認証方法を 使用するように NTLM サーバーが構成されている必要があります。 554 McAfee Web Gateway 7.6.0 製品ガイド ハイブリッド ソリューション ハイブリッド ソリューションの制限 16 ユーザーからの Web アクセス要求が McAfee SaaS Web Protection で処理されている場合、NTLM サーバーをユ ーザー認証に使用することはできません。NTLM 認証方法の一部はハイブリッド ソリューションで使用できません。 Web Gateway Web セキュリティ ルールのすべてのプロパティをハイブリッド ソリューションで使用できるわけ ではありません。同様に、すべてのイベントが使用できるわけでもありません。たとえば、カウンターを増分するイ ベント、管理者に電子メールを送信するイベント、ログ ファイルへの書き込みなどのイベントは使用できません。 一般に、次の場合にはポリシー要素をハイブリッド ソリューションで使用できません。 • 特定のネットワーク コンポーネントまたは外部サービスに依存している たとえば、このルールはメール サーバーの設定を行うプロパティや、SMTP サーバーなどのメール サーバーが使 用可能でなければならないプロパティに適用されます。 また、トラップ シンクを必要とする SNMP プロパティに適用されます。また、ネクスト ホップ プロキシ サー バーを必要とするネクスト ホップ プロキシにも適用されます。 • 関連機能がハイブリッド ソリューションでまだ使用できない場合 これは、クォータ管理と PDStorage 機能に適用されます。ランタイム データの交換が必要な他の機能でも使用 されます。たとえば、集中管理構成の複数の Web Gateway アプライアンス間で使用できます。 制約については、Web Gateway のユーザー インターフェースに警告として表示されます。 • イベントに関する警告は無視できます。イベントが実行されなくても、ハイブリッド ソリューション は影響を受けません。 • デフォルトの値に設定しているプロパティの警告は、その後に予期しない動作を行う可能性がありま す。ハイブリッド ソリューションで有効な利用方法がないプロパティにはデフォルトの値が設定さ れます。 このようなプロパティを含むルールが McAfee SaaS Web Protection で正常に動作するかどうかよ く確認してください。 認証制限 ハイブリッド ソリューションでは、ローカル ネットワーク以外のユーザーの認証は McAfee SaaS Web Protection で行っています。Web Gateway の認証設定は、これらのユーザーに適用する認証方法と互換性がなければなりませ ん。 Web Gateway でハイブリッド ソリューションを設定するときに、Authentication.UserName プロパティと Authentication.UserGroups プロパティを使用できます。ここで設定する値は、McAfee SaaS Web Protection が使用する認証方法に合わせる必要があります。 ここでは主に次の方法を使用します。 • クライアントの IP アドレスを使用するが、個々のユーザーに関する情報は提供しない • McAfee Client Proxy とクライアントを使用して、ユーザー名とグループに関する情報を提供する • 基本認証 (ユーザーのセットアップが必要) McAfee SaaS Web Protection McAfee Web Gateway 7.6.0 製品ガイド 555 16 ハイブリッド ソリューション ハイブリッド ソリューションを設定する ハイブリッド ソリューションでの制限に関するサンプル警告 以下では、同じ警告を使用していますが、ハイブリッド ソリューションの制約を表しています。 • Web Gateway のルールのプロパティは McAfee SaaS Web Protection で使用できません。 この問題の警告が表示され、ルールとプロパティが通知されます。また、次のような文章を含みます。 Property PDStorage.GetAllData must not be used in SaaS. • Web Gateway のルールのイベントは McAfee SaaS Web Protection で使用できません。 この問題の警告が表示され、ルールとイベントが通知されます。また、次のような文章を含みます。 Event SNMP.Trap.Send.User(Number, String) must not be used in SaaS. ハイブリッド ソリューションを設定する Web Gateway のセキュリティ ポリシーを McAfee SaaS Web Protection にも提供するハイブリッド ソリュー ションを設定するには、次の手順を行います。 タスク 1 ハイブリッド ソリューションを設定する ここでは、McAfee SaaS Web Protection に接続するアドレス、2 つの製品間で通信を行う場合に必要になる認 証情報、その他のパラメーターを設定します。 また、Web Gateway が行ったポリシー変更を McAfee SaaS Web Protection に適用し、同期間隔を設定しま す設定した間隔に関わらず、同期は手動でも実行できます。 2 ハイブリッド ソリューションに含まれるルール セットを選択します。 ハイブリッド ソリューションの制約事項を検討し、問題を未然に防ぎます。このソリューションのすべてのポリ シー要素が使用できるとは限りません。 3 変更を保存します。 ハイブリッド ソリューションを設定する ハイブリッド ソリューションを設定するには、次の手順に従います。 タスク 1 [設定] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーの [クラスター] ブランチで、[Web Hybrid] をクリックします。 設定ペインにハイブリッド ソリューションの設定が表示されます。 3 必要に応じて、これらの項目を設定します。 4 [変更の保存] をクリックします。 関連トピック: 558 ページの「Web Hybrid の設定」 556 McAfee Web Gateway 7.6.0 製品ガイド ハイブリッド ソリューション ハイブリッド ソリューションのルール セットを選択する 16 ハイブリッド ソリューションのルール セットを選択する ハイブリッド ソリューションにルール セットを選択するには、Web Gateway のユーザー インターフェースで選択 して必要なオプションを有効にします。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 ルール セット ツリーで、ハイブリッド ソリューションに追加するルール セットを選択します。 ルール セットがキー要素ビューに表示されます。 3 このビューの先頭にある [クラウドで有効にする] を選択します。 この操作は次の手順でも実行できます。 • ルール セットを選択して右クリックし、表示されたコンテキスト メニューから [クラウドで有効 にする] を選択します。 • キー要素ビューを終了し、完全ルール セット ビューで [クラウドで有効にする] を選択します。 制限のため、ルール セットがハイブリッド ソリューションに含まれていない場合には、警告が表示されます。 こ の場合、問題を解決する必要があります。たとえば、ソリューションで使用できないイベントを削除したり、完 全なルール セットを削除します。 キー要素ビューでネストするルール セットに [クラウドで有効にする] を使用している場合、ネスト されたルール セットがハイブリッド ソリューションに追加されます。 完全なルール ビューで [クラウドで有効にする] を使用している場合、ネストされたルール セットは 次のようになります。 • コンテキスト メニューの使用 - ネストされたルール セットが追加されます。 • ボタンのクリック - ネストされたルール セットは追加されません。 追加するには、ネストされたルール セットのボタンをクリックします。 コンテキスト メニューを使用すると、複数のルール セット (ネストされたルール セットを含む) を選 択し、ハイブリッド ソリューションにまとめて追加できます。 4 [変更の保存] をクリックします。 ルール セットがハイブリッド ソリューションに追加され、McAfee SaaS Web Protection にも適用されます。 ルール セットをソリューションから削除するには、[クラウドで有効にする] オプションの選択を解除するか、コン テキスト メニューで [クラウドで無効にする] を選択します。 関連トピック: 554 ページの「ハイブリッド ソリューションの制限」 McAfee Web Gateway 7.6.0 製品ガイド 557 16 ハイブリッド ソリューション 同期を手動で実行する 同期を手動で実行する ハイブリッド ソリューションの Web セキュリティ ポリシーを手動で同期するには、以下の手順に従います。設定 した間隔に関わらず、同期は手動でも実行できます。 タスク 1 [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、[SaaS 同期] を選択します。 3 設定パネルで、[SaaS 同期] の [同期] をクリックします。 Web セキュリティ ポリシーが同期され、Web Gateway で行われた変更が McAfee SaaS Web Protection に反映 されます。 個々のポリシー要素を同期すると、関連するメッセージが [結果] に表示されます。問題がある場合には、対応する メッセージで問題が通知されます。 Web Hybrid の設定 [Web Hybrid] の設定は、ハイブリッド ソリューションで Web Gateway に実装した Web セキュリティ ポリシー を McAfee SaaS Web Protection に適用する場合に設定します。 Web Hybrid 設定 ハイブリッド ソリューションの設定 表 16-1 Web Hybrid 設定 オプション 定義 [SaaS をポリシー を同期する] Web Gateway で設定した Web セキュリティ ポリシーを同期し、McAfee SaaS Web Protection に変更を適用します。 同期は一定の間隔で実行されます。この時間は [ローカル ポリシーの変更が上記と 同じ間隔でアップロードされます] で設定します。 設定した時間に関係なく、同期を手動で実行することもできます。ただし、手動で実 行するには、[SaaS をポリシーを同期する] オプションを有効にする必要がありま す。 同期を手動で実行する場合でも、スケジュール同期は無効になりません。 [同期するアプライ アンス] 同期データを取得する Web Gateway アプライアンスを指定します。 [SaaS アドレス] McAfee SaaS Web Protection のアドレスを指定します。 集中管理構成で複数のアプライアンスを実行している場合、このオプションを使用すると、動 的データが常に同じアプライアンスから取得されます。 アドレスの形式は次のとおりです。 (http|https)://<サーバー名>[:<ポート>] 例:https://msg.mcafeesaas.com 558 McAfee Web Gateway 7.6.0 製品ガイド ハイブリッド ソリューション レガシー ハイブリッド ソリューション 16 表 16-1 Web Hybrid 設定 (続き) オプション 定義 [SaaS 管理者のア カウント名] McAfee SaaS Web Protection 管理者のユーザー名を指定します。 例:[email protected] このユーザー名は、Customer Admin 役割を割り当てられた McAfee SaaS Web Protection のユーザー名と同じでなければなりません。 [SaaS 管理者アカ ウントのパスワー ド] 管理者のパスワードを設定します。 Customer Admin 役割を割り当てられた McAfee SaaS Web Protection のユ ーザー名のパスワードを設定する必要があります。 [変更] をクリックすると、新しいパスワードを設定するウィンドウが開きます。 [SaaS 顧客 ID] McAfee SaaS Web Protection を購入して Web Gateway と一緒にハイブリッド ソリュー ションで実行している顧客を指定します。 [ローカル ポリシー 次の同期を実行して Web Gateway のポリシー変更を McAfee SaaS Web Protection に適 の変更が上記と同 用するまでの経過時間を分単位で設定します。 じ間隔でアップロ 10 分から 60 分までの時間を設定します。 ードされます ] ポリシーの変更は、ここで設定した間隔で同期されます。手動で同期を実行しない限 り、変更はすぐに適用されません。 同期の詳細設定 ハイブリッド ソリューションの詳細設定 表 16-2 同期の詳細設定 オプション 定義 [同期にプロキシを使用す る] 同期データの転送にプロキシを使用します。 [プロキシ ホスト] プロキシとして使用するサーバーの IP アドレスまたはホスト名を指定します。 [プロキシ ポート] 同期データの転送要求を待機するププロキシ サーバーのポートを指定します。 [プロキシ ユーザー] 同期データの転送時に Web Gateway がプロキシーに送信するユーザー名を指定し ます。 [プロキシ パスワード] ユーザー名のパスワードを設定します。 [設定] をクリックすると、パスワードを設定するウィンドウが開きます。 レガシー ハイブリッド ソリューション 従来のソリューションでも、Web セキュリティ ポリシーを同期してオンプレミスとクラウドの両方の Web アクセ スを保護することができます。 McAfee Web Gateway 7.6.0 製品ガイド 559 16 ハイブリッド ソリューション レガシー ハイブリッド ソリューション レガシー ハイブリッド ソリューションの設定の同期 レガシー ハイブリッド ソリューションで Web Gateway と McAfee SaaS Web Protection を使用している場合、 Web フィルタリングの設定を製品間で同期し、共通の Web セキュリティ ポリシーを使用できます。 McAfee Web Protection ソリューションを使用すると、会社のネットワーク内のシステムを使用するユーザーと自 宅や移動中に作業を行うユーザーに共通の Web セキュリティ ポリシーを施行できます。 このため、このソリューションでは、Web Gateway などのオンプレミス製品と McAfee SaaS Web ProtectionMcAfee SaaS 型 Web 保護サービス などのクラウド製品を組み合わせて使用します。 2 つの製品間の Web フィルタリング設定の同期は双方向で行われます。Web Gateway で Web フィルタリングの 設定を変更すると、これらの変更は McAfee SaaS Web Protection に適用されます。 同様に、McAfee SaaS Web Protection の管理者が製品に行った変更が Web Gateway に適用されます。 データの転送は REST (Representational State Transfer) という内部インターフェースが処理します。 同期を有効にするには、McAfee Web Gateway 側でいくつかの設定を行う必要があります。たとえば、McAfee SaaS Web Protection Service にアクセスするポータルのホスト名または IP アドレスを設定します。 集中管理構成で複数の Web Gateway アプライアンスを 1 つのノードとして管理している場合、構成内の任意のノ ードで同期を実行できます。 同期のための Web フィルタリングの設定 種々のタイプの Web フィルタリング設定を McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス の間で同期させることができます。 2 つの製品の間の同期のための Web フィルタリング設定には、以下が含まれます。 • ポリシー設定 — ホスト名や URL カテゴリーなどの Web セキュリティ ポリシーのパラメーターを指定する設 定 • ユーザー グループ設定 — ユーザー グループを指定する設定 これらの設定を処理するさまざまな方法は、McAfee Web Gateway アプライアンスで実行できます。 同期のためのポリシー設定 特定のフィルタリング設定は、McAfee SaaS 型 Web 保護サービスで組み合わせられ、Web セキュリティ ポリシ ーを作成します。以下のパラメーターの設定は、以下のとおりです。 • ポリシーの名前 • ホスト名ごとの信頼されている Web サイト • ポリシーの説明 • ホスト名ごとのブロックされている Web サイト • SafeSearch フィルタリングの有効化/無効化 • IP アドレスごとの信頼されている Web サイト • URL カテゴリーの許可 • IP アドレスごとのブロックされている Web サ イト • ブロックされている URL カテゴリー これらのパラメーターの設定は、McAfee Web Gateway と McAfee SaaS Web Protection Service で変更できま す。変更内容は 2 つの製品間で同期されます。 同期のためのユーザー グループ設定 ユーザー グループの設定では、McAfee SaaS 型 Web 保護サービス で特定の Web セキュリティ ポリシーが割り 当てられたユーザーのグループも設定します。 560 McAfee Web Gateway 7.6.0 製品ガイド ハイブリッド ソリューション レガシー ハイブリッド ソリューション 16 これらの設定は、McAfee SaaS 型 Web 保護サービスで変更できます。ユーザーをグループに追加するか、新しい グループを作成できます。McAfee Web Gateway では、これらの設定は表示だけができ、変更されません。 McAfee SaaS 型 Web 保護サービス の変更は常に同期されるので、McAfee Web Gateway で最新の設定を確認で きます。 同期設定の構成 Web Gateway と McAfee SaaS Web Protection Service で同期されたポリシーの使用を有効にするには、同期を 設定する必要があります。 タスク 1 [構成] 、 [アプライアンス] の順に選択します。 2 同期を設定するアプライアンスを選択して、[Web Hybrid レガシー] をクリックします。 設定ペインに同期の設定が表示されます。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 Web Hybrid レガシーの設定 [Web Hybrid レガシー] の設定は、Web Gateway と McAfee SaaS Web Protection で Web セキュリティ ポリ シーの同期を設定する場合に使用します。 Web Hybrid の設定 設定、Web セキュリティ ポリシーの同期 表 16-3 Web Hybrid の設定 オプション 定義 [SaaS アドレス] McAfee SaaS Web Protection にアクセスするポータルの IP アドレスまたはホ スト名を指定します。 [SaaS 顧客 ID] McAfee SaaS Web Protection を実行する顧客を指定します。 [SaaS 管理者のアカウント 名] McAfee SaaS Web Protection を管理する管理者アカウントのユーザー名を指定 します。 McAfee SaaS Web Protection で Customer Admin 役割が割り当てられてい るユーザー名を指定する必要があります。 [SaaS 管理者アカウントの パスワード] 管理者アカウントのパスワードを設定します。 [SaaS 管理者の赤運地名] で指定した McAfee SaaS Web Protection ユーザー のパスワードを設定する必要があります。 [設定] をクリックすると、新しいパスワードを設定するウィンドウが開きます。 [SaaS への同期を有効にす る] Web Gateway で Web フィルタリングの設定に行った変更を McAfee SaaS Web Protection に適用します。 [SaaS からの同期を有効に する] McAfee SaaS Web Protection で Web フィルタリングの設定に行った変更を McAfee Web Gateway に適用します。 McAfee Web Gateway 7.6.0 製品ガイド 561 16 ハイブリッド ソリューション レガシー ハイブリッド ソリューション 表 16-3 Web Hybrid の設定 (続き) オプション 定義 [ローカル ポリシーの変更を Web Gateway に適用したポリシー設定の変更を Web Gateway にすぐにアップ すぐに SaaS にアップロード ロードします。 します] [ローカル ポリシーの変更が 以下と同じ間隔でアップロー ドされます] 設定した間隔が経過した後で、Web Gateway に適用したポリシー設定の変更を McAfee SaaS Web Protection にアップロードします。 時間間隔に使用できる値は 10 分から 60 分の間です。 時間間隔はスライダーのスケールで設定します。 Web Hybrid アクション Web フィルタリング設定の同期オプション 表 16-4 Web Hybrid の設定 オプション 定義 [SaaS に同期する] Web Gateway の Web フィルタリング設定を McAfee SaaS Web Protection の設定に すぐに反映します。 [SaaS から同期する] McAfee SaaS Web Protection の Web フィルタリング設定を Web Gateway の設定に すぐに反映します。 562 McAfee Web Gateway 7.6.0 製品ガイド 17 モニタリング アプライアンスがネットワークの Web セキュリティを確保するフィルタリングを実行するとき、それをモニタリン グできます。 モニタリングはさまざまな方法で実行されます。アプライアンスのデフォルト モニタリングには以下が含まれます。 • ダッシュボード — アプライアンス システムとアクティビティに関する主要な情報が表示されます。 • ログ — アプライアンス上での重要なイベントに関する情報をログ ファイルに書き込みます。 • エラー処理 — アプライアンス上でインシデントまたはエラーが発生する際に対策を取ります アプライアンスの機能のパフォーマンスを測定すること、およびモニタリングのために McAfee ePO サーバーまた は SNMP エージェントなどの外部デバイスを使用することもできます。 目次 ダッシュボード ログ エラー処理 パフォーマンス測定 SNMP でのイベント モニタリング McAfee ePO を監視するためのデータの転送 ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 McAfee Enterprise Security Manager への syslog データの送信 ダッシュボード アプライアンスのユーザー インターフェースのダッシュボードは、アラート、フィルタリング アクティビティ、ス テータス、Web 使用およびシステム動作など、キー イベントおよびパラメーターのモニタリングを可能にします。 情報は、次の 2 つのタブで提供されます。 • [アラート ]— ステータスおよびアラートを表示します • [グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します アプライアンスが集中管理構成のノードである場合、その他のアプライアンスのステータスおよびアラートも表示さ れます。 McAfee Web Gateway 7.6.0 製品ガイド 563 17 モニタリング ダッシュボード ダッシュボードへのアクセス アプライアンスのユーザー インターフェースでダッシュボードにアクセスできます。 タスク 1 トップレベル メニューの[[ダッシュボード]]を選択します。 2 表示するタブに応じて、次の 2 つのタブのうち 1 つを選択します。 • [アラート ]— ステータスおよびアラートを表示します • [グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します 関連トピック: 564 ページの「ステータスとアラートの情報の表示」 567 ページの「グラフと表の情報の表示」 アラート タブ [アラート]タブは、アプライアンスのステータスおよびアラートの情報を表示し、アプライアンスが集中管理構成の ノードである場合、その他のアプライアンスの情報も表示します。 ステータスとアラートの情報の表示 [アラート]タブでは、アプライアンスのステータスおよび発生したアラートに関する情報を表示できます。 タスク 1 [ダッシュボード] 、 [アラート]を選択します。 2 オプションで、以下の 2 つのオプションのうちいずれかを使用して、アラートに関する情報を更新します。 • [自動更新] — 定期的に自動更新を実行します このオプションはデフォルトで有効になっています。 • [今すぐ更新] - 直ちに更新を実行します 関連トピック: 564 ページの「ステータス情報の概要」 565 ページの「アラート フィルタリング オプション」 ステータス情報の概要 アプライアンスのステータスに関する情報は、ダッシュボードの[アラート]タブの[アプライアンス ステータス]に表 示されます。 アプライアンスが集中管理構成のノードである場合は、その他のノードに関する情報も表示されます。 次の表では、この情報の概要を示しています。 564 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ダッシュボード 17 表 17-1 ステータス情報の概要 情報 説明 [アプライアンス] 基本アプライアンス情報を提供します。 • [名前] — アプライアンスの名前を指定します。 [パフォーマンス] 主要なパフォーマンス パラメーターを提供します。 • [アラート ピーク(過去 7 日間)] — アプライアンスにおいて過去 7 日間以内で最も重大な アラートを示します。 色付きのフィールドが日ごとに表示されます(右端のフィールドが今日): • 灰色 — この日アラートはなかった • 緑色 — この日最も重大なアラートは情報であった • 黄色 — この日最も重大なアラートは警告であった • 赤色 — この日最も重大なアラートはエラーであった • [1 秒あたりの要求数] — アプライアンスで受信した HTTP と HTTPS のモードにおける Web 要求の数が過去 30 分間でどのように変化したかを示す図を提供します。 図の右側にある値は、過去 10 分間における 1 秒あたりの平均要求数です。 [McAfee マルウ ウイルスとマルウェアのフィルタリングで使用されるモジュールで更新およびバージョン情報 ェア対策バージョ を提供します。 ン] • [最終更新] — モジュールが最後に更新されてから経過した分数を示します。 • [Gateway エンジン] — McAfee Web Gateway Gateway マルウェア対策エンジンのバー ジョン番号を示します。 • [プロアクティブ データベース] — プロアクティブ データベースのバージョン番号を示しま す。 • [DAT] — DAT ファイルのバージョン番号(ウイルス シグネチャを含む)を示します。 [URL フィルター] URL フィルタリングで使用されるモジュールに対する更新およびバージョン情報を提供しま す。 • [最終更新] — モジュールが最後に更新されてから経過した日数を示します。 • [バージョン] — モジュールのバージョン番号を示します。 アラート フィルタリング オプション アプライアンスの[アラート]についての情報は、ダッシュボードの[アラート] タブのアラートで提供されます。さま ざまなフィルタリング オプションを使用して、この情報をフィルタリングできます。 アプライアンスが集中管理構成のノードである場合、他のノードのアラートも表示されます。次に、アラートを表示 するノードもフィルタリングできます。 次の表では、フィルタリング オプションについて説明します。 McAfee Web Gateway 7.6.0 製品ガイド 565 17 モニタリング ダッシュボード 表 17-2 アラート フィルタリング オプション オプション 定義 [アプライアン 集中管理構成で発生したノードに従って、アラートをフィルタリングします。 ス フィルター] このボタンをクリックすると、アラートを表示するノードを選択するウィンドウが開きます。 フィルターはウィンドウを閉じてからすぐに適用されます。 [日付フィルタ ー] 発生した期間に従ってアラートをフィルタリングします。 このボタンをクリックすると、アラートを表示する機関を選択するメニューが開きます。 以下から 1 つを選択できます。 • [ すべて ] • [今日 ] • [ 昨日 ] • [先週] • [カスタム] [カスタム]で、2 つのカレンダー上で開始日および終了日を設定でき、2 つのフィルター フィ ールド上で開始時間および終了時間を入力できます。時間形式は 24 時間表記を使用した hh:mm:ss です。例: 午後 1:00 は 13:00:00。 アプライアンスが集中管理構成のノードであり、[アプライアンス フィルター]でこの構成のノー ドがいくつか選択されたとき、これらのノードのアラートが表示されます。 ただし、それらは[日付フィルター]を設定するために、特定のノードで作業していたユーザー イ ンターフェースの日付および時刻に従って表示されます。 例: 現地時間でアムステルダムの午後 7 時にノードの[日付フィルター]で 今日 を選択する。 これは 19 時間以内に発生したすべてのアラートを表示します。ニューヨークのノードでは、フィ ルターを設定した時点で現地時間は午後 1 時です。 ニューヨークのノードで発生したアラートは、ニューヨーク ノードで今日に対応する 13 時間で はなく 19 時間表示されます。 [メッセージ フ メッセージ テキスト内のアラート メッセージ タイプと文字列によるアラートのフィルタリング ィルター] フィルター オプションを設定したら、フィルターはすぐに適用されます。 次の方法でこれらのオプションを設定します。 • [エラー、警告、情報] — 表示するアラート メッセージのタイプ、または任意の組み合わせのタ イプのを選択します。 • [フィルター] - 必要に応じて、このフィールドにフィルタリング条件を入力します。この条件 に該当するメッセージ テキストとタイプのアラートだけが表示されます。 一致する用語の検索は、ユーザー インターフェースに表示されているものだけではなく、アプ ライアンスの内部インターフェースに保管されているアラート エントリに実行されます。 アラートがユーザー インターフェースに表示されるとき、アラート メッセージ テキストは追加 部分を含む可能性があります。 例: origin という単語はアラートの元の場所であるコンポーネント名に追加されます。しか し、origin またはその他の追加された用語をアラートのフィルタリングに使用できません。 566 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ダッシュボード 17 グラフおよび表のタブ [グラフおよび表]のタブはアプライアンスの Web 使用、フィルタリング アクティビティ、およびシステム動作を表 示します。また、アプライアンスが集中管理構成のノードの場合、その他すべてのノードの情報も表示されます。 グラフと表の情報の表示 [グラフおよび表]タブでは、Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報を 表示することができます。 タスク 1 [ダッシュボード] 、 [グラフおよび表]を選択します。 2 [アプライアンス]ドロップダウン リストから、グラフと表の情報を表示するアプライアンスを選択します。 3 オプションで、[更新]をクリックし、最新情報が表示されるようにします。 4 ナビゲーション ペインのリストから、表示する情報のタイプ([Web トラフィック サマリ]など)を選択します。 関連トピック: 567 ページの「グラフおよび表の表示オプション」 568 ページの「グラフと表の情報の概要」 グラフおよび表の表示オプション 提供された情報のタイプに応じて、[グラフおよび表] タブで情報を表示するオプションを選択できます。 情報のタイプには、以下のものがあります。 • 発展データ — 選択された時間間隔にわたり、特定パラメーターがどのように変化したかについて表示します 例: 選択された時間間隔にわたってブロックまたは許可された URL 要求数がどのように発展したかを表示でき ます。 • トップ スコア — 表示した時点までの、フィルタリング プロセスのキー項目に関連したアクティビティまたはバ イト量の最高数を表示します 経時変化ではなく、これらの数を表示します。 例: 最も頻繁に要求された URL カテゴリを表示できます。またはこれらのタイプの Web オブジェクトがダウン ロードされたときに転送された量にによって順位化されたメディア タイプを表示できます。 いかなる時点で、トップ スコアを表示するためにアプライアンスに保管される項目の最大数は 1500 です。この 数を超えると、最も発生回数が少ない項目、またはバイト量が最も低い項目は削除されます。 • その他の情報 — 表で示されている他の情報が表示されます 例: マルウェア対策モジュールまたは URL フィルター モジュールなどアプライアンスのキー モジュール (エン ジンとも呼ばれる) の現在のバージョンを表示できます。 以下の表では、様々な種類の情報を表示するオプションについて説明します。 McAfee Web Gateway 7.6.0 製品ガイド 567 17 モニタリング ダッシュボード 表 17-3 グラフおよび表の表示オプション オプション 定義 [最後を表示] 時間間隔を選択するためのドロップダウン リストを提供します。1 時間 | 3 時間 | ...| 1 年 [解決策] 選択された時間間隔にわたるパラメーターの変化が表示される図に使用する時間単位を表示します。 解決は間隔によって異なります。 例: 1 時間が選択されたら、図は時間単位として分を使用し、1 年が選択されたら、図は 1 日を使用 します。 [ビュー] 項目を選択できるドロップダウン リストが表示されます。 • 表示モード: 行 | スタック • 平均値 更新アイコン 表示を更新します。 [トップ] 最高スコアの項目で表示可能な数 (10 | 25 | ... | 1000) をドロップダウン リストから選択できま す。 たとえば、最も頻繁に要求される 25 の URL カテゴリが表示されます。 更新アイコン 表示を更新します。 グラフと表の情報の概要 アプライアンスに対する Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報は、ダ ッシュボードの[グラフおよび表]タブに表示されます。 以下の表は、この情報の概要を提供します。 表 17-4 エグゼクティブ サマリー 情報 説明 [URL エグゼクティブ サ マリー] 選択した期間内で発生した要求数が表示されます。 要求は、許可された要求とブロックされた要求ごとにソートされます。 さらに、ブロックされた要求はブロックしたフィルタリング モジュール (マルウェア対 策エンジン、URL エンジンなど) でソートされます。 [選択可能なデータ系列を編集する] をクリックすると、表示された要求 (正常な要求と ブロックされた要求) の選択を編集できるウィンドウが表示されます。 [ヒット数の多いカテゴ リ] 最も頻繁に要求される URL のカテゴリが表示されます。 [ヒットによるマルウェ ア] 最も頻繁に要求されたウイルスとマルウェアのタイプが表示されます。 表 17-5 システム サマリー 568 情報 説明 [ネットワークの使用 状況] 選択した期間内で送受信された要求数が表示されます。 [システム使用率] 選択した期間中にアプライアンス システムのハード ディスク、CPU、および物理メモリ の使用率と、コア サブシステムおよびコーディネーター サブシステムの物理メモリの使 用率がどのように変化したかを表示します。 [更新ステータス] いくつかのモジュールのバージョンとアプライアンスで実行されたフィルター情報ファイ ル (Gateway マルウェア対策エンジンやマルウェア対策シグネチャ ファイルなど) が表 示されます。 [最終更新] URL フィルター モジュールなど、アプライアンスの複数のモジュールが最後に更新された 日時を表示します。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ダッシュボード 17 表 17-5 システム サマリー (続き) 情報 説明 [開いているポート] 現在要求をリッスンしているアプライアンスのポートをリストします。 [WCCP サービス] アプライアンスにトラフィックをリダイレクトするために使用される WCCP サービスの ステータスが表示されます。 [アクティブなプロキ シ接続] 選択した期間中に接続数がどのように変化したかを表示します。 表 17-6 Web トラフィック サマリー 情報 説明 [プロトコルごとのトラフィック量] 選択した期間内で発生した Web トラフィック量 (HTTP、HTTPS、FTP) が表 示されます。 [プロトコル別の要求] 選択した期間中に HTTP、HTTPS、および FTP のプロトコルで要求数がどの ように変化したかを表示します。 表 17-7 ICAP トラフィック サマリー 情報 説明 [ICAP クライアントと ICAP トラ 選択した期間内に、REQMOD モードと RESPMOD モードの ICAP クライアン フィック ] トと通信中に発生した ICAP トラフィックの量が表示されます。 [ICAP クライアントから ICAP 要 選択された期間に、REQMOD モードと RESPMOD モードの ICAP クライアン 求] トが送信した ICAP 要求の数が表示されます。 表 17-8 SOCKS トラフィック サマリー 情報 説明 [SOCKS トラフィッ ク] 選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック の量が表示されます。 [SOCKS 接続] 選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック の接続数が表示されます。 [プロトコルごとのト ラフィック量] 選択した期間内に SOCKS プロトコルで発生したトラフィックの量が表示されます。 UDP と SOCKS として検出されるプロトコル (HTTP と HTTPS) のトラフィック量が表示 されます。 他のプロトコルの量も表示されます。これらのプロトコルはフィルタリングされません。 Web Gateway では、HTTP、HTTPS 以外の SOCKS プロトコルはフィルタリングされま せん。 [プロトコルごとの接 続数] 選択した期間内に SOCKS プロトコルで発生したトラフィックの接続数が表示されます。 UDP と SOCKS として検出されるプロトコル (HTTP と HTTPS) の接続数が表示されま す。 他のプロトコルの接続数も表示されます。これらのプロトコルはフィルタリングされませ ん。Web Gateway では、HTTP、HTTPS 以外のプロトコルはフィルタリングされません。 [接続ごとのプロトコ ル検出] McAfee Web Gateway 7.6.0 SOCKS の基になるプロトコルが表示されます。個々の接続で頻繁に検出されるプロトコ ルとその接続数が表示されます。 製品ガイド 569 17 モニタリング ダッシュボード 表 17-9 IM トラフィック サマリー 情報 説明 [インスタント メッセージ トラフ ィック ] 選択した期間内に各サービスで発生したインスタント メッセージ トラフィッ ク量が表示されます。 [インスタント メッセージング要 求] 選択した期間中にインスタント メッセージング要求数が各種サービスに対し てどのように変化したかを表示します。 [インスタント メッセージング ク ライアント] 選択した期間中にインスタント メッセージング クライアント数が各種サービ スに対してどのように変化したかを表示します。 表 17-10 トラフィック量 情報 説明 [転送バイト数の多いトップレベル ドメ イン] 要求で転送されたバイト数が最も多いドメインが表示されます。 [要求数の多いトップレベル ドメイン] 要求を最も多く受信したドメインが表示されます。 [転送されたバイト数別の宛先] 宛先から転送されたバイト数に基づいて、最も頻繁に要求された宛先を リストします。 [要求数の多い宛先] 要求を最も多く受信したドメインが表示されます。 [転送バイト数の多い発信元 IP] 転送量が最も多い発信元 IP アドレスが表示されます。 [要求数の多い発信元 IP] 最も多くの要求を送信した発信元 IP アドレスが表示されます。 表 17-11 Web キャッシュ統計 情報 説明 [Web キャッシュ効率] 選択した期間内で発生したキャッシュ要求数が表示されます。ヒット数とミス 数でソートされます。 [Web キャッシュ オブジェクト カウント] 選択した期間中にキャッシュ内のオブジェクト数がどのように変化したかを表 示します。 [Web キャッシュ使用率] 選択した期間中にキャッシュの使用率がどのように変化したかを表示します。 表 17-12 マルウェア統計 情報 説明 [ヒット数の多いマルウェア感染 URL] ウイルスなどのマルウェアに感染している URL の中で、要求数の最も多い URL が表示されます。 [ヒット数の多いマルウェア] 最も要求がマルウェアのタイプが表示されます。 [Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense でスキャンされた 要求] Web オブジェクトの要求数が表示されます。 ® また、選択した期間のスキャン結果によってブロックされた要求数も表示されま す。 [Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense が Web オブジェクト スキャン時間] のスキャンに要した時間が表示されます。 表 17-13 URL フィルター統計 情報 説明 [カテゴリ] 選択した期間で要求された URL カテゴリ数が表示されます。 [レピュテーション] 選択した期間中に要求数がどのように変化したかを表示し、要求された URL のレ ピュテーションに基づいてそれらをソートします。 [ヒット数の多いカテゴリ] 要求数の最も多い URL カテゴリが表示されます。 [ヒット数の多い未分類サイト] 未分類サイトの中で、要求数の最も多いサイトが表示されます。 570 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ダッシュボード 17 表 17-13 URL フィルター統計 (続き) 情報 説明 [ヒット数の多い不正なサイト] 感染が確認されたサイトの中で最も要求数の多いサイトが表示されます。 [ブロックされた URL の上位] ブロックされたサイトの中で、最も頻繁に要求されたサイトが表示されます。 表 17-14 メディア タイプ統計 情報 説明 [ヒット数の多いメディア タイプ グ ループ] 選択した期間で要求されたメディアタイプ グループ数が表示されます。 [バイト数の多いメディア タイプ] 転送バイト数が最も多いメディア タイプが表示されます。 [ヒット数の多いメディア タイプ] 成功した要求数が最も多いメディア タイプが表示されます。 タイプは、オーディオ ファイル、イメージ、およびその他にソートされま す。 表 17-15 DLP フィルター統計 情報 説明 [DLP 分類] 選択した期間内に、ネットワークから外部に許可なく送信された分類数が表示されま す。 [ヒット数の多い DLP 分類] ネットワークの外部に許可なく送信されたコンテンツの分類で最も多く使用されたも のが表示されます。 表 17-16 SSL スキャナーの統計 情報 説明 [証明書インシデント] 選択した期間内に発生したインシデント数が表示されます。 インシデントは、インシデントに起因するイベントのタイプ (期限切れの証明書や共通 名の不一致など) に基づいてソートされます。 [秘密鍵に関するリモート 選択した期間内に実行された秘密鍵に対するリモート操作 (データの暗号化と復号) の 操作] 回数が表示されます。 [秘密鍵に関するリモート 秘密鍵のリモート操作で最も頻繁に実行された操作が表示されます。使用されたキー、 操作] 実行された機能、操作の種類などが表示されます。 表 17-17 アプリケーション制御の統計 情報 説明 [カテゴリ] 選択した期間内に要求されたアプリケーションのカテゴリの数が表示されます。 [レピュテーション] 選択した期間内に要求されたアプリケーションに割り当てられたレピュテーショ ン レベルの数が表示されます。 [ヒット数の多いカテゴリ] アクセスが最も頻繁に要求されたアプリケーションのカテゴリが表示されます。 [ヒット数の多い危険度高のア プリケーション] アプリケーションが最も頻繁に要求された危険度高のアプリケーションが表示さ れます。 表 17-18 シングル サインオンの統計 情報 説明 [すべてのログイン] 選択した期間内で発生したクラウド アプリケーション (サービス) へのログオン数 が表示されます。 [サービスごとのログイン数] 選択した期間内で発生したログイン数が、ログオンを許可したクラウド アプリケー ション (サービス) ごと表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 571 17 モニタリング ダッシュボード 表 17-18 シングル サインオンの統計 (続き) 情報 説明 [サービスごとのログイン数] ログオン数が最も多いクラウド アプリケーション (サービス) が表示されます。 [無効なトークン数] 選択した期間内で検出された無効なトークン数が表示されます。 表 17-19 暗号化の統計 情報 説明 [操作] 選択した期間内でクラウド ストレージ データに実行された暗号化と復号の操作数が表示され ます。これらの操作で発生したエラーの件数も表示されます。 [量] 選択した期間内で暗号化されたデータと復号されたデータの量が表示されます。 [暗号化操作] データの暗号化とアップロードで最も多く使用されたクラウド ストレージ サービスが表示さ れます。 [復号操作] データの復号とダウンロードで最も多く使用されたクラウド ストレージ サービスが表示され ます。 [暗号化されたデー データの暗号化で最も多くのデータを暗号化したクラウド ストレージ サービスが表示されま タ量] す。 [復号されたデータ データの復号で最も多くのデータを復号したクラウド ストレージ サービスが表示されます。 量] [暗号化エラー] データの暗号化で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。 [復号エラー] データの復号で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。 表 17-20 システム詳細 情報 説明 [ネットワークの使用状況] 選択した期間内で送受信された要求数が表示されます。 [CPU 使用率] 選択した期間中に CPU 使用率がどのように変化したかを表示します。 [メモリ使用率] 選択した期間中にメモリの使用率がどのように変化したかを表示します。 [MWG プロセスの仮想メモリー の使用状況] 選択した期間内に、Web Gateway で実行されたプロセスが使用した仮想メモ リーの量が表示されます。 [CPU ごとのシステム負荷の平 均] 選択した期間の個々の CPU に対する平均的な負荷が表示されます。 [スワップ領域の使用状況] 選択した期間内に、データのスワップに使用されたメモリーの量が表示されま す。 [ファイル システム使用率] 選択した期間中にファイル システムの使用率がどのように変化したかを表示し ます。 [ファイル システムの使用状況] パーティションごとのファイル システムの使用率が表示されます。 [開いている TCP ポート] 開いている TCP ポートと、IP アドレス、ポート番号が表示されます。 表 17-21 認証統計 572 情報 説明 [認証要求] 選択した期間内にリモート、ローカルまたはキャッシュで処理された要求数が認証 方法別に表示されます。 [方法別の平均要求処理時間 (ms)] 選択した期間中に各認証方法でサーバーに送信された要求に対する平均処理時間 がどのように変化したかを表示します。 [現在の要求に関するレポー ト] サーバーに送信された要求数、キャッシュ ヒット、処理時間 (最小、最大、平均) が表示されます。 [現在の接続ステータス] 各認証方法で現在有効な接続が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 表 17-22 パフォーマンス情報 情報 説明 [全般的なパフォ 選択した期間内で実行された特定のタスクの平均処理時間が表示されます。 ーマンス] このようなタスクには、DNS 参照の実行、指定の Web サーバーへの接続、およびすべてのサイ クルをとおして要求を処理するためにルール エンジンが行った作業が含まれます。 DNS 参照にかかった時間を測定する際には、外部サーバーでの参照のみが考慮に入れられます。 つまり、キャッシュ参照は無視されます。 [HTTP パフォー 選択した期間中にすべてのサイクルをとおして要求を処理するのにかかった平均時間がどのよ マンスの詳細] うに変化したかを表示します。 このパフォーマンス情報は、HTTP および HTTPS の接続を使用する Web トラフィックに対し てのみ測定および表示されます。 すべてのサイクル (要求、応答、および埋め込みオブジェクト) をとおして要求を処理すること は、1 つのトランザクションと見なされます。 平均処理時間は完了トランザクションに対して表示されますが、トランザクションの最中に行わ れる特定のデータ転送に対しても表示されます。 • クライアントから最初のバイトを受信してから、クライアントに最初のバイトを送信するまで — 同一トランザクション内において、アプライアンスでクライアントから最初のバイトを受信 してからこのクライアントに最初のバイトを送信するまでの間にかかった平均処理時間を表 示します。 • クライアントから最後のバイトを受信してから、クライアントに最後のバイトを送信するまで — 同一トランザクション内において、アプライアンスでクライアントから最後のバイトを受信 してからこのクライアントに最後のバイトを送信するまでの間にかかった平均処理時間を表 示します。 • サーバーから最初のバイトを受信するまでにサーバーに送信された最初のバイト - アプライ アンスから Web サーバーに最初のバイトが送信されてから、トランザクション内のこのサー バーから最初のバイトを受信するまでの平均処理時間が表示されます。 • サーバーに最後のバイトを送信してから、サーバーから最後のバイトを受信するまで — 同一 トランザクション内において、アプライアンスから Web サーバーに最後のバイトを送信して からこのサーバーから最後のバイトを受信するまでの間にかかった平均処理時間を表示しま す。 ログ ロギングは、アプライアンスの Web フィルタリングと他のプロセスの記録を可能にします。記録を含むログ ファイ ルを確認することは、失敗の理由を見つけて問題を解決することを可能にします。 ロギングには、以下の要素が関連しています。 • Web フィルタリングと他のプロセスを記録する エントリが書き込まれるログ ファイル • ログ ファイルにエントリを書き込むログ ルール • ログ ファイルにエントリを書き込むシステム機 能 • ログ ファイルをローテート、削除、およびプッシ ュするログ ファイル管理モジュール • ログ ファイルにエントリを書き込むモジュール ログ ファイル ログ ファイルには、Web フィルタリングと他のプロセスに関するエントリが含まれます。同じ種類のコンテンツを 持つログ ファイルは、logs と呼ばれるフォルダーに保管されています。アプライアンスのユーザー インターフェー スですべてのログとログ ファイルを表示できます。 McAfee Web Gateway 7.6.0 製品ガイド 573 17 モニタリング ログ コンテンツに応じて、ログ ファイルはアプライアンス システムの機能、モジュール、またはログ ルールによって管 理されています。従って、これらのログ ファイルに対し、表示、編集、ローテート、およびその他などの、いくつか またはあらゆる種類のアクティビティを実行できます。 システム機能でのロギング 一部のコンテンツでは、ログ ファイル エントリはアプライアンス システムの機能によって書き込まれます。これら のファイルはユーザー インターフェースで表示できますが、編集と削除はできません。また、ファイルはシステム機 能によって定期的にローテートされます。 モジュールでのロギング 一部のコンテンツでは、ログ ファイル エントリはプロキシ モジュールまたはマルウェア対策モジュールなどの特定 モジュールによって書き込まれます。 これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。これらのファイルのロ ーテーション、削除、および他の場所へのプッシュは、設定の構成が可能なログ ファイル マネージャーによって処 理されます。 ルールでのロギング ログ ルールは、イベントを使用してログ ファイル エントリを作成して、その条件が一致する場合、ログ ファイルに それを書き込みます。 他のルールと同様に、ロギング ルールはルール セットに含まれています。 ロギング ルール セットは最上位のルー ル セット (ログ ハンドラー) にネストされています。 デフォルトの [ログ ハンドラー] ルール セットは、アプライ アンスの初期セットアップ後に使用可能になります。 デフォルトでは、このルール セットに次のルール セットがネ ストされています。 • [アクセス ログ] - Web Gateway アプライアンスに対するアクセスをログに記録するルールが含まれていま す。 • [アクセス拒否ログ] - Web Gateway アプライアンスに対するアクセスの拒否をログに記録するルールが含ま れています。 • [ウイルス検出ログ] - Web Gateway アプライアンスでの要求の処理中に見つかったウイルスをログに記録す るルール セットが含まれています。 これらのデフォルトのルール セットには、ルール セット ライブラリからインポートしたルール セット ([プロキシ エラー ログ] ルール セットなど) を追加できます。 これらのルール セットは、ライブラリの [ロギング] ルール セ ット グループにあります。 ログ ルールは、アプライアンスで受信された要求のサイクル (要求、応答、埋め込みオブジェクト) が完了した後に、 処理されます。 これらのファイルのローテーション、削除、および他の場所へのプッシュは、設定の構成が可能なファイル システム ログ モジュールによって処理されます。 ログ ファイル管理モジュール ログ ファイルにローテーション、削除、および他の場所へのプッシュを含む管理アクティビティを実行するためのモ ジュールは 2 つあります。 モジュールが維持するログ ファイルの場合は [ログ ファイル マネージャー]、ロギング ルールで維持するログ ファ イルの場合には [ファイル システム ロギング] モジュール (エンジン) になります。 これらのモジュールの設定を構成して、ログ ファイルのローテーション、削除、およびプッシュをご使用のネットワ ークの要件に適合させることができます。 574 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 ロギングの管理 アプライアンスのロギング機能を管理して、ネットワーク上の Web セキュリティを確保するためにアプライアンス がフィルタリングと他のアクティビティをどのように実行するかを監視できます。 以下の高レベル手順を完了します。 タスク 1 アプライアンスで維持されているログ ファイルを表示します。 2 必要に応じて、実装されているログ ファイル システムを変更します。 たとえば、以下の操作を実行できます。 • ログ ルールの有効化、無効化、または削除 • ログ ルールの変更 • 自分のログ ルールの追加 • 3 以下のロギング モジュールの設定の構成 • ログ ファイルのローテーション • ログ ファイルのプッシュ • ログ ファイルの削除 変更を保存します。 ログ ファイルの表示 ログ ファイルは、アプライアンスのユーザー インターフェースで表示することができます。 タスク 1 [トラブルシューティング]トップレベル メニューを選択します。 2 アプライアンス ツリーで、ログ ファイルを表示するアプライアンスを選択し、[ログ ファイル]をクリックしま す。 ログ ファイル フォルダー(場合によってはサブフォルダーが含まれている)のリストが表示されます。 3 表示するログ ファイルを含むフォルダーまたはサブフォルダーをダブルクリックします。 フォルダーが開き、ログ ファイルが表示されます。 4 表示するログ ファイルを選択し、リストの上にあるツールバーの[表示]をクリックします。 関連トピック: 575 ページの「ログ ファイル タイプ」 ログ ファイル タイプ アプライアンス上にはさまざまなログ ファイル タイプがあります。これらは記録されるコンテンツの種類、および 記録が行われる方法において異なります。 同じ種類のデータを記録するログ ファイルは同じフォルダーに保管されます。同じ種類のコンテンツであるログ フ ァイルを保管するためのフォルダーは、log と呼ばれます。 コンテンツに応じて、ログ ファイルはシステム機能、モジュール、またはログ ルールによって管理されています。 McAfee Web Gateway 7.6.0 製品ガイド 575 17 モニタリング ログ システムによって管理されるログ ファイル いくつかのログ ファイルはオペレーティング システムおよびさまざまなシステム関連サービスを含むアプライアン ス システムの機能によって維持されています。 これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ただし、システム ロ グ ファイルが読み込めないとき、それらはユーザー インターフェースに表示されません。 また、ファイルはシステム機能によって定期的にローテートされます。このローテーションを構成するオプションは ありません。 モジュールによって管理されるログ ファイル その他のログ ファイルはプロキシ モジュールまたはマルウェア対策モジュールなどアプライアンスの特定モジュー ルによって管理されます。 これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ファイルはアプライア ンスの以下の場所にあるサブフォルダーに保管されます。 /opt/mwg/log これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なログ ファイル マネージャーに よって定期的に処理されます。 これらのフォルダーのすべてのファイルは、名前の一部に mwgResInfo を含むファイルを除き、ログ ファイル マ ネージャーによって処理されます。 また、以下の名前を含むフォルダーはログ ファイル マネージャーによって処理されません(cores, feedbacks, tcpdump, migration, system, ruleengine_tracing, connection_tracing, message_tracing)。 モジュールによって管理されているログ ファイルのログには以下が含まれます。 • 監査ログ — アプライアンス構成の変更を記録するログ ファイルを保管します • デバッグ ログ — デバッグ情報を記録するログ ファイルを保管します • 移行ログ — 移行アクティビティを記録するログ ファイルを保管します • MWG エラー ログ - アプライアンス コンポーネントで発生するエラーを記録するログ ファイルを保存しま す。 コーディネーター サブシステム、マルウェア対策モジュール、ユーザー インターフェース、およびシステム構成 デーモンには別のエラー ログがあります。 • 更新ログ - モジュールおよびファイルの更新を記録するログ ファイルを保存します ルールによって管理されるログ ファイル また、ログ ルールによって管理されているログ ファイルもあります。これらのルールが適用されるときにトリガー されるイベントによって、データの記録が実行されます。 例: ユーザーがリクエストしたオブジェクトがウイルスに感染していると、ルールはイベントをトリガーします。ト リガーされたイベントはユーザー、感染しているオブジェクト、リクエストの日付および時刻などの情報とともにロ グ ファイルにエントリを書き込みます。 その他のルールと同じ方法でこのログ ファイルのタイプのルールの作業を行えます。 これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なファイル システム ログ モジュ ールによって定期的に処理されます。 以下のルールによって管理されているログ ファイルはデフォルトでアプライアンスに提供されます。 576 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 • アクセス ログ — 日付および時刻、ユーザー名、リクエストされたオブジェクト、オブジェクトの感染、オブジ ェクトのブロックを含む、リクエストおよび関連情報を記録するログ ファイルを保管します • ウイルス検出ログ — ウイルスおよびリクエストされたオブジェクトを感染させると判明した他のマルウェアの 名前を記録するログ ファイルを保管します また、ログは日付と時刻、ユーザー名、リクエストされた URL、およびリクエスト送信元のクライアントの IP アドレスも記録します。 • インシデント ログ — ライセンス、モニタリング、またはアップデートなどさまざまな機能に関連するインシデ ントを記録するログ ファイルを保管します これらのデフォルト ログに、作成したログを追加できます。 ログ ファイル設定の構成 ログ ファイル管理モジュールの設定を構成することで、ログ ファイルがどのようにローテート、削除、およびプッ シュされるかを決定できます。 ログ ファイル管理モジュールは、モジュールによって維持されているログ ファイル、およびルールによって維持さ れているログ ファイルのローテーション、削除、およびプッシュを処理します。 システムによって維持されているログ ファイルのログ ファイル管理は構成できません。 タスク • 577 ページの「モジュールによって維持されるログ ファイルの設定の構成」 モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構 成できます。これらのアクティビティは、ログ ファイル マネージャーによって処理されます。 • 578 ページの「ルールによって維持されるログ ファイルの設定の構成」 ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成で きます。これらのアクティビティは、ファイル システム ロギング モジュールによって処理されます。 モジュールによって維持されるログ ファイルの設定の構成 モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。 これらのアクティビティは、ログ ファイル マネージャーによって処理されます。 モジュールによって維持されるログ ファイルの設定は、ログ ファイル マネージャーのために構成されるシステム設 定です。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、ログ ファイル設定を構成するアプライアンスを選択して、[ログ ファイル マネージャ ー]をクリックします。 設定パネルにログ ファイル マネージャー設定が表示されます。 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 関連トピック: 578 ページの「ログ ファイル マネージャー設定」 McAfee Web Gateway 7.6.0 製品ガイド 577 17 モニタリング ログ ルールによって維持されるログ ファイルの設定の構成 ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。これ らのアクティビティは、ファイル システム ロギング モジュールによって処理されます。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 設定ツリーで、[ファイル システム ログ]を展開し、構成するログ ファイル設定を選択します。例:[ウイルス検出 ログ]。、 3 必要に応じて、これらの設定を構成します。 4 [変更の保存]をクリックします。 関連トピック: 580 ページの「ファイル システム ログ設定」 ログ ファイル マネージャー設定 ログ ファイル マネージャー設定は、アプライアンスの特定モジュールによって管理されているログ ファイルのロー テーション、削除、およびプッシュの構成のために使用されます。 一般的に、および 2 つの重要なタイプのログ ファイル(更新ログと監査ログに保管される)の設定を構成すること が可能です。 グローバル ログ ファイル設定 一般的なログ ファイルの設定 これらの設定には、ログ ファイルのローテーションと削除、および他の場所へのプッシュのオプションが含まれま す。 自動ローテーション ログ ファイルのサイズと日時に従って自動的にログ ファイルをローテートするための設定 表 17-23 自動ローテーション オプション 定義 [自動ローテーションの有効化] これが選択されている場合、ログ ファイルは、次のオプションに応じてローテー トされます。 2 つのオプションのうち 1 つ、または両方を構成できます。 [ログ ファイルがサイズを超え てしまった場合ログ ファイル ローテーションを有効化] これが選択されている場合、提供されている入力フィールドで指定されていると おりに、ログはそれらのサイズ(MiB)に従ってローテートされます。 [ログ ファイル ローテーション のスケジュールを有効化] これが選択されている場合、提供されている入力フィールドで指定されていると おりに、ログは日時(時間と分の単位)に従ってローテートされます。 ここでは 24 時間形式が使用されています。例: 午後 1 時は 13:00。 自動削除 サイズと最後に変更された時刻に応じてログ ファイルを自動的に削除するための設定 578 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 表 17-24 自動削除 オプション 定義 [自動削除の有効化] これが選択されている場合、ログ ファイルは、次のオプションに応じて削除されま す。 2 つのオプションのうち 1 つ、または両方を構成できます。 [ログ ファイルがサイズを超 これが選択されている場合、提供されている入力フィールドで指定されているとお えてしまった場合ログ ファイ りに、ログ ファイルはそれらのサイズ(MiB)に従って削除されます。 ルの削除を有効化] [変更されていないファイルの これが選択されている場合、提供されている入力フィールドで指定されているとお りに、ログ ファイルは入力フィールドに指定されている期間(日単位)に従って削 自動削除を有効化] 除されます。 自動プッシュ ローテートされたログ ファイルを自動的に他の場所にプッシュするための設定 表 17-25 自動プッシュ オプション 定義 [自動プッシュの 有効化] これが選択されている場合、ローテートされたログ ファイルはアプライアンスのローカル デー タベースから次の設定で指定されたサーバーにプッシュされます。 [宛先] ネットワーク プロトコル、ホスト名、およびサーバーのパスを指定します。 プッシュ処理をより精密に指定するために、変数をパス名に追加することが可能です。 たとえば、ログ ファイルがプッシュされるアプライアンスのホスト名では %h を追加できま す。よって、送信先は以下のように指定することができます。 ftp://myftp.com/%h ログ ファイルがプッシュされる際に、変数は適切な値(この例ではホスト名)と置き換えられ ます。 使用できる変数は次のとおりです。 • %h — アプライアンスのホスト名 • %y — 現在の年(4 桁) • %m — 現在の月(1 または 2 桁) • %% — % の文字を指定するために使用(ホスト名に使用する場合) [ユーザー名] ログ ファイルをサーバーにプッシュすることを許可されているユーザーの名前を指定します。 ユーザー名には変数 %h を指定できます。ランタイムで、それは現在のアプライアンスのホス ト名に置き換わります。 [ローテーション これが選択されている場合、ローテーションの直後にプッシュが続きます。 直後のログ ファ イルのプッシュを 有効化] [プッシュ間隔] 次のログ ファイルがプッシュされる前に経過する時間(時間単位) (ローテーション直後にプッ シュされなかった場合)を指定値に制限します。 更新ログの設定 更新ログの特定の設定 これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。 McAfee Web Gateway 7.6.0 製品ガイド 579 17 モニタリング ログ 表 17-26 更新ログの設定 オプション 定義 [更新ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が更新ログに適用されます。 そうでない場合、グローバル ログ ファイルの設定が適用されます。 [自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ ていて、それらは同様に構成します。 自動プッシュ] 監査ログの設定 監査ログの特定の設定 これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。 表 17-27 監査ログの設定 オプション 定義 [監査ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が監査ログに適用されます。 そうでない場合、グローバル ログ ファイルの設定が適用されます。 [自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ ていて、それらは同様に構成します。 自動プッシュ] 詳細 コアおよびフィードバック ファイルの自動削除の設定 表 17-28 詳細 オプション 定義 [コア ファイルの自動削除 これが選択されている場合、構成した設定に応じて自動的にコア ファイルが削除され を有効化] ます。 数、時間間隔、および容量の値を超過するコア ファイルを自動的に削除するために、 これらの値を指定できます。 [フィードバック ファイル これが選択されている場合、構成した設定に応じて自動的にフィードバック ファイル の自動削除を有効化] が削除されます。 数、時間間隔、および容量をコア ファイルと同じ方法で指定できます。 ファイル システム ログ設定 ファイル システム ログ設定は、ログ ルールによって管理されているログ ファイルのローテーション、削除、および プッシュの構成のために使用されます。 ファイル システム ログ設定 ルールによって管理されているログ ファイルを保管するログの設定 表 17-29 ファイル システム ログ設定 オプション 定義 [ログの名前] ログ名を指定します。 [ログ バッファリングを有効にする] 選択されていると、ログがバッファリングされます。 バッファー間隔は、30 秒です。 580 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 表 17-29 ファイル システム ログ設定 (続き) オプション 定義 [ヘッダー書き込みを有効にする] 選択されていると、下のヘッダーがすべてのログ ファイルに追加されま す。 [ログ ヘッダー] すべてのログ ファイルのヘッダーを指定します。 [ログ ファイルを暗号化] 選択されていると、ログ ファイルは暗号化された状態で保管されます。 [最初のパスワード、繰り返しのパスワー 暗号化されたログ ファイルへのアクセスを提供するパスワードを設定し ド] ます。 [オプション][2 番目のパスワード、繰 暗号化されたログ ファイルへのアクセスを提供する 2 番目のパスワー り返しのパスワード] ドを設定します。 ローテート、削除、およびプッシュの設定 ログ ファイルの管理のための設定 ルールによって管理されているログ ファイルのローテート、削除、およびプッシュの設定には、ログ ファイル マネ ージャーの設定の一部として構成される、モジュールによって管理されているログ ファイルの対応している設定と同 じオプションが含まれていて、同様に構成されています。 関連トピック: 578 ページの「ログ ファイル マネージャー設定」 ログの作成 ログ ファイルにエントリを書き込むために、ログ ルールが使用できるログを作成できます。 ログを作成する際に、それを別途作成するのではなく、ファイル システム設定モジュールの新規設定作成の一部とし て、作成します。 タスク 1 [ポリシー] 、 [設定]を選択します。 2 [ファイル システム ログ]を展開し、既存の設定の 1 つを選択します。例:[アクセス ログ設定]。 これらは新しいログの設定を含めて、新しい設定の作成の開始点となります。 3 設定ツリーの上の[追加]をクリックします。 [設定の追加]ウィンドウが開きます。 4 [名前]フィールドで、設定名を入力します。 5 [オプション][コメント]フィールドで、設定の平文コメントを入力します。 6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。 7 [ログ名]で、新しいログの名前を入力します。 8 必要に応じて、ローテーションまたは削除などの他の設定を構成します。 9 [OK]をクリックします。 [設定の追加]ウィンドウを閉じて、設定ツリーの[ファイル システム ログ]に新しい設定が表示されます。 10 [変更の保存]をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 581 17 モニタリング ログ ログ ハンドラーの作成 新しいログ ルールを作成する際、それらを既存のログ記録ルール セットに挿入するか、それらのために新しいルー ル セットを作成します。これらはログ ハンドラーとして知られるトップレベル ルール セットでそれら自体をネス ト化する必要があります。 また、新しいログ ルール セットの挿入にデフォルト ログハンドラーを使用することもできます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 [ルール セット]メニューから[ログ ハンドラー]を選択します。 3 ログ ハンドラー ツリーの上にある [追加] をクリックし、表示されたドロップダウン リストから [ログ ハンドラ ー] を選択します。 [新しいログ ハンドラーの追加]ウィンドウが開きます。 4 [名前]フィールドで、ログ ハンドラーの名前を入力します。 5 [有効にする]が選択されていることを確認します。 6 [オプション][コメント]フィールドで、ログ ハンドラーの平文コメントを入力します。 7 [オプション][権限]タブをクリックして、ログ ハンドラーへのアクセスが許可されるユーザーを設定します。 8 [OK]をクリックして、[新しいログ ハンドラーの追加]ウィンドウを閉じます。 新しいログ ハンドラーがログ ハンドラー ツリーに表示されます。 9 [変更の保存]をクリックします。 ログ ルールの要素 ログ ルールは、特定ログへのログ ファイル エントリの書き込みを処理します。その要素は、他のルールと同じタイ プのものです。 名前 ウイルス検出ログの書き込み 条件 Antimalware.Infected equals true アクション –> 続行 イベント – Set User-Defined.LogLine = + DateTime.ToWebReporterString + “ ”” + Authentication.Username +“” + String.ReplaceIf Equals (IP.ToString(Client.IP), ““”, “-”) + ““ ”” + List.OfString.ToString (Antimalware.VirusNames) + ““ ”” + URL + ““” 582 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ> このルールの要素には以下の意味があります。 • 条件 — Antimalware.Infected equals true ルールの条件は Antimalware.Infected プロパティを使用します。これは、このプロパティの値が true の 場合一致します。これはフィルタリングされたオブジェクトが感染している場合、ルールが適用されるという意 味です。 • アクション — Continue ルールが適用されると、Continue アクションが実行されます。このアクションは、現在のルールのイベントも実 行された後、次のルールで処理を続行させます。 • イベント — ルールが適用される際に、以下の 2 つのイベントも実行されます。 • Set User-Defined.logLine = ... — ロギングされるパラメーター値を設定します。 これらの値は次のとおりです。 • FileSystemLogging.WriteLogEntry ... — 書き込みイベントを実行します 書き込むエントリ、および書き込まれるログ ファイルはイベントで指定されます。 • (User-Defined.logLine) — エントリを指定するイベント パラメーター これはルールの他のイベントによって設定されたパラメーター値のログ ファイル ラインです。 • <ウイルス検出ログ> — ログ ファイルを指定するイベント設定 ベストプラクティス - ログ ファイル フィールドの追加 ログのログ ファイルに書き込まれるエントリにログ ファイル フィールドを追加すると、Web Gateway で実行され るアクティビティについて追加情報を記録できます。 ログ ファイル フィールドを追加するときに、ログ ヘッダーを適用して、新しいログ ファイル フィールドのエント リを設定することもできます。これにより、ログ ファイルに書き込まれるヘッダーに、このフィールドの情報を追加 できます。 ログ ファイル フィールドを追加する ログ ファイルのエントリにログ ファイル フィールドを追加するには、ログ ファイル エントリの書き込み設定に必 要な要素を追加します。 以下では、Web Gateway で受信したクライアント要求の宛先 IP アドレスをルールに追加し、ログ ファイル エン トリをデフォルトのアクセス ログに書き込む方法について説明します。 タスク 1 [ポリシー ] 、 [ルール セット] の順に選択します。 2 [ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、デフォルトの「ログ ハンドラー」ルール セット を展開し、[アクセス ログ] を選択します。 3 ログ ファイル エントリに書き込む要素を追加します。 a [アクセス ログの書き込み] ルールを選択し、すぐ上の [編集] をクリックします。 b [イベント] を選択して、[User-Defined.logLine の設定] イベントを選択し、[編集] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド 583 17 モニタリング ログ c [この文字列の結合] で [追加] をクリックします。 d [パラメーター プロパティ] をクリックして、プロパティ リストから [IP.ToString] を選択し、プロパティ名 の横にある [パラメーター] をクリックします。 プロパティを検索するには、リストの上にあるフィルター フィールドに該当する文字の組み合わせ (例: ip.tos) を入力します。 [プロパティのパラメーター] ウィンドウが開きます。 e [パラメーター プロパティ] をクリックして、[URL.Destination.IP] を選択します。 f [プロパティのパラメーター] ウィンドウで [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリ ックします。 [プロパティ設定の編集] ウィンドウで、次のように古い要素の最後に新しい要素が追加されます。 + Number.ToString(Block.ID) + "" "" + Application.ToString(Application.Name) + """ + IP.ToString(URL.Destination.IP) 4 区切り文字を挿入して、新しいログ ファイル フィールドを前のフィールドと区別します。 a 二重引用符が 3 つある行を選択して、[編集] をクリックします。 b ウィンドウに表示された二重引用符の横に空白を挿入し、[OK] をクリックします。 [文字列の入力] ウィンドウが閉じます。[プロパティ設定の編集] ウィンドウで、2 つの要素の間の行が次の ようになります。 + Application.ToString(Application.Name) + "" " + IP.ToString(URL.Destination.IP) c 5 [文字列の入力] ウィンドウと [プロパティ設定の編集] ウィンドウで [OK] をクリックします。[ルールの編 集] ウィンドウで [完了] をクリックします。 [ルールの編集] ウィンドウで [完了] をクリックし、[変更を保存] をクリックします。 ログ ヘッダーを適用する アクセス ログ ヘッダーを適用するには、ログ ファイルの書き込み用に追加した新しい要素にヘッダー エントリを追 加します。 タスク 1 [ポリシー] 、 [設定] の順に選択します。 2 設定ツリーで [ファイル システム ログ] を展開し、[アクセス ログ設定] を選択します。 3 [ファイル システム ログ設定] で、[ヘッダーの書き込みを有効にする] が選択されていることを確認します。[ロ グ ヘッダー] フィールドにあるテキスト文字列の終わりで、最後の要素の後を空白のままにして server_ip と 入力します。 ヘッダー フィールドの名前 (server_ip など) にスペースは使用できません。アンダースコアを使用してくださ い。 4 584 [変更を保存] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 ベスト プラクティス - ログの作成 ログを作成すると、Web Gateway で実行される特定のアクティビティを記録することができます。 たとえば、特定のクライアントから受信した無効な要求またはブロックされた要求をすべて記録することができます。 ログへの記録はログ ルールに従って行われます。ログに記録する要求を Web Gateway で受信すると、このルール が適用され、次の処理が実行されます。 • 要求に関する情報をログ ファイル エントリ (ログ ラインともいいます) に記録します。 このエントリには、要求の送信時間、要求を送信したユーザーの名前などが記録されます。 • ログ ファイルにエントリを書き込みます。 ログ ファイルはログに保存されます。ログ ファイルをローテーションし、一定の時間の経過後に削除すると、大 量のメモリー消費を避けることができます。 Web Gateway の他のルールと同様に、ログ ルールはルール セット (ログ ルール セット) に記述する必要がありま す。 情報を記録するログを作成するには、次の操作を行います。 • ログ ルール セットの作成 • ログ ルールの作成 ログ ルールを作成するには、次の設定を行う必要があります。 • ルール条件 • ログ ファイル エントリを書き込むイベント • ログ ファイル エントリをログ ファイルに書き込むイベント 書き込みイベントを設定する場合には、ログ ファイルを保存するログも指定します。 ログ ファイル エントリの設定 ログ ルールを作成するときに、ログ ファイル エントリを生成するルールにイベントを設定する必要があります。 ログ ファイル エントリには、Web Gateway で実行されたアクティビティに関する情報 (要求の受信やフィルタリ ングなど) が記録されます。 この情報の保存にはプロパティが使用されます。たとえば、Authentication.Username プロパティには、要求を送 信したユーザーの名前が記録されます。 ログ ファイル エントリを生成するイベントを設定するには、情報の保存に使用するプロパティをすべて指定する必 要があります。イベントが発生すると、これらのプロパティの値が組み合わされ、User-Defined.logLine という 1 つのプロパティに記録されます。 次に、User-Defined.logLine プロパティの値が書き込みイベントによってログ ファイルに書き込まれます。 ログ ファイル エントリを生成するイベントのプロパティを指定するときに、いくつかの点に注意する必要がありま す。 文字列形式 ログ ファイル エントリは文字列形式のデータ連鎖です。イベントが使用するプロパティは文字列形式にする必要が あります。それ以外の形式は変換が必要になります。 たとえば、クライアントの IP アドレスをログに記録する場合には、Client.IP プロパティを使用します。このプロパ ティの値に特殊な IP アドレス形式を保存する場合には、IP.ToString プロパティで形式を変換します。 McAfee Web Gateway 7.6.0 製品ガイド 585 17 モニタリング ログ この場合、IP.ToString(Client.iP) のように、IP.ToString をログ ファイル エントリの要素として指定し、パラ メーターとして Client.IP を括弧内に指定します。この項目が処理されると、文字列形式の IP アドレスが渡されま す。 空の要素 ログ ルールを処理するときに、すべてのプロパティに値が記録されているとは限りません。したがって、ログ ファ イル エントリに空の要素が存在する場合があります。 たとえば、要求を送信したユーザーの認証が実行されなかった場合、Authentication.Username プロパティに 値はありません。この場合、プレースホルダーとしてダッシュなどを挿入できます。 この場合、String.ReplaceIfEqual プロパティを使用します。このプロパティには次の 3 つのパラメーターを指 定します。 • プロパティに実際に記録された値 • 値 1 と比較する値 • 値 1 と値 2 が一致した場合に 値 2 と置き換える値 たとえば、String.ReplaceIfEqual プロパティのパラメーターとして、Authentication.Username、空白、ダッシ ュを指定したときに、ユーザー名が記録されないと、ログ ファイル エントリの user-name 要素にダッシュが入り ます。 区切り文字 ログ ファイル エントリを読みやすくするには、ログ ファイル エントリの要素を区切る区切り文字を設定します。区 切り文字としては、空白、引用符、その他の文字を使用できます。 区切り文字はエントリの主要素と同じ方法で指定します。また、区切り文字は文字列として解釈されます。 ログ ルールのログ ルール セットを作成する エントリをログ ファイルに書き込み、ログを保存するログ ルールを作成するには、このルールにログ ルール セット を作成し、ルール条件とイベントを設定します。 ここで説明するサンプル ルールでは、次の条件を満たした場合に特定の ID を持つクライアントから受信したすべて の要求をログに記録します。 • HTTP プロトコルで要求が無効な場合 (応答 403) または • Web Gateway の Web セキュリティ ルールで要求がブロックされた場合 (ブロック ID が 0 以外の場合) タスク 1 [ポリシー ] 、 [ルール セット] の順に選択します。 2 [ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、[デフォルト] ログ ハンドラー ルール セットを展 開します。 3 ログ ルールにルール セットを作成します。 このルール セットは [デフォルト] ルール セットにネストされます。 a [追加]、[ルール セット] の順にクリックします。 b [名前] フィールドに、新しい「ログ」ルール セットの名前を入力します。例: Troubleshooting Log c [OK] をクリックします。 ウィンドウが閉じます。ログ ハンドラー ツリーに新しい「ログ」ルール セットが表示されます。 586 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 4 5 17 ログ ルールを追加して名前を設定します。 a 設定ペインで、[ルールの追加] をクリックします。 b [名前] フィールドにログ ルールの名前を入力します。例: Log requests that caused issues ルール条件を設定します。 a [ルール条件] を選択します。[追加] をクリックして、[詳細条件] を選択します。 b 優先順位として [Client.IP] を選択し、演算子に [等しい] を選択します。[比較] の下にあるフィールドで、 オペランドとして IP アドレス (例: 10.149.33.8) を入力します。 c [OK] をクリックします。 [条件の追加] ウィンドウが閉じます。設定したルール条件が [ルールの追加] ウィンドウに表示されます。 6 d もう一度 [追加] をクリックして、2 つ目の条件を設定します。 e 最初の部分と同じ方法で、[Response.StatusCode]、[等しい]、403 を設定し、[OK] をクリックします。 f 同じ方法で、[Block.ID]、[等しくない]、0 を設定し、[OK] をクリックします。 ログ ファイル エントリを生成するイベントを設定します。 a [イベント] を選択して [追加] をクリックし、[プロパティの値を設定] を選択します。 b プロパティ リストで [User-Defined.logLine] を選択し、[この文字列の結合] で [追加] をクリックします。 c [パラメーター プロパティ] をクリックします。ログ ファイル エントリの最初の要素としてプロパティ リス トから [DateTime.ToWebReporterString] を選択します。[OK] をクリックします。 [文字列の入力] ウィンドウが閉じます。設定した要素が [プロパティ設定の追加] ウィンドウに表示されま す。 d [追加] をクリックします。[パラメーター値] が選択されていることを確認して、空白の後に二重引用符を入 力します。[OK] をクリックします。 [文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示 されます。 e ログ ファイル エントリの次の要素を追加します。 • [追加]、[パラメーター プロパティ] の順にクリックします。 • [String.ReplaceIfEquals] を選択して、プロパティ名の横にある [パラメーター] をクリックします。 [プロパティのパラメーター] ウィンドウが開きます。 • 最初のパラメーターで [パラメーター プロパティ] をクリックし、[Authentication.Username] を選択 します。 • 2 番目のパラメーターを選択します。ただし、右側の入力フィールドには何も入力しないでください。 パラメーター値として空白が使用されます。 • 3 番目のパラメーターを選択して、入力フィールドにダッシュを入力します。 • [プロパティのパラメーター] で [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリックし ます。 要素が [プロパティ設定の追加] ウィンドウに表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 587 17 モニタリング ログ f [追加] をクリックして、二重引用符、空白、二重引用符を入力します。[OK] をクリックします。 [文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示 されます。 g 次のリストにあるプロパティを選択して、残りの要素を追加します。 手順 f のように、要素の間に区切り文 字を挿入してください。 • [Client.IP] この要素の場合、[Client.IP] プロパティのパラメーターとして [IP.ToString] プロパティを設定します。 手順 e と同様にパラメーターを追加します。 • [Request.Header.First.Line] • [Header.Request.Get] パラメーターの値として user-agent を入力し、この要素のパラメーターを設定します。 588 • [Rules.CurrentRuleSet.Name] • [Rules.CurrentRule.Name] McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ • 17 [Block.ID] この要素の場合、[Block.ID] プロパティのパラメーターとして [Number.ToString] プロパティを設定し ます。 • [Block.Reason] この最後の要素の後に、区切り文字として二重引用符を 1 つだけ使用します。 h [OK] をクリックして、[プロパティ値の設定] ウィンドウを閉じます。 ログ ファイル エントリを生成するイベントが [ルールの追加] ウィンドウに表示されます。 次のように表示されます。 Set User-Defined.logLine = DateTime.ToWebReporterString + " "" + String.ReplaceIfEquals (Authentication.UserName, "", "-") + "" "" + IP.ToString(Client.IP) + "" "" + Request.Header.First.Line + "" "" + Header.Request.Get("user-agent") + "" "" + Rules.CurrentRuleSet.Name + "" "" + Rules.CurrentRule.Name + "" "" + Number.ToString(Block.ID) + "" "" + Block.Reason + """ 変更が必要な場合には、イベントを選択して [編集] をクリックし、[プロパティ設定の編集] ウィンドウを開 きます。 表示されるイベントには + 記号が自動的に追加されます。 文字列値の前後に二重引用符が追加されます。たとえば、最初の区切り文字の " "" は空白と二重 引用符を表します。 7 ログ ファイル エントリをログ ファイルに書き込むイベントを設定します。 a [ルールの追加] ウィンドウ (変更を行う場合には [ルールの編集] ウィンドウ) の[イベント] で、[追加] をク リックして [イベント] を選択します。 b イベント リストから [FileSystemLogging.WriteLogEntry] を選択し、[パラメーター] をクリックします。 c [パラメーター プロパティ] をクリックします。下のリストで [User-Defined.logLine] を選択して [OK] をクリックします。 [実行アクションのパラメーター] ウィンドウが閉じます。 d [イベントの追加] ウィンドウで、[設定] フィールドの下にある [追加] をクリックします。 e 新しい設定を作成します。 McAfee Web Gateway 7.6.0 製品ガイド 589 17 モニタリング ログ 作成した新しいログが処理されるときに、これらの設定がファイル システム ログ モジュール (またはエンジ ン) によって使用されます。 • [名前] フィールドに、新しい設定の名前を入力します。例: Troubleshooting Log Settings • [ログの名前] で troubleshooting.log と入力します。 • [ヘッダーの書き込みを有効にする] を選択します。[ログ ヘッダー] フィールドで、ログ ヘッダーの要素 を入力します。 新しいログのログ ファイルの先頭にログ ヘッダーが表示されます。これは、手順 6 で設定したログ ファ イル エントリの要素を表します。 ログ ヘッダーは次のようになります。 time_stamp "auth_user" "src_ip" "req_line" "user_agent" "rule_set" "rule" "block_page_res" "block_res" • [ローテート、削除、およびプッシュの設定] で、次の設定を行います。 • [ユーザー定義ログの指定設定の有効化] を選択します。 • [自動ローテーション] で、[ローテーション後の GZIP ログ ファイル] を選択してメモリー領域を節約 します。 • 必要に応じて、[自動ローテーション] と [自動検出] で残りの設定を行います。 この新しいログのログ ファイルがプッシュされなくなるので、[自動プッシュ] を有効にしたり、設定 しないでください。 f [設定の追加] ウィンドウで [OK] をクリックして、[イベントの追加] ウィンドウで [OK] をクリックします。 ウィンドウが閉じます。ログ ファイル エントリを書き込むイベントが [ルールの追加] (または [ルールの編 集]) ウィンドウに表示されます。 g [完了] をクリックします。 ウィンドウが閉じます。[ルール セット] タブに、[トラブルシューティング ログ] ルール セットとして新し いログ ルールが表示されます。 これで、特定の要求を記録するログ ルールが作成されました。 設定した名前のログにログ ファイルが表示されます。このログは、ルールを有効にしたアプライアンスの [トラブル シューティング] の最上位メニューからアクセスできます。 ログにアクセスするには、[ログ ファイル] 、 [ユーザー定義ログ] の順に移動します。 ログ ルール セットへのアクセス アクセス ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セットで す。 ネストされているデフォルト ルール セット — アクセス ログ 条件 — Always ルール セットには、以下のルールが含まれます。 590 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ログ 17 access.log の書き込み Always –> Continue — Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ... FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ構成> ルールはイベントを使用して、ユーザー名またはリクエスト ヘッダーなどのユーザーによって送信されたリクエス トに関連したパラメーター値で、ログ ファイル エントリを満たします。 それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。 ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、 書き込みイベントの設定によって指定されます。 以下のパラメーターの値は、ルールのイベントによって設定およびロギングされます(値を設定するイベントによ って使用されるプロパティはイタリックで表示されます)。 • 日付および時刻 — DateTime.ToWebReporterString • ユーザー名 — Authentication.UserName • クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”) • 応答ステータス — String.ReplaceIfEquals (Number.ToString (Response.StatusCode), “”, “-”) • リクエスト ヘッダー — RequestHeader.FirstLine • URL カテゴリ — List.OfCategory.ToString (URL.Categories) • URL レピュテーション — String.ReplaceIfEquals (URL.ReputationString, “”, “-”) (URL.Reputation<Default>) • メディア タイプ — MediaType.ToString (MediaType.FromHeader) • 本文サイズ — String.ReplaceIfEquals (Number.ToString (Body.Size), “”, “-”) • ユーザー エージェント — Header.Request.Get(“User-Agent”) • ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames) • ブロック アクション ID — Number.ToString (Block.ID) ログ ルールは、Web へのアクセス リクエストが受信されたときに適用されます。 次に、ログ エントリを満たし書き込む 2 つのルール イベントが実行されます。 次のルールまたはルール セットで処理が続行されます。 ウイルス検出ログ ルール セット ウイルス検出ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セット です。 ネストされているデフォルト ルール セット — ウイルス検出ログ 条件 — Always ルール セットには、以下のルールが含まれます。 found viruses.log の書き込み Antimalware.Infected equals true –> Continue — Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ... FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ> McAfee Web Gateway 7.6.0 製品ガイド 591 17 モニタリング エラー処理 ルールは、イベントを使用してログ ファイル エントリをウイルス名や IP アドレスなど、ウイルスまたはその他の マルウェアに感染した Web オブジェクトに関連するパラメーター値で満たします。 それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。 ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、 書き込みイベントの設定によって指定されます。 以下のパラメーターの値は、ルールのイベントによって設定およびログされます(設定されているイベントによっ て使用されるプロパティはイタリックで表示されます)。 • 日付および時刻 — DateTime.ToWebReporterString • ユーザー名 — Authentication.UserName • クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”) • ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames) • URL — URL ログ ルールは、リクエストされた Web オブジェクトが感染していると判明した場合に、適用されます。次に、ロ グ エントリを満たし書き込む 2 つのルール イベントが実行されます。 次のルールまたはルール セットで処理が続行されます。 エラー処理 エラーおよびインシデントがアプライアンスで発生した場合、適切な対策が取れます。いくつかの対策は、ルールに よってコントロールされています。 エラー ID を使用するエラー処理 アプライアンス上で発生するエラーは、エラー ID によって識別されます。これらは、エラー処理の特定方法をトリ ガーするために、ルールによって使用される可能性があります。 ルールでエラー ID の使用を有効にするには、Error.ID プロパティを利用できます。ルールは、このプロパティが 特定値を持つ場合(たとえば、マルウェア対策モジュールの読み込みの失敗を示す 14000)、アクションまたはイベ ントをトリガーします。 トリガーされるアクションまたはイベントは、Web オブジェクトへのアクセスのブロック、またはログ ファイルの エントリの作成など、エラー処理の特定方法を使用します。 エラー処理方法をトリガーするためのエラー ID を使用するルールは、たとえば、以下のものがあります。 名前 マルウェア対策エンジンに負荷をかけられない場合にブロック 条件 Error.ID equals 14000 アクション –> ブロック<マルウェア対策エンジンに負荷をかけられない> インシデント情報を使用するエラー処理 インシデントと呼ばれるアプライアンス上のアクティビティと状況のグループがあります。インシデント情報は、エ ラー処理の特定方法をトリガーするために、ルールによって使用される可能性があります。 インシデントは、アプライアンス システムに加え、そのサブシステムとモジュールに関連する可能性があります。 例: ログ ファイル マネージャーがログ ファイルのプッシュに失敗した場合、インシデントとして記録されます。 592 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 17 インシデントは、通知メッセージの送信またはシステム ログでのエントリの作成など、特定のエラー処理方法をトリ ガーするために、ルールによって使用される可能性があります。ルールのインシデントの使用を有効化するために、 ID、重大度、元の場所、およびその他を含む主要インシデント パラメーターがプロパティとして利用可能にされま す。 例: Incident.ID プロパティがあります。ルールはこのプロパティを使用して、プロパティの値が特定の数の場合 に syslog エントリを作成するイベントをトリガーできます。 インシデントを利用するルール エラー処理のデフォルト ルール セットには、ログ ファイル マネージャーに関連するインシデントが発生する場合に 通知メッセージおよびその他エラー処理イベントをトリガーするルールを提供する、ネストされているルール セット が含まれます。このネストされているルール セットの名前はログ ファイル マネージャー インシデントです。その 他のネストされているルール セットは更新およびライセンスに関連するインシデントを処理します。 また、ルールおよびエラー処理のインシデントを使用する独自のルール セットも作成できます。 インシデント パラメーターおよびプロパティ インシデントは、それらの ID およびその他パラメーターとともにアプライアンスに記録されます。各パラメーター には、適切なルールに使用できるプロパティがあります。 • インシデント ID — 各インシデントは番号によって識別されます。例: ID 501 を持つインシデントは、ログ フ ァイル マネージャーがログ ファイルをプッシュできなかった場合のものです。Incident.ID プロパティは、イ ンシデントの ID を確認するために、ルールで使用できます。 • 説明 — インシデントは平文で説明できます。関連するプロパティの名前は Incident.Description です。 • 元の場所 — 各インシデントは元の場所のアプライアンス コンポーネントに割り当てられます。元の場所は番号 によって指定されます。例: 元の場所の番号 5 はログ ファイル ハンドラーを指定します。関連するプロパティ の名前は Incident.Origin です。 • OriginName — インシデントの元はインシデントに関連するアプライアンス コンポーネントの名前によって さらに指定されます。関連するプロパティの名前は Incident.OriginName です。 元の名前は、元の場所の数値に指定されたコンポーネントの一部であるサブコンポーネントを指定できます。例: 元の場所の数値 2(コア) は次の元の名前でさらに指定できます。 • • コア • プロキシ • URL フィルター • その他のコア サブコンポーネントの名前 重大度 — 各インシデントは重大度に従って分類されます。重大度レベルの範囲は 0 ~ 7 で、0 が最高レベルで す。 これらのレベルは syslog ファイルのエントリで使用されているものと同じです。 関連するプロパティの名前は Incident.Severity です。 • 影響を受けるホスト — インシデントに関連する外部システムがある場合、例えば、アプライアンスが接続できな いサーバーがある場合、このシステムの IP アドレスも記録されます。関連するプロパティの名前は Incident.AffectedHost です。 エラー処理の構成 このプロセスがネットワークの要件に対応するように、エラー処理を構成することが可能です。 以下の高レベル手順を完了します。 McAfee Web Gateway 7.6.0 製品ガイド 593 17 モニタリング エラー処理 タスク 1 エラー処理のデフォルト ルール セットのネストされているルール セットにあるルールを確認します。 このルール セットの名前は デフォルトです。 2 必要に応じて、これらのルールを変更します。 たとえば、以下の操作を実行できます。 3 • 特定のエラーまたはインシデントが発生する際に、エラー処理の追加措置をとるルールの有効化。 • 追加のエラーとインシデントを処理する新しいルールとルール セットの作成。 変更を保存します。 エラー処理ルール セットの表示 Web フィルタリング ルールに対する通常のルール セット ツリーに加えて、ユーザー インターフェースに提供され るルール セット ツリーでエラー処理用に実装されるルール セットを表示することができます。 タスク 1 [ポリシー] 、 [ルール セット]を選択します。 2 ルール セット ツリーの下で、[エラー ハンドラー]を選択します。 3 [デフォルト]トップレベル ルール セットを展開します。 エラー処理用のネストされたルール セットが表示されます。 4 ネストされたルール セットを選択します。 ネストされたルール セットのルールが設定ペインに表示されます。 関連トピック: 597 ページの「デフォルト エラー ハンドラー ルール セット」 ベスト プラクティス - エラー ハンドラーの使い方 エラー ハンドラー ルール セットのルールを使用すると、Web Gateway の Web トラフィック処理でエラーが発生 した場合の操作を制御できます。 エラーに対処する方法は主に 2 つあります。 • フェールクローズ - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を停 止します。 ユーザーにブロック メッセージが表示されます。 Web Gateway のエラー処理では、この方法がデフォルトです。 • フェールオープン - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を続 行します。 さらに、ロギング アクティビティと通知が実行される場合があります。 この方法は、組織の Web セキュリティ ポリシーで広く利用されています。 以下では、ネットワークでフェールオープンを採用するメリットについて説明します。 594 • ビジネスの中断を防ぐことができます。Web アクセスの中断は多くの業務で重要な問題となります。 • Web Gateway の管理者が問題を認識し、修正できるようにします。これにより、ヘルプデスクへの問い合わせ を減らすことができます。 ユーザーへの警告も不要になります。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 17 フェールオープンでは、内部アラートを送信してアクションを実行し、ネットワーク内で障害のあるコンポーネント を修復することができます。 エラー ハンドラーを使用すると、次のようにエラー対応のルールを柔軟に設定することができます。 • すべてのエラーに対して弁密なフェールクローズを行う • フェールオープンでユーザーに対する影響を回避する • フェールクローズまたはフェールオープンで Web Gateway 管理者に通知を行う • 特定のユーザーとクライアントからの要求を除外する たとえば、経営陣にフェールオープンを設定し、他のユーザーにフェールクローズを設定できます。 エラー処理のデフォルトのルール セットには、すべてのエラーでのブロック ルール セットが含まれています。 この ネストされたルール セットは、デフォルト ルール セットの最後にあります。 ネストされた他のルール セットで処 理されなかった場合、エラー状況の要求がブロックされます。 フェールオープン ルールを設定する場合には、このルール セットを無効にするか、このセットの前にフェールオー プン ルールのルールセットを配置してください。 関連トピック: 595 ページの「全般的なフェール オープン方針を設定する」 595 ページの「通知付きのフェールオープン方針を設定する」 596 ページの「ユーザー グループにフェールオープン方針を設定する」 全般的なフェール オープン方針を設定する エラーが発生した後も処理を継続できるように、全般的なフェール オープン方針を設定します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 [エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。 3 ネストされたルール セット内のすべてのルール: 4 a ルールを選択して、[編集] をクリックします。 b [ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [続行] を選択します。 c [完了] をクリックします。 [変更の保存] をクリックします。 エラーが発生した場合でも、ユーザーから Web に送信される要求の処理が Web Gateway で続行します。 通知付きのフェールオープン方針を設定する 特定のエラーが発生したときに管理者または他の受信者に通知するように、フェールオープン方針を設定します。 特定のエラーを処理するルールに通知対象のイベントを追加します。 McAfee Web Gateway 7.6.0 製品ガイド 595 17 モニタリング エラー処理 タスク 1 既存のルールを選択します。 a [ポリシー] 、 [ルール セット] の順に選択します。 b [エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。 c ネストされたルール セットを選択します (たとえば、[マルウェア対策エンジン エラーでブロック])。 ルール の 1 つを選択します (例: [マルウェア対策エンジンに負荷がかかりすぎている場合のブロック])。このルー ルの [編集] をクリックします。 2 [ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [ブロック] ではなく [ルール セッ トの停止] を選択します。 3 通知対象のイベントを設定します。 a [イベント] を選択して [追加] をクリックします。 b [イベント] を選択して [Email.Send] を選択し、[パラメーター] をクリックします。 c 3 つの文字列パラメーターの値を入力します。例: • [受信者] (メール アドレス): [email protected] 複数の受信者を設定するには、メール アドレスをセミコロンで区切って追加します。 d 4 • [件名] (メッセージ名): マルウェア対策の過負荷状態 • [本文] (メッセージ テキスト): マルウェア対策エンジンの負荷が過剰になっています。 mwg-antimalware-errors-log で詳細を確認してください。 [OK] を 2 回クリックして、[完了] をクリックします。 [変更の保存] をクリックします。 このルールで処理するエラーが発生すると、設定した受信者に通知が送信されます。 受信者ごとに異なるメッセージ テキストを設定して複数の通知イベントを設定することもできます。 すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット を配置します。 ユーザー グループにフェールオープン方針を設定する 特定のグループに所属するユーザーの要求でエラーが発生した場合にのみ通知を送信するように、フェールオープン 方針を設定します。 タスク 1 596 通知付きのフェールオープン方針を設定するルールを検索します。 a [ポリシー] 、 [ルール セット] の順に選択します。 b [エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。 c [マルウェア対策エンジン エラーでブロック] ネストされたルール セットを選択して [マルウェア対策エンジ ンに負荷がかかりすぎている場合のブロック] ルールを選択し、このルールの [編集] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 2 ルール条件の追加部分を設定します。 a [ルールの編集] ウィンドウで [ルールの条件] を選択し、ルールの条件を選択して [追加] をクリックします。 b [ユーザー/グループの条件] を選択して、次の項目を選択します。 c d 3 17 • [Authentication.UserGroups] プロパティ • [リスト内の 1 つ以上の]演算子 右側の列の最後にある [文字列リストの追加] をクリックして、ユーザー グループのリストを追加し、[リス トの追加] ウィンドウで次の操作を行います。 • リストに マルウェア対策の過負荷を回避するグループ という名前を付けて [OK] をクリックします。 • [リスト コンテンツ] で [リストの編集] をクリックして、リストに次の文字列を追加します (引用符は除 く)。 Executives と入力して、[OK] を 2 回クリックします。 [ルールの編集] ウィンドウで、この追加条件のブール演算子として [AND] を選択し、[完了] をクリックし ます。 [変更の保存] をクリックします。 このルールで処理するエラーが発生すると、設定した受信者に通知が送信され、処理が続行します。 設定したグルー プのユーザーが送信した要求の処理でエラーが発生した場合にのみ通知が送信されます。 すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット を配置します。 デフォルト エラー ハンドラー ルール セット デフォルト エラー ハンドラー ルール セットは、エラー処理のデフォルト ルール セットです。 デフォルト エラー ハンドラー ルール セット - デフォルト 条件 — Always 以下のルール セットは、このルール セット内にネストされています。 • • 長期接続 モニタリング • CPU の負荷を確認 • キャッシュ パーティションを確認 • リクエストの過負荷を確認 • ログ ファイル マネージャーのインシデント • 更新インシデントの処理 • ライセンス インシデントの処理 • マルウェア対策エンジンのエラー時にブロック • URL フィルター エラー時にブロック • すべてのエラー時にブロック McAfee Web Gateway 7.6.0 製品ガイド 597 17 モニタリング エラー処理 長期接続 ネストされているエラー処理ルール セットは、プロキシ モジュールのエラー発生時に接続を有効状態に維持します。 ネストされているエラー ハンドラー ルール セット — 長期接続 条件 – Error.ID equals 20000 このルール セットの条件は、Error.ID プロパティの値がプロキシ モジュールの異常を示す 20000 になった場合、 ルール セットが適用されることを指定します。 ルール セットには、以下のルールが含まれます。 接続を常に有効状態に維持 Always –> Stop Cycle ルールが実行されると、現在処理中のサイクルを停止します。ルールはルール セットの条件が一致した場合、必ず 実行されます。処理中のサイクルを停止することは、接続がさらなるルール処理を行う間に閉じることを防ぎます。 このルールは、デフォルトでは有効になっていません。 モニタリング このネストされているエラー ハンドラー ルール セットは、アプライアンス システムに関連するインシデントが発生 したときに取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — モニタリング 条件 — Incident.ID equals 5 このルール セットの条件は、Incident.ID プロパティの値がアプライアンス システムに関連するインシデントを示 す 5 の場合、ルール セットを適用することを指定します。 以下のルール セットは、このルール セット内にネストされています。 • CPU の負荷を確認 • キャッシュ パーティションを確認 • リクエストの過負荷を確認 CPU の負荷を確認 このネストされているエラー ハンドラー ルール セットは CPU の負荷が構成された値を超えたときに取られる対策 を処理します。 ネストされているエラー ハンドラー ルール セット — CPU の負荷を確認 条件 — Statistics.Counter.GetCurrent(“CPULoad”) <デフォルト> greater than or equals 95 このルール セットの条件は、CPU の負荷の Statistics.Counter. GetCurrent プロパティ値が 95 以上の場合、ルー ル セットを適用することを指定します。この値は CPU が現在実行中の最大負荷のパーセンテージを示しています。 値を提供する統計モジュールは、CPU の負荷プロパティのパラメーターの後に指定されているように、デフォルトの 設定とともに実行されます。 このルール セットは、以下のルールを含みます。 598 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 17 通知メッセージの作成 Always –> Continue – Set User-Defined.loadMessage = “CPU load at “ + Number.ToString (Statistics.Counter.GetCurrent(“CPULoad”)<デフォルト>) + “%” ルールはルール セットの条件が一致した場合、必ず実行されます。 ルールはイベントを使用して、ユーザー定義のプロパティを CPU 負荷のメッセージ テキストを構成する値のチェ ーンに設定します。 Continue アクションは次のルールで処理を続行します。 SNMP トラップおよびその他のルールの送信 Always –> Continue – ... ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必 ず実行されます。 ルールは対策を取るためにさまざまなイベントを使用して CPU の負荷を管理者に知らせます。 これらのルールはデフォルトでは有効ではありません。 キャッシュ パーティションを確認 このネストされているエラー ハンドラー ルール セットは、Web キャッシュの使用率が構成された値を超えたとき に取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — キャッシュのパーティションを確認 条件 – Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト> greater than or equals 95 このルール セットの条件は、Web キャッシュの使用率の Statistics.Counter. GetCurrent プロパティ値が 95 以 上の場合に、ルール セットを適用することを指定します。この値は、現在使用されている Web キャッシュの最大許 容使用率のパーセンテージを示します。 値を提供する統計モジュールは、WebCacheDiskUsage プロパティのパラメーターの後に指定されているように、 デフォルトの設定とともに実行されます。 このルール セットは、以下のルールを含みます。 通知メッセージの作成 Always –> Continue – Set User-Defined.cacheMessage = “Cache partition usage at “ +Number.ToString (Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト>) + “%” ルールはルール セットの条件が一致した場合、必ず実行されます。 ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒 あたりに現在アプライアンスで処理されているリクエスト数に設定されてます。もう一方は Web キャッシュの使 用率に関するメッセージ テキストを構成する値のチェーンに設定されます。 Continue アクションは次のルールで処理を続行します。 SNMP トラップおよびその他のルールの送信 Always –> Continue – ... McAfee Web Gateway 7.6.0 製品ガイド 599 17 モニタリング エラー処理 ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必 ず実行されます。 ルールは対策を取るためにさまざまなイベントを使用して Web キャッシュの使用率を管理者に知らせます。 これらのルールはデフォルトでは有効ではありません。 リクエストの過負荷を確認 このネストされているエラー ハンドラー ルール セットは、1 秒あたりのアプライアンスで処理されるリクエスト数 が構成された値を超えた場合に、取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — リクエストの過負荷を確認 条件 — Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト> greater than or equals 480000 このルール セットの条件は、リクエストの Statistics.Counter. GetCurrent プロパティ値が 480,000 以上の場 合、ルール セットを適用することを指定します。この値は 1 秒あたりに現在処理されているリクエスト数です。 値を提供する統計モジュールは、HttpRequests プロパティのパラメーターの後に指定されているように、デフォル トの設定とともに実行されます。 このルール セットは、以下のルールを含みます。 通知メッセージの作成 Always –> Continue – Set User-Defined.requestsPerSecond = Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト>) / 60 Set User-Defined.requestLoadMessage = “detected high load: ” + Number.ToString (User-Defined.requestsPerSecond) + “requests per second” ルールはルール セットの条件が一致した場合、必ず実行されます。 ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒 あたりに現在アプライアンスで処理されているリクエスト数に設定されています。もう一方はこの番号に関するメ ッセージ テキストを構成する値のチェーンに設定されます。 Continue アクションは次のルールで処理を続行します。 SNMP トラップおよびその他のルールの送信 Always –> Continue – ... ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必 ず実行されます。 ルールは対策を取るためにさまざまなイベントを使用して、リクエストの過負荷を管理者に知られます。 これらのルールはデフォルトでは有効ではありません。 ログ ファイル マネージャーのインシデント このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが 発生した場合に、取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — ログ ファイル マネージャー インシデント 条件 – Incident.ID greater than or equals 501 AND Incident ID less than or equals 600 600 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 17 このルール セットの条件は、Incident.ID プロパティの値がログ ファイル マネージャーに関連するインシデントの 範囲内の場合、ルール セットを適用することを指定します。 このルール セットは、以下のルールを含みます。 通知メッセージの作成 Incident.ID equals 501 –> Continue – Set User-Defined.notificationMessage = “License expires in ” + Number.ToString (License.RemainingDays) + “ days” ルールはルール セットの条件が一致した場合、必ず実行されます。 ルールはイベントを使用して、ユーザー定義のプロパティをライセンスの残り日数のメッセージ テキストを構成す る値のチェーンに設定します。 Continue アクションは次のルールで処理を続行します。 syslog エントリの作成 Always –> Continue – ... syslog エントリの作成ルールおよびルール セットのその他のルールは、通知メッセージの作成ルールと同じ方法 で Incident.ID の値のプロパティを確認し、この値が 501 の場合さまざまなイベントを使用して対策を取ります。 これらのルールはデフォルトでは有効ではありません。 更新インシデントの処理 このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが 発生した場合に、取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — 更新インシデントの処理 条件 – IIncident.OriginName equals “Updater” OR Incident.ID equals 850 OR Incident.ID equals 851 OR Incident.ID equals 940 OR Incident.ID equals 941 OR Incident.ID equals 1050 OR Incident.ID equals 1051 OR Incident.ID equals 1650 OR Incident.ID equals 1651 このルール セットの条件は、更新モジュールが Incident.OriginName プロパティの値によって指定された場合、ま たは Incident.ID プロパティの値が更新モジュールに関連しているものである場合、ルール セットを適用すること を指定します。 このルール セットは、以下のルールを含みます。 更新インシデント メッセージの作成 Always –> Continue – Set User-Defined.eventMessage = “Update Event triggered [“ + Number.ToString (Incident.ID) + “]:” + Incident.Description + “; origin:” + Incident.OriginNamey + “; severity:” + Number.ToString (Incident.Severity) ルールはルール セットの条件が一致した場合、必ず実行されます。 McAfee Web Gateway 7.6.0 製品ガイド 601 17 モニタリング エラー処理 ルールはイベントを使用して、ユーザー定義のプロパティを更新インシデントのメッセージ テキストを構成する値 のチェーンに設定します。メッセージはいくつかのインシデント プロパティの値を含みます。 Continue アクションは次のルールで処理を続行します。 syslog エントリの作成 Always –> Continue – ... syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール の条件が一致した場合に対策を取ります。 これらのルールはデフォルトでは有効ではありません。 ライセンス インシデントの処理 このネストされているエラー ハンドラー ルール セットは、アプライアンスのライセンスの期限日に関連するインシ デントが発生した場合に取られる対策を処理します。 ネストされているエラー ハンドラー ルール セット — ライセンス インシデントの処理 条件 — Incident.ID equals 200 このルール セットの条件は、Incident.ID プロパティの値がライセンスの残り日数のインシデントを示す 200 の場 合、ルール セットを適用することを指定します。 このルール セットは、以下のルールを含みます。 ライセンス インシデント メッセージの作成 Always –> Continue – Set User-Defined.notificationMessage = 「ログ ファイルをプッシュできません。mwg-logfilemanager エラー ログをご覧ください (/opt/mwg/log/ mwg-errors/mwg-logmanager.errors.log)。」 ルールは Incident.ID プロパティの値がログ ファイル マネージャーがログ ファイルをプッシュできないことを 示す 501 かどうかを確認します。 このケースの場合、ルールはイベントを使用して、通知メッセージのテキストである文字列の値にこのメッセージ を送信するために、ユーザー定義のプロパティを設定します。 Continue アクションは次のルールで処理を続行します。 syslog エントリの作成 Always –> Continue – ... syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール の条件が一致した場合に対策を取ります。 これらのルールはデフォルトでは有効ではありません。 マルウェア対策エラー時にブロック このネストされているエラー ハンドラー ルールは、マルウェア対策モジュールに負荷をかけられないまたは負荷か かりすぎているとき、すべての Web オブジェクトへのアクセスのブロックを設定します。 ネストされているエラー ハンドラー ルール セット — マルウェア対策エラー時にブロック 条件 — Always このルール セットは、以下のルールを含みます。 602 McAfee Web Gateway 7.6.0 製品ガイド モニタリング エラー処理 17 マルウェア対策エンジンに負荷をかけられない場合にブロック Error.ID equals 14000 –> Block<マルウェア対策に負荷をかけられない> ルールは負荷からマルウェア対策モジュール(エンジンとも呼ばれる)を防ぐエラーの Error.ID プロパティの値が 14000 の場合、すべての Web オブジェクトへのアクセスをブロックします。 アクション設定はリクエストしたユーザーへのメッセージを指定します。 マルウェア対策エンジンに負荷がかかりすぎている場合にブロック Error.ID equals 14001 –> Block<マルウェア対策エンジン過負荷状態> ルールは、プロパティの値がマルウェア対策モジュール(エンジンとも呼ばれる)へのすべての接続が現在使用さ れており、Error.ID プロパティの値がモジュールに負荷がかかりすぎていることを示す 14001 のとき、すべての Web オブジェクトへのアクセスをブロックします。 アクション設定はリクエストしたユーザーへのメッセージを指定します。 URL フィルター エラー時にブロック このネストされているエラー ハンドラー ルール セットは、URL フィルター モジュールに負荷をかけられないまた はこのモジュールに関連したエラーが発生するとき、すべての Web オブジェクトへのアクセスのブロックを設定し ます。 ネストされているエラー ハンドラー ルール セット — URL フィルター エラー時にブロック 条件 – Error.ID greater than or equals 15000 AND Error.ID less than or equals 15999 ルール セットの条件は、URL フィルタリング関連のエラーの範囲である、指定の範囲内に Error.ID プロパティの値 がある場合、ルール セットを適用することを指定します。 このルール セットは、以下のルールを含みます。 URL フィルター エンジンに負荷をかけられない場合にブロック Error.ID equals 15000 OR Error.ID equals 15002 OR Error.ID equals 15004 OR Error.ID equals15005 –> Block<URL フィルターに負荷をかけられない> ルールは Error.ID プロパティの値がルールの条件で指定されたうちの 1 つになった場合、すべての Web アクセ スのリクエストをブロックします。これらの値は URL フィルター モジュール(エンジンとも呼ばれる)の読み込 みを防ぐエラーを示します。 アクション設定はリクエストしたユーザーへのメッセージを指定します。 その他すべての内部 URL フィルター エラーをブロック Always –> Block<内部 URL フィルター エラー> ルールは、ルール セットが適用されルールに先行してルール セットが実行されていないとき常に実行されます。ル ールは Web アクセスのすべてのリクエストをブロックします。 アクション設定はリクエストしたユーザーへのメッセージを指定します。 すべてのエラー時にブロック このネストされているエラー ハンドラー ルール セットは、アプライアンスで内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。 ネストされているエラー ハンドラー ルール セット — すべてのエラー時にブロック 条件 — Always ルール セットには、以下のルールが含まれます。 McAfee Web Gateway 7.6.0 製品ガイド 603 17 モニタリング パフォーマンス測定 常にブロック Always –> Block<内部エラー> ルールは内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。 アクション設定はアクセスをリクエストしたユーザーへのメッセージを指定します。 このルール セットでのルールはアプライアンスの内部エラーを処理するためのものです。内部エラーが発生した ときに実行されます。これは当然、予測不可能で、フィルタリング プロセス中のいかなるときに発生したり、全く 発生しない可能性があります。これらのセンスでは、ルールの処理は通常のプロセス フローの一部ではありませ ん。 ブロックを実行した後、ルールは内部エラー発生時にフィルタリングされていたリクエスト、応答、または埋め込 みオブジェクトのルールのさらなる全処理を停止します。 こうした場合、アプライアンスが完全に利用可能でない間、不正または不適切な Web オブジェクトがネットワー クを出入りしないことが保証されます。 プロセス フローは、内部エラーがアプライアンス機能の一般的な妨害を引き起こさなかった場合、次のリクエスト を受信するまで続きます。 パフォーマンス測定 複数のアプライアンス機能に対する処理時間がパフォーマンス情報として測定され、ダッシュボードに表示されます。 この情報はログ ファイル内に記録することができます。また、個々のルール セットに対して処理時間を測定して記 録することもできます。 アプライアンスでパフォーマンスを測定します。たとえば、DNS サーバーで名前を検索し、ホスト名が解決される までの平均時間を測定します。これらのパフォーマンス情報はダッシュボードに表示されます。また、個々のルール セットの処理に要する時間も測定できます。 ダッシュボードに表示されるものと、自分で測定したものを含め、パフォーマンス情報はすべてログすることが可能 です。 パフォーマンス情報を測定してログする際には、以下の要素が関連します。 • パフォーマンス情報をログするためのプロパティ • パフォーマンス情報をログするためのプロパティを使用するログ ルール • 個々のルール セットに対する処理時間を測定するイベント • 処理時間が測定されるようにするためのイベントが挿入されているルールを含むルール セット ログ プロパティ ダッシュボードに表示されるパフォーマンス情報に対応するプロパティは複数あり、これらはログ ルール内で使用で きます。 たとえば、プロパティ Timer.ResolveHostNameViaDNS は、DNS サーバーで名前を検索することによってホ スト名を解決するのにかかる平均時間に関するダッシュボード情報に対応します。 個々のルール セットの処理に対して測定された時間をログするために利用可能なプロパティは、2 つあります。 Stopwatch.GetMilliSeconds プロパティはミリ秒単位で、Stopwatch.GetMicroSeconds はマイクロ秒単 位で、それぞれこの時間を記録します。 ログ ルール アプライアンスにおけるデフォルトのログ ルールは、ログ行を作成するために 1 つのイベントを使用し、これらの 行をログ ファイルに書き込むためにもう 1 つのイベントを使用します。 604 McAfee Web Gateway 7.6.0 製品ガイド モニタリング パフォーマンス測定 17 パフォーマンス情報をログするためのプロパティをログ行の要素に追加すると、その要素だけでなく、ログ行のその 他の要素もログ ファイル内に書き込まれます。 パフォーマンス情報をログするためのデフォルトのルールを使用したり、自分でルールを作成したりすることができ ます。 処理時間を測定するためのイベント 個々のルール セットの処理にかかった時間を測定するために利用可能なイベントは、2 つあります。 Stopwatch.Start イベントは、この時間を測定する内部ストップウォッチを開始します。また、 Stopwatch.Stop イベントは、経過時間を記録できるようにウォッチを停止します。 測定対象ルール セット 特定のルール セットの処理にかかる時間を測定するには、内部ストップウォッチを開始するためのイベント (つま り、開始イベント) を含むルールをルール セットの先頭に、停止イベントを含むもう 1 つのルールをルール セット の末尾にそれぞれ作成する必要があります。 ルール セットの処理を停止するアクションが含まれる場合は、このルール セットの既存のルールにも停止イベント を挿入する必要があります。それ以外の場合は、ウォッチが停止されることはありません。これは、ルール セットの 末尾に停止イベントがあるルールはスキップされるためです。 パフォーマンス情報の表示 複数のアプライアンス機能に関するパフォーマンス情報をダッシュボードで表示することができます。 タスク 1 [ダッシュボード] 、 [グラフおよび表]を選択します。 2 [パフォーマンス情報]を選択します。 パフォーマンス情報がタブに表示されます。 関連トピック: 568 ページの「グラフと表の情報の概要」 パフォーマンス測定の構成 アプライアンスの機能のパフォーマンスを測定およびロギングするために、パフォーマンス測定を構成できます。 以下の高レベル手順を完了します。 タスク 1 ダッシュボードに示されているパフォーマンス情報を表示し、どのような種類の情報をログ ファイルに記録する かを決定します。 例: DNS サーバーでのホスト名の参照に消費する平均時間を記録できます。この情報は、ダッシュボードの DNS 参照機能によって示されます。 2 パフォーマンス情報をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいロ グ ルールに使用します。 例: Timer.ResolveHostNameviaDNS プロパティをデフォルトのアクセス ログルール セットの access.log への書き込みでログ行を作成するイベントに挿入します。 McAfee Web Gateway 7.6.0 製品ガイド 605 17 モニタリング パフォーマンス測定 3 特定のルール セットを処理するのにかかる時間を測定します。 a ルール セットの最初に、内部ストップウォッチを開始するイベントを含むルールを挿入します。 b ウォッチを停止して、消費した時間を測定します。 • ルール セットの終わりに、これらのアクティビティを実行するイベントを含むルールを挿入します。 • ルールセットのすべてのルールが処理される前に、そのルール セットを停止する能力のある既存ルールそ れぞれに、これらのアクティビティを実行するイベントを挿入します。 例: URL フィルタリング ルール セットによって消費される処理時間を測定するには、以下の手順に従います。 4 • ルール セットの最初に Stopwatch.Start (URL フィルタリング) イベントを含むルールを挿入します。 • 終わりに Stopwatch.Stop (URL フィルタリング) イベントを含むルールを挿入します。 • Stopwatch.Stop (URL フィルタリング) イベントはさらなるルールの処理を停止できるため、そのイベン トをルール セットのホワイトリストおよびブロック ルールに挿入します。 処理時間の測定をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいログ ル ールに使用します。 例: Stopwatch.GetMilliSeconds (URL フィルタリング) プロパティをデフォルトのアクセス ログルール セットの access.log への書き込みでログ行を作成するイベントに挿入します。 パフォーマンス情報をログするためのプロパティのルール内での使用 パフォーマンス情報がログされるようにするために、パフォーマンス ログ プロパティをログ ルールに挿入すること ができます。 ダッシュボードに表示されるパフォーマンス情報のタイプごとに、1 つのログ プロパティが利用可能です。 ダッシュボードには、たとえば、DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均 時間が表示されます。この情報に対応するプロパティは、Timer.ResolveHostNameViaDNS です。プロパティ の値は、アプライアンスで処理された要求内でホスト名を検索するのにかかった時間です。時間は、ミリ秒単位で測 定されます。 その他のパフォーマンス ログ プロパティには、外部サーバーへの接続に必要な時間を測定するための Timer.HandleConnect ToServer や、アプライアンスで要求が受信された場合にルール エンジンによる処理に 必要な時間を測定するための Timer.TimeConsumedByRule Engine があります。 ダッシュボードのパフォーマンス情報をログできるようにするすべてのプロパティには、名前の先頭に Timer とい う要素が含まれています。 トランザクションに対する処理時間の測定 ダッシュボードに表示されるパフォーマンス情報をログするためにプロパティによって測定されて利用可能になる時 間とは、個々の要求に対する処理が関連処理サイクル全体で続行される限り特定のアクティビティ(外部サーバーへ の接続など)に必要な時間です。 1 つの個々の要求を関連サイクル全体で処理することは、1 つのトランザクションと見なされます。 1 つのトランザクションに 3 つのサイクルすべて(要求、応答、および埋め込みオブジェクト)を含める必要はあり ません。 たとえば、ブロック対象カテゴリに分類される Web ページに対してユーザーが要求を送信した場合、このユーザー にはブロック メッセージが返され、対象の Web サーバーに要求は転送されず、処理は応答サイクルに入りません。 また、トランザクションには要求サイクルのみが含まれ、この場合には応答サイクルは関係ありません。 606 McAfee Web Gateway 7.6.0 製品ガイド モニタリング パフォーマンス測定 17 パフォーマンス情報をログするためのルール アクセス ログは、要求に対してトランザクションが完了するとログ エントリが書き込まれるログ ファイルととも に、デフォルトによってアプライアンスに存在します。このログは、パフォーマンス情報を記録するために適切なデ バイスです。 アクセス ログのログ ファイルへのログ エントリの書き込みは、ログ ルールによって実行されます。このルールは、 ログ ファイル エントリを作成するために 1 つのイベントを使用し、このエントリをログ ファイルに書き込むために もう 1 つのイベントを使用します。 名前 access.log の書き込み 条件 アクション 常に適用する –> 続行 イベント – Set User-Defined.logLine = DateTime.ToWebReporterString + “”” + ... FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ロ グ構成> ログ エントリは複数の要素で構成され、各要素によって特定の情報(要求がアプライアンスで受信された日付と時刻 など)が追加されます。パフォーマンス情報を提供する要素をエントリに追加することによって、この情報がログさ れるようにすることができます。 パフォーマンス情報(DNS 参照に必要な処理時間など)をログするには、以下の 2 つの要素を追加する必要があり ます。 • + Number.ToString (Timer.ResolveHostNameViaDNS) • + “”” ログ エントリは文字列であるため、処理時間に対する数値は、文字列形式に変換された後でのみログ可能になりま す。 これは、Timer.ResolveHostNameViaDNS プロパティをパラメーターとして必要とする Number.ToString プロパティによって行われます。 ルール セット処理時間を測定するためのイベントのルール内での使用 個々のルール セットの処理にかかった時間は、測定イベントを含むルールをルール セットに挿入することにより測 定できます。 処理時間を測定する理由は、ルール セットに変更を適用した後でパフォーマンスが向上したかどうかを把握するため です。 ルール セット処理時間を測定するためのイベントは、アプライアンスの内部ストップウォッチを制御します。利用可 能なイベントは、以下のとおりです。 • [Stopwatch.Start] — 内部ストップウォッチを開始します • [Stopwatch.Stop] — 内部ストップウォッチを停止します • [Stopwatch.Reset] — 内部ストップウォッチをリセットします これらの各イベントには、それぞれが測定するルール セットを指定するために文字列パラメーターが必要となりま す。たとえば、URL フィルタリング ルール セットの処理時間を測定する内部ウォッチを開始するイベントは、ルー ル内で Stopwatch.Start ("URLFiltering") のように表されます。 McAfee Web Gateway 7.6.0 製品ガイド 607 17 モニタリング SNMP でのイベント モニタリング 処理時間を測定するためのルール URL フィルタリング ルール セットに対して処理時間の測定を開始するために、たとえば Stopwatch.Start イベ ントを使用するルールは、次のようになります。 名前 ルール セットに対してストップウォッチを開始する 条件 常に適用する アクション –> 続行 イベント – Stopwatch.Start ("URLFiltering") ルール セットの処理にかかる時間を測定するには、開始イベントを含むルールをルール セットの先頭に、停止イベ ントを含むもう 1 つのルールをルール セットの末尾にそれぞれ置く必要があります。 ただし、Stop Rule Set、Stop Cycle、または Block というアクションを実行できるルールがルール セット内に含 まれている場合は、これらの各ルールに停止イベントを挿入する必要もあります。 内部ウォッチを停止するためのイベントが挿入されている URL フィルタリング ルールは、次のようになります。 名前 URL ホワイトリスト内の URL を許可する 条件 URL が URL ホワイトリストに一致する アクション –> 続行 イベント – Stopwatch.Stop ("URLFiltering") このルールを適用すると、URL フィルタリング ルール セットの処理が停止します。これは、許可された URL のリ ストにユーザーがアクセスを要求した URL が含まれていることが検出されるからです。そのため、このルールには 停止イベントを挿入する必要があります。 ルール セットの末尾に停止イベントを含むルールは処理されないため、これは必要です。その理由は、このルールに 達する前に、ホワイトリスト ルールによってルール セットの処理が停止されるからです。 測定された処理時間のログ ルール セットの処理に対して測定された時間をログすることができます。この目的のために利用可能なプロパティ は 2 つあり、これらはログ ルール内で使用できます。 • [Stopwatch.GetMilliSeconds] — ルール セット処理に対してミリ秒単位で測定された時間 • [Stopwatch.GetMicroSeconds] — ルール セット処理に対してマイクロ秒単位で測定された時間 これらのプロパティには両方とも、処理時間が測定されたルール セットを示す文字列パラメーターが含まれます。 たとえば、URL フィルタリング ルール セットの処理時間をミリ秒単位でログするためのプロパティは、ログ ルール 内で Stopwatch.GetMilliSeconds ("URLFiltering") のように表されます。 SNMP でのイベント モニタリング アプライアンス システムで発生するイベントは、SNMP を使用して監視できます。 SNMP(Simple Network Management Protocol)でモニタリングが実行される場合、ホスト システムで実行され る SNMP エージェントは、このシステムで発生するイベントに関するメッセージをそのクライアントである他のホ スト システムに送信します。 メッセージは SNMP ではトラップと呼ばれていて、SNMP エージェントが実行されるホスト システムは、管理ステ ーションと呼ばれています。エージェントからメッセージを受け取るホスト システムも管理ステーションと呼ばれ ていて、その上に、トラップ シンクとも呼ばれます。 608 McAfee Web Gateway 7.6.0 製品ガイド モニタリング SNMP でのイベント モニタリング 17 特定のユーザーまたはユーザー コミュニティに、トラップで送信された情報を表示する権限が与えられます。システ ム情報は、情報の表示にツリー構造を使用する Management Information Base(MIB)でも提供されます。 SNMP 設定の構成 アプライアンス上のシステム イベントの監視を有効化するために、SNMP 設定を構成できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、SNMP 監視をオンにするアプライアンスを選択して、[SNMP]をクリックします。 3 必要に応じて、SNMP 設定を構成します。 4 [変更の保存]をクリックします。 関連トピック: 609 ページの「SNMP 設定」 SNMP 設定 SNMP 設定とは、SNMP でシステム イベントのモニタリングを構成するための設定です。 SNMP ポート設定 クライアント要求をリッスンするアプライアンスの SNMP エージェントのポートに対する設定 表 17-30 SNMP ポート設定 オプション 定義 [リスナー アドレス リスト] クライアント要求を待機するポートを入力するためのリストを提供します。 次の表では、リスナー アドレス リストのエントリを説明しています。 表 17-31 リスナー アドレス - リスト エントリ オプション 定義 [プロトコル] ポートとこのポートが待機するクライアントとの間の通信に使用されるプロトコルを指定し ます。 • [UDP] — 選択すると、この通信に対して UDP が使用されます。 • [TCP] — 選択すると、この通信に対して TCP が使用されます。 [リスナー アドレス] リスナー ポートの IP アドレスとポート番号を指定します。 [コメント] リスナー ポートに関するテキスト形式のコメントを提供します。 アプライアンスで次の 2 つのリスナー ポートが使用できます。これらの値は、このリストにデフォルトで入力され ています。 • UDP - 0.0.0.0:161 • UDP - 0.0.0.0:9161 SNMP システム情報 システムをモニタリングするアプライアンスの設定 McAfee Web Gateway 7.6.0 製品ガイド 609 17 モニタリング SNMP でのイベント モニタリング 表 17-32 SNMP システム情報 オプション 定義 [説明] モニタリング対象システムの情報が表示されます。 [オブジェクト ID] 管理情報ベース (MIB) で、モニタリング対象システムの情報が始まるオブジェクトの ID が表 示されます。 例: .1.3.6.1.4.1.1230.2.7.1.1 [担当者 ] モニタリング対象システムの SNMP 機能を管理する担当者の名前が表示されます。 [物理的な位置] モニタリング対象システムの位置が表示されます。 SNMP プロトコル オプション SNMP プロトコル バージョンと SNMP 情報へのユーザー アクセスに対する設定 表 17-33 SNMP プロトコル オプション オプション 定義 [SNMP v1] 選択すると、SNMP のバージョン 1 でシステム イベントがモニタリングされます。 [SNMP v2c] 選択すると、SNMP のバージョン 2c でシステム イベントがモニタリングされます。 [SNMPv1 および SNMPv2c アクセスの通 信] SNMP のバージョン 1 と 2c で SNMP 情報へのアクセスが許可されたユーザー通信 を入力するためのリストを提供します。 [SNMP v3c] 選択すると、SNMP のバージョン 3 でシステム イベントがモニタリングされます。 [SNMP v3 ユーザー] SNMP のバージョン 3 と 2c で SNMP 情報へのアクセスが許可されたユーザーを入 力するためのリストを提供します。 次の表では、ユーザー コミュニティのリストと SNMP v3 ユーザーのリストのエントリを説明しています。 表 17-34 ユーザー コミュニティ - リスト エントリ オプション 定義 [通信文字列] SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字列 (例: public) を提供します。 [許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目を定義します。 [許可] SNMP 情報へのアクセスが許可されたホスト システムのホスト名または IP アドレスを 指定します。 ここで * が指定されているか、または値が指定されていない場合は、すべての情報への アクセスが許可されます。 [読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。 [コメント] ユーザー通信に関するテキスト形式のコメントを提供します。 表 17-35 SNMP v3 ユーザー - リスト エントリ オプション 定義 [ユーザー名] SNMP 情報へのアクセスが許可されたユーザーの名前を指定します。 [許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目を定義します。 ここで * が指定されているか、または値が指定されていない場合は、すべての情報への アクセスが許可されます。 610 [認証] ユーザーが SNMP 情報にアクセスするときに使用される認証情報が表示されます。 [暗号化] SNMP 情報にユーザーがアクセスするときに使用される暗号化方法を設定します。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング McAfee ePO を監視するためのデータの転送 17 表 17-35 SNMP v3 ユーザー - リスト エントリ (続き) オプション 定義 [読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。 [コメント] ユーザーの平文テキストのコメントを提供します。 SNMP トラップ シンク SNMP メッセージを受信するホスト システムに対する設定 表 17-36 SNMP トラップ シンク オプション 定義 [トラップ シンク] アプライアンスの SNMP エージェントからシステム イベントに関するメッセージを受信する ホスト システム (トラップ シンクとも呼ばれる) のリストを提供します。 次の表では、トラップ シンクのリストのエントリを説明しています。 表 17-37 トラップ シンク - リスト エントリ オプション 定義 [ホスト名または IP アドレ ス] SNMP メッセージ (トラップとも呼ばれる) を受信するホスト システムのホスト名 または IP アドレスを指定します。 [ポート] SNMP メッセージを待機するホスト システムのポートを指定します。 [通信文字列] SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字 列 (例: public) を指定します。 [SNMP v2c トラップを送 信] 選択すると、メッセージは SNMP プロトコルのバージョン v2c で送信することが可 能になります。 [コメント] SNMP メッセージを受信するホスト システムに関するテキスト形式のコメントを提 供します。 SNMP MIB ファイル アプライアンスの SNMP モニタリングに関する追加情報を提供する txt 形式のファイル 表 17-38 SNMP MIB ファイル オプション 定義 [MCAFEE-SMI.txt] McAfee カスタマー サービスの問い合わせ先など、McAfee の管理情報構造 (SMI) が 記録されています。 [MCAFEE-MWG-MIB.txt] アプライアンスでの SNMP モニタリングを可能にする管理情報ベース (MIB) の項目 に関する説明が記述されています。 McAfee ePO を監視するためのデータの転送 ® ™ アプライアンスから McAfee ePolicy Orchestrator (McAfee ePO )コンソールへデータを転送すると、このコン ソールから該当のアプライアンスを監視することができます。 McAfee ePolicy Orchestrator コンソールは、McAfee Web Gateway アプライアンスを含め、さまざまな McAfee 製品でセキュリティ管理を実行するためのデバイスです。 McAfee ePO コンソールとアプライアンスを適宜構成した場合は、コンソールからアプライアンスにログオンし、ア プライアンスからコンソールが実行されているサーバーへと、監視データを転送させることができます。このサーバ ーは、McAfee ePO サーバーとも呼ばれます。 McAfee Web Gateway 7.6.0 製品ガイド 611 17 モニタリング McAfee ePO を監視するためのデータの転送 McAfee ePO サーバーは、定期的にアプライアンスで収集された監視データを取得するために、SSL セキュア要求 を送信します。その後、Web セキュリティ ルールの通常の処理をバイパスするために、SSL セキュア通信が開始す る CONNECT 要求を許可する必要があります。これにより、アプライアンスで要求がブロックされないようになり ます。 たとえば、認証ルールが実装されている場合、これらのルールによって使用される認証方法はサーバーでサポートさ れないため、ブロックされます。 バイパスを有効にしたり、独自のルール セットを作成したりするために、ライブラリから適切なルール セットをイ ンポートできます。 ePolicy Orchestrator 設定の構成 ePolicy Orchestrator 設定を構成して、アプライアンスから McAfee ePO サーバーへのモニタリング データの転送 を有効化できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、監視データを転送するアプライアンスを選択して、[ePolicy Orchestrator]を選択し ます。 3 必要に応じて、ePolicy Orchestrator 設定を構成します。 4 [変更の保存]をクリックします。 関連トピック: 612 ページの「ePolicy Orchestrator の設定」 ePolicy Orchestrator の設定 [ePolicy Orchestrator] の設定は、Web Gateway アプライアンスから McAfee ePO サーバーへの監視データと他 のデータの転送を設定する場合に使用します。 ePolicy Orchestrator の設定 監視データを McAfee ePO サーバーに転送する場合の設定 表 17-39 ePolicy Orchestrator の設定 オプション 定義 [ePO ユーザー アカウント] アプライアンスからのモニタリング データの取得を可能にするアカウントのユーザ ー名を指定します。 [パスワード] ユーザーのパスワードを設定します。 [変更] 新しいパスワードを作成するためのウィンドウを開きます。 [ePO のデータ収集を有効に 選択すると、McAfee ePO サーバーの監視データがアプライアンスで収集されます。 する] [データ収集間隔 (分)] データ収集の間隔を分単位で指定します。 時間は 10 分 ~ 6 時間までの範囲のスライダー スケールで設定されます。 ePo DXL の設定 McAfee ePO サーバーに接続し、DXL メッセージングを有効にするときに、Web Gateway が送信する認証情報を 定義する場合の設定 612 McAfee Web Gateway 7.6.0 製品ガイド モニタリング ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 17 表 17-40 ePo DXL の設定 オプション 定義 [ePO ホスト名] McAfee ePO サーバーに接続するときに Web Gateway が使用するホスト名を指定し ます。 [ePO ユーザー アカウ ント] McAfee ePO サーバーに接続するときに Web Gateway が使用するユーザー アカウン ト名を指定します。 [パスワード] McAfee ePO サーバーに接続するときに Web Gateway が送信するパスワードを指定 します。 [設定] をクリックすると、新しいパスワードを設定するウィンドウが開きます。 ePO リクエストのバイパス ルール セット ePO リクエストのバイパス ルール セットは、McAfee ePO サーバーからのリクエストがアプライアンスのフィルタ リング ルールのバイパスすることを可能にするためのライブラリ ルール セットです。 ライブラリ ルール セット — ePO リクエストのバイパス 条件 — Command.Name equals “CONNECT” サイクル - リクエスト(および IM) このルール セットの条件は、ePO サーバーとアプライアンスの間の SSL セキュア通信がサーバーからのリクエスト をアプライアンスに接続し始めるときに、ルール セットが適用されることを指定します。 ルール セットには、以下のルールが含まれます。 ePO リクエストの後続のルールをスキップする URL.Host equals “127.0.0.1” OR URL.Host equals “[::1]” –> Stop Cycle – Enable SSL Client Context<デフォルト CA> – Enable SSL Scanner <edh なしの証明書認証> このルールは URL.Host プロパティを使用して、ホストの IP アドレスに基づいてリクエストされた URL のホスト を識別します。 このアドレスが 127.0.0.1 の場合、リクエストされた URL のホストはアプライアンスです。ePO サーバーはアプ ライアンスへの接続要求を送信するとき、このアドレスを使用します。 そのため、127.0.0.1 がリクエストされたアドレスの場合、ルールはリクエスト サイクルでのすべてのさらなる処 理を適用および停止します。これで、CONNECT リクエストは通過を許可されます。 このプロセスでの次のステップは証明書の送信および確認です。このルールは、デフォルトの証明機関で発行され たクライアント証明書の送信を有効化するためのイベントを含みます。 イベント設定を変更し、その他の証明機関で証明書を発行させることもできます。 認証確認が完了したら、SSL セキュア通信を開始できます。 ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 アクセス ログに記録されたデータを Syslog サーバーに送信するように Web Gateway を設定できます。 Web Gateway がクライアントから受信した Web アクセス要求のデータはアクセス ログに記録されます。 この記 録は、ルール セットのログ処理ルールで実行されます。このルールはデフォルトで有効になっています。 他のルー ルを追加すると、このデータをデーモンに渡して特定の Syslog サーバーに送信することができます。 ログには、要求が送信された日時、要求を送信したユーザーのユーザー名、要求された URL などの情報が記録され ます。 設定を変更すると、Web アクセスに関する別の情報を記録できます。 McAfee Web Gateway 7.6.0 製品ガイド 613 17 モニタリング ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 データを送信するプロトコルや形式を変更することもできます。 また、送信する重大度を指定して、緊急性の高いデ ータのみを送信するように設定できます。 データを送信するには、次の操作を行う必要があります。 • Syslog デーモンにアクセス ログ データの使用を許可するルールを追加します。 • デーモンがデータを Syslog サーバーに送信するように、rsyslog.conf システム ファイルを適用します。 これらの操作は、アクセス ログ データの送信元にする Web Gateway アプライアンスごとに行う必要があります。 同様に、他のログ データを送信することもできます。 データ送信に使用するプロトコル データは、UDP または TCP プロトコルで Syslog サーバーに送信できます。 Syslog サーバーによっては、TCP リ スナー ポートがない場合があります。 最も一般的な UDP リスナー ポートは 514 です。TCP の場合、アプライア ンスによってポートが異なります。 データ形式 サーバーのタイプによって、Syslog サーバーに送信されるデータの形式が異なります。 形式が不明な場合には、 Syslog サーバーの管理者に確認してください。 • デフォルト形式 - デフォルトのログ処理ルールは、この形式でアクセス ログ データを記録します。 McAfee Content Security Reporter 2.0 では、この形式と変更バージョンを使用できます。 • ® SIEM (Nitro) 形式 - この形式は、Syslog サーバーが McAfee Enterprise Security Manager (McAfee ESM) (SIEM、旧 Nitro) で提供されている場合に必要になります。 オンラインのルール セット ライブラリから SIEM Nitro 統合 ルール セットをインポートできます。 このル ール セットには、SIEM (Nitro) 形式でアクセス ログ データを記録するルールが含まれています。 • CEF 形式 - この形式は、Syslog サーバーが ArcSight セキュリティ マネージャーまたは類指示のプログラム で提供されている場合に必要になります。 オンラインのルール セット ライブラリから CEF Syslog ルール セットをインポートできます。 このルール セットには、CEF 形式でアクセス ログ データを記録するルールが含まれています。 重大度 重大度の異なるデータを Syslog サーバーに送信できます。 重大度は次のとおりです。 重大度 6 が推奨値です。 614 • 0: 緊急 (emerg) - システムが使用不能 • 4: 警告 (warning) - 警告 • 1: アラート (alert) - すぐにアクションが必要 • 5: 通知 (notice) - 正常だが注意が必要 • 2: クリティカル (critical) - クリティカルな状 況 • 6: 情報 (info) - 情報メッセージ • 3: エラー (error) - エラー状況 • 7: デバッグ (debug) - デバッグ用のメッセー ジ McAfee Web Gateway 7.6.0 製品ガイド モニタリング ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 17 アクセス ログ データの送信ルールを追加する Web Gateway から Syslog サーバーにアクセス ログを送信するには、データを記録するルールをアクセス ログ ル ール セットに追加します。 タスク 1 [ポリシー] 、 [ルール セット] の順に選択します。 2 [ログ ハンドラー] をクリックして [デフォルト] ルール セットを展開します。ネストされた [アクセス ログ] ルール セットを選択します。 ネストされたルール セットのコンテンツが設定ペインに表示されます。 デフォルトでは、このルール セットに Web アクセスに関するデータをログに書き込むルールが含まれています。 3 デーモンがアクセス ログ データを Syslog サーバーに送信できるように、以下のルールを追加します。 名前 Make access log data available to syslog daemon 条件 Always –> アクション イベント Continue Syslog (6、User-Defined.logLine) このルールのイベントにより、Syslog デーモンの前にユーザー定義のログにアクセス データが書き込まれます。 Syslog デーモンはログを Syslog サーバーに送信します。 このデーモンは、rsyslog.conf システム ファイル で設定されています。 最初のイベント パラメーターは、アクセス ログ データの重大度レベルを表します。 4 [変更の保存] をクリックします。 このルールでは、先行ルールがデフォルトの形式で記録したデータを使用します。 Syslog サーバーで別の形式が必 要な場合には、必要な形式を使用するルールで先行ルールを置換してください。 オンラインのルール セット ライブラリを使用すると、SIEM または CEF 形式でデータを書き込むルールを含むルー ル セットをインポートできます。 rsyslog.conf システム ファイルを使用してアクセス ログ データを送信する アクセス ログ データを Syslog サーバーに正常に送信するには、rsyslog.conf システム ファイルを使用します。 システム ファイルを適用するには、Web Gateway ユーザー インターフェースの [ファイル エディター] を使用して ください。 システム コンソールからコマンドで変更を行った場合、今後の更新で変更が上書きされます。 タスク 1 [設定] 、 [ファイル エディター] の順に選択します。 2 ファイル ツリーで [rsyslog.conf] を選択します。 ファイルのコンテンツが設定ペインに表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 615 17 モニタリング ベスト プラクティス - Syslog サーバーへのアクセス ログ データの送信 3 アクセス ログ データの送信に使用できるように、ファイルを編集します。 a 以下の行を検索します。 *.info;mail.none;authpriv.none;cron.none /var/log/messages この行はルール セクションの一部です。 # Include config files in /etc/rsyslog.d $IncludeConfig /etc/rsyslog.d/*.conf ####RULES#### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages b この行の mail を daemon に置換し、パス情報の前に - (ダッシュ) を挿入します。 *.info;daemon.none;authpriv.none;cron.none -/var/log/messages この変更で、Syslog デーモンが Web Gateway アプライアンス システムのディスク上にある var/log/ messages パーティションにデータを送信できなくなります。 daemon の前の info は、データの重大度レベルを表します。 これで、指定した宛先にデータが送信されます。 c UDP プロトコルを使用して Syslog サーバーにデータを送信するには、次の行を挿入します。 [email protected]:514 x.x.x.x には、Syslog サーバーの IP アドレスを指定します。 TCP を使用して Syslog サーバーにメッセージを送信するには、次の行を挿入します。 daemon.info.@@x.x.x.x:<ポート番号> 4 616 [変更の保存] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング McAfee Enterprise Security Manager への syslog データの送信 17 アクセス ログ データ送信時の問題の解決 Web Gateway から Syslog サーバーにアクセス ログ データを送信するときの問題は、いくつかの方法で解決する ことができます。 • アクセス ログ データが Syslog サーバーで受信されない場合、Web Gateway アプライアンス システムのディ スク上にある var/log/messages パーティションに書き込まれている可能性があります。 システム コンソールから次のコマンドを実行して、データがディスクに書き込まれていないかどうか確認してく ださい。 tail -f /var/log/messages • アクセス ログ データが Syslog サーバーで受信されていない場合、ファイアウォールなどの制限が原因で問題が 発生している可能性があります。 tcpdump を実行すると、Web Gateway がデータ パケットを Syslog サーバ ーに送信しているかどうか確認できます。 UDP プロトコルで Syslog サーバーに送信されている場合には、システム コンソールから次のコマンドを実行し て、データ パケットを確認してください。 tcpdump port 514 また、rsyslog.conf システム ファイルで、Syslog サーバーへのデータ送信が正しく設定されているかどうか確 認してください。 • デフォルトでは、Syslog サーバーに送信されるデータ パケットが 2000 文字を超える場合、Web Gateway は データ パケットを切り捨てます。 以下の行を rsyslog.conf システム ファイルに追加して、パケット長を調整してください。 $MaxMessageSize <最大文字数> McAfee Enterprise Security Manager への syslog データの送信 ® Web Gateway の syslog ログ ファイルに記録されたデータは McAfee Enterprise Security Manager (McAfee ESM) に送信できます。 データの転送は、Web Gateway のオンライン ルール セット ライブラリで使用可能なルール セットのルールで制 御します。 データを送信する McAfee ESM のコンポーネントは、McAfee SIEM Receiver です。 転送を有効にするには、システム ファイルで Web Gateway の syslog データのリモート使用を設定します。 この システム ファイルの名前は rsyslog です (ファイル名の r はリモートを意味します)。 McAfee SIEM Receiver の設定を変更し、McAfee ESM 環境のデータソースに Web Gateway を追加する必要があります。 データ転送を行うには、バージョン 9.3.2 以降の McAfee ESM が必要です。 syslog データの送信を設定する Web Gateway で収集された syslog データを McAfee ESM に送信するには、以下の手順を行います。 タスク 1 Web Gateway のオンライン ルール セット ライブラリから McAfee SIEM ルール セットをインポートしま す。 デフォルトのログ ハンドラー ルール セットにネストされたルール セットとして配置します。 オンライン ルール セット ライブラリーの SIEM (Nitro) 統合で、このルール セットが使用可能になります。 2 インポートされたルール セットで、syslog に送信 ルールを有効にし、nitro.log に送信 ルールを無効にしま す。 McAfee Web Gateway 7.6.0 製品ガイド 617 17 モニタリング McAfee Enterprise Security Manager への syslog データの送信 3 ファイル エディターを使用して、データ転送に rsyslog システム ファイルを設定します。 集中管理クラスターで複数の Web Gateway アプライアンスを実行している場合、このシステム ファイルをク ラスター内の各アプライアンスで設定します。 4 McAfee ESM で、McAfee SIEM Receiver の設定を変更し、データ ソースとして Web Gateway を追加しま す。 詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。 このガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。 データ転送で rsyslog システム ファイルを使用する syslog データが McAfee ESM に正常に送信されるように、Web Gateway の rsyslog システム ファイルを使用 します。 タスク 1 [設定] 、 [ファイル エディター] の順に選択します。 2 ファイル ツリーで [rsyslog.conf] を選択します。 ファイルのコンテンツが設定ペインに表示されます。 3 データ転送に使用できるようにファイルを編集します。 編集後のファイルは次のようになります。 The below will direct all daemon.info messages to the remote syslog server ... で始まる段落の行が変更されています。 ここでは、McAfee SIEM Receiver の IP アドレスを指定します。 # default parameters $DirCreateMode 0755 $FileCreateMode 0640 $FileGroup adm $umask 0026 # Include config files in /etc/rsyslog.d $IncludeConfig /etc/rsyslog.d/*.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! # The following directs all daemon.info messages to the # remote syslog server at [IP_OF_MCAFEE_EVENT_RECEIVER] # add @@ for TCP syslog for example #daemon.info @192.168.1.1 *.info;daemon.!=info;mail.none;authpriv.none;cron.none -/var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log 4 618 [変更の保存] をクリックします。 McAfee Web Gateway 7.6.0 製品ガイド モニタリング McAfee Enterprise Security Manager への syslog データの送信 17 Syslog データの取集/評価の調整 関連する Syslog データを Web Gateway で収集し、McAfee ESM で効率よく評価できるように調整することがで きます。 関連性のないデータを除外し、重要なイベントだけが記録されるように制限すると、収集される Syslog データの量 を絞り込むことができます。 追加のロギング アクティビティを実装すると、関連データを Syslog データを追加で きます。 McAfee ESM でデータ集計を無効にすると、関連性のないデータを除外できます。 Syslog データ量の絞り込み Web Gateway が McAfee ESM に送信する Syslog データは、次の方法で絞り込むことができます。 • 認証必要 (ステータス コード 407) 応答を除外する - これは、Web セキュリティに関係のない標準的な応答で す。 これらの応答を転送される Syslog データから除外するには、インポートしたルール セットのルールを追加しま す。 他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。 名前 407 応答を除外する 条件 アクション Response.StatusCode equals 407 • –> ルール セットの停止 記録されたブロック アクションだけを送信する - Web セキュリティの維持にブロック アクションは重要です が、Web トラフィックに占める割合はごくわずかです。 これらのアクションでログ ファイルに転送される Syslog データを制限するには、インポートしたルール セット のルールを追加します。 他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。 名前 記録されたブロック アクションだけを送信する 条件 アクション Block.ID equals 0 –> ルール セットの停止 感染ファイルのハッシュを Syslog データに追加する Web Gateway で処理され、感染が見つかったファイルのハッシュ値を Syslog データに追加できます。 ファイル ハッシュは、感染と大量発生の兆候を追跡する場合に有効です。 ハッシュの生成は大量のリソースを消費するため、重要な問題にのみ使用するようにしてください。 不明な点がある 場合には、McAfee サポートに連絡してください。 ファイル ハッシュの計算とロギングを有効にするには、感染ファイルの検出とブロックを行うルールをイベントに追 加します。 デフォルトでは、このルールは Gateway Anti-Malware ルール セットの ウイルスを検出したらブ ロック になります。 イベントは次のようになります。 Header.Block.Add('X-Hash-MD5, Body.Hash("md5")) McAfee Web Gateway 7.6.0 製品ガイド 619 17 モニタリング McAfee Enterprise Security Manager への syslog データの送信 Header.Block.Add イベントは事前定義のイベントで、使用可能なイベントのリストから選択できます。 挿入さ れたルールが適用されると、Syslog ログに項目が追加されます。 イベントには次の 2 つのパラメーターを設定する必要があります。 • X-Hash-MD5 - ログ項目の名前 • Body.Hash("md5") - ログ項目の値 このパラメーターは、ファイルのハッシュ値を計算するプロパティです。 ここで、要求または応答の本体として Web Gateway に送信された感染ファイルのハッシュ値を計算します。 このプロパティのパラメーターにより、ハッシュの計算方法が決まります。 ルール セットのキー要素ビューで操作している場合には、完全ルール ビューに切り替えてイベントを追加する必要が あります。 イベントの追加後、ブロック ルールは次のようになります。 名前 ウイルスを検出したらブロック 条件 アクション Antimalware.Infected<Gateway Anti-Malware>equals true –> Block<Virus Found> イベント Statistics.Counter.Increment ("BlockedByAntiMalware", 1)<Default> Header.Block.Add ('X-Hash-MD5, Body.Hash("md5")) Syslog データの集計を無効にする デフォルトでは、McAfee SIEM Receiver が Web Gateway から Syslog データを受信すると、このデータは 1 つ のレコードに集約されます。 データ ソースが多い場合、この集計機能は便利ですが、重要な情報が失われる可能性 があるため、Web Gateway では不適切な場合があります。 McAfee ESM で Web Gateway データの集計を無効にできます。 詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。 この ガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。 syslog データ転送で発生する問題の解決方法 Web Gateway から McAfee ESM に syslog データを送信するときに発生した問題を解決するには、いくつかの方 法があります。 • • Web Gateway の設定で以下のことを確認してください。 • syslog の送信 ルールが有効になっている。 • rsyslog システム ファイルで McAfee SIEM Receiver の IP アドレスが正しく指定されている。 McAfee ESM の設定を確認します。 この手順の詳細と McAfee ESM で実行する他の操作については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。 このガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。 620 McAfee Web Gateway 7.6.0 製品ガイド モニタリング McAfee Enterprise Security Manager への syslog データの送信 • 17 Web Gateway で syslog データが生成されているかどうか確認します。たとえば、システム コンソールで次の コマンドを実行します。 tcpdump –s 0 –I any port 514 • McAfee SIEM Receiver が syslog データを受信しているかどうか確認します。 • Web Gateway で syslog ログが正しい形式で生成されているかどうか確認します。 syslog ログの項目は次のようになります。 McAfeeWG|time_stamp=[30/Mar/2014:05:18:16 +0000]| auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com| url_port=80|status_code=200|bytes_from_client=187|bytes_to_client=272| categories=|rep_level=|method=GET|url=http://www.nitroguard.com/ngdb.dll?NG:StartIt:0| media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)| block_res=0|block_reason=|virus_name=|hash=| McAfeeWG|time_stamp=[30/Mar/2014:05:18:20 +0000]| auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com| url_port=80|status_code=200|bytes_from_client=376|bytes_to_client=200| categories=|rep_level=|method=GET| url=http://www.nitroguard.com/ngdb.dll?NG:DoIt: 0:Info=D8BC0B7C97D2C352AFE4643FEA44AE4D4C70F79271 D4620B64294729E046CB607B5458AC24BA31B061A12313E016EB7F62ED267DC6FE9A02A552681347EF79630351 4934 EE08EF0DA76B27F5EEA225B0DB274367AF4FEA574EA6137728| media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)| block_res=0|block_reason=|virus_name=|hash=| McAfee Web Gateway 7.6.0 製品ガイド 621 17 モニタリング McAfee Enterprise Security Manager への syslog データの送信 622 McAfee Web Gateway 7.6.0 製品ガイド 18 トラブルシューティング アプライアンスの問題をトラブルシューティングするために、さまざまな方法とツールを利用できます。 目次 トラブルシューティング方法 ルール追跡 フィードバック ファイルの作成 コア ファイルの作成の有効化 接続追跡ファイルの作成の有効化 パケット追跡ファイルの作成 システム ツールとネットワーク ツールを使用する オペレーティング システムのサービスを再起動する 実行中の AV スレッドを表示する アプライアンスの構成をバックアップまたは復元する トラブルシューティングの設定 トラブルシューティング方法 アプライアンスで問題が発生した場合には、さまざまな方法を使用して解決することができます。 ルール追跡 ユーザー インターフェースでルール追跡を作成して、確認することができます。 この追跡では、Web Gateway の クライアントから送信された要求と Web からの応答に対するルールの処理方法が記録されます。 これらの追跡結果を見ると、特定の要求に対するルールの処理方法と実行されたアクションを確認できます。 ユーザー インターフェースには、次の追跡情報が表示されます。 • サイクル - ルール アクションが実行された要 求、応答、埋め込みオブジェクトのサイクル。 • プロパティ - ルール条件が一致したときのプロ パティと値 • ルール - これらのサイクルで処理されたルール • アクション - ルール条件が一致したときに実行 されたアクション • ルール セット - ルールが含まれているルール セット • イベント - ルール条件が一致したときに実行さ れたイベント • ルール条件 - ルールの実行条件 McAfee Web Gateway 7.6.0 製品ガイド 623 18 トラブルシューティング ルール追跡 データの記録と検査 アプライアンスの動作に関するデータは、ファイル内に記録して検査することができます。この目的のために作成で きるファイルのタイプは、以下のとおりです。 • ログ ファイル — アプライアンスへのアクセスやファイルの更新など、イベントと機能をログします • ルール追跡ファイル — ルールの処理を記録します • フィードバック ファイル - 機能が失敗する前のプロセスに遡って追跡します。 • コア ファイル — 機能が失敗したためにアプライアンスの動作が終了した後にメモリのコンテンツを記録します • 接続追跡ファイル — アプライアンスと他のネットワーク コンポーネントとの間の接続上におけるアクティビテ ィを記録します • パケット追跡ファイル — アプライアンスのネットワーク アクティビティを記録します ネットワーク ツールの使用 場合によっては、アプライアンスから他のネットワーク コンポーネントへの接続が引き続き機能しているかどうかを テストする必要があります。この目的のために利用可能なツールは、ping、nslookup、ipneigh などを含め、複 数存在します。 システム ツールの使用 システム ツールを使用すると、Web Gateway でサービスを再起動したり、実行中の AV スレッドを表示できます。 構成のリストア 他のトラブルシューティング方法が機能しない場合は、問題のあるアプライアンス構成を削除してバックアップで置 換しなければならないことがあります。 バックアップを作成しておくと、既存の構成に適用された変更を破棄する場合など、他の状況でも役立つことがあり ます。 バックアップを作成したり、バックアップを使用して構成を復元したりするために、オプションが提供されます。 ルール追跡 ユーザー インターフェースでルール追跡機能を使用すると、ルール処理の問題をデバッグできます。 ルール追跡を作成すると、ネットワークのユーザーが特定のクライアントから Web アクセス要求を送信したときに、 実装済みのルールの処理で発生したアクティビティを記録することができます。 これらの追跡は、作成日、要求と一緒に送信された URL、ルールの処理時に実行されたルール アクション (ブロッ ク、リダイレクト、続行など) に従ってフィルタリングできます。 追跡では、要求に対して実行されたすべての処理サイクル (要求、応答、埋め込みオブジェクト) のアクティビティ が記録されます。追跡結果は、サイクルごとに別々に表示できます。 処理に関連するルール条件のプロパティも個別に表示できます。ルール処理時に設定された値も一緒に表示できま す。 624 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 18 ユーザー インターフェースのツール追跡ページには 3 つのペインが表示されます。各ペインで、ルール追跡操作を 行うことができます。 • 追跡ペイン - 追跡の作成、フィルタリング、削除ができます。 追跡をエクスポートして保存することもできます。後で再度インポートして表示したり、他の Web Gateway ア プライアンスで作成された追跡をインポートすることもできます。 • ルール ペイン - 処理サイクルを選択して、そのサイクルで処理されたルール セットまたは個々のルールを表示 できます。 • 詳細ペイン - 個々のルールの条件、プロパティ、プロパティに設定された値を表示できます。 ルール追跡のサイクル Web アクセス要求がクライアントから Web Gateway に送信されると、処理が開始します。この処理は異なるサイ クルで実行されます。要求サイクルの開始時には、要求自体の要素 (要求と一緒に送信された URL など) に関連する ルール セットが処理されます。 このサイクルに Web 要求の転送を禁止しているルール (URL の禁止カテゴリなど) がなければ、要求が転送されま す。Web からの応答を待機します。 応答を受信すると、応答サイクルのルールが処理されます。たとえば、ダウンロードを要求したファイルが応答で送 信されると、特定のルールに従ってウイルスまたはマルウェアのスキャンが実行されます。感染が検出されなければ、 ダウンロードを要求したクライアントにファイルが送信されます。 要求または応答にオブジェクトが埋め込まれている場合、他の処理サイクルが実行されます。設定されたロギング ル ールに従って、処理のアクティビティがログに記録されます。 Web Gateway のクライアントから送信された初期の要求に対して、各サイクルで実行されたすべての処理がエンテ ィティ (トランザクション) として確認できます。 ルール処理の問題をデバッグするには、トランザクションの完全なルール追跡を分析します。あるいは、問題の解決 に関係のある特定のサイクルだけを調査することもできます。 ルール追跡のプロパティ ルールが適用され、特定のアクション (例: Web アクセス要求のブロック) が実行されるかどうかは、ルール条件に よって決まります。ルール条件のプロパティには、処理中に特定の値が設定されます。 たとえば、Antimalware.Infected プロパティは、デフォルトのマルウェア対策ルールの条件で使用されます。 スキャンした Web オブジェクトでウイルスなどのマルウェアの感染が見つかると、このプロパティの値は true に 設定されます。これにより、ルールの条件に一致し、ブロック アクションが実行されます。 ルール追跡を分析する場合、ルール処理に関連するプロパティと、そのプロパティに設定された値は重要な情報にな ります。プロパティとその値は別々に表示することもできます。 ルール追跡の削除と復元 ルール追跡は、ルール追跡ページのペインから削除できます。ただし、このページで削除されるわけではありません。 ルール追跡を削除するには、アプライアンスの [トラブルシューティング] トップ レベル メニューから [ルール追跡 ファイル] セクションにアクセスします。 McAfee Web Gateway 7.6.0 製品ガイド 625 18 トラブルシューティング ルール追跡 このセクションでは、以前に削除した追跡をルール追跡ペインに復元することができます。 1 台のアプライアンスに最大で 5000 個の追跡を保存できます。この制限を超えると、古い追跡から順番 に削除されます。 この削除操作はルール追跡ペインに影響を及ぼしません。ただし、追跡が削除されているため、追跡項目 にアクセスできない場合があります。 ルール追跡を使用してルール処理の問題をデバッグする ルール追跡ペインのオプションを使用すると、ルール処理の問題をデバッグするルール追跡を作成し、確認すること ができます。 タスク 1 [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。 ルール追跡ペインが表示されます。 3 ルール追跡ペインで、ルール処理の問題をデバッグします。 ルール追跡ペイン ルール追跡ペインでは、ルール追跡の作成、管理、確認を行うことができます。 図 18-1 ルール追跡ペイン 次の表では、ルール追跡ペインの主な機能について説明します。 626 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 18 表 18-1 ルール追跡ペインの主な機能 ペイン 説明 [追跡ペイン] ルール追跡を作成し、管理できます。 [ルール ペイン] 処理されたルールが表示されます。 [詳細ペイン] ルール条件で使用されているプロパティなどを表示できます。 ペインの間にある黒い小さな四角形をクリックすると、ペインを展開したり、隠すことができます。 追跡ペイン 追跡ペインでは、次のオプションを使用できます。 表 18-2 追跡ペイン オプション 定義 アプライア ンス名リス ト ルール追跡のインポート、作成、確認、管理を行う Web Gateway アプライアンスを選択できます。 [インポー ト] ルール追跡のインポート メニューが表示されます。 • [アプライアンス ディレクトリからインポートする] - リストから選択されたアプライアンスに 記録されたルール追跡をすべてインポートできます。 • [ローカル ディレクトリからインポートする] - ローカル ファイル マネージャーが開きます。現 在ログオンしているアプライアンスに記録されたルール追跡をインポートできます。 クライアン ト IP アド レス フィー ルド ルール処理が追跡された要求を送信したクライアントの IP アドレスを入力できます。 [実行]/停止 アイコン (十字) ルール追跡の作成を開始または停止します。 • [実行] - クライアント IP アドレス フィールドに指定したクライアントから最後に受信した要求 に対して、ルール追跡の作成を開始します。 [実行] をクリックすると、停止アイコンが表示されます。 • 停止アイコン - ルール追跡を停止します。 [ソース] 追跡ペインに項目を表示するルール追跡のソースを選択できます。 ボタンをクリックすると、インポート済みのルール追跡ファイル (ZIP) のリストが表示されます。 ファイルを選択すると、ファイルに含まれるルール追跡項目が追跡ペインに表示されます。選択した ファイルの名前が表示されます。 ファイルを選択しないと、前回の追跡で作成されたルール追跡の項目が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 627 18 トラブルシューティング ルール追跡 表 18-2 追跡ペイン (続き) オプション 定義 アクション アイコン バ ー クリックすると、ルールが実行するアクションのメニューが表示されます。 アクションを選択すると、ルール追跡がフィルタリングされます。 たとえば、[ブロック] アクションを選択すると、このアクションの実行で記録されるルール追跡の項 目だけが表示されます。 複数のアクションを組み合わせて選択できます。特定のアクションではなく、すべてのルール追跡の エントリを表示することもできます。 • [すべて表示] - すべてのアクションのルール追跡を表示できます。 • [選択の切り替え] - 選択されてないアクションのルール追跡を表示できます。 選択内容に応じて、これらのアクションがメニューに表示されます。 時間または 追跡のフィルタリングに使用する時間と URL を入力できます。 URL のフィ ルタリング フィールドの右端にあるアイコン (十字) をクリックすると、フィルターが消えます。 フィールド [エクスポー ルール追跡のエクスポート メニューが表示されます。 ト] • [表示されているルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在 追跡ペインに項目が表示されているルール追跡をエクスポートできます。 エクスポートしたルール追跡は、ZIP ファイルに保存されます。 • [選択されたルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在選択 されているルール追跡をエクスポートできます。 エクスポートしたルール追跡は、ZIP ファイルに保存されます。 628 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 18 表 18-2 追跡ペイン (続き) オプション 定義 [クリア] 追跡ペインからルール追跡を消去するメニューが表示されます。 • [表示されているルール追跡を消去する] - 現在追跡ペインに項目が表示されているルール追跡を 消去します。 • [選択されたルール追跡を消去する] - 現在追跡ペインで選択されているルール追跡を消去しま す。 • [すべてクリア] - ルール追跡ペインからすべてのルール追跡が消去されます。 ルール追跡ペインから消去しても、ルール追跡自体は削除されません。 ルール追跡を削除するには、[トラブルシューティング] トップレベル メニューから [ルー ル追跡ファイル] を選択します。 追跡フィー ルド 指定したフィルタリング情報に従って、個々のルール追跡の項目が表示されます。 追跡を選択すると、最も影響のあるアクションを含むルールと隣接するルールがサイクル ペインに表 示され、条件、アクション、イベントが詳細ペインに表示されます。 影響度は次の順番で低くなります。 ブロック (最大) - リダイレクト - 認証 - 削除 - サイクルの停止 - ルール セットの停止 - 続 行 ただし、ルール処理が停止する前の最後のアクションが サイクルの停止、ルール セットの停止、続 行 の場合、これらのアクションの影響度は高くなります。 それぞれの追跡に次の項目が表示されます。 • アクション アイコン - 要求でルール処理が開始したときに最後に実行されたアクションのアイ コン。 アクション アイコン バーをクリックすると、メニューにアイコンの意味が表示されます。 • [時間] - 追跡が作成された時間 • [URL] - 追跡が作成された要求で送信された URL ルール ペイン ルール ペインでは、次のオプションを使用できます。 表 18-3 ルール ペイン オプション 定義 追跡情報フ ィールド 選択した追跡の情報が表示されます。 選択した追跡について以下の情報が表示されます。 • 追跡が作成された要求で送信された URL • 追跡が作成された時間を表すタイムスタンプ • 追跡が保存されたファイルの名前 [サイクル] 情報を表示するサイクルを選択できます。このサイクルで実行されたルール処理で追跡に記録された 情報が表示されます。 [すべて] を選択すると、追跡に記録されたすべてのサイクルの処理について概要が表示されます。 McAfee Web Gateway 7.6.0 製品ガイド 629 18 トラブルシューティング ルール追跡 表 18-3 ルール ペイン (続き) オプション 定義 [検索] ルール セットとルールの情報で検索する項目を入力します。 検索対象は次のとおりです。 • ルール セットまたはルールの名前 • プロパティの値 • プロパティ、アクション、イベントの名前 • 定数 • リスト名 • ユーザー インターフェースに表示される他 のテキスト部分 最初に一致した項目が強調表示されます。検索フィールドの横にある矢印を使用すると、次または前 の一致項目に移動できます。 新しいルール セットまたはルールを検索すると、最初の一致項目が再度強調表示されます。 ルール セッ 選択したサイクルでルールの処理時に実行されたルール セットとルールが表示されます。 トとルール のフィール 各ルール セットとルールについて、以下の情報がルール ペインに表示されます。 ド ルール セットまたはルールを選択すると、詳しい情報が詳細ペインに表示されます。 • [サイクル] - ルール セットまたはルールが処理されたサイクル 要求サイクルと応答サイクルは色の違う矢印で表示されます。 矢印の意味は次のとおりです。 • 右向きの矢印 - 要求サイクル • 左向きの矢印 - 応答サイクル • 右向き (左向き) の矢印がない場合 - 要求 (応答) サイクルで処理が実行されていません。 • 中空き矢印 - ルール セットまたはルールが処理されていますが、アクションは実行されていま せん (条件に一致していません)。 • 灰色の矢印 - アクションが実行されていますが、ルール追跡で最も影響のあるアクションでは ありません。 • 緑の矢印 - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイクルの 停止または続行が実行されています。 630 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 18 表 18-3 ルール ペイン (続き) オプション 定義 このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前 に最後に実行された場合だけです。 • 黄色の矢印 - 最も影響のあるアクションとして削除が実行されています。 • 青の矢印 - 最も影響のあるアクションとして認証が実行されています。 • 濃い緑の矢印 - 最も影響のあるアクションとしてリダイレクトが実行されています。 • 赤の矢印 - 最も影響のあるアクションとしてブロックが実行されています。 埋め込みオブジェクト サイクルでルール セットまたはルールが処理されると、数字付きの小さな ボックスが表示されます。 このボックスは、ルール セットまたはルールの矢印と同じ行に表示されます。ボックスは矢印の色 と同じ色で表示されます。 ボックスの状態と意味は次のとおりです。 • ルール セットまたはルールの行にボックスが表示されていない - 埋め込みオブジェクト サイ クルでルール セットまたはルールが処理されていません。 • ルール セットまたはルールの行に数字付きのボックスが表示されている - ルール セットまた はルールは、表示された数字が示す回数だけ埋め込みオブジェクト サイクルで処理されていま す。 • 色のない中空きのボックス - ルール セットまたはルールが埋め込みサイクルで処理されていま すが、このサイクルでアクションが実行されていません (条件に一致していません)。 • 灰色のボックス - 埋め込みオブジェクト サイクルでアクションが実行されていますが、ルール 追跡で最も影響のあるアクションではありません。 • 緑のボックス - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイク ルの停止または続行が埋め込みオブジェクト サイクルで実行されています。 このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前 に最後に実行された場合だけです。 • 黄色のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで削除が 実行されています。 • 青いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで認証が実 行されています。 • 濃い緑のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでリダ イレクトが実行されています。 • 赤いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでブロック が実行されています。 • [名前] - ルール セットまたはルールの名前 ルール セットまたはルールが条件でリストを使用している場合、名前の下に条件が表示されます。 詳細ペインにリストへのリンクが表示されます。 詳細ペイン 詳細ペインでは、次のオプションを使用できます。 McAfee Web Gateway 7.6.0 製品ガイド 631 18 トラブルシューティング ルール追跡 表 18-4 詳細ペイン オプション 定義 [上位のプ ロパティ] タブ 現在選択しているルール追跡と処理サイクルのルールで使用されている接続関連のプロパティが表示 されます。 それぞれのプロパティについて次の情報が表示されます。 • [プロパティ] — プロパティの名前 • [値] - 追跡作成時のプロパティの値 いくつかのプロパティは、ルール追跡で常に記録され、このタブに表示されます。その他のプロパテ ィは、処理されたときにだけ記録され、表示されます。 • [URL] - 常時 • [URL.Categories] - 処理時のみ • [Client.IP] - 常時 • [Response.StatusCode] - 処理時のみ • [URL.Host] - 常時 • [Block.Reason] - 処理時のみ • [Authentication.Username] - 処理時の み • [Command.Name] - 処理時のみ • [Authentication.Usergroups] - 処理時 のみ [詳細] タ ブ ルール ペインで選択されているルール セットまたはルールの条件が表示されます。 条件と一緒に、ルール ペインで選択されている処理サイクルでプロパティに設定された値も表示され ます。 ルール ペインで [すべて] を選択すると、処理が実行されたサイクルの条件が表示されます。 それぞれの条件について次の情報が表示されます。 • [サイクル] - 表示されている条件を含むルールが処理されたサイクルとルールの名前 • [条件] - ルールの条件 条件が一致すると、先頭にマーカー アイコン (フック) が表示されます。 • [評価] - 条件のプロパティ 条件にリストが含まれている場合、プロパティ名の下にもリスト名が表示されます。また、[値] の 下に、リストへのリンクが表示されます。 • [値] - 追跡作成時のプロパティの値 値は、プロパティのタイプによって異なります。 たとえば、ブール タイプのプロパティの場合、true または false が表示されます。文字列型のプ ロパティの場合には文字列が、数値型のプロパティの場合には数値が表示されます。 条件にリストが含まれている場合、リストのリンクが表示されます。 リンクをクリックすると、リストの現在の状態が表示されます。ルール追跡の記録時と状態が異な る場合もあります。 ルール追跡でリストのコンテンツは記録されません。 一致した条件について、以下の情報が表示されます。 • [アクション] - 条件が一致した後に実行されたルールのアクション • [イベント] (ルールにイベントがある場合のみ) - 条件が一致した後に開始したルールのイベント ルールに複数のイベントがある場合、各イベントが別々の行に表示されます。 632 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 18 ルール追跡を使用して要求のブロック理由を確認する ユーザーが Web Gateway クライアントから送信した Web アクセス要求がブロックされた場合、ルール追跡を使用 すると、要求をブロックしたルールとその理由を確認できます。 ルール追跡を使用すると、Web Gateway でルール処理を記録し、分析することができます。以下では、ルール追跡 の簡単な使用方法を説明します。 タスク 1 [トラブルシューティング] を選択して、アプライアンス ツリーで [ルール追跡集中管理] を選択します。 ルール追跡ペインが表示されます。 2 ルール追跡を作成します。 a 追跡ペインで、アプライアンス名のフィールドに名前は変更しないでください。 この例では、このアプライアンスで処理された要求にルール追跡を実行します。 b クライアント IP アドレスのフィールドで、ルール追跡の要求を送信したクライアントの IP アドレスを入力 します。 c [実行] をクリックします。 クライアントから受信した最後の要求に対するルール追跡が作成されます。追跡が作成されると、追跡フィー ルドにエントリが表示されます。 3 ルール追跡をフィルタリングします。 a 時間と URL のフィルタリング フィールドで、ブロックされた要求と一緒に送信された URL を入力します。 ルール追跡がフィルタリングされます。この URL の Web オブジェクトに対するアクセス要求に実行された 追跡だけが表示されます。 たとえば、問題のクライアントが、この URL に対する要求を 1 回だけ送信したとします。この場合、追跡結 果をフィルタリングすると、1 つのエントリだけが表示されます。 b エントリを選択します。 この URL の要求で処理されたルールの詳細情報がルール ペインと詳細ペインに表示されます。 4 ルール追跡を確認します。 a ルール ペインの追跡情報を確認します。 要求に対して処理されたルールがルール セットと一緒に表示されます。 要求をブロックしたルールが選択され、赤い矢印付きで表示されます。矢印が右を向いている場合、要求サイ クルで要求がブロックされています。矢印が左を向いている場合には、応答サイクルでブロックされていま す。 b 詳細ペインで追跡情報を確認します。 • ルールが要求をブロックしたサイクル、ルールの名前、条件、アクション、イベントが表示されます。 一致した条件にはグレーのフックが付いています。 • フック付きの条件の下にある [評価] にも条件が表示されます。 同じフィールドの [値] には、条件に一致し、要求がブロックされたときのプロパティの値が表示されま す。 McAfee Web Gateway 7.6.0 製品ガイド 633 18 トラブルシューティング ルール追跡 たとえば、要求をブロックしたルールについて、以下の情報が詳細ペインに表示されたとします。 • [サイクル] - 応答 • [ルール名] - ウイルスを検出したらブロック • [条件] - Antimalware.Infected<Gateway Anti.Malware> equals true • [評価] - Antimalware.Infected equals true、[値] - true • [アクション] - Block<Virus found> • [イベント] - Statistics.Counter.Increment<Default>("BlockedByAntiMalware", 1> 要求されたブロックでウイルスまたはマルウェアの感染が検出されたため、要求がブロックされました。 ウイルスとマルウェアのフィルタリング ルールによってブロック アクションが実行されました。このルールは、要 求の応答として特定の Web サーバーからオブジェクトを受信したときに応答サイクルで処理されています。 このルールの条件は、Antimalware.Infected プロパティに含まれています。このプロパティに設定された値を確認 するため、Web Gateway のマルウェア対策エンジンが呼び出されています。このエンジンが、要求された Web オ ブジェクトをスキャンして感染を検出したため、プロパティの値が true に設定され、ルール条件に一致していま す。 ベスト プラクティス - Web ページに画像が表示されない理由の特定 ルール追跡を使用すると、クライアント システムで Web ページが表示されても、テキストだけで画像が表示されな い理由を特定できます。 簡単な問題について考えてみましょう。たとえば、ユーザーが Web Gateway クライアントのブラウザーから CNN のホームページにアクセスしたとします。ページは開きましたが、テキストしか表示されていません。 ルール追跡を使用すると、ホームページの画像を提供している CNN のサーバーがブロックされていないかどうか確 認できます。 タスク 1 Web Gateway のユーザー インターフェースで、[トラブルシューティング] を選択します。 集中管理構成で複数の Web Gateway アプライアンスを使用している場合には、問題のクライアントに接続して いるアプライアンスにログオンしてください。 2 トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。 3 追跡を作成します。 a 左上の入力フィールドに、要求がブロックされているクライアント システムの IP アドレスを入力し、入力フ ィールドの横にある [実行] ボタンをクリックします。 クライアントから送信された Web アクセス要求が追跡されます。左下の出力フィールドに追跡ファイルの エントリが表示されます。 [実行] を押すと、ボタンが十字に変わり、追跡が不要になるとプロセスが停止します。 b クライアント システムで、ブラウザーを更新するか、ccn.com を再度クリックして、問題が再現するかどう か確認します。 追跡ファイルのエントリが Web Gateway の出力フィールドに表示されます。 転送されるデータ量によっては、追跡ファイルのエントリが表示されるまで時間がかかる場合があります。 634 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング ルール追跡 c 4 18 問題が再現でき、追跡ファイルのエントリが表示された場合には、切り替えボタンを再度クリックして追跡を 終了します。 追跡ファイルのエントリを確認します。 追跡された要求ごとに、タイムスタンプと要求された URL が表示されます。 エントリの先頭には、最も影響を及ぼすアクションの記号が表示されます。このアクションは要求の処理時に実 行されます。アクションの中で最も影響を及ぼすアクションが「ブロック」です。 追跡ファイルのエントリで、ブロック記号と cdn.turner.com/ccn で始まる URL が表示されているエントリ を探します。画像を提供する CCN サーバーにアクセスする要求の追跡ファイルが複数存在する場合があります。 5 追跡ファイルで cdn.turner.com/ccn を含むエントリを選択します。 この追跡の詳細がルールと右側の詳細ペインに表示されます。 6 ルールのペインを確認します。 このペインには、追跡された要求で処理されたルールが表示されます。ビューの最後に、ルールの処理が停止す る前に最後に適用されたルールが表示されます。このルールは強調表示されます。 この場合、最後に適用されたルールは 「カテゴリ ブラックリストにカテゴリがある URL をブロックする」で す。 7 詳細ペインを確認します。 詳細ペインの 2 つのタブに詳しい追跡情報が表示されます。 [上位のプロパティ] タブで、前述のルールが処理されたときに URL.Categories プロパティに Business が 設定されたことが表示されます。 これで、この問題に対するルール追跡は終わりです。CNN サーバーへのアクセスで送信した URL が Business カ テゴリで、このカテゴリがブラックリストにあるため、このサーバーの画像が表示されません。 画像を表示するには、ネットワークの Web セキュリティ ポリシーを変更し、URL ホワイトリストに cdn.turner.com/ccn/* を追加する必要があります。 削除したルール追跡をルール追跡ペインに復元する ルール追跡ペインから削除したルール追跡を復元するには、アプライアンスのルール追跡ディレクトリまたはソース ファイルからルール追跡を復元します。 削除したルール追跡をルール追跡ペインに復元する方法は、現在ログオンしているアプライアンスでルール追跡が作 成された方法またはアプライアンスにインポートされた方法によって異なります。 アプライアンスのルール追跡ディレクトリを選択することも、ソース ファイルを再度インポートすることもできま す。 タスク • 636 ページの「削除したルール追跡をアプライアンスのディレクトリから復元する」 現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンス のルール追跡ファイルのディレクトリから復元することができます。 • 636 ページの「ソース ファイルをインポートしてルール追跡を復元する」 ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度 インポートすると、ルール追跡を復元できます。 McAfee Web Gateway 7.6.0 製品ガイド 635 18 トラブルシューティング ルール追跡 削除したルール追跡をアプライアンスのディレクトリから復元する 現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンスのルール追跡 ファイルのディレクトリから復元することができます。 タスク 1 [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、ルール追跡を復元するアプライアンスを展開します。 3 [ルール追跡ファイル] を選択します。 トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。 4 [追跡ファイル] で、復元するルール追跡ファイルを選択します。 5 [分析] をクリックします。 ルール追跡ペインでルール追跡がアクセス可能になります。 ソース ファイルをインポートしてルール追跡を復元する ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度インポートす ると、ルール追跡を復元できます。 タスク 1 [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。 3 [追跡]、[インポート] の順にクリックします。 ローカルのファイル マネージャーが開きます。 4 復元するルール追跡のソースを含む ZIP ファイルを選択してインポートします。 ルール追跡ペインでルール追跡がアクセス可能になります。 ルール追跡を削除する ルール追跡を削除するには、アプライアンスでルール追跡ファイルのあるディレクトリにアクセスし、削除オプショ ンを使用します。 タスク 1 [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、ルール追跡を削除するアプライアンスを選択し、[ルール追跡ファイル] をク リックします。 トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。 636 3 [追跡ファイル] で、削除するルール追跡ファイルを選択し、[削除] をクリックします。 4 表示されたウィンドウで、削除を確認します。 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング フィードバック ファイルの作成 18 フィードバック ファイルの作成 フィードバック ファイルを作成して、機能の障害が発生した後にプロセスをバックトレースできます。 タスク 1 [トラブルシューティング]トップレベル メニューを選択します。 2 アプライアンス ツリーで、プロセスをバックトレースするアプライアンスを選択して、[フィードバック]をクリ ックします。 3 必要に応じて、[実行中の McAfee Web Gateway を一時停止してバックトレースを作成する]を選択または選択 解除します。 チェックボックスを選択することをお勧めします。 4 [フィードバック ファイルを作成する]をクリックします。 ファイルが作成されて、名前、サイズ、および日付が[[フィードバック ファイル]]下のリストに表示されます。 ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ ティを実行できます。 コア ファイルの作成の有効化 機能の障害によってアプライアンスの処理が停止した後にメモリ コンテンツを記録するための、コア ファイルの作 成を有効化できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、メモリ コンテンツを記録するアプライアンスを選択して、[トラブルシューティング] をクリックします。 3 [トラブルシューティング]セクションで、[コア ファイルの有効化]を選択します。 4 [変更の保存]をクリックします。 これで、特定機能への障害により、アプライアンスが停止するたびに、コア ファイルが作成されるようになりま す。 [トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[コア ファイル]を選択したら、コ ア ファイルを表示できます。ファイルはリストで表示されます。 ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ ティを実行できます。 McAfee Web Gateway 7.6.0 製品ガイド 637 18 トラブルシューティング 接続追跡ファイルの作成の有効化 接続追跡ファイルの作成の有効化 追跡ファイルの作成を有効にして、アプライアンスと他のネットワーク コンポーネント間の接続で起こるアクティビ ティを記録できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、接続アクティビティを記録するアプライアンスを選択して、[トラブルシューティン グ]をクリックします。 3 [トラブルシューティング]セクションで、[接続追跡の有効化]を選択します。 4 [オプション]アプライアンスの特定クライアントとの接続でのアクティビティのみを追跡するには、[追跡を 1 つの IP のみに制限する]を選択し、[クライアント IP]フィールドにクライアントの IP アドレスを入力します。 5 [変更の保存]をクリックします。 これで、接続追跡ファイルが作成されます。 [トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[接続追跡]をクリックしたら、接 続追跡ファイルを表示できます。ファイルはリストで表示されます。 ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ ティを実行できます。 パケット追跡ファイルの作成 パケット追跡ファイルを作成して、アプライアンスのネットワーク アクティビティを記録できます。 タスク 1 [トラブルシューティング]トップレベル メニューを選択します。 2 アプライアンス ツリーで、ネットワーク アクティビティを記録するアプライアンスを選択して、[パケット追跡] をクリックします。 3 [コマンド ライン パラメーター]フィールドで、必要に応じて、パケット追跡のパラメーターを入力します。 4 [tcpdump の開始]をクリックします。 パケット追跡ファイルが生成されて、名前、サイズ、および日付が[結果(dump)]下のリストに表示されます。 パケット追跡ファイルの生成の進行を停止するには、[tcpdump の停止]をクリックします。 リストのツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のア クティビティを実行できます。 638 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング システム ツールとネットワーク ツールを使用する 18 システム ツールとネットワーク ツールを使用する アプライアンスで発生した問題のトラブルシューティングを行うときに、いくつかのシステム ツールとネットワーク ツールを使用できます。 タスク 1 トップレベル メニューの [トラブルシューティング] を選択します。 2 アプライアンス ツリーで、ツールを使用するアプライアンスを選択して、[システム ツール] または [ネットワー ク ツール] をクリックします。 使用可能なシステム ツールは次のとおりです。 • [サービス再起動] • [AV スレッド] 使用可能なネットワーク ツールは次のとおりです。 3 • [ping]、[ping6] • [ipneigh] • [nslookup] • [ntp] • [traceroute]、[traceroute6] ツールで実行可能なコマンドのパラメーターを [コマンドライン パラメーター] フィールドに入力します。 たとえば、ping ネットワーク ツールを使用する場合には、接続するホストの名前を入力します。 4 使用するツールのボタンをクリックします。 対応するコマンドが実行され、結果が [結果] に表示されます。 たとえば、次のような情報が表示されます。 Ping: Unknown host testhost 結果をファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィンドウで場 所を指定します。 関連トピック: 639 ページの「オペレーティング システムのサービスを再起動する」 640 ページの「実行中の AV スレッドを表示する」 オペレーティング システムのサービスを再起動する 再起動ツールを使用すると、オペレーティング システムで現在実行中のサービスを停止し、再起動することができま す。 ツールの適用時にサービスが実行されていない場合、サービスが開始します。 メインの mwg サービスと sysconfd サービスは再起動できません。これらは、システム ツールを使用して設定の 手動変更を実行するデーモンとして機能します。 タスク 1 トップレベル メニューの [トラブルシューティング] を選択します。 2 アプライアンス ツリーで、サービスを開始するアプライアンスを選択して、[システム ツール] をクリックしま す。 McAfee Web Gateway 7.6.0 製品ガイド 639 18 トラブルシューティング 実行中の AV スレッドを表示する 3 [コマンドライン パラメーター] フィールドで、必要なサービス名とパラメーターを入力します。 4 [サービスの再起動] をクリックします。 サービスが再起動します。実行されたサービスの処理が [結果] フィールドに表示されます。 たとえば、ip6tables サービスを再起動すると、次の情報が表示されます。 Flushing firewall rules: [OK] Unloading ip6tables modules: [OK] Applying ip6tables firewall rules: [OK] 結果をファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィンドウで場 所を指定します。 実行中の AV スレッドを表示する 実行中のスレッドを表示し、マルウェア対策スキャンの処理を確認できます。 スレッド数が多い場合、特定の要求ま たは応答に対するスキャンで大量のリソースが消費されています。 現在スキャンを実行しているスレッドだけでなく、スキャン モジュールに要求または応答を送信するスレッドも表示 されます。 どちらのスレッドもマルウェア対策の作業用スレッド、あるいは AV スレッドといいます。 タスク 1 トップレベル メニューの [トラブルシューティング] を選択します。 2 トラブルシューティング ツリーで、[システム ツール] を選択して [AV スレッド] をクリックします。 [結果] の下に AV スレッドのリストが表示されます。 各スレッドに、ID 番号、スレッドの開始時間、現在のステータスなどの情報が表示されます。 スレッド リストをファイル システムにエクスポートするには、[エクスポート] をクリックして、表示されたウィ ンドウで場所を指定します。 アプライアンスの構成をバックアップまたは復元する アプライアンスの構成をバックアップ ファイルに保存すると、このファイルを使用して構成を復元することができま す。 アプライアンスの構成をバックアップするときに、認証情報ストアに保存されている SSO 認証情報をバックアップ ファイルに追加できます。 同様に、リストアを行うときに、バックアップ ファイルから認証情報ストアに SSO 認 証情報を復元できます。 バックアップを復元するときに、すべての構成とアカウントを復元するか、[ポリシー] トップレベル メニューで設 定したデータ (ルール、リスト、設定) だけを復元するのか選択できます。 バックアップの暗号化と復号で、ドイツ語のウムラウト (ä, ö, ü) などの特殊文字をパスワードに挿入する必要がある 場合には、Web Gateway の管理システムで UTF-8 形式を使用してください。 640 McAfee Web Gateway 7.6.0 製品ガイド トラブルシューティング トラブルシューティングの設定 18 タスク 1 ダッシュボードで [トラブルシューティング] を選択します。 2 アプライアンス ツリーで、構成をバックアップまたは復元するアプライアンスを選択し、[バックアップ/復元] を クリックします。 3 アプライアンスの構成をバックアップするには、次の手順に従います。 4 a バックアップに SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。 b [ファイルにバックアップ] をクリックします。 c ローカルのファイル マネージャーでバックアップ ファイルを作成または選択します。 アプライアンスの構成を復元するには、次の手順に従います。 a すべての構成とアカウントを復元するには、[構成とアカウント] チェックボックスを選択します。 b 復元に SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。 c [ファイルから復元] をクリックします。 d 復元中にログオフすることを通知するメッセージが表示されます。 e ローカルのファイル マネージャーで、アプライアンス構成の復元で使用するバックアップ ファイルを選択し ます。 トラブルシューティングの設定 [トラブルシューティング] の設定は、アプライアンスのトラブルシューティング機能の設定に使用するシステム設定 です。 [トラブルシューティング] トラブルシューティング機能の全般設定 表 18-5 トラブルシューティング オプション 定義 [コア ファイルの生成を有効にする] コア ファイルの生成を可能にします。 [接続追跡を有効にする] 接続の追跡を可能にします。 [接続追跡を 1 つの IP に制限する] 接続追跡が、1 つのクライアントから送信された要求の処理に限定されま す。クライアントは IP アドレスで指定します。 [クライアント IP] 追跡接続を行うクライアントの IP アドレス。 [接続追跡ファイルのサイズを小さくす る] 記録するコンテンツのバイト数を制限し、接続追跡ファイルのサイズを小 さくすることができます。 [各送受信操作で記録するコンテンツの バイト数] 各操作で記録する最大バイト数。HTTP ヘッダーは常に記録されます。 [コーディネーター (集中管理など) の追 コーディネーター システムが Web Gateway で実行したアクティビテ 跡を有効にする] ィの追跡を有効にします。たとえば、集中管理に関連するアクティビティ が記録されます。 [メッセージ本文全体をログに記録する] メッセージ本文全体をログ ファイルに書き込みます。 [DXL の追跡を有効にする] 選択すると、DXL メッセージの追跡が可能になります。 [メッセージ本文全体をログに記録する] メッセージ本文全体をログ ファイルに書き込みます。 McAfee Web Gateway 7.6.0 製品ガイド 641 18 トラブルシューティング トラブルシューティングの設定 認証のトラブルシューティング 認証関連のトラブルシューティングの設定 表 18-6 認証のトラブルシューティング オプション 定義 [管理イベントを記録する] 管理イベントがログに記録されます。 [認証イベントを記録する] 認証イベントがログに記録されます。 [接続追跡を 1 つの IP に制限する] 接続追跡が、1 つのクライアントから送信された要求の処理に限定されます。 クライアントは IP アドレスで指定します。 [クライアント IP] 追跡接続を行うクライアントの IP アドレス。 クォータのトラブルシューティング クォータ制限関連のトラブルシューティングの設定 表 18-7 クォータのトラブルシューティング オプション 定義 [クォータ イベントを記録する] クォータ イベントがログに記録されます。 PDStorage に関連するトラブルシューティング PDStorage 機能関連のトラブルシューティングの設定 表 18-8 PDStorage に関連するトラブルシューティング オプション 定義 [PDStorage イベントを記録する] PDStorage イベントがログに記録されます。 SAML 処理のトラブルシューティング SAML 処理関連のトラブルシューティングの設定 表 18-9 SAML 処理のトラブルシューティング 642 オプション 定義 [ロギングを有効にする] SAML 処理イベントがログに記録されます。 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト 以下のリストは、Web セキュリティ ルールを構成するために使用できる項目について説明します。 目次 アクションのリスト ブロック理由 ID のリスト エラー ID のリスト イベントのリスト インシデント ID のリスト プロパティのリスト ワイルドカード式 アクションのリスト 以下の表に、ルールに使用できるアクションのリストを示します。 アクションはアルファベット順にリストされています。 表 A-1 アクションのリスト アクション 説明 [Authenticate] 現在のサイクルにおけるルールの処理を停止します。 認証リクエストを Web オブジェクトへのアクセスをリクエストしたユーザーのクライアント へ送信します。 次のサイクルで処理を続行します。 [Block] リクエストされた Web オブジェクトへのアクセスをブロックします。 ルールの処理を停止します。 アプライアンスで次のリクエストが受信されたときに続行します。 [Continue] 次のルールの処理を続行します。 [Redirect] Web オブジェクトからその他のオブジェクトへのアクセスをリクエストしたクライアントをリ ダイレクトします。 [Remove] リクエストされた Web オブジェクトを削除します。 現在のサイクルにおけるルールの処理を停止します。 次のサイクルで処理を続行します。 McAfee Web Gateway 7.6.0 製品ガイド 643 A 構成リスト ブロック理由 ID のリスト 表 A-1 アクションのリスト (続き) アクション 説明 [Stop Cycle] 現在のサイクルにおけるルールの処理を停止します。 リクエストされた Web オブジェクトへのアクセスはブロックされません。 次のサイクルで処理を続行します。 [Stop Rule Set] 現在のルール セットのルールの処理を停止します。 次のルール セットの処理を続行します。 ブロック理由 ID のリスト 次の表では、ブロック理由 ID とその意味について説明します。 ® ユーザー メッセージ テンプレートのブロック理由 ID を構成して、McAfee Web Reporter によりロギングするブ ロック理由を特定する値を指定します。 表 A-2 ブロック理由 ID のリスト 644 ブロック理由 ID 説明 [0] 許可 [1] 内部エラー [2] アクションに使用されているデフォルトのメッセージ テンプレート [3] 内部 URL フィルター エラー [10] URL フィルター データベースのエントリのためにブロックされました [14] 式による URL フィルタリングに従ってブロックされました [15] リアルタイム分類子によりブロックされました [20] コンテンツ タイプの欠落によりブロックされました [22] メディア タイプによりブロックされました [30] 複数部分のアーカイブが見つかったためにブロックされました [35] アーカイブがアーカイブ ハンドラーにより扱われなかったためにブロックされました [80] ウイルスが見つかったためにブロックされました [81] 未承認のアクセスのためにブロックされました [82] 不良なリクエストのためにブロックされました [85] 内部マルウェア対策エラーのためにブロックされました [92] 証明書の期限切れのためにブロックされました [93] 証明書が失効したためにブロックされました [94] 許可されていない証明機関(CA)のためブロックされました [95] 不明な証明機関(CA)のためブロックされました [97] 自己署名証明書のためにブロックされました [98] 共通名が不一致のためにブロックされました [102] 指定されない証明書のためにブロックされました [103] 接続が許可されないためにブロックされました [104] リバース プロキシの宛先が許可されないためにブロックされました McAfee Web Gateway 7.6.0 製品ガイド 構成リスト エラー ID のリスト A 表 A-2 ブロック理由 ID のリスト (続き) ブロック理由 ID 説明 [140] 内部 DLP フィルター エラーのためにブロックされました [150] 内部 Application Control フィルター エラーのためにブロックされました [151] 許可されないアプリケーションに属するリクエストのためにブロックされました [160] Web Hybrid のポリシーが欠落しているためにブロックされました [161] Web アクセスが Web Hybrid により許可されていないためにブロックされました [162] Web Hybrid による URL フィルタリングのためにブロックされました [200] ユーザーの警告セッションが超えたためにブロックされました [201] ユーザーの時間クォータ セッションを超えたためにブロックされました [202] ユーザーの時間クォータ セッションを超えたためにブロックされました [203] ユーザーのボリューム クォータ セッションを超えたためにブロックされました [204] ユーザーのボリューム クォータを超えたためにブロックされました [205] ユーザーの承認済みのオーバーライド セッションが超えたためにブロックされました [206] アクティブなユーザーのブロック セッションのためにブロックされました [300] クォータのリダイレクトのためにブロックされました [301] 認証のあるリダイレクトのためにブロックされました [400] 承認済みのオーバーライド リダイレクトのためにブロックされました エラー ID のリスト 以下の表に、ルールに使用できるエラー ID のリストを示します。 エラー ID は以下の数値範囲にグループ化されています。 10000–10049 プロパティまたはイベントの不正使用 10050–10099 ルール処理モジュールのエラー 10100–10199 一般エラー 11000–11999 ライセンス マネージャー エラー 12000–12999 アプライアンス システムに関連したエラー 13000–13999 持続データベース (PDStore) エラー 14000–14999 ウイルスおよびマルウェア フィルタリング エラー 15000–15999 URL フィルタリング エラー 16000–16999 ICAP クライアント エラー 20000–21000 プロキシ モジュール エラー 25000–25999 外部リスト エラー 26000–26999 Data Loss Prevention (DLP) エラー 32000–32999 クラウド ストレージ暗号化のエラー 34000-34999 シングル サインオンのエラー 35000-35999 DXL エラー McAfee Web Gateway 7.6.0 製品ガイド 645 A 構成リスト エラー ID のリスト 表 A-3 エラー ID のリスト 646 エラー ID 名前 説明 10000 WrongPropParams $onPosition$: プロパティ $propName$ のパラメーター またはタイプが間違っています。 10001 UnknownProperty $onPosition$: ルール ‘$ruleName$’ エラー: プロパティ 送信者はプロパティ $propName$ を知りません。 10002 NoPropParam $onPosition$: 提供されているプロパティ $propName$ にはパラメーターが指定されていません。 10003 WrongThirdPropParam $onPosition$: プロパティ $propName$ の 3 つ目のパ ラメーター タイプが間違っています。 10004 InvalidPropertyParameter $onPosition$: プロパティ $propName$ のパラメーター は無効です。理由: $reason$。 10005 InvalidPropertyParameter2 パラメーターは無効です。理由: $reason$。 10005 UnknownProperty2 $onPosition$: 不明なプロパティ $propName$。 10007 UnknownFunc $onPosition$: 不明な関数 $funcName$。詳細: $reason$。 10050 WrongOperator $onPosition$: ルール '$ruleName$' エラー: 左側タイプ $typeLeft$ および右手タイプ $typeRight$ に間違った 演算子が使用されました。 10051 WrongOperatorNoNames $onPosition$: $action$ は失敗しました。$property$ のタイプは $typeName$ ですが、$formatType$ になり ます。 10052 FormatError $onPosition$: ユーザー定義のプロパティ '$propName $' が見つかりません。理由: まだ設定されていません (初 期化されていない)。 10053 UserDefinedPropertyNotFound $onPosition$: ユーザー定義のプロパティ '$propName $' が見つかりません。理由: まだ設定されていません (初 期化されていない)。 10054 PropertyNotFound $onPosition$: プロパティ'$propName$' が見つかりま せん。理由: まだ設定されていません (初期化されていな い)。 10055 NeedMoreDataOnLastCall プロパティ '$propName$' 計算時にフィルターは 'NeedMoreData' を返したが、それ以上のデータがありま せん。 10056 WrongPropState $onPosition$: プロパティ $propName$ の状態は $propState$ です。 10057 ZombieRuleElemIsExecuted $rule$ (名前: '$name$'、ID: '$id$') はゾンビのため実行 できませんでした。理由: $reason$。 10058 SetPropertyFailed $onPosition$: ルール '$ruleName$' エラー: イベントは 評価できませんでした。理由: $reason$。 10059 EventError $onPosition$: $objName$ を $operation$ している間 にエラーが発生しました。理由: $reason$。 10100 ErrorDuringOperation $onPosition$: $objName$ を $operation$ している間 にエラーが発生しました。理由: $reason$。 10101 InitializeFailed $onPosition$:$objName$ を初期化/作成できませんでし た。理由: $reason$。 11000 NoLicense 要求された機能 '$func$' はライセンスによってカバーさ れていません。 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト エラー ID のリスト 表 A-3 エラー ID のリスト (続き) エラー ID 名前 説明 12000 CannotOpenPipe パイプを開けません。 12001 CannotOpenFile エラー '$errno$' で、モード '$mode$' でファイル '$name$' を開けません。 13000 NoUser 利用可能なユーザーがありません。 14000 AVError AntivirusFilter エラー: $reason$。 14001 AVScanFailedFull McAfee Gateway Anti-Malware エンジンを呼ぶことが できません。すべての接続は使用中です。 14002 AVError Anti-Malware フィルターの内部エラー エラー メッセージの ID はエラー処理のルール で使用されるので、McAfee Web Gateway version 7.3 で導入された新しいエラー メッセ ージおよび ID (14003、14004、14005) を構 成するため、アプライアンスにおけるこれらのル ールを調整する必要があります。 エラー処理のためのライブラリ ルール セット は、新しいメッセージおよび ID に適合するよう に調整されました。 14003 AVError フィルタリング中にタイムアウトが発生しました。 エラー メッセージ 14002 の注も参照してください。 14004 AVError 特別な更新が必要なため、フィルタリングできません。 エラー メッセージ 14002 の注も参照してください。 14005 AVError スキャンに失敗しました。 エラー メッセージ 14002 の注も参照してください。 14010 ATDError 通信に失敗しました。 Advanced Threat Defense が実行されているサーバーと の通信に失敗しました。 いくつかの理由が考えられます。たとえば、サーバーがオ フラインの場合や要求がタイムアウトするなど、ネットワ ークに問題がある場合があります。また、HTTP プロトコル に問題がある場合や、サーバーから予期しない応答や不正 な要求が戻される場合も考えられます。 14011 ATDError フィルタリング中にタイムアウトが発生しました。 設定した許容時間内に Advanced Threat Defense によ る Web オブジェクトのスキャンが完了しませんでした。 デフォルトの許容時間は 10 分です。 McAfee Web Gateway 7.6.0 製品ガイド 647 A 構成リスト エラー ID のリスト 表 A-3 エラー ID のリスト (続き) エラー ID 名前 説明 14012 ATDError ファイルがスキャンできません。 Advanced Threat Defense が Web オブジェクトをスキ ャンできません。 Advanced Threat Defense が戻したスキャン レポート で、重大度の値が N/A に設定されます。 648 15000 TSDatabaseExpired Global Threat Intelligence システム データベースの期 限切れエラー: データベースが期限切れです。'$desc$'。 15001 TSInvalidURL URL '$url$' は無効です。関数 $func$。 15002 TSBinaryNotProperlyLoaded バイナリは'$path$' からロードできませんでした。関数 $func$。 15003 TSCommon Global Threat Intelligence システム エラー (コード: $errorCode$)。関数 $func$。 15004 TSBinaryDoesNotExist Global Threat Intelligence システム ライブラリはまだ 利用できません。関数 $func$。 15005 TSDatabaseNotProperlyLoaded データベースは適切にロードされませんでした。関数 $func$。 15006 TSNoMem Global Threat Intelligence システムはメモリー不足で す。関数 $func$。 15007 TSInsufficientSpace Global Threat Intelligence システムのバッファーにスペ ースが不足しています。関数 $func$。 15008 TSNetLookup Global Threat Intelligence システム ネット エラー (コ ード: TS_NET_ERROR)。関数 $func$。 15009 TSCommonNetLookup Global Threat Intelligence システム ネット エラー (コ ード: $errorCode$)。関数 $func$。 15010 TSPipe Global Threat Intelligence システム パイプを開けませ ん。関数 $func$。 16000 NoICAPServerAvailable リストから利用可能な ICAP サーバーはありません。$list $. 16001 NoRespModPropInReqMod 要求サイクルでプロパティ $propName$ を計算できませ ん。 16002 ICAPBadResponse ICAP クライアント フィルター エラー: ICAP サーバーの 応答に問題があります。 16003 ICAPMaxConnectionLimit ICAP クライアント フィルター エラー: 接続の最大数に達 しました。 16004 ICAPCannotConnectToServer ICAP クライアント フィルター エラー: ICAP サーバーに 接続できません。 16005 ICAPCommunicationFailure ICAP クライアント フィルター エラー: ICAP サーバーで 通信エラーが発生しました。 20000 CheckLongRunningConnection 長期間実行中の接続でタイムアウトが発生しました。 20001 CheckSizeOfConnection 長期間実行されている接続で送信可能なデータの最大量が 制限を超えています。 25000 不明エラーの発生 未分類のエラーが外部リスト モジュールで発生しました。 25001 データ取得中にエラー発生 データ取得中に未分類のエラーが外部リスト モジュールで 発生しました。 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト エラー ID のリスト 表 A-3 エラー ID のリスト (続き) エラー ID 名前 説明 25002 データ変換中にエラー発生 外部リスト データが変換される際にエラーが発生しまし た。 25003 データが多すぎる 外部ソースから取得できるリスト エントリ数の構成限界値 を超えました。 25004 データ取得中にタイムアウト 外部リスト データを取得するための構成タイムアウト値の 期限が切れました。 25005 データ アクセスの拒否 外部リスト データのソースにアクセスするために必要な権 限が、アプライアンスに与えられていません。 25006 リソースが存在しない 外部リスト データのソース、たとえば、ファイルまたは Web サーバーが見つかりませんでした。 26001 DLP エンジンがロードされていない DLP エンジンをロードできませんでした。 32002 パスワードを空にすることはできません。 外部データ ソースからパスワードを取得するときに、空の パスワードを受信しました。 32003 フィルターの設定が無効です。 暗号化と復号を行うモジュールの設定が無効です。このエ ラーが発生するのは非常にまれです。Web Gateway のポ リシー設定に全般的な問題がある可能性があります。 32004 暗号化失敗: 不明なコンテンツ タイプ タイプが不明なため、データを暗号化できません。クラウ ド ストレージ サービスの説明が正しくない可能性があり ます。 32005 暗号化失敗: メッセージ本文の解析に失敗 しました。 アップロード要求で送信された本文データが multi-part/ form-data 形式になっています。このタイプのデータは Web Gateway で解析できません。 32006 暗号化失敗: ファイル名が取得できません。 暗号化が必要なデータを含むファイルの名前が取得できま せん。 32007 暗号化失敗: 暗号 NNNN はサポートされ ていません。 データの暗号化に使用された暗号が無効です。管理者が事 前に設定されたリストから暗号化を選択するため、この問 題は殆ど発生しません。 32008 暗号化失敗: salt の生成に失敗しました。 データの暗号化に必要な salt の生成プロセスが正常に実 行できません。この問題は通常、OpenSSL の内部エラーが 原因で発生します。 32009 暗号化失敗: キーの取得に失敗しました。 データの暗号化に必要なキーが取得できません。 32010 暗号化失敗: 暗号化の初期化に失敗しまし た。 暗号化プロセスが初期化できません。 32011 暗号化失敗: データの暗号化に失敗しまし た。 暗号化プロセスでエラーが発生しました。 32012 暗号化失敗: 復号の最終処理に失敗しまし た。 暗号化プロセスが完了できません。 32013 暗号化失敗: 一般エラー 暗号化関連のその他のエラー 32014 復号失敗: 不明なコンテンツ タイプ タイプが不明なため、データを復号できません。クラウド ストレージ サービスの説明が正しくない可能性がありま す。 32015 復号失敗: マルチパート メッセージの本文 クラウド ストレージ サービスがダウンロード要求に応答 はサポートされていません。 してデータを送信しましたが、応答データの本文が multi-part/form-data 形式になっています。このタイプ のデータは Web Gateway で復号できません。 McAfee Web Gateway 7.6.0 製品ガイド 649 A 構成リスト エラー ID のリスト 表 A-3 エラー ID のリスト (続き) 650 エラー ID 名前 説明 32016 復号失敗: 暗号 NNNN はサポートされて いません。 データの復号に使用された暗号が無効です。管理者が事前 に設定されたリストから復号を選択するため、この問題は 殆ど発生しません。 32017 復号失敗: キーの取得に失敗しました。 データの復号に必要なキーが取得できません。 32018 復号失敗: 復号の初期化に失敗しました。 復号プロセスが初期化できません。 32019 復号失敗: データの復号に失敗しました。 復号プロセスでエラーが発生しました。 32020 復号失敗: 復号の最終処理に失敗しました。 復号プロセスが完了できません。 32021 復号失敗: 一般エラー 復号関連のその他のエラー 34000 SSO フィルターの一般エラー シングル サインオン プロセスでエラーが発生しました。 理由: '一般エラー...' 34001 SSO フィルターの一般エラー ユーザーが存在しないクラウド コネクターでシングル サ インオン アクセスを試みました。理由: 'コネクターがあり ません' 34003 SSO フィルターの一般エラー シングル サインオン プロセスにクラウド コネクターが設 定されていません。 理由: 'コネクター カタログがありま せん' 34004 SSO サービス不一致エラー トークンの値がクラウド コネクターの値と一致しません。 サービスが一致していません。トークン ID: '$tokenid$'、 サービス ID: '$serviceid$' 34005 SSO サービスが有効になっていません 次のユーザーはクラウド アプリケーションを使用できませ ん。領域: '$realm$'、ユーザー: '$userid$'、サービス ID: '$serviceid$' 34006 SSO 非インライン モード エラー 非プロキシ モード (非インライン モード) のシングル サ インオン プロセスでクラウド アプリケーションを使用で きません。サービス ID: '$serviceid$ 34050 認証情報ストアの汎用エラー 詳細については、エラー ログを参照してください。 34051 認証情報ストアの汎用エラー この要求は、現在のユーザーに許可されていません。 34052 認証情報ストアの汎用エラー 認証情報ストア要求が作成できません。 34060 認証情報ストア サーバーの HTTP エラー 認証情報ストア サーバーが要求に応答しましたが、HTTP エラーが発生しました。 詳細については、エラー ログを参 照してください。 34070 認証情報ストア サーバー エラー 認証情報ストア サーバーがエラーを戻しました。 詳細に ついては、エラー ログを参照してください。 ログに、認証 情報ストア サーバーが戻したエラー コードが記録されて います。 34080 認証情報ストア接続エラー 接続エラーのため、認証情報ストア要求が失敗しました。 詳細については、エラー ログを参照してください。 34090 認証情報ストア要求エラー 認証情報ストア要求の実行中に内部エラーが発生しまし た。 詳細については、エラー ログを参照してください。 35000 DXLNotAvailable 現在送信可能な DXL メッセージはありません。 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト イベントのリスト A イベントのリスト 以下の表に、ルールに使用できるイベントのリストを示します。 イベントはアルファベット順にリストされています。 表 A-4 イベントのリスト 名前 説明 パラメーター Authentication.AddMethod 認証方法を追加します。 1 文字列: 認証方法の 名前 2 文字列: 認証方法の 値 3 ブール: true の場 合、既存の方法が上書 きされます。 Authentication.ClearCache キャッシュをクリアします。 Authentication.ClearMethodList 認証方法リストをクリアします。 Authentication.ClearNTMLCache NTML キャッシュをクリアします。 Authentication.GenerateICEResponse シームレス認証を有効にするため、 McAfee Cloud Identity Manager に 対する応答で送信されるトークンを生 成します。 Authentication.SendOTP 認証するユーザーにワンタイム パスワ ードを送信します。 BlockingSession.Activate ブロック セッションを有効にします。 Body.Insert 現在処理中の要求または応答の本文に 文字列を挿入します。 1 数値: 挿入を開始す るバイト位置 2 文字列: パターン a. 二重引用符内に埋 め込まれた文字列 (" ..." には \ が前に 付けられた 16 進数 値も含まれる場合が あります。) または: b. 16 進数値のシー ケンス Body.Remove 現在処理されている要求または応答の 本文からバイト数を削除します。 1 数値: 削除し始める バイト位置 2 数値: 削除するバイ ト数 McAfee Web Gateway 7.6.0 製品ガイド 651 A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター Body.Replace 現在処理中の要求または応答の本文か ら一部を文字列と置換します。 1 数値: 置き換えを開 始するバイト位置 2 文字列: パターン a. 二重引用符内に埋 め込まれた文字列 (" ..." には \ が前に 付けられた 16 進数 値も含まれる場合が あります。) または: b. 16 進数値のシー ケンス Body.ToFile 指定されたファイルに現在処理されて いる要求または応答の本文を書き込み ます。 文字列: 本文が書き込 まれるファイルの名前 このファイルは、ディレクトリ /opt/ mwg/log/debug/ BodyFilterDumps に保管されま す。 本文の 1 つまたは複数のチャンクをロ ードされたときのみ、Body.ToFile イ ベントが発生した場合のみ、本文は完 全にロードされていた後でのみファイ ルに書き込まれます。 保管されたファイルがアプライアンス のハード ディスクを占有しないように するには、[構成] 、 [<アプライアンス >] 、 [ログ ファイル マネージャー] 、 [詳細] の順に選択し、ユーザー インタ ーフェースの自動削除を有効にしま す。 CloudEncryption.Encrypt 設定された暗号化アルゴリズムとイベ ントのパラメーターに指定されたパス ワードで、クラウド ストレージ データ を暗号化します。 このイベントは、異なる設定とパスワ ードで数回実行されます。このため、 暗号化も数回実行されます。 CloudEncryption.Decrypt 設定された復号アルゴリズムとパラメ ーターに指定されたパスワードでデー タを復号します。 このイベントは、異なる設定とパスワ ードで数回実行されます。このため、 復号も数回実行されます。 このイベントに対する呼び出しの順番 は、暗号化イベントの呼び出しと逆に なります。 Connection.Mark 652 McAfee Web Gateway 7.6.0 接続マークを設定します。 数値: 接続数 製品ガイド 構成リスト イベントのリスト A 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター DSCP.Mark.Request IP ヘッダー フィールドを設定します。 数値: DSCP ヘッダー フィールドの値 このフィールドは、DSCP ヘッダー フ ィールドといいます。データ パケット が Web Gateway から要求された Web サーバーに送信されると、DSCP (Differentiated Services Code Point) をサポートするネットワーク デバイスで評価されます。 このフィールドには、0 から 63 まで の番号を設定できます。 このフィールドは、HTTP(S) 接続で送 信された要求に対してのみ設定されま す。 このフィールドをイベントで設定する 場合、適用する Web Gateway ルール に応じて、DSCP をサポートするネッ トワーク デバイス (ルーターなど) の 情報を指定できます。 この方法でヘッダー フィールドを使用 するには、ネットワーク デバイスが正 しく設定されている必要があります。 たとえば、ストリーミング メディアの ルールを適用する場合、ヘッダー フィ ールドを特定の値に設定すると、ルー ターがデータ パケットを直接ルーティ ングし、接続が調整されます。また、 ネットワーク デバイスがある程度の負 荷分散を行うように、ヘッダー フィー ルドを設定することもできます。 DSCP.Mark.Response IP ヘッダー フィールドを設定します。 数値: DSCP ヘッダー フィールドの値 このフィールドは、DSCP ヘッダー フ ィールドといいます。データ パケット が Web Gateway からクライアント に戻されると、DSCP (Differentiated Services Code Point) をサポートす るネットワーク デバイスで評価されま す。 このヘッダー フィールドには、0 から 63 までの番号を設定できます。 このヘッダー フィールドは、HTTP(S) 接続で送信された応答に対してのみ設 定されます。 このヘッダー フィールドをイベントで 設定する場合、適用する Web Gateway ルールに応じて、DSCP をサ ポートするネットワーク デバイス (ル ーターなど) の情報を指定できます。 この方法でヘッダー フィールドを使用 するには、ネットワーク デバイスが正 しく設定されている必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 653 A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター DXL.Event Web セキュリティ トピックに関する DXL メッセージを購読者に送信しま す。 1 文字列: 情報を送信 するトピック 2 文字列: トピックに 関して送信する情報 Email.Send 電子メールを送信します。 1 文字列: 受信者 2 文字列: 件名 3 文字列: 本文 キャッシュを有効にする Web キャッシュを有効にします。 CompositeOpener を有効にする Composite Opener を有効にします。 データ トリックルを有効にする データ トリックルを有効にします。 FTP アップロードの進行状況を表示する Web へのファイルのアップロードが 実行中であることを通知し、FTP クラ イアントに対する応答の送信を有効に します。 ウイルスやマルウェアのスキャンで Web Gateway の処理に時間がかかる 場合があります。この設定を行うと、 このような場合でも FTP クライアン トでのタイムアウトを防ぐことができ ます。 HTML Opener を有効にする HTML Opener を有効にします。 メディア ストリーム スキャナーを有効にする McAfee Gateway マルウェア対策エ ンジンが提供するメディア ストリーム スキャナーを有効にします。 ネクスト ホップ プロキシを有効にする ネクスト ホップ プロキシの使用を有 効にします。 送信元 IP のオーバーライドを有効にする 異なる送信元 IP アドレスを 1 つの IP アドレスに置換します。 進行状況ページを有効にする 進行状況ページの表示を有効にしま す。 RuleEngine 追跡を有効にする ルール処理モジュール (ルール エンジ ン) が完了したアクティビティの追跡 を有効にします。 文字列リスト: 他の IP アドレスの置換に使用 する IP アドレスを文 字列形式で記述してい るリスト CA を持つ SSL クライアント コンテキストを有 証明機関によって発行されるクライア ント証明書の送信を有効にします。 効にする CA なしで SSL クライアント コンテキストを有 証明機関によって発行されていないク ライアント証明書の送信を有効にしま 効にする す。 654 SSL スキャナーを有効にする SSL スキャニングのモジュールを有効 にします。 SafeSearchEnforcer を有効にする SafeSearchEnforcer を有効にしま す。 プロキシ制御を有効にする プロキシ制御を有効にする McAfee Web Gateway 7.6.0 製品ガイド 構成リスト イベントのリスト A 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター FileSystemLogging.WriteDebugEntry デバッグ エントリを書き込みます。 1 文字列: デバッグ エ ントリ 2 ブール: true の場 合、エントリは stdout に書き込まれ ます。 FileSystemLogging.WriteLogEntry エントリをログに書き込みます。 文字列: ログ エントリ HTMLElement.InsertAttribute HTML 要素に属性を挿入します。 1 文字列: 属性名 2 文字列: 属性値 HTMLElement.RemoveAttribute HTML 要素から属性を削除します。 文字列: 属性名 HTMLElement.SetAttributeValue 属性を値に設定します。 1 文字列: 属性名 2 文字列: 属性を設定 する値 Header.Add Header.AddMultiple 要求または応答にヘッダーを追加しま す。 1 文字列: ヘッダー名 値のリストを含むヘッダーを要求また は応答に追加します。 1 文字列: ヘッダー名 2 文字列: ヘッダー値 2 文字列のリスト: ヘ ッダー値のリスト Header.Block.Add 要求または応答にブロック ヘッダーを 1 文字列: ヘッダー名 追加します。 2 文字列: ヘッダー値 Header.Block.AddMultiple 値のリストを含むブロック ヘッダーを 1 文字列: ヘッダー名 要求または応答に追加します。 2 文字列のリスト: ヘ ッダー値のリスト Header.Block.RemoveAll 要求または応答から特定の名前を持つ 文字列: ヘッダー名 すべてのブロック ヘッダーを削除しま す。 Header.ICAP.Response.Add ICAP 応答にヘッダーを追加します。 1 文字列: ヘッダー名 2 文字列: ヘッダー値 Header.ICAP.Response.AddMultiple ICAP 応答に値のリストとヘッダーを 追加します。 1 文字列: ヘッダー名 2 文字列のリスト: ヘ ッダー値のリスト Header.ICAP.Response.RemoveAll ICAP 応答 から特定の名前を持つすべ 文字列: ヘッダー名 てのヘッダーを削除します。 Header.RemoveAll 要求または応答から特定の名前のすべ てのヘッダーを削除します。 Header.Response.Add ブロック アクションが生成したページ にヘッダーを追加します。 HTTP.GenerateResponse 要求サイクルで発生した要求に対して 応答を生成します。 McAfee Web Gateway 7.6.0 文字列: ヘッダー名 文字列: 応答本体 製品ガイド 655 A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター HTTP.SetStatus 応答サイクルの最後で HTTP ステータ 数値: HTTP ステータ ス コードを設定します。 ス コード ICAP.AddRequestInformation ICAP 要求に情報を追加します。 1 文字列: 要求名 2 文字列: 追加された 情報 MediaType.Header.FixContentType メディア本文の検査後に元のヘッダー と本文が一致しないことが判明した場 合、メディア タイプ ヘッダーを適切な ヘッダーに置き換えます。 通知 通知レベルのエントリを syslog に書 き込みます。 文字列: ログ エントリ PDStorage.AddGlobalData.Bool ブール型のグローバル変数を追加しま す。 1 文字列: 変数キー カテゴリ型のグローバル変数を追加し ます。 1 文字列: 変数キー ディメンション型のグローバル変数を 追加します。 1 文字列: 変数キー 16 進値型のグローバル変数を追加し ます。 1 文字列: 変数キー PDStorage.AddGlobalData.Category PDStorage.AddGlobalData.Dimension PDStorage. AddGlobalData.Hex PDStorage. AddGlobalData.IP 2 ブール: 変数値 2 カテゴリ: 変数値 2 ディメンション: 変 数値 2 16 進数値: 変数値 IP 型のグローバル変数を追加します。 1 文字列: 変数キー 2 IP: 変数値 PDStorage.AddGlobalData.IPRange IP 範囲型のグローバル変数を追加しま 1 文字列: 変数キー す。 2 IPRange: 変数値 PDStorage.AddGlobalData.List.Category カテゴリ リスト型のグローバル変数を 1 文字列: 変数キー 追加します。 2 カテゴリのリスト: 変数値 PDStorage. AddGlobalData.List. Dimension ディメンション リスト型のグローバル 1 文字列: 変数キー 変数を追加します。 2 ディメンションのリ スト: 変数値 PDStorage.AddGlobalData.List.Hex 16 進リスト型のグローバル変数を追 加します。 PDStorage. AddGlobalData.List.IP 656 McAfee Web Gateway 7.6.0 1 文字列: 変数キー 2 16 進数値のリスト: 変数値 IP リスト型のグローバル変数を追加し 1 文字列: 変数キー ます。 2 IP のリスト: 変数値 製品ガイド A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 PDStorage. AddGlobalData.List.IPRange IP 範囲リスト型のグローバル変数を追 1 文字列: 変数キー 加します。 2 IPRange のリスト: 変数値 PDStorage.AddGlobalData.List.MediaType メディアタイプ リスト型のグローバル 1 文字列: 変数キー 変数を追加します。 2 MediaType のリス ト: 変数値 PDStorage. AddGlobalData.List. Number 数値リスト型のグローバル変数を追加 します。 1 文字列: 変数キー 文字列リスト型のグローバル変数を追 加します。 1 文字列: 変数キー ワイルドカード式リスト型のグローバ ル変数を追加します。 1 文字列: 変数キー PDStorage. AddGlobalData.List. String PDStorage. AddGlobalData.List. Wildcard パラメーター 2 数値のリスト: 変数 値 2 文字列のリスト: 変 数値 2 ワイルドカード式の リスト: 変数値 PDStorage. AddGlobalData. MediaType メディア タイプ型のグローバル変数を 1 文字列: 変数キー 追加します。 2 MediaType: 変数値 PDStorage. AddGlobalData.Number 数値型のグローバル変数を追加しま す。 1 文字列: 変数キー 文字列型のグローバル変数を追加しま す。 1 文字列: 変数キー ワイルドカード式型のグローバル変数 を追加します。 1 文字列: 変数キー ブール型のユーザー変数を追加しま す。 1 文字列: 変数キー カテゴリ型のユーザー変数を追加しま す。 1 文字列: 変数キー ディメンション型のユーザー変数を追 加します。 1 文字列: 変数キー 16 進値型のユーザー変数を追加しま す。 1 文字列: 変数キー PDStorage. AddGlobalData.String PDStorage. AddGlobalData. Wildcard PDStorage. AddUserData.Bool PDStorage. AddUserData.Category PDStorage. AddUserData. Dimension PDStorage. AddUserlData.Hex PDStorage. AddUserData.IP IP 型のユーザー変数を追加します。 2 数値: 変数値 2 文字列: 変数値 2 ワイルドカード式: 変数値 2 ブール: 変数値 2 カテゴリ: 変数値 2 ディメンション: 変 数値 2 16 進数値: 変数値 1 文字列: 変数キー 2 IP: 変数値 McAfee Web Gateway 7.6.0 製品ガイド 657 A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター PDStorage. AddUserData.IPRange IP 範囲型のユーザー変数を追加しま す。 1 文字列: 変数キー 2 IPRange: 変数値 PDStorage. AddUserData.List. Category カテゴリ リスト型のユーザー変数を追 1 文字列: 変数キー 加します。 2 カテゴリのリスト: 変数値 PDStorage. AddUserData.List. Dimension ディメンション リスト型のユーザー変 1 文字列: 変数キー 数を追加します。 2 ディメンションのリ スト: 変数値 PDStorage. AddUserData.List.Hex 16 進リスト型のユーザー変数を追加 します。 1 文字列: 変数キー 2 16 進数値のリスト: 変数値 PDStorage. AddUserData.List.IP IP リスト型のユーザー変数を追加しま 1 文字列: 変数キー す。 2 IP のリスト: 変数値 PDStorage.AddUserData.List.IPRange IP 範囲リスト型のユーザー変数を追加 1 文字列: 変数キー します。 2 IPRange のリスト: 変数値 PDStorage.AddUserData.List.MediaType メディアタイプ リスト型のユーザー変 1 文字列: 変数キー 数を追加します。 2 MediaType のリス ト: 変数値 PDStorage.AddUserData.List.Number 数値リスト型のユーザー変数を追加し ます。 1 文字列: 変数キー 文字列リスト型のユーザー変数を追加 します。 1 文字列: 変数キー ワイルドカード式リスト型のユーザー 変数を追加します。 1 文字列: 変数キー メディアタイプ型のユーザー変数を追 加します。 1 文字列: 変数キー 数値型のユーザー変数を追加します。 1 文字列: 変数キー PDStorage.AddUserData.List.String PDStorage.AddUserData.List.Wildcard PDStorage.AddUserData.MediaType PDStorage.AddUserData.Number 2 数値のリスト: 変数 値 2 文字列のリスト: 変 数値 2 ワイルドカード式の リスト: 変数値 2 MediaType: 変数値 2 数値: 変数値 PDStorage.AddUserData.String 658 McAfee Web Gateway 7.6.0 文字列型のユーザー変数を追加しま す。 1 文字列: 変数キー 2 文字列: 変数値 製品ガイド A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター PDStorage.AddUserData.Wildcard ワイルドカード式型のユーザー変数を 追加します。 1 文字列: 変数キー 2 ワイルドカード式: 変数値 PDStorage.Cleanup 永続的に保存されているデータをクリ ーンアップします。 PDStorage.DeleteAllUserData 永続的に保存されているユーザー デー タをすべて削除します。 PDStorage.DeleteGlobalData 特定のタイプの永続的に保存されたグ ローバル変数をすべて削除します。 文字列: 変数キー PDStorage.DeleteUserData 特定のタイプの永続的に保存されたユ ーザー変数をすべて削除します。 文字列: 変数キー ProtocolDetector.ApplyFiltering Web Gateway でサポートされるプロ トコルで転送される Web トラフィッ クの Web フィルタリング ルールを適 用します。 SNMP.Send.Trap.Application アプリケーション情報を含む SNMP トラップ メッセージを送信します。 SNMP.Send.Trap.System システム情報を含む SNMP トラップ メッセージを送信します。 SNMP.Send.Trap.User ユーザー情報を含む SNMP トラップ メッセージを送信します。 SNMP.Send.Trap.UserHost ユーザーのホストに関する情報を含む SNMP トラップ メッセージを送信し ます。 1 数値: ユーザー ID 2 文字列: メッセージ 本文 1 数値: ユーザー ID 2 文字列: メッセージ 本文 3 IP: ホストの IP アド レス SSO.AddCredentials クラウド アプリケーションのシングル 1 文字列: ID プロバイ サインオン プロセスにログオンするユ ダー ーザーに新しい認証情報を作成しま 2 文字列: ユーザー名 す。 ユーザーを認証するため、ID プロバイ 3 文字列: クラウド ア ダー (IdP) という認証インスタンスが プリケーション 認証情報を評価します (LDAP や NTLM データベースなどが IDP にな 4 JSON: JSON 形式の ります)。 認証情報 新しい認証情報は、ID プロバイダーの データベースに保存されます。 McAfee Web Gateway 7.6.0 製品ガイド 659 A 構成リスト イベントのリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター SSO.AddServices シングル サインオン プロセスのログ 1 文字列: ID プロバイ オンでユーザーがアプリケーションを ダー 選択できるように、クラウド アプリケ 2 文字列: ユーザー名 ーションを準備します。 クラウド アプリケーション は、クラウド サービスともい います。 3 リスト: クラウド ア プリケーションのリ スト SSO.DeleteCredentials クラウド アプリケーションのシングル 1 文字列: ID プロバイ サインオン プロセスにログオンするユ ダー ーザーの認証情報を削除します。 2 文字列: ユーザー名 ユーザーを認証するため、ID プロバイ ダー (IdP) という認証インスタンスが 3 文字列: クラウド ア 認証情報を評価します (LDAP や プリケーション NTLM データベースなどが IDP にな ります)。 4 JSON: JSON 形式の 認証情報 新しい認証情報は、ID プロバイダーの データベースに保存されます。 SSO.ProcessFormLogin シングル サインオン プロセスでクラ ウド アプリケーションへのログインを 実行するため、フォーム形式でユーザ ーに送信したデータを処理します。 ログオン フォームに以下のいずれかの 処理が実行されます。 • POST 要求でクラウド アプリケーシ ョンにログオン フォームを送信する と、ログオン フォームに挿入された パスワード トークンが、シングル サ インオンを要求したユーザーの本物 のパスワードで置換されます。 • ブラウザーから GET 要求を送信し てユーザーのログオン フォームを要 求すると、フォームにスクリプト コ ードを挿入して情報を入力し、クラ ウド アプリケーションに転送しま す。 これは、シングル サインオン プロセス にプロキシ (インライン) モードが設 定されている場合にのみ実行されま す。 660 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト インシデント ID のリスト 表 A-4 イベントのリスト (続き) 名前 説明 パラメーター SSO.UpdateCredentials クラウド アプリケーションのシングル 1 文字列: ID プロバイ サインオン プロセスにログオンするユ ダー ーザーの認証情報を更新します。 2 文字列: ユーザー名 ユーザーを認証するため、ID プロバイ ダー (IdP) という認証インスタンスが 3 文字列: クラウド ア 認証情報を評価します (LDAP や プリケーション NTLM データベースなどが IDP にな ります)。 4 JSON: JSON 形式の 認証情報 新しい認証情報は、ID プロバイダーの データベースに保存されます。 Statistics.Counter.Increment カウンターの値を増やします。 Statistics.Counter.Reset カウンターをリセットします。 文字列: カウンター名 Stopwatch.Reset ルールセットの処理時間を測定する内 部時計を 0 に設定します。 文字列: ルール セット 名 Stopwatch.Start ルールセットの処理時間を測定する内 部時計を開始します。 文字列: ルール セット 名 Stopwatch.Stop ルールセットの処理時間を測定する内 部時計を停止します。 文字列: ルール セット 名 Syslog syslog にエントリを書き込みます。 1 数値: ログ レベル 0 – 緊急 1 – アラート 2 – 重要 3 – エラー 4 – 警告 5 – 注意 6 – 情報 7 – デバッグ 2 文字列: ログ エント リ インシデント ID のリスト 以下の表に、ルールに使用できるインシデント ID のリストを示します。 インシデント ID は次の数値範囲にグループ化されます。 1-199 アプライアンス システムに関連するインシデント 200-299 コア サブシステム インシデント 300-399 モジュール インシデントの更新 400-499 ウイルスおよびマルウェア フィルタリングのインシデント 500-599 ログ ファイル マネージャーのインシデント 600-699 sysconfd デーモンのインシデント 700-799 プロキシ モジュールのインシデント McAfee Web Gateway 7.6.0 製品ガイド 661 A 構成リスト インシデント ID のリスト 800-899 ウイルスおよびマルウェア フィルタリングのインシデント 900-999 認証インシデント 1000-1099 URL フィルタリング インシデント 1100-1199 クォータの管理インシデント 1200-1299 SSL 証明書インシデント 1300-1399 ICAP クライアント インシデント 1400-1499 メディア タイプ フィルタリング インシデント 1500-1599 オープナー インシデント 1600-1699 SSL 証明書チェーン インシデント 1700-1799 ユーザー インターフェース インシデント 1800-1849 外部リストのインシデント 1850-1899 アプリケーション フィルタリング インシデント 1900-1999 Data Loss Prevention (DLP) インシデント 2000-2099 ストリーミング メディア フィルタリング インシデント 2100-2199 メディア タイプ フィルタリング インシデント 2200-2299 Dynamic Content Classifier インシデント 2300-2399 シングル サインオン サービスのインシデント 2400-2499 クラウド ストレージ暗号化のインシデント 2500-2549 認証情報ストア インシデント 2550-2599 シングル サインオン (SSO) のインシデント 2650-2699 Cloud Access Security Broker (CASB) カタログのインシデント 3000-3200 集中管理インシデント 3200-3399 Web Hybrid インシデント 3400-3499 Web SaaS コネクター インシデント 3500-3599 プロトコル ディテクター オプション 表 A-5 インシデント ID のリスト 662 インシデン ト ID 説明 5 インシデント プロパティを使用するルールが実行されまし 1 システム た。 7 20 RAID モニタリングが重大ステータスまたは 1 つ以上のハ ード ディスクへの障害を報告しました。 1 正常性モニター 4 (ま たは ハー ドデ ィス クの 失敗 では 3) 21 S.M.A.R.T 正常性確認は HDD ハード ディスクのエラー をレポートしました。 1 正常性モニター 4 22 ファイル システムの使用率が構成されている限界値を越え 1 正常性モニター ています。 4 23 メモリーの使用率が構成されている限界値を越えています。 1 正常性モニター 4 McAfee Web Gateway 7.6.0 元の場所の数値および名前 製品ガイド 重大 度 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 元の場所の数値および名前 重大 度 24 システム負荷が構成されている限界値を越えています。 1 正常性モニター 4 26 BBU RAID エラーを検出するためにチェックが実行されま 1 正常性モニター した。チェックの間隔は 30 分です。 4 200 ライセンス期限日が確認されました。 2 コア 6 201 アプライアンスは、すべての FIPS 140-2 セルフテストを 2 コア 正常に完了しました。 6 211 ダッシュボード レポート x のエントリの最大数を超えまし 2 統計 た。 4 298 製品 x の更新が成功しました。 2 コア 6 299 製品 x の更新に失敗しました。 2 コア 3 250 リストのエントリが無効であるか、無視されます。 2 コア 3 301 ディスクの空き容量が十分でないため更新ファイルのダウ ンロードを停止しました。 3 アップデーター 3 302 製品 x のダウンロードがノード y で失敗しました。 3 アップデーター 3 303 製品 x の更新がノード y で失敗しました。 3 アップデーター 3 304 ノード y の製品 x のステータスは最新のものです。 3 アップデーター 3 305 更新モジュールは更新サーバーに接続できませんでした。 3 アップデーター 3 321 製品 x のダウンロードがノード y で成功しました。 3 アップデーター 6 322 製品 x のダウンロードがノード y で成功しました。 3 アップデーター 6 323 顧客の購読リスト x の更新がノード y で成功しました。 3 顧客購読リスト マネージャー 6 324 顧客の購読リスト x の更新がノード y、z、... で成功しま した。 3 顧客購読リスト マネージャー 3 325 ノード y の顧客購読リスト x のステータスは最新のもので 3 顧客購読リスト マネージャー 6 す。 326 顧客の購読リスト x のダウンロードがノード y、z、... で 失敗しました。 327 McAfee の購読リスト x のダウンロードがノード y、z、... 3 アップデーター で失敗しました。 3 328 McAfee の購読リスト x の更新がノード y、z、... で失敗 しました。 3 アップデーター 3 329 ノード y、z、... の McAfee 購読リスト x のステータスは 3 アップデーター 最新のものです。 6 330 McAfee の購読リスト x の更新がノード y で成功しまし た。 3 アップデーター 6 331 スケジュール設定されたのジョブ x の処理に成功しました 3 スケジュール設定されたジョ ブ マネージャー 6 332 スケジュール設定されたジョブ x の処理に失敗しました 3 スケジュール設定されたジョ ブ マネージャー 3 333 更新可能なシステム リストの更新がノード y で失敗しまし 3 Central Updater た。 3 334 更新可能なシステム リストの更新がノード y で成功しまし 3 Central Updater た。 6 McAfee Web Gateway 7.6.0 3 顧客購読リスト マネージャー 3 製品ガイド 663 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) 664 インシデン ト ID 説明 335 ノード y の更新可能なシステム リストのステータスは最新 3 Central Updater のものです。 340-349 種々の理由で移行に失敗します。 3 移行 6 500 ログ マネージャーで回復不能な内部エラーが発生しまし た。ログ マネージャーが終了します。 5 ログ ファイル マネージャー 2 501 ログ ファイル マネージャーはログ ファイルのプッシュに 失敗しました。 5 ログ ファイル マネージャー 3 600 yum の更新に含まれるパッケージを有効にするには、アプ 6 mwg-update ライアンスを再起動する必要があります。 4 601 yum の更新が正常に完了しました。 6 mwg-update 5 602 yum の更新に失敗しました。 6 mwg-update 3 620 メジャー ディストリビューションのアップグレードが正常 6 mwg-dist-upgrade に完了しました。 5 621 メジャー ディストリビューションのアップグレードが実行 6 mwg-dist-upgrade 中です。 アプライアンスは自動的に再起動します。 4 622 メジャー ディストリビューションのアップグレードに失敗 6 mwg-dist-upgrade しました。 アップグレード ログ ファイルを確認してくだ さい。 3 666 FIPS 140-2 自己テストがノード y で失敗しました。ノ ードは非 FIPS モードで実行中です。 1 FIPS 0 700 並列の接続数が構成されている負荷制限を越えています。 アプライアンスは過負荷状態になりました。アプライアン スに送信された要求は遅れて受け入れられます。 2 プロキシ 2 701 アプライアンスが 30 秒以上過負荷状態です。アプライア ンスに送信された要求は遅れて受け入れられます。 2 プロキシ 2 702 アプライアンスは過負荷状態から解除されました。アプラ イアンスに送信された要求は遅れることなく受け入れられ ます。 2 プロキシ 4 703 並列の接続数が構成されている高負荷制限を越えています。 2 プロキシ アプライアンスは高負荷状態になりました。アプライアン スに送信された要求は遅れて受け入れられます。 4 704 アプライアンスは 30 秒以上高負荷状態です。アプライア ンスに送信された要求は遅れて受け入れられます。 2 プロキシ 4 705 並列の接続数が構成されている高負荷制限の 85 % 未満に 2 プロキシ 下がりました。アプライアンスはまだ高負荷状態です。ア プライアンスに送信された要求は遅れて受け入れられます。 6 710 ネクスト ホップ プロキシ サーバーはダウンしていて、n 秒 2 プロキシ 間利用できません。 4 711 アプライアンスはネクストホップ プロキシ サーバーに接 続できませんでした。 2 プロキシ 4 712 ネクストホップ プロキシ サーバーはエラー状態から通常 の動作に戻りました。 2 プロキシ 6 720 IP アドレス x、ポート y のリスナーを開けませんでした。 2 プロキシ 2 730 プロキシ モード構成の変更にはアプライアンスの再起動が 2 プロキシ 必要です。 2 McAfee Web Gateway 7.6.0 元の場所の数値および名前 重大 度 6 製品ガイド A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 元の場所の数値および名前 重大 度 740 並列接続数が IFP プロキシに構成されている過負荷制限を 超えています。過負荷状態になりました。新しい要求が処 理されません。 2 プロキシ 2 741 過負荷状態は IFP プロキシに対して 30 秒以上続きます。 新しい要求が処理されません。 2 プロキシ 2 742 IFP プロキシの過負荷状態が終了しました。要求は遅延な く再び受け付けます。 2 プロキシ 4 743 並列接続数が IFP プロキシに構成されている高負荷制限を 超えています。過負荷状態になりました。新しい要求が処 理されません。 2 プロキシ 4 744 高負荷状態は IFP プロキシに対して 30 秒以上続きます。 新しい要求が処理されません。 2 プロキシ 4 745 並列接続数が IFP プロキシに構成されている高負荷制限の 2 プロキシ 85% 未満に減りました。引き続き高付加状態にあります。 要求は遅れて受け付けられます。 6 750 アプライアンス側のエラーのため、HSM エージェントのキ 2 プロキシ ーを読み込めません。 2 751 エージェント側のエラーのため、HSM エージェントのキー 2 プロキシ を読み込めません。 2 752 アプライアンス側のエラーのため、HSM エージェントのキ 2 プロキシ ー ID を読み込めません。 2 753 エージェント側のエラーのため、HSM エージェントのキー 2 プロキシ ID を読み込めません。 2 760 WCCP リスナーを開始できません。 2 プロキシ 2 761 WCCP が送信スレッドとリスナー スレッドを開始できま せん。 2 プロキシ 2 762 WCCP がルーター アドレス <ホスト> を解決できません。 2 プロキシ 3 763 WCCP がマルチキャスト グループ <ホスト> に参加でき ません。 2 プロキシ 3 764 WCCP ソケットの読み込み中または書き込み中にエラーが 2 プロキシ 発生しました。 3 765 WCCP ルーター <ホスト> の認証に失敗しました。 2 プロキシ 3 766 WCCP メッセージの解析に失敗し、不正なパケットが作成 2 プロキシ されました。 3 767 WCCP サービス ID またはグループが見つかりません。 2 プロキシ 3 768 サービス ID の WCCP ルーターが追加されました。 2 プロキシ 6 769 サービス ID の WCCP ルーターが削除されました。 2 プロキシ 6 850 ウイルスとマルウェア フィルタリングの MGAM モジュー ルの更新が正常に完了しました。 2 マルウェア対策フィルター 6 851 ウイルスとマルウェア フィルタリングの MGAM モジュー ルの更新に失敗しました。 2 マルウェア対策フィルター 3 852 MGAM モジュールの更新ファイルのダウンロードまたは検 2 マルウェア対策フィルター 証に失敗しました。 3 853 ウイルスとマルウェア フィルタリングの MGAM モジュー ルのバージョンは最新のものです。 6 McAfee Web Gateway 7.6.0 2 マルウェア対策フィルター 製品ガイド 665 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) 666 インシデン ト ID 説明 854 ウイルスとマルウェア フィルタリングの Ariva モジュール 2 マルウェア対策フィルター の更新が正常に完了しました。 6 855 ウイルスとマルウェア フィルタリングの Avira モジュール 2 マルウェア対策フィルター の更新に失敗しました。 3 856 Avira モジュールの更新ファイルのダウンロードまたは検 証に失敗しました。 2 マルウェア対策フィルター 3 857 ウイルスとマルウェア フィルタリングの Avira モジュール 2 マルウェア対策フィルター のバージョンは最新のものです。 6 901 アプライアンスは Windows ドメイン x の NTML 認証の ため n サーバーに接続されています。 2 NTLM 認証フィルター 6 902 アプライアンスは Windows ドメイン x の NTML 認証の ため n サーバーに接続できませんでした。 2 NTLM 認証フィルター 4 903 アプライアンスは NTLM 認証のため Windows ドメイン x 2 NTLM 認証フィルター と通信できませんでした。 3 910 アプライアンスは構成 ID n で LDAP サーバーに接続され ます。 2 LDAP 認証フィルター 6 912 アプライアンスは構成 ID n で LDAP サーバーから切断さ れました。 2 LDAP 認証フィルター 4 913 アプライアンスは構成 ID n で LDAP サーバーに接続でき ませんでした。 2 LDAP 認証フィルター 3 920 認証ユーザーの情報を取得するために、コミュニケーション 2 RADIUS 認証フィルター を開始しようと試みた後で、RADIUS サーバー x から応答 を受け取りました。 6 921 コミュニケーションが中断された後で、RADIUS サーバー 2 RADIUS 認証フィルター x から応答をもう一度受け取りました。 6 923 RADIUS サーバー x への認証要求の送信され、タイムアウ 2 RADIUS 認証フィルター トになりました。 3 931 アプライアンスは NTLM-Agent サーバー x に接続されま した。 2 NTLM エージェント認証フィ ルター 6 932 アプライアンスは NTLM-エージェント サーバー x から切 断されました。 2 NTLM エージェント認証フィ ルター 3 933 アプライアンスは NTLM エージェント サーバー x に接続 できませんでした。 2 NTLM エージェント認証フィ ルター 3 940 証明書失効リストの更新が正常に完了しました。 2 認証フィルター 6 941 証明書失効リストの更新に失敗しました。 2 認証フィルター 4 942 証明書失効リストのダウンロードに失敗しました。 2 認証フィルター 4 943 証明書失効リストのステータスは最新のものです。 2 認証フィルター 6 1050 URL フィルター モジュールの更新が正常に完了しました。 2 URL フィルター 6 1051 URL フィルター モジュールの更新に失敗しました。 2 URL フィルター 3 1052 URL フィルター モジュールの更新ファイルのダウンロー ドまたは検証に失敗しました。 2 URL フィルター 3 1053 URL フィルター モジュールのステータスは最新のもので す。 2 URL フィルター 6 1650 更新された証明書失効リストが正常にダウンロードされ、ロ 2 証明書チェーン フィルター ードされました。 McAfee Web Gateway 7.6.0 元の場所の数値および名前 製品ガイド 重大 度 6 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 1651 更新された証明書失効リストがダウンロードされましたが、 2 証明書チェーン フィルター ロードできませんでした。 4 1652 更新された証明書失効リストをダウンロードできませんで した。 2 証明書チェーン フィルター 3 1653 すべての証明書失効リストのステータスは最新のものです。 2 証明書チェーン フィルター 6 1700 管理者ユーザーがユーザー インターフェースに正常にログ 7 ユーザー インターフェース インしました。 4 1701 管理者ユーザーがユーザー インターフェースへのユーザー 7 ユーザー インターフェース のログオンに失敗しました。 3 1702 エンド ユーザーが要求を送信したクライアントの IP アド レスが変更されました。 7 ユーザー インターフェース 4 1703 管理者ユーザーがユーザー インターフェースに正常にログ 7 ユーザー インターフェース オフしました。 6 1704 アプライアンスの再起動、タイムアウトまたは類似したイン 7 ユーザー インターフェース シデントが発生した後で、管理者ユーザーがユーザー イン ターフェースから強制的にログオフされました。 6 1710 管理者ユーザーが正常に変更を保存しました。 7 ユーザー インターフェース 6 1711 管理者ユーザーが変更の保存に失敗しました。 7 ユーザー インターフェース 3 1800 外部リストから取得できたエントリの数が構成された制限 を超えました。 2 外部リスト フィルター 4 1801 外部リストから取得できたエントリのデータ量が構成され た制限を超えました。 2 外部リスト フィルター 4 1802 データが外部リストから取得されたときにエラーが発生し ました。 2 外部リスト フィルター 4 1803 外部リストから取得されたデータが返還されたときにエラ ーが発生しました。 2 外部リスト フィルター 4 1804 データが外部リストから取得されたときにタイムアウト エ 2 外部リスト フィルター ラーが発生しました。 4 1805 外部リストからデータを取得する権限が拒否されました。 2 外部リスト フィルター 4 1806 外部リスト データから取得するリソースを見つけることが 2 外部リスト フィルター できませんでした。 4 1850 アプリケーション フィルタリングのデータベースの更新が 2 Application Control 正常に完了しました。 6 1851 アプリケーション フィルタリングのデータベースの更新に 2 Application Control 失敗しました。 3 1852 アプリケーション フィルタリングのデータベースのダウン 2 Application Control ロードに失敗しました。 3 1853 アプリケーション フィルタリングのデータベースのステー 2 Application Control タスは最新のものです。 6 1854 アプリケーション フィルタリングのデータベースのロード 2 Application Control に失敗しました。 3 1855 アプリケーション フィルタリングのデータベースのロード 2 Application Control が正常に完了しました。 6 1950 Data Loss Prevention (DLP) モジュールの更新が正常に 完了しました。 McAfee Web Gateway 7.6.0 元の場所の数値および名前 2 Data Loss Prevention 製品ガイド 重大 度 6 667 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 元の場所の数値および名前 重大 度 1951 Data Loss Prevention (DLP) モジュールの更新に失敗し ました。 2 Data Loss Prevention 3 1952 Data Loss Prevention (DLP) モジュールの更新ファイル のダウンロードまたは検証に失敗しました。 2 Data Loss Prevention 3 1953 Data Loss Prevention (DLP) のステータスは最新のもの です。 2 Data Loss Prevention 6 2001 ストリーム ディテクター モジュールでエラーが発生しま した。 2 ストリーム ディテクター 2 2101 メディア タイプ フィルタリングのデータベースをロード できませんでした。 2 メディア タイプ フィルター 2 2200 Dynamic Content Classifier の更新が正常に完了しまし た。 2 Dynamic Content Classifier 6 2201 Dynamic Content Classifier の更新に失敗しました。 2 Dynamic Content Classifier 3 2202 Dynamic Content Classifier の更新ファイルのダウンロ ードまたは検証に失敗しました。 2 Dynamic Content Classifier 3 2203 Dynamic Content Classifier のステータスは最新のもの です。 2 Dynamic Content Classifier 6 2350 シングル サインオン プロセスのファイルが正常に更新さ れました。 3 シングル サインオン サービ ス 6 2351 シングル サインオン プロセスのファイルが更新できませ んでした。 3 シングル サインオン サービ ス 3 2352 シングル サインオン プロセスの更新ファイルのダウンロ ードまたは検証に失敗しました。 3 シングル サインオン サービ ス 3 2353 シングル サインオン プロセスは最新の状態です。 3 シングル サインオン サービ ス 2401 サービス データベースの読み込みに失敗しました。 3 クラウド ストレージ暗号化 クラウド ストレージ暗号化モジュールがサポート対象のク ラウド ストレージ サービスの説明と一緒にファイルを読 み込めない場合、このインシデントが報告されます。 2502 認証情報ストア エクスポート インシデント 認証情報ストアからデータをエクスポートできません。 2503 認証情報ストア インポート インシデント 認証情報ストアにデータをインポートできません。 2510 認証情報ストア インシデント 認証情報ストアでエラーが発生しました。 エラー ログで インシデント レポートのメッセージと詳細を確認してくだ さい。 2550 SSO 更新成功 SSO モジュールが正常に更新されました。 668 McAfee Web Gateway 7.6.0 製品ガイド 2 A 構成リスト インシデント ID のリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 2551 SSO 更新失敗 元の場所の数値および名前 重大 度 SSO モジュールの更新に失敗しました。 詳細については、エラー ログを参照してください。 2552 SSO ダウンロード エラー SSO サーバーからファイルをダウンロードできません。 2553 SSO カタログは最新です 更新サーバーに SSO ファイルの新しいバージョンはあり ません。 2650 SSO カタログ更新成功 SSO コネクター カタログが正常に更新されました。 2651 SSO カタログ更新失敗 SSO コネクター カタログの更新に失敗しました。 詳細については、エラー ログを参照してください。 2652 SSO カタログ ダウンロード エラー SSO コネクター カタログ ファイルを更新サーバーからダ ウンロードできません。 2653 SSO カタログは最新です 更新サーバーに SSO コネクター カタログ ファイルの新し いバージョンはありません。 3000 3 集中管理構成の 1 つ以上のノードで、ストレージと構成が 3 集中管理 同期されていません。 非同期ノードの変更数 このインシデントはルート ノードにのみ記録されます。 3001 インシデント 3000 が発生した後、すべての集中管理構成 のノードが再度同期されたステータスになります (保管お よび構成関連)。 3 集中管理 6 3005 共有データの送信後、集中管理構成の 1 つ以上のノードが 3 集中管理 適切に応答しませんでした。 3 変更に対して適切に応答しなかったノード数 このインシデントは、すべてのノードに対して共有データが 送信された場合にのみ、ルート ノードにだけ記録されます。 3006 インシデント 3004 が発生した後、すべての集中管理構成 のノードが適切にそれらへの共有データの送信に応答しま した。 3 集中管理 6 3200 McAfee SaaS Web Protection へのリストの送信が正常 に終了しました。 3 Web Hybrid 6 3201 McAfee SaaS Web Protection へのリストの送信に失敗 しました。 3 Web Hybrid 3 3205 McAfee SaaS Web Protection からリストが正常にダウ ンロードされ、保存されました。 3 Web Hybrid 6 McAfee Web Gateway 7.6.0 製品ガイド 669 A 構成リスト プロパティのリスト 表 A-5 インシデント ID のリスト (続き) インシデン ト ID 説明 元の場所の数値および名前 重大 度 3206 McAfee SaaS Web Protection からリストがダウンロー ドされず、保存されませんでした。 3 Web Hybrid 3 3210 同期状態を特定できません。 3 Web Hybrid 3 3211 API バージョンの不一致など、McAfee SaaS Web Protection の API でエラーが発生しました。 3 Web Hybrid 3 3250 McAfee SaaS Web Protection との同期状態に問題はあ りません。 3 Web Hybrid 6 3300 Web サービス アクセスのリストが使用できません。原因 は不明です。 2 Web Hybrid 2 3301 Web サービス アクセスのリストが存在しません。 2 Web Hybrid 2 3302 Web サービス アクセスの設定が使用できません。原因は 不明です。 2 Web Hybrid 2 3303 Web サービス アクセスの設定が存在しません。 2 Web Hybrid 2 3400 McAfee SaaS Web Protection とポリシーを同期できま せん。 8 SaaS コネクター 3 3500 プロトコル ディテクター ルール セットが見つからないた め、読み込めません。 2 プロトコル ディテクター フ ィルター 2 3501 プロトコル ディテクター ルール セットが壊れているため、 2 プロトコル ディテクター フ 読み込めません。 ィルター 2 プロパティのリスト 以下の表は、ルールで使用できるプロパティのリストです。 プロパティの順序 プロパティはアルファベット順にリストされています。ただし、リストの作成では、プロパティ名の部分を考慮に入 れます。名前の部分は大文字で始まり、多くの場合、ピリオドでも区切られます。 たとえば、Body.HasMimeHeaderParameter は Body.Hash より前に表示されます。 名前が K、O、V、X、Y または Z で始まるプロパティはありません。 プロパティのコンテキスト プロパティが使用されるルールとルール セットを簡単に確認できます。 1 ユーザー インターフェースで [検索] をクリックします。[参照するオブジェクトの検索] で [プロパティ] を選 択し、検索するプロパティを選択します。 プロパティを使用するルールが表示されます。たとえば、Antimalware.Infected の場合、[ウイルスを検出 したらブロック] ルールが表示されます。 2 ルールを選択して、[コンテキストを表示] をクリックします。 ルール セットに含まれるルールとプロパティが表示されます。たとえば、Antimalware.Infected のルール は、[Gateway Anti-Malware] ルール セット内に表示されます。 670 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト プロパティ - A 以下の表では、名前が A で始まるプロパティについて説明します。 表 A-6 プロパティ - A 名前 型 説明 パラメーター Action.Names 文字列リス ト 要求の処理中に実行されたアクション名の リスト (要求で受信した応答も含む) Antimalware.Avira.VersionString 文字列 スキャン ジョブを実行する Avira エンジ ンのバージョン Antimalware.Infected ブール true の場合、Web オブジェクトで感染が 検出されています。 Antimalware.Proactive.Probability 数値 Web オブジェクトがマルウェアである可 能性 可能性がパーセント (1 から 100 までの 数字) で表示されます。 Antimalware.MATD.GetReport ブール true の場合、Advanced Threat Defense がスキャンする Web オブジェクトにスキ ャン レポートが存在しています。 Antimalware.MATD.Hash 文字列 ダウンロード要求に応じて Web サーバー が受信し、McAfee Advanced Threat Defense がスキャンしたファイルの識別 に使用するハッシュ値。 Antimalware.MATD.InitBackgroundScan ブール true の場合、現在のトランザクションのデ ータが記録されています。Web のアクセ ス要求と Web サーバーからの応答に関す るデータも記録されます。 スキャンする Web オブジェクトが要求側 のユーザーに転送された場合、Advanced Threat Defense が実行するスキャンの準 備段階でこのデータが記録されます。 数値: スキャ ンを開始する 内部要求が受 け入れられる までの最大期 間 (秒) スキャンを開始するために、内部要求も送 信されます。 この要求がプロパティのパラメーターで設 定したタイムアウト (秒) の前に拒否され たため、Advanced Threat Defense が実 行する追加のスキャンが失敗しています。 Antimalware.MATD.IsBackgroundScan ブール true の場合、Advanced Threat Defense が追加スキャンの準備段階で記録されたデ ータを使用し、日付で指定された Web オ ブジェクトのスキャンを実行しています。 Antimalware.MATD.Probability 数値 Web オブジェクトの悪質さを表す重大度。 低いほうから 1 から 5 で表します。 オブジェクトが McAfee Advanced Threat Defense でスキャンされると、重 大度が表示されます。 Antimalware.MATD.Report 文字列 Advanced Threat Defense がスキャンし た Web オブジェクトのレポート このレポートは JSON データ形式で生成 されます。 McAfee Web Gateway 7.6.0 製品ガイド 671 A 構成リスト プロパティのリスト 表 A-6 プロパティ - A (続き) 名前 型 説明 パラメーター Antimalware.MATD.Server 文字列 Web オブジェクトのスキャン時に Advanced Threat Defense を実行してい たサーバー サーバーは URL で表されます。例: http://matdserver300 Antimalware.MATD.TaskID 文字列 Web オブジェクトのスキャン時に Advanced Threat Defense が実行したタ スクの ID Antimalware.MATD.VersionString 文字列 スキャン ジョブの実行時に使用されてい た Advanced Threat Defense のバージ ョン Antimalware.MGAM.VersionString 文字列 スキャン ジョブを実行する McAfee Gateway マルウェア対策エンジンのバー ジョン Antimalware.VersionString 文字列 Web Gateway がスキャン ジョブの実行 時に使用したウイルス/マルウェア フィル タリングのエンジンに関するバージョン情 報 Antimalware.VirusNames 文字列リス ト Web オブジェクトで検出されたウイルス 名のリスト AnyText.Language 文字列 指定したテキストの言語名 文字列: 言語 名の検索に使 用するテキス ト 言語は ISO-639-1 に従って識別されま す。 Application.IsHighRisk ブール true の場合、Web セキュリティでアプリ ケーションの危険度が高レベルと見なされ ています。 Application.IsMediumRisk ブール true の場合、Web セキュリティでアプリ ケーションの危険度が中レベルと見なされ ています。 Application.IsMinimalRisk ブール true の場合、Web セキュリティでアプリ ケーションの危険度が最小レベルと見なさ れています。 Application.IsUnverified ブール true の場合、Web セキュリティでアプリ ケーションへのアクセスの危険度が確認さ れていません。 Application.Name Applcontrol アプリケーションの名前 Application.Reputation 数値 アプリケーションのレピュテーション ス コア Application.ToString 文字列 文字列に変換されるアプリケーションの名 Applcontrol: 変換するアプ 前 リケーション 名 672 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-6 プロパティ - A (続き) 名前 型 説明 パラメーター Authentication.Authenticate ブール true の場合、認証エンジンが呼び出され、 設定済みの方法が適用されています。たと えば、ユーザーの認証方法が NTLM で、ユ ーザーが正常に認証されています。 Authentication.IsAuthenticated プ ロパティと Authentication.UserName プロパテ ィにも値が設定されています。 false の場合、設定済みの認証方法が正常に 適用されていません。たとえば、認証情報 が送信されていなかったり、無効な認証情 報が送信されている可能性があります。 Authentication.CacheRemainingTime 数値 認証情報がキャッシュからクリアされるま での残り時間 (秒) Authentication.Failed ブール true の場合、ユーザーが認証情報を入力し ていますが、認証に失敗しています。 Authentication.FailureReason.ID 数値 ユーザーの認証が失敗した理由を表す番号 Authentication.FailureReason.Message 文字列 ユーザーの認証が失敗した理由を表すメッ セージ テキスト Authentication.GetUserGroups 文字列リス ト 認証プロセスが適用されるユーザー グル ープのリスト Authentication.GetUserGroups.JSON JSON 認証プロセスが適用されるユーザー グル ープのリスト (JSON オブジェクト) Authentication.ICEToken.Attributes リスト ICE トークンから取得される追加属性のリ スト Authentication.ICEToken.Audiences リスト ICE トークンから取得される対象のリスト Authentication.ICEToken.Subject 文字列 ICE トークンから取得されるサブジェクト Authentication.IsAuthenticated ブール true の場合、ユーザーの認証に成功してい ます。 Authentication.IsLandingOnServer ブール true の場合、ユーザーに Cookie の認証が 適用されています。 Authentication.IsServerRequest ブール true の場合、認証サーバーによる認証がユ ーザーに要求されています。 Authentication.Method 文字列 ユーザーの認証方法。例: LDAP Authentication.OTP.Context 文字列 暗号化形式でワンタイム パスワード ユー ザーを確認するために必要な情報 Authentication.SendOTP イベントが 実行されると、この値がプロパティに設定 されます。 認証サーバー (OTP を使用した時間/IP ベ ースのセッションまたは許可オーバーライ ド) ライブラリ ルール セットのルールが 処理されると、HTTP プロトコルの応答ヘ ッダーに情報が送信されます。 McAfee Web Gateway 7.6.0 製品ガイド 673 A 構成リスト プロパティのリスト 表 A-6 プロパティ - A (続き) 名前 型 説明 パラメーター Authentication.RawCredentials 文字列 クライアントまたはネットワークの他のイ ンスタンスからアプライアンスが受信した 形式のユーザー認証情報 このプロパティをルールの設定で使用する と、単純な Authentication.UserName プロパテ ィに対して処理が実行され、ユーザーの認 証情報を可読形式に変換する時間が短縮さ れるため、処理速度が向上します。 Authentication.RawUserName 文字列 クライアントまたはネットワークの他のイ ンスタンスからアプライアンスが受信した 形式のユーザー名 このプロパティをルールの設定で使用する と、単純な Authentication.UserName プロパテ ィに対して処理が実行され、ユーザー名を 可読形式に変換する時間が短縮されるた め、処理速度が向上します。 Authentication.Realm 文字列 認証領域。例: Windows ドメイン Authentication.SAML.Attributes 文字列リス ト SAML 応答の <saml2:Attribute> タグ から抽出された属性名/値ペアのリストを 保存します。 1 つの属性名に複数の値が ある場合、値はカンマで区切られます。 Authentication.SAML.CreateAuthnRequest HTTP POST 外部 ID プロバイダーに送信される SAML 形式 認証要求を作成します。 Authentication.SAML.IDPSSOEndpoint プロパティに外部 ID プロバイダーの URL を設定します。 Authentication.SAML.Error 文字列 認証サーバーが SAML 応答を検証できな った場合に発生するエラーの詳細を記述し ます。 エラー メッセージは、OpenSAML ラ イブラリーから提供されます。 Authentication.SAML.IDPSSOEndpoint 文字列 外部 ID プロバイダーの SSO URL を指定 します。 エラーが発生すると、ユーザーは この URL にリダイレクトされます。 Authentication.SAML.ParseAuthnResponse 文字列 認証サーバーが外部 ID プロバイダーから 受信する SAML 認証応答を解析します。 応答が有効な場合、このプロパティは Authentication.SAML.Attributes プロパ ティに属性名/値ペアのリストを戻します。 応答が無効な場合、このプロパティは、 Authentication.SAML.Error プロパティ にエラーを戻します。 674 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-6 プロパティ - A (続き) 名前 型 説明 パラメーター Authentication.SAML.RelayState 文字列 認証サーバーが SAML 認証要求を作成し たときに ACS URL の値を保存します。 認証サーバーが認証要求で RelayState パ ラメーターを外部 ID プロバイダーに送信 します。 ID プロバイダーが認証応答でパ ラメーターを戻します。 外部 ID プロバイ ダーが動的 URL に対応していない場合、プ ロキシがこの値を RelayState に保存し、 ACS URL を作成します。 Authentication.SOCKSKerberosProtectionLevelToken 数値 SOCKS Kerberos 認証方法を設定したと きに使用される保護レベルを表す数値 Authentication.Token 文字列 外部 ID プロバイダーから戻された SAML アサーションを保存します。 Authentication.UserGroups 文字列のリ スト 認証プロセスが適用されるユーザー グル ープのリスト Authentication.UserName 文字列 認証プロセスが適用されるユーザー名 プロパティ - B 以下の表では、名前が B で始まるプロパティについて説明します。 表 A-7 プロパティ - B 名前 型 説明 Block.ID 数値 要求をブロックしたアクション ID Block.Reason 文字 要求をブロックしたアクションの理 列 由名 BlockingSession.IsBlocked ブー true の場合、ユーザーにブロック セ ル ッションが有効になっています。 パラメーター BlockingSession.RemainingSession 数値 ブロックするセッションの残り時間 (分) BlockingSession.SessionLength 数値 ブロックするセッションの時間の長 さ (分) Body.ChangeHeaderMime ブー true の場合、Web オブジェクトの本 ル 体と一緒に MIME 形式で送信された ヘッダーが変更されています。 Body.ClassID 文字 Web オブジェクトのクラスの ID 列 Body.Equals ブー true の場合、Web オブジェクトの本 1 数値: パターンが開始され ル 体がプロパティのパラメーターに指 る場所のバイト位置 定されたパターンと一致していま す。 2 文字列: パターン a. 二重引用符内に文字列 が埋め込まれます (「...」 は \ が付けられた 16 進 値も含む場合がありま す。) または b. 16 進値のシーケンス McAfee Web Gateway 7.6.0 製品ガイド 675 A 構成リスト プロパティのリスト 表 A-7 プロパティ - B (続き) 名前 型 説明 Body.FileName 文字 Web オブジェクトの本文に埋め込 列 まれたファイル名。例: アーカイブ のファイル Body.FullFileName 文字 ドキュメントまたはアーカイブなど 列 埋め込みエントリ名も含む Web オ ブジェクトの本体に埋め込まれたフ ァイル名 パラメーター 複数の名前が指定されている場合に は、名前が | (パイプ) 記号で区切ら れています。例: test.zip| test.doc Body.HasMimeHeader ブー true の場合、MIME 形式で送信され 文字列: ヘッダー名 ル たマルチパート オブジェクトの本体 に、指定されたヘッダーが含まれて います。 Body.HasMimeHeaderParameter ブー true の場合、MIME 形式で送信され 1 文字列: ヘッダー名 ル たマルチパート オブジェクトの本体 に、指定されたヘッダー パラメータ 2 文字列: ヘッダー パラメ ーが含まれています。 ーター名 Body.Hash 文字 Web オブジェクトの本体にプロパ 文字列: ハッシュ タイプ 列 ティ パラメーターで指定されている ハッシュ タイプの値 ハッシュ タイプとしては、md5、 sha1、sha256、sha512 などが あります。 Body.IsAboveSizeLimit ブー true の場合、Web オブジェクトの本 ル 体が制限サイズを超えています。 Body.IsCompleteWithTimeout ブー true の場合、プロパティ パラメータ 数値: オブジェクトを完全に ル ーに指定された時間 (ミリ秒) が経 送信する時間 過する前に、Web オブジェクトの本 体がアプライアンスに完全に送信さ れています。 Body.IsCorruptedObject ブー true の場合、Web オブジェクトの本 ル 体に含まれるアーカイブが破損して います。 Body.IsEncryptedObject ブー true の場合、Web オブジェクトの本 ル 体に含まれるアーカイブは暗号化さ れています。 Body.IsMultiPartObject ブー true の場合、Web オブジェクトの本 ル 体に含まれるアーカイブが複雑な構 造になっています (マルチパートを 含む)。 Body.IsSupportedByOpener ブー true の場合、複雑な Web オブジェ ル クトの本体に対してアプライアンス でオープナー デバイスを利用できま す。例: アーカイブの本体 Body.MimeHeaderParameterlValue 文字 MIME 形式で送信された Web オブ 1 文字列: ヘッダー名 列 ジェクト本体のヘッダー パラメータ 2 文字列: ヘッダー パラメ ーの値 ーター値 676 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-7 プロパティ - B (続き) 名前 型 説明 パラメーター Body.MimeHeaderValue 文字 MIME 形式で送信された Web オブ 列 ジェクト本体のヘッダー値 Body.Modified ブー true の場合、アプライアンス ジュー ル ルが Web オブジェクトの本体を変 更しています。 Body.NestedArchive Level 数値 アーカイブのアーカイブ部分の現在 のレベル Body.NotEquals ブー false の場合、Web オブジェクトの 1 数値: パターンが開始され ル 本体がプロパティ パラメーターに指 る場所のバイト位置 定されているパターンに一致しま す。 2 文字列: パターン 文字列: ヘッダー値 a. 二重引用符内に文字列 が埋め込まれます (「...」 は \ が付けられた 16 進 値も含む場合がありま す。) または b. 16 進値のシーケンス Body.NumberOfChildren 数値 Web オブジェクトの本体に埋め込 まれたオブジェクト数 Body.PositionOfPattern 数値 Web オブジェクトの本体が開始す るパターン検索のバイト位置 サブ文字列が見つからない場合に は、-1 が戻されます。 1 文字列: 検索するパターン a. 二重引用符内に文字列 が埋め込まれます (「...」 は \ が付けられた 16 進 値も含む場合がありま す。) または b. 16 進値のシーケンス 2 数値: パターンの検索が開 始されるバイトの位置 3 数値: 検索の長さ (0 バイ トの場合、オフセットから オブジェクトの末尾まで検 索されます) Body.Size 数値 Web オブジェクトの本体サイズ (バ イト) Body.Text 文字 Web オブジェクトの本文のテキス 列 ト McAfee Web Gateway 7.6.0 製品ガイド 677 A 構成リスト プロパティのリスト 表 A-7 プロパティ - B (続き) 名前 型 説明 Body.ToNumber 数値 Web オブジェクトの本体の一部は 番号に変換されます (指定された位 置から始まる最大 8 バイト) ビッグエンディアンまたはリトルエ ンディアン形式を使用して変換でき ます。 パラメーター 1 数値: 変換部分が開始する 場所のバイト位置 2 数値: 変換部分の長さ (最 大 8 バイト) 最初のパラメーターと 2 番目のパラメーターの Body.Size プロパティの 値が 0 の場合、本体全体が 変換されています。 3 ブール: true の場合、リト ルエンディアン形式が変換 に使用されています。それ 以外の場合には、ビッグエ ンディアン形式が使用され ています。 Body.ToString 文字 文字列に変換された Web オブジェ 列 クトの本体の一部 1 数値: 変換部分が開始する 場所のバイト位置 2 数値: 変換部分の長さ (バ イト単位) 最初のパラメーターと 2 番目のパラメーターの Body.Size プロパティの 値が 0 の場合、本体全体が 変換されています。 678 Body.UncompressedSize 数値 アーカイブから抽出された後、アー カイブ Web オブジェクトの本文サ イズ (バイト) BooleanToString 文字 文字列に変換されるブール値 列 BytesFromClient 数値 クライアントから要求を受信したバ イト数 BytesFromServer 数値 Web サーバーから応答を受信した バイト数 BytesToClient 数値 Web サーバーからクライアントに 送信された応答のバイト数 BytesToServer 数値 クライアントから Web サーバーに 送信された応答のバイト数 McAfee Web Gateway 7.6.0 ブール: 変換されるブール値 製品ガイド 構成リスト プロパティのリスト A プロパティ - C 以下の表では、名前が C で始まるプロパティについて説明します。 表 A-8 プロパティ - C 名前 型 説明 パ ラ メ ー タ ー Cache.IsCacheable ブ ー ル true の場合、Web サーバーに対する応答で送信したオブ ジェクトが Web キャッシュに保存される場合がありま す。 Cache.IsFresh ブ ー ル true の場合、Web オブジェクトに保存されたオブジェク トは Web からダウンロードされているか、検証されてい ます。 Cache.Status 文 字 列 Web オブジェクトのキャッシュ ステータス 値: • TCP_HIT - Web オブジェクトは、ユーザーが要求し たキャッシュで見つかっています。 • TCP_MISS - Web オブジェクトがユーザーから要求 されていますが、キャッシュ内に存在しません。 • TCP_MISS_RELOAD - ユーザーによって Web オ ブジェクトが要求されていますが、キャッシュは利用さ れていません。ユーザーが [更新] ボタンをクリックし て、Web サーバーからオブジェクトを直接取得するた め、キャッシュからは取得されていません。 オブジェクトはキャッシュに再度入力されました。 • TCP_MISS_VERIFY - ユーザーが Web オブジェ クトを要求したときに、オブジェクトがキャッシュに残 っていますが、Web サーバー上には古い認証情報が表示 されています。 オブジェクトの更新バージョンがサーバーから受信さ れ、キャッシュに格納されます。 Category.ToShortString McAfee Web Gateway 7.6.0 文 字 列 URL カテゴリは、カテゴリを表す略称に変換されます。 製品ガイド カ テ ゴ リ: 変 換 す る カ テ ゴ リ 679 A 構成リスト プロパティのリスト 表 A-8 プロパティ - C (続き) 名前 型 説明 パ ラ メ ー タ ー Category.ToString 文 字 列 URL カテゴリは文字列に変換されます。 カ テ ゴ リ: 変 換 す る カ テ ゴ リ Client.IM.Login 文 字 列 クライアントがインスタント メッセージ プロトコルでア プライアンスにログオンするために使用される ID Client.IM.ScreenName 文 字 列 インスタント メッセージ プロトコルでアプライアンスと 通信するクライアントの画面名 Client.IP IP クライアントの IP アドレス Client.NumberOfConnections 数 値 クライアントからアプライアンスへの同時接続数 CloudEncryption.IsEncryptionSupported ブ ー ル true の場合、現在処理中の要求でクラウド ストレージ サ ービスにアップロードされるデータに暗号化が実行されま す。 [クラウド ストレージ暗号化] モジュールは、クラウド ス トレージ サービスのサービス記述ファイルと Web Gateway の設定を評価して、この値が true かどうか確認 します。たとえば、サポートされるクラウド ストレージ サービスが定義されている [クラウド ストレージ暗号化 サポート] の設定を使用します。 CloudEncryption.IsDecryptionSupported ブ ー ル true の場合、現在処理中の要求でクラウド ストレージ サ ービスからダウンロードされるデータに暗号化が実行され ます。 この値が true かどうか確認する方法については、 [CloudEncryption.IsEncryptionSupported] プロパテ ィの説明を参照してください。 CloudEncryption.ServiceName 文 字 列 現在処理中の要求でデータをアップロードまたはダウンロ ードするクラウド ストレージ サービスの名前 Web Gateway でクラウド ストレージ データの更新要求 またはダウンロード要求を受信すると、このプロパティに 値が設定されます。 ただし、このプロパティは、条件に一致した場合に暗号化 または復号を行うルール条件で使用しないでください。 この操作を行う場合には、 [CloudEncryption.IsEncryptionSupported] プロパテ ィと [CloudEncryption.IsDecryptionSupported] プロ パティを使用します。 680 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A 表 A-8 プロパティ - C (続き) 名前 型 説明 パ ラ メ ー タ ー CloudEncryption.CipherName 文 字 列 現在処理中の要求でアップロードまたはダウンロードされ るクラウド ストレージ データの暗号化または復号に使用 されるアルゴリズム (暗号) 名 Command.Categories 文 字 列 リ ス ト コマンドが属するカテゴリのリスト。例:FTP コマンド カ テゴリ Command.Name 文 字 列 コマンド名 Command.Parameter 文 字 列 コマンドのパラメーター Connection.Aborted ブ ー ル true の場合、接続は最終的に失敗し、接続が終了します。 Connection.IP IP 接続で使用される IP アドレス Connection.OriginalDestinationIP IP 特定の接続で送信された要求の元の宛先の IP アドレス Connection.Port 数 値 クライアントが特定の接続で送信した要求を受信したポー トの番号。 Connection.Protocol 文 字 列 接続で通信に使用されるプロトコル。例:HTTP Connection.Protocol.IsIM ブ ー ル true の場合、接続の通信では、インスタント メッセージ ング プロトコルを使用します。 Connection.Protocol.Parent 文 字 列 Web Gateway が SOCKS プロトコルでプロキシとして 実行されているときに、クライアントとの通信で使用され るプロトコルの埋め込みプロトコル。 このプロトコルは SOCKS で、HTTP や HTTPS など、様 々なプロトコルが埋め込まれます。 Connection.RunTime 数 値 直前まで開いていた接続の継続時間 (秒) Connection.SSL.TransparentCNHandling ブ ー ル true の場合、接続で SSL セキュア透過型モードの通信を 実行します。 Connection.VlanID 数 値 クライアントが Web Gateway との通信で使用するネッ トワークの VLAN ID Cycle.LastCall ブ ー ル true の場合、サイクルでデータの処理が完了します。 McAfee Web Gateway 7.6.0 製品ガイド 681 A 構成リスト プロパティのリスト 表 A-8 プロパティ - C (続き) 名前 型 説明 パ ラ メ ー タ ー Cycle.Name 文 字 列 処理サイクルの名前 Cycle.TopName 文 字 列 Web オブジェクトが埋め込みオブジェクト サイクルに処 理される前に処理されたサイクル名 (要求または応答) プロパティ - D 以下の表では、名前が D で始まるプロパティについて説明します。 表 A-9 プロパティ - D 名前 型 説明 パラメーター DataTrickling.Enabled ブ true の場合、データ トラッキングが Web オブジェ ー クトのダウンロードに使用されます。 ル DateTime.Date.MonthDayNumber 数 日付 値 DateTime.Date.MonthNumber 数 月 値 DateTime.Date.ToString 文 現在の日付を表す文字列 (プロパティ パラメーター 次の 3 つの部分を含む文字列。 字 で指定された形式) 1 1. %YYYY (年) 列 または %YY (最後の 2 文字) または %Y。最後の 2 桁です。ただ し、最後の 2 桁が 0 で始まる 場合は最後の 1 桁。たとえ ば、2009 の場合、9 になりま す。 2 %MM (月数。1 桁の場合、先 頭に 0 が挿入されます)。 または %M (0 が挿入されません。3 の場合には 3、12 月の場合に は 12 になります。 3 %DD (日) または %D パラメーターが指定されていな い場合、形式は次のとおりになり ます。 %YYYY/%MM /%DD 682 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-9 プロパティ - D (続き) 名前 型 説明 パラメーター DateTime.Date.WeekDayNumber 数 曜日 (1 は日曜日) 値 DateTime.Date.Year 数 年 (4 桁) 値 DateTime.Date.YearTwoDigits 数 年 (最後の 2 桁) 値 DateTime.Time.Hour 数 時間 (24 時間形式。例: 午後 1 時間は 13 になり 値 ます。) DateTime.Time.Minute 数 分 値 DateTime.Time.Second 数 秒 値 DateTime.Time.ToString 文 現在の時間を表す文字列 (プロパティ パラメーター 次の 3 つの部分を含む文字列。 字 で指定された形式) 1 %h (時間) 列 または %hh (1 桁の時間の前に 0 が 追加されます。) 2 %m (分) または %mm 3 %s (秒) または %ss パラメーターが指定されていな い場合、形式は次のとおりになり ます。 %hh:%mm:%ss DateTime.ToGMTString 文 文字列はグリニッチ時間形式で現在の日付および時 字 刻を表しています。 列 例: 2012 年 3 月 22 日 11:45:36 GMT DateTime.ToISOString 文 文字列は ISO 時間形式で現在の日付および時刻を 字 表しています。 列 例: 2012/03/22 11:45:12 DateTime.ToNumber 数 1970 年 1 月 1 日からの秒数 (UNIX エポック時 値 間) DateTime.ToString 文 現在の日付と時刻を表す文字列 (プロパティ パラメ DateTime.Date.ToString 字 ーターで指定された形式) と DateTime.Time. 列 ToString プロパティの一部と 該当する文字列。 パラメーターが指定されていな い場合、形式は次のとおりになり ます。 %YYYY/%MM /%DD %hh: %mm:%ss McAfee Web Gateway 7.6.0 製品ガイド 683 A 構成リスト プロパティのリスト 表 A-9 プロパティ - D (続き) 名前 型 説明 パラメーター DateTime.ToWebReporterString 文 文字列は Web Reporter 時間形式で現在の日付と 字 時刻を表しています。 列 例: 29/Oct/2012:14:28:15 +0000 DecimalNumber.ToString 文 文字列に変換される小数 1 数値: 変換される小数 字 列 文字列は、パラメーターによって切り捨てられます。 2 数値: 小数点よりも後ろの桁 たとえば、このパラメーターに 2 を設定すると、 数 10.12345 は 10.12 になります。 Dimension.ToString 文 文字列に変換されるディメンション 字 列 DLP.Classification.AnyText.Matched ブ true の場合、分類リストに 1 つ以上の項目が含ま 文字列: 機密性または不適切性 ー れます。これにより、該当するテキスト文字列が重 を確認するテキスト ル 要または不適切な文字列かどうかを判断します。 ディメンション: 変換するディ メンション DLP.Classification.AnyText.MatchedClassifications 文 字 列 リ ス ト 重要または不適切なテキスト文字列を記述している 文字列: 機密性または不適切性 分類リスト を確認するテキスト DLP.Classification.AnyText.Matched が true に設定されている場合、リストがいっぱいにな ります。 DLP.Classification.AnyText.MatchedTerms 文 字 列 リ ス ト true の場合、分類リストに 1 つ以上の項目が含ま 文字列: 機密性または不適切性 れます。これにより、該当するテキスト文字列が重 を確認するテキスト 要または不適切な文字列かどうかを判断します。 DLP.Classification.AnyText.Matched が true に設定されている場合、リストがいっぱいにな ります。 DLP.Classification.BodyText.Matched ブ true の場合、要求または応答の本文テキストに、分 ー 類リストで 1 つ以上の項目が重要または不適切と ル しているコンテンツが含まれています。 DLP.Classification.BodyText.MatchedClassifications 文 字 列 リ ス ト 要求または応答の本文テキストで検出する重要また は不適切なコンテンツを指定する分類リストの項目 リスト DLP.Classification.BodyText.Matched が true に設定されている場合、リストがいっぱいにな ります。 DLP.Classification.BodyText.MatchedTerms 文 字 列 リ ス ト DLP.Dictionary.AnyText.Matched 684 要求または応答の本文テキストに含まれる条件のリ スト。分類フィールドの 1 つ以上の項目により、重 要または不適切なコンテンツが設定されます。 DLP.Classification.BodyText.Matched が true に設定されている場合、リストがいっぱいにな ります。 ブ true の場合、特定のテキスト文字列がディレクトリ 文字列: 機密性または不適切性 ー リストで重要または不適切なコンテンツとして扱わ を確認するテキスト ル れます。 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A 表 A-9 プロパティ - D (続き) 名前 型 説明 パラメーター DLP.Dictionary.AnyText.MatchedTerms 文 字 列 リ ス ト DLP.Dictionary.BodyText.Matched ディクショナリ リストで機密または不適切と指定 文字列: 機密性または不適切性 されている特定のテキスト文字列を含む項目のリス を確認するテキスト ト DLP.Dictionary .AnyText.Matched が true に設定されている場合、リストがいっぱいになりま す。 ブ true の場合、ディレクトリ リストの 1 つ以上の項 ー 目が重要または不適切としているコンテンツが要求 ル または応答の本体テキストに含まれています。 DLP.Dictionary.BodyText.MatchedTerms 文 字 列 リ ス ト 要求または応答の本体テキストに含まれる条件のリ スト。ディクショナリ リストの項目に従って、重要 または不適切なコンテンツが判断されます。 DLP.Dictionary.BodyText.Matched が true に設定されている場合、リストがいっぱいになりま す。 DNS.Lookup IP ホスト名に関して DNS 検索で見つけられた IP ア リ ドレスのリスト ス ト 文字列: ホスト名 DNS.Lookup.Reverse 文 IP アドレスに関して DNS の逆引き参照で見つけ 字 られたホスト名のリスト 列 リ ス ト IP: IP アドレス DXL.Query 文 DXL クエリーを送信してサービスから戻されるト 字 ピック関連情報 列 1 文字列: クエリーで取得する トピック 2 文字列: クエリーが応答で取 得したトピックの情報 プロパティ - E 以下の表では、名前が E で始まるプロパティについて説明します。 表 A-10 プロパティ - E 名前 型 説明 Error.ID 数値 エラーの ID Error.Message 文字列 エラーを説明するメッセージ テ キスト ExtLists.Boolean ブール ブール値 パラメーター 1 文字列: 外部リスト ソ ース (URL など) の識別 条件を保存している値 2 文字列: 上記と同じ 3 文字列: 上記と同じ ExtLists.Category McAfee Web Gateway 7.6.0 カテゴリ URL カテゴリ 上記と同じ 製品ガイド 685 A 構成リスト プロパティのリスト 表 A-10 プロパティ - E (続き) 名前 型 説明 パラメーター ExtLists.CategoryList カテゴリ リスト URL カテゴリのリスト 上記と同じ ExtLists.Double 倍精度 倍精度の値 上記と同じ ExtLists.DoubleList 倍精度のリスト 倍精度の値のリスト 上記と同じ ExtLists.Integer 整数 整数 上記と同じ ExtLists.IntegerList 整数のリスト 整数のリスト 上記と同じ ExtLists.IP IP IP アドレス 上記と同じ ExtLists.IPList IP リスト IP アドレスのリスト 上記と同じ ExtLists.IPRange IP 範囲 IP アドレスの範囲 上記と同じ ExtLists.IPRangeList IP 範囲リスト IP アドレス範囲のリスト 上記と同じ ExtLists.JSON JSON JSON 要素のリスト 上記と同じ ExtLists.LastUsedListName 文字列 前回使用した外部リスト モジュ ールの設定名を表す文字列 ExtLists.MediaType メディア タイプ メディア タイプ 上記と同じ ExtLists.MediaTypeList メディア タイプ リ スト メディア タイプのリスト 上記と同じ ExtLists.String 文字列 文字列 上記と同じ ExtLists.StringList 文字列リスト 文字列のリスト 上記と同じ ExtLists.StringMap 文字列リスト マップ タイプのキーと値の組み 上記と同じ 合わせを表す文字列のリスト ExtLists.Wildcard ワイルドカード式 ワイルドカード (正規表現) ExtLists.WildcardList ワイルドカード式リ ワイルドカード (正規表現) の スト リスト 上記と同じ 上記と同じ プロパティ - F 以下の表では、名前が F で始まるプロパティについて説明します。 表 A-11 プロパティ - F 名前 型 説明 FileSystemLogging.MakeAnonymous 文字列 暗号化され匿名にされた文字列 パラメーター 文字列: 暗号化する文字列 プロパティ - G 以下の表では、名前が G で始まるプロパティについて説明します。 表 A-12 プロパティ - G 名前 型 説明 パラメーター GTI.RequestSentToCloud ブール true の場合、URL カテゴリ情報の参照要求が Global Threat Intelligence サーバーに送信しています。 686 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト プロパティ - H 以下の表では、名前が H で始まるプロパティについて説明します。 表 A-13 プロパティ - H 名前 型 説明 パラメーター Header.Block.Exists ブール true の場合、指定されたブロック ヘッダーが存在しま 文字列: ヘッ す。 ダー名 Header.Block.Get 文字列 指定されたブロック ヘッダーで見つかった最初の値 Header.Block.GetMultiple 文字列 リスト 指定されたブロック ヘッダーで見つかった値のリスト 文字列: ヘッ ダー名 Header.Exists ブール true の場合、指定されたヘッダーにはアプライアンス 文字列: ヘッ ダー名 で処理された要求または応答が含まれています。 文字列: ヘッ ダー名 実際にヘッダーに含まれている要求または応答を実行 するかどうかは、現在の処理サイクルにより決まりま す。 Header.Get 文字列 アプライアンスで処理された要求または応答で指定さ れたヘッダーが見つかった最初の値 文字列: ヘッ ダー名 実際にヘッダーに含まれている要求または応答を実行 するかどうかは、現在の処理サイクルにより決まりま す。 Header.GetMultiple 文字列 リスト アプライアンスで処理された要求または応答に指定さ れたヘッダーが見つかった値のリスト 文字列: ヘッ ダー名 実際にヘッダーに含まれている要求または応答を実行 するかどうかは、現在の処理サイクルにより決まりま す。 Header.ICAP.Request.Exists ブール true の場合、指定されたヘッダーが ICAP 通信で送信 文字列: ヘッ された要求に含まれています。 ダー名 Header.ICAP.Request.Get 文字列 ICAP 通信で送信された要求の指定されたヘッダーで 見つかった最初の値 文字列: ヘッ ダー名 Header.ICAP.Response.Exists ブール true の場合、指定されたヘッダーに、ICAP 通信で受 信した応答が含まれています。 文字列: ヘッ ダー名 Header.ICAP.Response.Get 文字列 ICAP 通信で受信した応答のヘッダーで見つかった最 初の値 文字列: ヘッ ダー名 Header.Request.Exists ブール true の場合、指定されたヘッダーが要求に含まれてい 文字列: ヘッ ます。 ダー名 Header.Request.Get 文字列 要求で指定されたヘッダーで見つかった最初の値 文字列: ヘッ ダー名 Header.Request.GetMultiple 文字列 リスト 要求で指定されたヘッダーで見つかった値のリスト 文字列: ヘッ ダー名 Header.Response.Exists ブール true の場合、指定されたヘッダーが応答に含まれてい 文字列: ヘッ ます。 ダー名 Header.Response.Get 文字列 応答で指定されたヘッダーで見つかった最初の値 文字列: ヘッ ダー名 Header.Response.GetMultiple 文字列 リスト 応答で指定されたヘッダーで見つかった値のリスト 文字列: ヘッ ダー名 Hex.ToString 文字列に変換される 16 進値 16 進値: 変 換される 16 進値 McAfee Web Gateway 7.6.0 文字列 製品ガイド 687 A 構成リスト プロパティのリスト 表 A-13 プロパティ - H (続き) 名前 型 説明 パラメーター HTML.Element.Attribute 文字列 HTML 要素の属性を表す文字列 HTML.Element.Dimension ディメ ンショ ン HTML 要素のディメンション (横幅と高さ) HTML.Element.HasAttribute ブール true の場合、HTML 要素に属性が指定されています。 文字列: 属性 名 HTML.Element.Name 文字列 HTML 要素名 HTML.Element.ScriptType 文字列 HTML のスクリプト タイプ。例: JavaScript、Visual Basic Script プロパティ - I 以下の表では、名前が I で始まるプロパティについて説明します。 表 A-14 プロパティ - I 688 名前 型 説明 ICAP.Policy 文 字 列 URL の ICAP 要求に含まれるポリシー名 ICAP.ReqMod.ResponseHeader.Exists ブ ー ル true の場合、指定されたヘッダーを含む REQMOD 文字 モードで ICAP サーバーから応答が送信されます。 列: ヘッ ダー 名 ICAP.ReqMod.ResponseHeader.Get 文 字 列 REQMOD 応答で指定されたヘッダー見つかった最 初の値 文字 列: ヘッ ダー 名 ICAP.ReqMod.ResponseHeader.GetMultiple 文 字 列 リ ス ト REQMOD 応答で指定されたヘッダーで見つかった 値のリスト 文字 列: ヘッ ダー 名 ICAP.ReqMod.Satisfaction ブ ー ル true の場合、ICAP サーバーが要求を応答に置換し ています。 ICAP.RespMod.EncapsulatedHTTPChanged ブ ー ル true の場合、ICAP サーバーは HTTP 状態に変更さ れ、応答が RESPMOD モードで送信されます。 ICAP.RespMod.ResponseHeader.Exists ブ ー ル true の場合、指定されたヘッダーを含む応答が RESPMOD モードで ICAP サーバーから送信され ます。 McAfee Web Gateway 7.6.0 パラ メー ター ICAP サーバーは、特定の要求をブロックするメッセ ージを送信した後でこの操作を実行します。 製品ガイド 文字 列: ヘッ ダー 名 構成リスト プロパティのリスト A 表 A-14 プロパティ - I (続き) 名前 型 説明 パラ メー ター ICAP.RespMod.ResponseHeader.Get 文 字 列 RESPMOD 応答で指定されたヘッダーで見つかっ た最初の値 文字 列: ヘッ ダー 名 ICAP.RespMod.ResponseHeader.GetMultiple 文 字 列 リ ス ト RESPMOD 応答で指定されたヘッダーで見つかっ た値のリスト 文字 列: ヘッ ダー 名 IM.Direction チャット メッセージの送信の指示またはインスタ ント メッセージ プロトコルでにファイルの転送お よびアプライアンスでの処理 文 字 列 クライアントからアプライアンスにチャット メッ セージを送信するように指示できます。例: サーバ ーからアプライアンスにメッセージを送信する場 合、out として指定していたものを in として指定 できます。 IM.FileName 文 字 列 インスタント メッセージ プロトコルで転送するフ ァイル名 IM.FileSize 数 値 インスタント メッセージ プロトコルで転送するフ ァイル サイズ (バイト) IM.MessageCanSendBack ブ ー ル true の場合、ブロック メッセージまたはその他のメ ッセージはアプライアンスからインスタント メッ セージ サービスのユーザーに送信できます。 ブロック メッセージは、たとえば、チャットが許可 されていない時間にチャット メッセージを送信し たユーザーに送り返されます。 メッセージは一般的にユーザーがインスタント メ ッセージ サービスにログオンする手順を完了する 前には送信されません。 IM.Notification 文 字 列 アプライアンスからインスタント メッセージ サー ビスのユーザーに通知を送信するために使用される テンプレート名。例: ブロック メッセージ IM.Recipient 文 字 列 インスタント メッセージ プロトコルでチャット メ ッセージまたはファイルを受信するクライアント名 また、チャット メッセージが受信者グループに送信 されるときこの名前はグループ名にもなります (グ ループ ID) IM.Sender 文 字 列 インスタント メッセージ プロトコルでチャット メ ッセージまたはファイルを送信するクライアント名 Incident.AffectedHost IP インシデントに含まれるホストの IP アドレス。例: アプライアンスが接続できない Web サーバー Incident.Description 文 字 列 インシデントの標準テキスト形式のテキスト説明 McAfee Web Gateway 7.6.0 製品ガイド 689 A 構成リスト プロパティのリスト 表 A-14 プロパティ - I (続き) 名前 型 説明 Incident.ID 数 値 インシデントの ID 数 値 インシデントの元のアプライアンス コンポーネン トを指定する数 Incident.Origin パラ メー ター これらの ID のリストについては、「インシデント ID のリスト」を参照してください。 1 - アプライアンス システム 2 - コア サブシステム 3 - コーディネーター サブシステム 4 - マルウェア対策プロセス 5 - ログ ファイル マネージャー 6 - システム構成デーモン 7 - ユーザー インターフェース 8 - SaaS コネクター 9 - 未確認 さらに、インシデントの発生源は、 Incident.OriginName プロパティで識別されま す。 特定の ID を持つインシデントの発生源について は、 「インシデント ID のリスト」を参照してくださ い。 Incident.OriginName 文 字 列 インシデントの元であるアプライアンスの名前。た とえば、コアまたはログ ファイル マネージャー 名前は Incident.Origin の下にリストされたメイ ン コンポーネントの 1 つである可能性があります。 また、関連するメイン コンポーネントの Incident.Origin の数でともに表示されるサブ コ ンポーネントの名前でもあります。 たとえば、Incident.OriginName の値は 2 Proxy となることがあります。 特定の ID を持つインシデントのオリジナル名につ いては、 「インシデント ID のリスト」を参照してく ださい。 690 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-14 プロパティ - I (続き) 名前 型 説明 Incident.Severity 数 値 インシデントの重大度 パラ メー ター 重大度: 0 - 緊急 1 – アラート 2 – 重要 3 – エラー 4 – 警告 5 – 注意 6 - 情報 7 - デバッグ これらのレベルは syslog エントリで使用されてい るものと同じです。 特定の ID を持つインシデントの重大度について は、 「インシデント ID のリスト」を参照してくださ い。 IP.ToString 文 字 列 文字列に変換される IP アドレス IP: 変換 され る IP アド レス IPRange.ToString 文 字 列 文字列に変換された IP アドレスの範囲 IP 範 囲: 変換 され る IP アド レス の範 囲 プロパティ - J 以下の表では、名前が J で始まるプロパティについて説明します。 表 A-15 プロパティ - J 名前 型 説明 パラメーター JSON.ArrayAppend JSON 指定した要素が追加された JSON 配列 1 JSON: 配列 2 JSON: 追加される要素 JSON.AsBool ブール 指定した JSON 要素にブール値として戻された 値 JSON: 要素 要素の値はブール値になります。 McAfee Web Gateway 7.6.0 製品ガイド 691 A 構成リスト プロパティのリスト 表 A-15 プロパティ - J (続き) 名前 型 説明 パラメーター JSON.AsNumber 数値 指定した JSON 要素に数値として戻された値 JSON: 要素 要素の値は、長整数型、倍精度型または 16 進数になります。 JSON.AsString 文字列 指定した JSON 要素に文字列として戻された値 JSON: 要素 要素の値は文字列になります。 JSON.CreateArray JSON 新しい空の JSON 配列 JSON.CreateObject JSON 新しい空の JSON オブジェクト JSON.CreateNull JSON NULL の JSON 要素値 JSON.FromBool JSON ブール値から作成された JSON 要素値 ブール値: JSON 要素値を作 成するブール値 JSON.FromNumber JSON 数値から作成された JSON 要素値 数値: JSON 要素値を作成す る数値 JSON.FromNumberList 文字列 数値リストから作成された JSON 要素値 数値リスト: JSON 要素値を 作成する数値リスト JSON.FromString JSON 文字列から作成された JSON 要素値 文字列: JSON 要素値を作成 する文字列 JSON.FromStringList JSON 文字列リストから作成された JSON 要素値 文字列リスト: JSON 要素値 を作成する文字列リスト JSON.GetAt JSON 指定した配列の指定位置から取得した JSON 要 素値 1 JSON: 配列 2 数値: 要素の位置 JSON.GetByName JSON 指定したオブジェクトから取得したキーで識別さ 1 JSON: オブジェクト れる JSON 要素 2 文字列: 要素キー JSON.GetType 文字列 指定した JSON 要素のタイプ JSON: 要素 JSON.PutAt JSON 指定した位置に要素が挿入された JSON 配列 1 JSON: 配列 2 数値: 要素の位置 3 JSON: 要素 JSON.ReadFromString JSON 指定した文字列から作成された JSON 要素 文字列: 要素を作成する文字 列 JSON.RemoveAt 1 JSON: 配列: JSON 指定した位置から要素が削除された JSON 配列 2 数値: 要素の位置 692 JSON.RemoveByName JSON 指定したキーで識別された要素が削除された JSON オブジェクト 1 JSON: オブジェクト JSON.Size JSON: オブジェクトまたは 配列 McAfee Web Gateway 7.6.0 数値 指定した JSON オブジェクトまたは配列の要素 数 2 文字列: 要素キー 製品ガイド A 構成リスト プロパティのリスト 表 A-15 プロパティ - J (続き) 名前 型 説明 パラメーター JSON.StoreByName JSON 指定したキーで要素値が格納されている JSON オブジェクト 1 JSON: オブジェクト 文字列 文字列に変換された JSON 要素値 JSON: 変換される要素値 2 文字列: 要素キー オブジェクトが存在しない場合には、指定した名 前でオブジェクトが作成されます。 3 JSON: 要素値 JSON.ToString 要素値は文字列か、要素値の他のデータ形式 のいずれかになります。 McAfee Web Gateway 7.6.0 製品ガイド 693 A 構成リスト プロパティのリスト プロパティ - L 以下の表では、名前が L で始まるプロパティについて説明します。 表 A-16 プロパティ - L 名前 型 説明 License.RemainingDays 数値 ライセンスが期限切れ になるまでの残り時間 (日) List.LastMatches 文字列 2 つのリストが演算子 を使用して比較される とき、一致することが 判明したすべての要素 を含む文字列。例: リ スト内の 1 つまたは リスト内すべて パラメーター 一致したものは、演算 子が評価するリストと の関係が存在している か否かに関係なく、追 加されていない場合と 同様にリストに追加さ れるだけです。 たとえば、リスト A に 要素 1、2、3 があり、 リスト B に 1、2、4 があるとします。 リストは両方とも「リ スト内の 1 つ」演算子 で比較されます。 リスト A を探すには、 実際にリスト B の要 素を少なくとも 1 つ 以上を含み、演算子は 要素の比較のみを必要 とします。 一致するものが見つか ったため、 List.LastMatches には 1 が含まれます。 また、2 は 2 つのリス トで一致しますが、こ れは評価されておら ず、一致するものも見 つからないため List.LastMatches には含まれていませ ん。 リスト A の 1 つ以上 の要素がリスト B に 存在し、両方のリスト が 1 と評価された後 に演算子が処理される ため、評価されていま せん。 String.BelongsTo Domains プロパテ ィの値が true の場 694 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター 合、最初のパラメータ ーには List.LastMatches の値が文字列として設 定されます。 List.LastMatches は、ドメイン名のリス トで一致する文字列 (ドメイン名またはサ ブドメイン名) を渡し ます。 同じ処理が URL.Host.Belongs ToDomains プロパ ティと List.LastMatches プロパティでも行われ ます。 List.OfCategory.Append カテゴ カテゴリが追加された 1 カテゴリ リスト: カテゴリを追加 リ リス URL カテゴリ リスト するリスト ト 2 カテゴリ: 追加するカテゴリ List.OfCategory.ByName カテゴ URL カテゴリのリス リ リス ト (名前で指定) ト List.OfCategory.Erase カテゴ 指定したカテゴリが消 1 カテゴリ リスト: 消去するカテゴ リ リス 去された URL カテゴ リを含むリスト ト リ リスト 2 数値: 消去するカテゴリの位置 List.OfCategory.EraseElementRange カテゴ 指定された範囲のカテ 1 カテゴリ リスト: 消去するカテゴ リ リス ゴリが消去された リを含むリスト URL カテゴリ リスト ト 2 数値: 最初に消去するカテゴリの 位置 文字列: リスト名 3 数値: 最後に消去するカテゴリの 位置 List.OfCategory.EraseList カテゴ 他のリストで消去され 1 カテゴリ リスト: 消去するカテゴ リ リス ているカテゴリを含む リを含むリスト URL カテゴリ リスト ト 2 カテゴリ リスト: 最初のリストで 消去されているカテゴリのリスト List.OfCategory.Find 数値 リスト内での URL カ テゴリの位置 1 カテゴリ リスト: カテゴリの位置 を検索するリスト 2 カテゴリ: 位置を検索するカテゴ リ McAfee Web Gateway 7.6.0 製品ガイド 695 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfCategory.Get カテゴ リ リスト内の位置で指定 1 カテゴリ リスト: カテゴリを含む される URL カテゴリ リスト 2 数値: リスト内でのカテゴリの位 置 List.OfCategory.GetElementRange カテゴ 他のリストから抽出さ 1 カテゴリ リスト: 抽出するカテゴ リ リス れる URL カテゴリの リのリスト ト リスト 2 数値: 最初に抽出するカテゴリの 位置 3 数値: 最後に抽出するカテゴリの 位置 696 List.OfCategory.Insert カテゴ 指定されたカテゴリが 1 カテゴリ リスト: カテゴリの挿入 リ リス 挿入指定された URL 先のリスト ト カテゴリ リスト 2 カテゴリ: 挿入するカテゴリ List.OfCategory.IsEmpty ブール List.OfCategory.Join カテゴ 2 つのリストの結合で 1 カテゴリ リスト: 最初のリスト リ リス 作成された URL カテ 2 カテゴリ リスト: 2 番目のリスト ト ゴリのリスト List.OfCategory.Reverse カテゴ 元の順序と逆になった カテゴリのリスト: 元の順番のリス リ リス URL カテゴリ リスト ト ト List.OfCategory.Size 数値 List.OfCategory.Sort カテゴ 英字順でソートされた カテゴリ リスト: ソートするリスト リ リス URL カテゴリ リスト ト List.OfCategory.ToShortString 文字列 省略形の名前のリスト カテゴリ リスト: 変換するリスト に変換された URL カ テゴリ リスト List.OfCategory.ToString 文字列 文字列に変換する URL カテゴリ リスト List.OfDimension.Append ディメ ディメンションが追加 1 ディメンション リスト: ディメン ンショ されたディメンション ションを追加するリスト ン リス リスト ト 2 ディメンション: 追加するディメ ンション List.OfDimension.ByName ディメ 名前で指定するディメ 文字列: リスト名 ンショ ンション リスト ン リス ト List.OfDimension.Erase ディメ 指定されたディメンシ 1 ディメンション リスト: 消去する ンショ ョンが消去されたディ ディメンションを含むリスト ン リス メンション リスト ト 2 数値: 消去するディメンションの 位置 McAfee Web Gateway 7.6.0 true の場合、指定され カテゴリ リスト: 空かどうかを確認 たリストは空です。 するリスト リスト内の URL カテ ゴリの数 カテゴリ リスト: カテゴリの数を確 認するリスト カテゴリ リスト: 変換するリスト 製品ガイド 構成リスト プロパティのリスト A 表 A-16 プロパティ - L (続き) 名前 型 List.OfDimension.EraseElementRange ディメ ンショ ン リス ト 説明 パラメーター 指定された範囲のディ 1 ディメンション リスト: 消去する メンションが消去され ディメンションの範囲を含むリス たディメンション リ ト スト 2 数値: 最初に消去するディメンシ ョンの位置 3 数値: 最後に消去するディメンシ ョンの位置 List.OfDimension.EraseList ディメ ンショ ン リス ト 他のリストで消去され 1 ディメンション リスト: 消去する たディメンションを含 ディメンションを含むリスト むディメンション リ スト 2 ディメンション リスト: 最初のリ ストで消去されているディメンシ ョンのリスト List.OfDimension.Find 数値 リスト内でのディメン 1 ディメンション リスト: 位置を検 ションの位置 索するディメンションを含むリス ト 2 ディメンション: 位置を検索する ディメンション List.OfDimension.Get ディメ ンショ ン List.OfDimension.GetElementRange ディメ 他のリストから抽出さ 1 ディメンション リスト: 抽出する ンショ れるディメンションの ディメンションが含まれるリスト ン リス リスト ト 2 数値: 最初に抽出するディメンシ ョンの位置 リストの位置によって 1 ディメンション リスト: ディメン 指定されるディメンシ ションを含むリスト ョン 2 数値: リスト内でのディメンショ ンの位置 3 数値: 最後に抽出するディメンシ ョンの位置 4 ディメンション: 挿入するディメ ンション List.OfDimension.Insert ディメ 指定されたディメンシ 1 ディメンション リスト: ディメン ンショ ョンが挿入されたディ ションを挿入するリスト ン リス メンション リスト ト 2 ディメンション: 挿入するディメ ンション List.OfDimension.IsEmpty ブール List.OfDimension.Join ディメ 2 つのリストの結合で 1 ディメンション リスト: 最初のリ ンショ 作成されたディメンシ スト ン リス ョン リスト ト 2 ディメンション リスト: 2 番目の リスト McAfee Web Gateway 7.6.0 true の場合、指定され ディメンション リスト: 空かどうか たリストは空です。 を確認するリスト 製品ガイド 697 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfDimension.Reverse ディメ 元の順序と逆になった ディメンション リスト: 元の順序の ンショ ディメンション リス リスト ン リス ト ト List.OfDimension.Size 数値 List.OfDimension.Sort ディメ 英字順でソートされて ディメンション リスト: ソートする ンショ いるディメンション リスト ン リス リスト ト List.OfDimension.ToString 文字列 List.OfHex.Append 16 進値 16 進値が追加された リスト 16 進値リスト リスト内のディメンシ ディメンション リスト: ディメンシ ョンの数 ョンの数を確認するリスト 文字列に変換するディ ディメンション リスト: 変換するリ メンション リスト スト 1 16 進値リスト: 16 進値を追加す るリスト 2 16 進値: 追加する 16 進値 List.OfHex.ByName 16 進値 名前で指定する 16 進 文字列: リスト名 リスト 値リスト List.OfHex.Erase 16 進値 指定した値が消去され 1 16 進値リスト: 消去する 16 進値 リスト た 16 進値リスト を含むリスト 2 数値: 消去する 16 進値の位置 List.OfHex.EraseElementRange 16 進値 指定した範囲の値が消 1 16 進値リスト: 消去する 16 進値 リスト 去された 16 進値リス を含むリスト ト 2 数値: 最初に消去する 16 進値の 位置 3 数値: 最後に消去する 16 進値の 位置 List.OfHex.EraseList 16 進値 他のリストで消去され 1 16 進値リスト: 消去する 16 進値 リスト ている値を含む 16 進 を含むリスト 値リスト 2 16 進値リスト: 最初のリストで消 去されている 16 進値のリスト List.OfHex.Find 数値 リスト内での 16 進値 1 16 進値リスト: 位置を検索する の位置 16 進値を含むリスト 2 16 進値: 位置を検索する 16 進値 List.OfHex.Get 16 進値 リストの位置によって 1 16 進値リスト: 16 進値を含むリ 指定される 16 進値 スト 2 数値: リスト内での 16 進値の位 置 698 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfHex.GetElementRange 16 進値 他のリストから抽出さ 1 16 進値リスト: 抽出する 16 進値 リスト れる 16 進値のリスト を含むリスト 2 数値: 最初に抽出する 16 進値の 位置 3 数値: 最後に抽出する 16 進値の 位置 List.OfHex.Insert 16 進値 指定した値が挿入され 1 16 進値リスト: 16 進値を挿入す リスト た 16 進値リスト るリスト 2 16 進値: 挿入する 16 進値 List.OfHex.IsEmpty ブール List.OfHex.Join 16 進値 2 つのリストの結合で 1 16 進値リスト: 最初のリスト リスト 作成された 16 進値リ 2 16 進値リスト: 2 番目のリスト スト List.OfHex.Reverse 16 進値 元の順序と逆になって 16 進値リスト: 元の順序のリスト リスト いる 16 進値リスト List.OfHex.Size 数値 List.OfHex.Sort 16 進値 ソートされた 16 進値 16 進値リスト: ソートするリスト リスト リスト List.OfHex.ToString 文字列 List.OfIP.Append IP リス IP アドレスが追加さ 1 IP リスト: IP アドレスを追加する ト れた IP アドレス リス リスト ト 2 IP: 追加する IP アドレス List.OfIP.ByName IP リス IP アドレスのリスト ト (名前で指定) 文字列: リスト名 List.OfIP.Erase IP リス 指定した IP アドレス ト が消去された IP アド レス リスト 1 IP リスト: 消去する IP アドレス を含むリスト true の場合、指定され 16 進値リスト: 空かどうかを確認す たリストは空です。 るリスト リスト内の 16 進値の 16 進値リスト: 16 進値の数を確認 数 するリスト 文字列に変換する 16 進値リスト 16 進値リスト: 変換するリスト 2 数値: 消去する IP アドレスの位置 List.OfIP.EraseElementRange IP リス 指定した範囲のアドレ 1 IP リスト: 消去する IP アドレス スが消去された IP ア ト を含むリスト ドレス リスト 2 数値: 最初に消去する IP アドレス の位置 3 数値: 最後に消去する IP アドレス の位置 List.OfIP.EraseList McAfee Web Gateway 7.6.0 IP リス 他のリストで消去され 1 IP リスト: 消去する IP アドレス ているアドレスを含む ト を含むリスト IP アドレス リスト 2 IP リスト: 最初のリストで消去さ れている IP アドレスのリスト 製品ガイド 699 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfIP.Find 数値 リスト内での IP アド レスの位置 1 IP リスト: 位置を検索する IP ア ドレスを含むリスト 2 IP: 位置を探す IP アドレス List.OfIP.Get IP List.OfIP.GetElementRange IP リス 他のリストから抽出さ 1 IP リスト: 抽出する IP アドレス れる IP アドレスのリ ト を含むリスト スト 2 数値: 最初に抽出する IP アドレス の位置 リストの位置によって 1 IP リスト: IP アドレスを含むリス 指定される IP アドレ ト ス 2 数値: リスト内での IP アドレスの 位置 3 数値: 最後に抽出する IP アドレス の位置 List.OfIP.Insert IP リス 指定した IP アドレス ト が挿入された IP アド レス リスト 1 IP リスト: IP アドレスを挿入する リスト 2 IP: 挿入する IP アドレス List.OfIP.IsEmpty ブール List.OfIP.Join IP リス 2 つのリストの結合で 1 IP リスト: 最初のリスト ト 作成された IP アドレ 2 IP リスト: 2 番目のリスト ス リスト List.OfIP.Reverse IP リス 元の順序と逆になって IP リスト: 元の順序のリスト いる IP アドレス リス ト ト List.OfIP.Size 数値 List.OfIP.Sort IP リス ソートされた IP アド ト レス リスト List.OfIP.ToString 文字列 List.OfIPRange.Append IP 範囲 IP アドレス範囲を追 リスト 加する IP アドレス範 囲リスト true の場合、指定され IP リスト: 空かどうかを確認するリ たリストは空です。 スト リスト内の IP アドレ スの数 文字列に変換する IP アドレス リスト IP リスト: IP アドレスの数を確認す るリスト IP リスト: ソートするリスト IP リスト: 変換するリスト 1 IP 範囲リスト: IP アドレス範囲を 追加するリスト 2 IP 範囲: 追加する IP アドレス範 囲 700 List.OfIPRange.ByName IP 範囲 名前で指定される IP 文字列: リスト名 リスト アドレス範囲のリスト List.OfIPRange.Erase IP 範囲 指定した範囲が消去さ 1 IP 範囲リスト: 消去する IP アド リスト れた IP アドレス範囲 レス範囲を含むリスト リスト 2 数値: 消去する IP アドレス範囲の 位置 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfIPRange.EraseElementRange IP 範囲 指定した範囲が消去指 1 IP 範囲リスト: 消去する IP アド リスト 定された IP アドレス レス範囲を含むリスト 範囲リスト 2 数値: 最初に消去する IP アドレス 範囲の位置 3 数値: 最後に消去する IP アドレス 範囲の位置 List.OfIPRange.EraseList IP 範囲 他のリストで消去され 1 IP 範囲リスト: 消去する IP アド リスト ている範囲を含む IP レス範囲を含むリスト アドレス範囲リスト 2 IP 範囲リスト: 最初のリストで消 去されている IP アドレス範囲の リスト List.OfIPRange.Find 数値 リスト内での IP アド レス範囲の位置 1 IP 範囲リスト: 位置を検索する IP アドレス範囲を含むリスト 2 IP 範囲: 位置を探す IP アドレス 範囲 List.OfIPRange.Get IP 範囲 リストの位置によって 1 IP 範囲リスト: IP アドレス範囲を 指定される IP アドレ 含むリスト ス範囲 2 数値: リスト内での IP アドレス範 囲の位置 List.OfIPRange.GetElementRange IP 範囲 他のリストから抽出さ 1 IP 範囲リスト: 抽出する IP アド リスト れる IP アドレス範囲 レス範囲を含むリスト のリスト 2 数値: 最初に抽出する IP アドレス 範囲の位置 3 数値: 最後に抽出する IP アドレス 範囲の位置 List.OfIPRange.Insert IP 範囲 指定した範囲が挿入さ 1 IP 範囲リスト: IP アドレス範囲を リスト れた IP アドレス範囲 挿入するリスト リスト 2 IP 範囲: 挿入する IP アドレス範 囲 List.OfIPRange.IsEmpty ブール List.OfIPRange.Join IP 範囲 2 つのリストの結合で 1 IP 範囲リスト: 最初のリスト リスト 作成された IP アドレ 2 IP 範囲リスト: 2 番目のリスト ス範囲リスト List.OfIPRange.Reverse IP 範囲 元の順序と逆になって IP 範囲リスト: 元の順序のリスト リスト いる IP アドレス範囲 リスト List.OfIPRange.Size 数値 List.OfIPRange.Sort IP 範囲 ソートされた IP アド リスト レス範囲リスト McAfee Web Gateway 7.6.0 true の場合、指定され IP 範囲リスト: 空かどうかを確認す たリストは空です。 るリスト リスト内の IP アドレ ス範囲の数 IP 範囲リスト: IP アドレス範囲の数 を確認するリスト IP 範囲リスト: ソートするリスト 製品ガイド 701 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfIPRange.ToString 文字列 文字列に変換する IP アドレス範囲リスト IP 範囲リスト: 変換するリスト List.OfMediaType.Append メディ メディア タイプが追 ア タイ 加されたメディア タ プ リス イプ リスト ト 1 メディア タイプ リスト: メディア タイプを追加するリスト 2 メディア タイプ: 追加するメディ ア タイプ List.OfMediaType.ByName メディ 名前で指定されるメデ 文字列: リスト名 ア タイ ィア タイプ リスト プ リス ト List.OfMediaType.Erase メディ 指定したタイプが消去 1 メディア タイプ リスト: 消去する ア タイ されたメディア タイ メディア タイプを含むリスト プ リス プ リスト ト 2 数値: 消去するメディア タイプの 位置 List.OfMediaType.EraseElementRange メディ 指定したタイプが消去 1 メディア タイプ リスト: 消去する ア タイ されたメディア タイ メディア タイプを含むリスト プ リス プ リスト ト 2 数値: 最初に消去するメディア タ イプの位置 3 数値: 最後に消去するメディア タ イプの位置 List.OfMediaType.EraseList メディ 他のリストで消去され 1 メディア タイプ リスト: 消去する ア タイ ているタイプを含むメ メディア タイプを含むリスト プ リス ディア タイプ リスト ト 2 メディア タイプ リスト: 最初のリ ストで消去するメディア タイプの リスト List.OfMediaType.Find 数値 リスト内でのメディア 1 メディア タイプ リスト: 位置を検 タイプの位置 索するメディア タイプを含むリス ト 2 メディア タイプ: 位置を検索する メディア タイプ List.OfMediaType.Get メディ リストの位置によって 1 メディア タイプ リスト: メディア ア タイ 指定されるメディア タイプを含むリスト タイプ プ 2 数値: リスト内でのメディア タイ プの位置 List.OfMediaType.GetElems メディ 他のリストから抽出さ 1 メディア タイプ リスト: 抽出する ア タイ れるメディア タイプ メディア タイプを含むリスト プ リス のリスト ト 2 数値: 最初に抽出するメディア タ イプの位置 3 数値: 最後に抽出するメディア タ イプの位置 702 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfMediaType.Insert メディ 指定したタイプが挿入 1 メディア タイプ リスト: メディア ア タイ されたメディア タイ タイプを挿入するリスト プ リス プ リスト ト 2 メディア タイプ: 挿入するメディ ア タイプ List.OfMediaType.IsEmpty ブール List.OfMediaType.Join メディ 2 つのリストの結合で 1 メディア タイプ リスト: 最初のリ ア タイ 作成されたメディア スト プ リス タイプ リスト ト 2 メディア タイプ リスト: 2 番目の リスト List.OfMediaType.Reverse メディ 元の順序と逆になって メディア タイプ リスト: 元の順序の ア タイ いるメディア タイプ リスト プ リス リスト ト List.OfMediaType.Size 数値 List.OfMediaType.Sort メディ 英字順でソートされて メディア タイプ リスト: ソートする ア タイ いるメディア タイプ リスト プ リス リスト ト List.OfMediaType.ToString 文字列 文字列に変換するメデ メディア タイプ リスト: 変換するリ ィア タイプ リスト スト List.OfNumber.Append 数値リ スト 数値が追加された数値 1 数値リスト: 数値を追加するリス リスト ト true の場合、指定され メディア タイプ リスト: 空かどうか たリストは空です。 を確認するリスト リスト内のメディア タイプの数 メディア タイプ リスト: メディア タイプの数を確認するリスト 2 数値: 追加する数値 List.OfNumber.ByName 数値リ スト 名前で指定される数の 文字列: リスト名 リスト List.OfNumber.Erase 数値リ スト 指定した数値が消去さ 1 数値リスト: 消去する数値を含む れた数値リスト リスト 2 数値: 消去する数値の位置 List.OfNumber.EraseElementRange 数値リ スト 指定された範囲の数値 1 数値リスト: 消去する数値を含む が消去された数値リス リスト ト 2 数値: 最初に消去する数値の位置 3 数値: 最後に消去する数値の位置 List.OfNumber.EraseList McAfee Web Gateway 7.6.0 数値リ スト 他のリストで消去され 1 数値リスト: 消去する数値を含む ている数値を含む数値 リスト リスト 2 数値リスト: 最初のリストで消去 されている数値のリスト 製品ガイド 703 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfNumber.Find 数値 リスト内での数値の位 1 数値リスト: 位置を検索する数値 置 を含むリスト 2 数値: 位置を検索する数値 List.OfNumber.Get 数値 リストの位置によって 1 数値リスト: 数値を含むリスト 指定される数値 2 数値: リスト内での数値の位置 List.OfNumber.GetElementRange 数値リ スト 他のリストから抽出さ 1 数値リスト: 抽出する数値を含む れる数値のリスト リスト 2 数値: 最初に抽出する数値の位置 3 数値: 最後に抽出する数値の位置 List.OfNumber.Insert 数値リ スト 指定した数値が挿入さ 1 数値リスト: 数値を挿入するリス れた数値リスト ト 2 数値: 挿入する数値 704 List.OfNumber.IsEmpty ブール true の場合、指定され 数値タイプのリスト: 空かどうかを たリストは空です。 確認するリスト List.OfNumber.Join 数値リ スト 2 つのリストの結合で 1 数値リスト: 最初のリスト 作成された数値リスト 2 数値リスト: 2 番目のリスト List.OfNumber.Reverse 数値リ スト 元の順序と逆になって 数値リスト: 元の順序のリスト いる数値リスト List.OfNumber.Size 数値 リスト内の数値の数 List.OfNumber.Sort 数値リ スト ソートされた数値リス 数値リスト: ソートするリスト ト List.OfNumber.ToString 文字列 文字列に変換する数値 数値リスト: 変換するリスト リスト List.OfSSOConnectors.Append SSO コ ネクタ ー リス ト リス ト 指定したクラウド コ 1 SSO コネクター リスト: クラウ ネクターが追加された ド コネクターを追加するリスト クラウド コネクター リスト 2 SSO コネクター: 追加するクラウ ド コネクター List.OfSSOConnectors.ByName SSO コ 名前で指定されたクラ 文字列: リスト名 ネクタ ウド コネクターのリ ー リス スト ト リス ト List.OfSSOConnectors.Erase SSO コ 指定したコネクターが 1 SSO コネクター リスト: 消去す ネクタ 消去されたクラウド るクラウド コネクターを含むリス ー リス コネクター リスト ト ト リス ト 2 数値: 消去するクラウド コネクタ ーの位置 McAfee Web Gateway 7.6.0 数値リスト: 数値の数を確認するリ スト 製品ガイド A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfSSOConnectors.EraseElement Range SSO コ ネクタ ー リス ト リス ト 指定した範囲のコネク 1 SSO コネクター リスト: 消去す ターが消去されたクラ るクラウド コネクターの範囲を含 ウド コネクター リス むリスト ト 2 数値: 最初に消去するクラウド コ ネクターの位置 3 数値: 最後に消去するクラウド コ ネクターの位置 List.OfSSOConnectors.EraseList SSO コ ネクタ ー リス ト リス ト 他のリストで消去され 1 SSO コネクター リスト: 消去す ているコネクターを含 るクラウド コネクターを含むリス むクラウド コネクタ ト ー リスト List.OfSSOConnectors.Exists ブール true の場合、指定した 文字列: リスト名 名前のクラウド コネ クターのリストが存在 します。 List.OfSSOConnectors.Find 数値 リスト内のクラウド コネクターの位置 2 SSO コネクター リスト: 最初の リストで消去するクラウド コネク ターのリスト 1 SSO コネクター リスト: クラウ ド コネクターを含むリスト 2 SSO コネクター: 位置を探すクラ ウド コネクター List.OfSSOConnectors.Get SSO コ リスト内の位置で指定 1 SSO コネクター リスト: クラウ ネクタ されるクラウド コネ ド コネクターを含むリスト ー クター 2 数値: リスト内のクラウド コネク ターの位置 List.OfSSOConnectors.GetElementRa nge SSO コ 他のリストから抽出さ 1 SSO コネクター リスト: 抽出す ネクタ れたクラウド コネク るクラウド コネクターを含むリス ー リス ターのリスト ト ト リス ト 2 数値: 最初に抽出するクラウド コ ネクターの位置 3 数値: 最後に抽出するクラウド コ ネクターの位置 List.OfSSOConnectors.Insert SSO コ ネクタ ー リス ト リス ト 指定したクラウド コ 1 SSO コネクター リスト: クラウ ネクターが挿入された ド コネクターを挿入するリスト クラウド コネクター のリスト 2 SSO コネクター: 挿入するクラウ ド コネクター 3 数値: クラウド コネクターの挿入 位置 List.OfSSOConnectors.IsEmpty McAfee Web Gateway 7.6.0 ブール true の場合、指定され SSO コネクター リスト: 空かどう たリストは空です。 かを確認するリスト 製品ガイド 705 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfSSOConnectors.Join SSO コ ネクタ ー リス ト リス ト 2 つのリストの結合で 1 SSO コネクター リスト: 最初の 作成されたシングル リスト サインオン コネクタ ー リスト 2 SSO コネクター リスト: 2 番目 のリスト List.OfSSOConnectors.Reverse SSO コ 元の順序と逆にしたク SSO コネクター リスト: 元の順序 ネクタ ラウド コネクター リ のリスト ー リス スト ト リス ト List.OfSSOConnectors.Set SSO コ 指定したコネクターが 1 SSO コネクター リスト: クラウ ネクタ 設定されたクラウド ド コネクターを設定するリスト ー リス コネクター リスト ト リス 2 SSO コネクター リスト: 設定す ト るクラウド コネクター 3 数値: クラウド コネクターの設定 位置 List.OfSSOConnectors.Size 数値 List.OfSSOConnectors.Sort SSO コ 名前の英字順に並んで SSO コネクター リスト: ソートす ネクタ いるクラウド コネク るリスト ー リス ターのリスト ト リス ト List.OfSSOConnectors.ToString 文字列 文字列に変換するクラ SSO コネクター リスト: 変換する ウド コネクターのリ リスト スト List.OfString.Append 文字列 リスト 文字列が追加された文 1 文字列リスト: 数値を追加するリ 字列のリスト スト リスト内のクラウド コネクターの数 SSO コネクター リスト: クラウド コネクターの数を確認するリスト 2 文字列: 追加する文字列 List.OfString.ByName 文字列 リスト 名前で指定した文字列 文字列: リスト名 のリスト List.OfString.Erase 文字列 リスト 指定した文字列が消去 1 文字列リスト: 消去する文字列を された文字列のリスト 含むリスト 2 数値: 消去する文字列の位置 List.OfString.EraseElementRange 文字列 リスト 指定した範囲の文字列 1 文字列リスト: 消去する文字列を が消去された文字列の 含むリスト リスト 2 数値: 最初に消去する文字列の位 置 3 数値: 最後に消去する文字列の位 置 706 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfString.EraseList 文字列 リスト 他のリストで消去され 1 文字列リスト: 消去する文字列を ている文字列を含む文 含むリスト 字列リスト 2 文字列リスト: 最初のリストで消 去されている文字列のリスト List.OfString.Find 数値 リスト内での文字列の 1 文字列リスト: 位置を検索する文 位置 字列を含むリスト 2 文字列: 位置を検索する文字列 List.OfString.Get 文字列 リスト内の位置で指定 1 文字列リスト: 数値を含むリスト される文字列 2 数値: リスト内での文字列の位置 List.OfString.GetElementRange 文字列 リスト 他のリストから抽出す 1 文字列リスト: 抽出する文字列を る文字列のリスト 含むリスト 2 数値: 最初に抽出する文字列の位 置 3 数値: 最後に抽出する文字列の位 置 List.OfString.Insert 文字列 リスト 指定された文字列が挿 1 文字列リスト: 文字列を挿入する 入された文字列のリス リスト ト 2 文字列: 挿入する文字列 List.OfString.IsEmpty ブール true の場合、指定され 文字列リスト: 空かどうかを確認す たリストは空です。 るリスト List.OfString.Join 文字列 リスト 2 つのリストの結合で 1 文字列リスト: 最初のリスト 作成された文字列リス 2 文字列リスト: 2 番目のリスト ト List.OfString.JSON.AsStringList 文字列 リスト JSON 配列の要素値か JSON: 配列 ら作成された文字列リ スト 値が NULL の場合、空 の文字列が作成されま す。 List.OfStringMapInList 文字列 リスト パラメーターで指定さ 1 文字列リスト: 文字列を含む最初 れ、リストに含まれて のリスト いる文字列。この文字 列の位置を表すインデ 2 文字列リスト: 文字列を含む 2 番 ックスは別のリストに 目のリスト 含まれています。 3 文字列: 最初と 2 番目のリストに 指定した文字列が最初 含まれる文字列。あるいは空の文 のリストにないか、2 番目のリストに位置が 字列。 存在しない場合、文字 列は空になります。 List.OfString.Reverse 文字列 リスト 元の順序と逆になって 文字列リスト: 元の順序のリスト いる文字列リスト McAfee Web Gateway 7.6.0 製品ガイド 707 A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfString.Size 数値 指定されたリスト内の 文字列リスト: 文字列の数を確認す 文字列数 るリスト List.OfString.Sort 文字列 リスト 英字順でソートされて 文字列リスト: ソートするリスト いる文字列リスト List.OfString.ToString 文字列 文字列に変換する文字 文字列リスト: ソートする文字列 列リスト List.OfWildcard.Append ワイル ドカー ド式リ スト 式が追加されるワイル 1 ワイルドカード式リスト: ワイル ドカード式リスト ドカード式を追加するリスト List.OfWildcard.ByName ワイル ドカー ド式リ スト 名前で指定されるワイ 文字列: リスト名 ルドカード式リスト List.OfWildcard.Erase ワイル ドカー ド式リ スト 指定した式が消去され 1 ワイルドカード式リスト: 消去す たワイルドカード式リ るワイルドカード式を含むリスト スト 2 数値: 消去するワイルドカード式 の位置 List.OfWildcard.EraseElementRange ワイル ドカー ド式リ スト 指定した範囲の式が消 1 ワイルドカード式リスト: 消去す 去されたワイルドカー るワイルドカード式を含むリスト ド式リスト 2 数値: 最初に消去するワイルドカ ード式の位置 2 ワイルドカード式: 追加するワイ ルドカード 3 数値: 最後に消去するワイルドカ ード式の位置 List.OfWildcard.EraseList ワイル ドカー ド式リ スト 他のリストで消去され 1 ワイルドカード式リスト: 消去す ている式を含むワイル るワイルドカード式を含むリスト ドカード式リスト 2 ワイルドカード式リスト: 最初の リストで消去されたワイルドカー ド式のリスト List.OfWildcard.Find 数値 リスト内でのワイルド 1 ワイルドカード式リスト: 位置を カード式の位置 検索するワイルドカード式を含む リスト 2 ワイルドカード式: 位置を探すワ イルドカード式 List.OfWildcard.Get 708 McAfee Web Gateway 7.6.0 ワイル ドカー ド式 リスト内の位置で指定 1 ワイルドカード式リスト: ワイル されるワイルドカード ドカード式を含むリスト 式 2 数値: リスト内でのワイルドカー ド式の位置 製品ガイド A 構成リスト プロパティのリスト 表 A-16 プロパティ - L (続き) 名前 型 説明 パラメーター List.OfWildcard.GetElementRange ワイル ドカー ド式リ スト 他のリストから抽出さ 1 ワイルドカード式リスト: 抽出す れるワイルドカード式 るワイルドカード式を含むリスト のリスト 2 数値: 最初に抽出するワイルドカ ード式の位置 3 数値: 最後に抽出するワイルドカ ード式の位置 List.OfWildcard.Insert ワイル ドカー ド式リ スト 指定した式が挿入され 1 ワイルドカード式リスト: ワイル たワイルドカード式リ ドカード式を挿入するリスト スト 2 ワイルドカード式: 挿入するワイ ルドカード List.OfWildcard.IsEmpty ブール true の場合、指定され ワイルドカード式リスト: 空かどう たリストは空です。 かを確認するリスト List.OfWildcard.Join ワイル ドカー ド式リ スト 2 つのリストの結合で 1 ワイルドカード式リスト: 最初の 作成されたワイルドカ リスト ード式リスト 2 ワイルドカード式リスト: 2 番目 のリスト List.OfWildcard.Reverse ワイル ドカー ド式リ スト 元の順序と逆にしたワ ワイルドカード式リスト: 元の順序 イルドカード式リスト のリスト List.OfWildcard.Size 数値 リスト内のワイルドカ ワイルドカード式リスト: ワイルド ード式の数 カード式の数を確認するリスト List.OfWildcard.Sort ワイル ドカー ド式リ スト ソートされたワイルド ワイルドカード式リスト: ソートす カード式リスト るリスト List.OfWildcard.ToString 文字列 文字列に変換するワイ ワイルドカード式リスト: 変換する ルドカード式リスト リスト プロパティ - M 以下の表では、名前が M で始まるプロパティについて説明します。 表 A-17 プロパティ - M 名前 型 説明 パラメーター Map.ByName マップ タイプ リスト 指定した名前で存在するマップ タイプ リスト 文字列: リスト 名 Map.CreateStringMap マップ タイプ リスト 新規に作成されたマップ タイプ リスト McAfee Web Gateway 7.6.0 このリストは空です。 製品ガイド 709 A 構成リスト プロパティのリスト 表 A-17 プロパティ - M (続き) 名前 型 説明 パラメーター Map.DeleteKey マップ タイプ リスト 指定したキーと関連値が削除されたマップ タイプ 1 マップ タイ リスト プ リスト: マップ タイ プ リスト 2 文字列: キー Map.GetKeys マップ タイプ リスト 指定したマップ タイプ リストに含まれているキ ーのリスト マップ タイプ リスト: マップ タイプ リスト Map.GetStringValue 文字列 指定したマップ タイプ リストの特定のキーの値 を表す文字列 1 マップ タイ プ リスト: マップ タイ プ リスト 2 文字列: キー Map.HasKey ブール true の場合、指定したキーがマップ タイプ リスト 1 マップ タイ に存在します。 プ リスト: マップ タイ プ リスト 2 文字列: キー Map.SetStringValue マップ タイプ リスト 指定したキーに特定の値が設定されているマップ タイプ リスト 1 マップ タイ プ リスト: マップ タイ プ リスト 2 文字列: キー 3 文字列: 値 Map.Size 数値 指定したマップ タイプ リストに存在するキーと 値の組み合わせの数 マップ タイプ リスト: マップ タイプ リスト Map.ToString 文字列 文字列に変換される Map タイプ リスト マップ タイプ リスト: マップ タイプ リスト Math.Abs 数値 指定された数値の絶対値 数値: 絶対値を 取得する通知 Math.Modulo 数値 整数を結果の商として受け付けるときのみ、整数 a 1 数値: a の値 を整数 b で割った後の残りである整数。 2 数値: b の たとえば、a = 14 と b = 3 の場合、 値 Math.Modulo の値は 2 です。 14 を 3 で割った結果の整数は 4 で、3 x 4 = 12 は 2 を残します。 Math.Random MediaStreamProbability 710 McAfee Web Gateway 7.6.0 数値 数値 指定された最小および最大値の間のランダム番号 (これらの値に含まれます) 1 数値: 最小値 2 数値: 最大値 問題のストリーミング メディアが見つかったメデ ィア タイプに一致する可能性 (パーセント) 製品ガイド A 構成リスト プロパティのリスト 表 A-17 プロパティ - M (続き) 名前 型 説明 パラメーター MediaType.EnsuredTypes メディ ア タイ プ リス ト 50% 以上の可能性で個々のメディアを確認する メディア タイプのリスト MediaType.FromFileExtension メディ ア タイ プ リス ト メディア ファイルの拡張子で見つかったメディア タイプのリスト MediaType.FromHeader メディ ア タイ プ リス ト メディアとともに送信したコンテンツ タイプ ヘ ッダーを使用して見つかったメディア タイプのリ スト MediaType.HasOpener ブール true の場合、オープナー モジュールはアプライア ンスで与えられたタイプのメディアで利用可能で す。 MediaType.IsArchive ブール true の場合、処理中のメディアはアーカイブにな ります。 MediaType.IsAudio ブール true の場合、処理中のメディアは音声タイプにな ります。 MediaType.IsCompositeObject ブール true の場合、処理中のメディアは複合オブジェク トになります。 MediaType.IsDatabase ブール true の場合、処理中のメディアはデータベースに なります。 MediaType.IsDocument ブール true の場合、処理中のメディアは文書になります。 MediaType.IsExecutable ブール true の場合、処理中のメディアは実行ファイルに なります。 MediaType.IsImage ブール true の場合、処理中のメディアは画像になります。 MediaType.IsText ブール true の場合、処理中のメディアはテキスト タイプ になります。 MediaType.IsVideo ブール true の場合、処理中のメディアは動画になります。 MediaType.MagicBytesMismatch ブール true の場合、メディアとともに送信されたヘッダ ーで指定されたメディア タイプは、メディアに実 際に含まれているマジック バイトを検査すること でアプライアンスで見つかったタイプに一致しま せん。 MediaType.NotEnsuredTypes メディ ア タイ プ リス ト 50% 以下の可能性で個々のメディアを確認する メディア タイプのリスト MediaType.ToString 文字列 文字列に変換されるメディア タイプ Message.Language 文字列 ユーザーに送信されるメッセージで使用される言 語の名前 (短縮形)。例: en、de、ja Message.TemplateName 文字列 ユーザーにメッセージを送信するテンプレート名 McAfee Web Gateway 7.6.0 メディア タイ プ: 変換するメ ディア タイプ 製品ガイド 711 A 構成リスト プロパティのリスト プロパティ - N 以下の表では、名前が N で始まるプロパティについて説明します。 表 A-18 プロパティ - N 名前 型 説明 パラメーター NextHopProxy.StickinessAttribute 文字列 ネクスト ホップ プロキシの持続性モードで処 理される要求の一部 Number.ToDecimalNumber 数値 小数に変換される整数 たとえば、10 は 10.0 に変換されます。 数値: 変換する整 数 Number.ToString 文字列 文字列に変換される数値 数値: 変換する数 値 Number.ToVolumeString 文字列 文字列に変換する総バイト数 数値: 変換するバ イト数 NumberOfClientConnections 数値 アプライアンスで同時に開くクライアントへ の接続数 プロパティ - P 以下の表では、名前が P で始まるプロパティについて説明します。 表 A-19 プロパティ - P 712 名前 型 PDStorage.GetAllData 文字 文字列形式ですべての持続的に保管され 列リ たデータを含むリスト スト PDStorage.GetAllGlobalData 文字 文字列形式ですべての持続的に保管され 列リ たグローバル データを含むリスト スト PDStorage.GetAllUserData 文字 文字列形式ですべての持続的に保管され 列リ たユーザー データを含むリスト スト PDStorage.GetGlobalData.Bool ブー ブール型のグローバル変数 ル 文字列: 変数キ ー PDStorage.GetGlobalData.Category カテ カテゴリ型のグローバル変数 ゴリ 文字列: 変数キ ー PDStorage.GetGlobalData.Dimension ディ ディメンション型のグローバル変数 メン ショ ン 文字列: 変数キ ー PDStorage.GetGlobalData.Hex 16 16 進値型のグローバル変数 進値 文字列: 変数キ ー PDStorage.GetGlobalData.IP IP 文字列: 変数キ ー PDStorage.GetGlobalData.IPRange IP IP 範囲型のグローバル変数 範囲 McAfee Web Gateway 7.6.0 説明 IP 型のグローバル変数 パラメ ーター 文字列: 変数キ ー 製品ガイド A 構成リスト プロパティのリスト 表 A-19 プロパティ - P (続き) 名前 型 説明 パラメ ーター PDStorage.GetGlobalData.List.Category カテ カテゴリ リスト型のグローバル変数 ゴリ リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.Dimension ディ ディメンション リスト型のグローバル メン 変数 ショ ン リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.Hex 16 16 進値リスト型のグローバル変数 進値 リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.IP IP IP リスト型のグローバル変数 リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.IPRange IP IP 範囲リスト型のグローバル変数 範囲 リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.MediaType メデ メディア タイプ リスト型のグローバル ィア 変数 タイ プ リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.Number 数値 数値リスト型のグローバル変数 リス ト 文字列: 変数キ ー PDStorage.GetGlobalData.List.String 文字 タイプ文字列のリストのグローバル変数 文字列: 列リ 変数キ スト ー PDStorage.GetGlobalData.List.WildcardExpression ワイ ワイルドカード式リスト型のグローバル 文字列: ルド 変数 変数キ カー ー ド式 リス ト PDStorage.GetGlobalData.MediaType メデ メディア タイプ型のグローバル変数 ィア タイ プ 文字列: 変数キ ー PDStorage.GetGlobalData.Number 数値 数値型のグローバル変数 文字列: 変数キ ー PDStorage.GetGlobalData.String 文字 文字列型のグローバル変数 列 文字列: 変数キ ー PDStorage.GetGlobalData.WildcardExpression ワイ ワイルドカード式型のグローバル変数 ルド カー ド式 文字列: 変数キ ー McAfee Web Gateway 7.6.0 製品ガイド 713 A 構成リスト プロパティのリスト 表 A-19 プロパティ - P (続き) 714 名前 型 PDStorage.GetUserData.Bool ブー ブール型のユーザー変数 ル 文字列: 変数キ ー PDStorage.GetUserData.Category カテ カテゴリ型のユーザー変数 ゴリ 文字列: 変数キ ー PDStorage.GetUserData.Dimension ディ ディメンション型のユーザー変数 メン ショ ン 文字列: 変数キ ー PDStorage.GetUserData.Hex 16 16 進値型のユーザー変数 進値 文字列: 変数キ ー PDStorage.GetUserData.IP IP 文字列: 変数キ ー PDStorage.GetUserData.IPRange IP IP 範囲型のユーザー変数 範囲 文字列: 変数キ ー PDStorage.GetUserData.List.Category カテ カテゴリ リスト型のユーザー変数 ゴリ リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.Dimension ディ ディメンション型のユーザー変数 メン ショ ン リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.Hex 16 16 進値リスト型のユーザー変数 進値 リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.IP IP IP リスト型のユーザー変数 リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.IPRange IP IP 範囲タイプ型のユーザー変数 範囲 リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.MediaType メデ メディア タイプ リスト型のユーザー変 ィア 数 タイ プ リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.Number 数値 数値リスト型のユーザー変数 リス ト 文字列: 変数キ ー PDStorage.GetUserData.List.String 文字 文字列リスト型のユーザー変数 列リ スト 文字列: 変数キ ー McAfee Web Gateway 7.6.0 説明 パラメ ーター IP 型のユーザー変数 製品ガイド A 構成リスト プロパティのリスト 表 A-19 プロパティ - P (続き) 名前 型 PDStorage.GetUserData.List.WildcardExpression ワイ ワイルドカード式リスト型のユーザー変 文字列: ルド 数 変数キ カー ー ド式 リス ト PDStorage.GetUserData.MediaType メデ メディア タイプ型のユーザー変数 ィア タイ プ 文字列: 変数キ ー PDStorage.GetUserData.Number 数値 数値型のユーザー変数 文字列: 変数キ ー PDStorage.GetUserData.String 文字 文字列型のユーザー変数 列 文字列: 変数キ ー PDStorage.GetUserData.WildcardExpression ワイ ワイルドカード式型のユーザー変数 ルド カー ド式 文字列: 変数キ ー PDStorage.HasGlobalData ブー true の場合、持続的に保管されたグロー 文字列: ル バル データが利用可能です。 変数キ ー PDStorage.HasGlobalDataWait ブー true の場合、要求されたグローバル変数 1 文字 ル がストレージに保存されるか、指定され 列: た時間が経過するまで、要求は待機状態 変数 を継続します。 キー 待機状態が解除されると、プロパティの 値は false に設定されます。 デフォル 2 数値: トは true です。 タイ ムア ウト (秒 数) PDStorage.HasUserData ブー true の場合、持続的に保管されたユーザ 文字列: ル ー データが利用可能です。 変数キ ー ProgressPage.Enabled ブー true の場合、ダウンロードの進行状況が ル 進行状況ページでユーザーに表示されて います。 ProgressPage.Sent ブー true の場合、要求された Web オブジェ ル クトがダウンロードされると、進行状況 ページが表示されます。 ProtocolDetector.DetectedProtocol 文字 Web Gateway とクライアントとの接 列 続で発生したトラフィックで使用されて いたプロトコルの名前を含む文字列 ProtocolDetector.ProtocolFilterable ブー true の場合、Web トラフィックで使用 ル されているプロトコルでフィルタリング が使用できます。 Protocol.FailureDescription 文字 文字列は現在のプロトコルでの接続エラ 列 ーの説明を含んでいます。 McAfee Web Gateway 7.6.0 説明 パラメ ーター 製品ガイド 715 A 構成リスト プロパティのリスト 表 A-19 プロパティ - P (続き) 名前 型 説明 パラメ ーター Proxy.EndUserURL 文字 ユーザーに表示する URL を表す文字列 列 Proxy.IP IP Web Gateway の IP アドレス Proxy.Outbound.IP IP Web Gateway が Web サーバーまたは ネクスト ホップ プロキシに接続すると きに使用する送信元 IP アドレス。 このプロパティを Proxy.OutboundIP プロパテ ィと混同しないでください。後者 は IP の前にドットがありません。 Proxy.Outbound.IPList IP Web Gateway が Web サーバーまたは リス ネクスト ホップ プロキシに接続すると ト きに使用する送信元 IP アドレスのリス ト。 Proxy.Outbound.Port 数値 Web Gateway が Web サーバーまたは ネクスト ホップ プロキシに接続すると きに使用する送信元ポートの数。 Proxy.OutboundIP IP Web Gateway が Web サーバーまたは ネクスト ホップ プロキシに接続すると きに使用する複数の IP アドレスと置換 する送信元 IP アドレス。 数字: リスト の送信 元 IP アドレ このアドレスは、パラメーターでリスト スの位 内の位置を指定して選択します。 置 このプロパティを Proxy.Outbound.IP プロパテ ィと混同しないでください。後者 は IP の前にドットがあります。 Proxy.Port 数値 Web Gateway が使用するポートの数 プロパティ - Q 以下の表では、名前が Q で始まるプロパティについて説明します。 表 A-20 プロパティ - Q 716 名前 型 Quota.AuthorizedOverride.GetLogin 文字 許可オーバーライドの実行時に送信される 列 ユーザー名 Quota.AuthorizedOverride.IsActivationRequest ブー true の場合、認証されたユーザーはセッシ ル ョン時間が過ぎた後も許可オーバーライド セッションの継続を選択しています。 McAfee Web Gateway 7.6.0 説明 パ ラ メ ー タ ー 製品ガイド 構成リスト プロパティのリスト A 表 A-20 プロパティ - Q (続き) 名前 型 説明 パ ラ メ ー タ ー Quota.AuthorizedOverride.IsActivationRequest.Strict ブー true の場合、認証されたユーザーが許可オ ル ーバーライド セッションの続行を選択し ています。セッションの継続要求が現在の 設定に適用されます。 Quota.AuthorizedOverride.JS.ActivateSession 文字 承認されたユーザーが許可オーバーライド 列 テンプレートで所定のボタンをクリックし て新しいセッションを開始したときに実行 される関数を呼び出す JavaScript コード の文字列。 テンプレートが作成され、ユーザーに表示 されたときに、コードが提供されます。 Quota.AuthorizedOverride.LastAuthorizedPerson 文字 最後に許可オーバーライドを実行し、ユー 列 ザーに追加のセッション時間を提供したユ ーザーの名前 Quota.AuthorizedOverride.RemainingSession 数値 許可オーバーライド セッションの残り時 間 (秒) Quota.AuthorizedOverride.SessionExceeded ブー true の場合、許可オーバーライドの有効期 ル 間が過ぎていることを表しています。 Quota.AuthorizedOverride.SessionLength 数値 許可オーバーライド セッションの時間 (秒) Quota.Coaching.IsActivationRequest ブー true の場合、ユーザーはセッションの有効 ル 期限が過ぎた後も新しい警告セッションの 継続を選択しています。 Quota.Coaching.IsActivationRequest.Strict ブー true の場合、ユーザーが警告セッションの ル 続行を選択しています。セッションの継続 要求が現在の設定に適用されます。 Quota.Coaching.JS.ActivateSession 文字 ユーザーが警告セッション テンプレート 列 で所定のボタンをクリックし、新しいセッ ションを開始したときに実行される関数を 呼び出す JavaScript コードの文字列。 テンプレートが作成され、ユーザーに表示 されたときに、コードが提供されます。 Quota.Coaching.RemainingSession 数値 警告セッションの残り時間 (秒) Quota.Coaching.SessionExceeded ブー true の場合、警告セッションの有効期間が ル 過ぎていることを表します。 Quota.Coaching.SessionLength 数値 警告セッションの残り時間 (秒) Quota.Time.Exceeded ブー true の場合、時間クォータを超えていま ル す。 Quota.Time.IsActivationRequest ブー true の場合、ユーザーがセッションの有効 ル 期間が過ぎた後も新しい時間セッションの 継続を選択しています。 Quota.Time.IsActivationRequest.Strict ブー true の場合、ユーザーが新しい時間セッシ ル ョンの続行を選択しています。セッション の継続要求が現在の設定に適用されます。 McAfee Web Gateway 7.6.0 製品ガイド 717 A 構成リスト プロパティのリスト 表 A-20 プロパティ - Q (続き) 名前 型 説明 パ ラ メ ー タ ー Quota.Time.JS.ActivateSession 文字 ユーザーが時間セッション テンプレート 列 で所定のボタンをクリックし、新しいセッ ションを開始したときに実行される関数を 呼び出す JavaScript コードの文字列。 テンプレートが作成され、ユーザーに表示 されたときに、コードが提供されます。 Quota.Time.RemainingDay 数値 現在の日付に設定されたクォータからの残 り時間 (秒) Quota.Time.RemainingDay.ReducedAtActivation 数値 ユーザーがセッションを開始した時点で、 現在の日付に設定されている時間クォータ の残り時間 (秒) Quota.Time.RemainingDay.ReducedAtDeactivation 数値 ユーザーがセッションを終了した時点で、 現在の日付に設定されている時間クォータ の残り時間 (秒) Quota.Time.RemainingMonth 数値 現在の月に設定された時間クォータの残り 時間 (秒) Quota.Time.RemainingMonth.ReducedAtActivation 数値 ユーザーがセッションを開始した時点で、 現在の月に設定されている時間クォータの 残り時間 (秒) Quota.Time.RemainingMonth.ReducedAtDeactivation 数値 ユーザーがセッションを終了した時点で、 現在の月に設定されている時間クォータの 残り時間 (秒) 718 Quota.Time.RemainingSession 数値 時間セッションの残り時間 (秒) Quota.Time.RemainingWeek 数値 現在の週に設定された時間クォータの残り 時間 (秒) Quota.Time.RemainingWeek.ReducedAtActivation 数値 ユーザーがセッションを開始した時点で、 現在の週に設定されている時間クォータの 残り時間 (秒) Quota.Time.RemainingWeek.ReducedAtDeactivation 数値 ユーザーがセッションを終了した時点で、 現在の週に設定されている時間クォータの 残り時間 (秒) Quota.Time.SessionExceeded ブー true の場合、時間セッションの有効期限が ル 過ぎています。 Quota.Time.SessionLength 数値 時間セッションの経過時間 (秒) Quota.Time.SizePerDay 数値 設定済みのクォータで、1 日に許可されて いる時間 (秒) Quota.Time.SizePerMonth 数値 設定済みのクォータで、1 か月に許可され ている時間 (秒) Quota.Time.SizePerWeek 数値 設定済みのクォータで、1 週間に許可され ている時間 (秒) Quota.Volume.Exceeded ブー true の場合、ボリューム クォータを超え ル ています。 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-20 プロパティ - Q (続き) 名前 型 説明 パ ラ メ ー タ ー Quota.Volume.IsActivationRequest ブー true の場合、ユーザーがセッションの有効 ル 期限が過ぎた後も新しいボリューム セッ ションの継続を選択しています。 Quota.Volume.IsActivationRequest.Strict ブー true の場合、ユーザーがセッションの続行 ル を選択しています。セッションの継続要求 が現在の設定に適用されます。 Quota.Volume.JS.ActivateSession 文字 ユーザーが、ボリューム セッション テンプ 列 レートで所定のボタンをクリックし、新し いセッションの開始を選択したときに実行 される関数を呼び出す JavaScript コード の文字列。 テンプレートが作成され、ユーザーに表示 されたときに、コードが提供されます。 Quota.Volume.RemainingDay 数値 現在の日付で設定済みのボリューム クォ ータの残りのボリューム (バイト) Quota.Volume.RemainingMonth 数値 現在の月で設定済みのボリューム クォー タの残りのボリューム (バイト) Quota.Volume.RemainingSession 数値 ボリューム セッションの残り時間 (秒) Quota.Volume.RemainingWeek 数値 現在の週に設定済みのボリューム クォー タの残りのボリューム (バイト) Quota.Volume.SessionExceeded ブー true の場合、ボリューム セッションの有 ル 効期間を過ぎています。 Quota.Volume.SessionLength 数値 ボリューム セッションの経過時間 (秒) Quota.Volume.SizePerDay 数値 設定済みのクォータで、1 日に許可されて いるボリューム (バイト) Quota.Volume.SizePerMonth 数値 設定済みのクォータで、1 か月に許可され ているボリューム (バイト) Quota.Volume.SizePerWeek 数値 設定済みのクォータで、1 週間に許可され ているボリューム (バイト) プロパティ - R 以下の表では、名前が R で始まるプロパティについて説明します。 表 A-21 プロパティ - R 名前 型 説明 Redirect.URL 文字列 文字列は認証またはクォータ ルールでユーザーがリダイ レクトされた URL を表しています。 Reporting.URL.Categories カテゴリ リ スト アプライアンスで使用されるすべての URL カテゴリの リスト Reporting.URL.Reputation 数値リスト アプライアンスで使用されるすべてのレピュテーション スコアのリスト McAfee Web Gateway 7.6.0 パラ メー ター 製品ガイド 719 A 構成リスト プロパティのリスト 表 A-21 プロパティ - R (続き) 名前 型 説明 パラ メー ター Request.Header.FirstLine 文字列 要求とともに送信されたヘッダーの最初の行 Request.POSTForm.Get 文字列 外部 ID プロバイダーから受信した URL エンコーディン グ データを POST 形式で取得します。 Request.ProtocolAndVersion 文字列 要求が送信されたときに使用されるプロトコルおよびプ ロトコル Response.ProtocolandVersion 文字列 応答が送信されたときに使用されるプロトコルとプロト コル バージョン Response.Redirect.URL 文字列 応答を送信したときにユーザーがリダイレクトした URL Response.StatusCode 文字列 応答のステータス コード Rules.CurrentRuleID 文字列 現在処理中のルール ID Rules.CurrentRuleName 文字列 現在処理中のルール名 Rules.CurrentRuleSetName 文字列 現在処理中のルール セット名 Rules.EvaluatedRules 文字列リスト 処理されたすべてのルールのリスト Rules.EvaluatedRules.Names 文字列リスト 処理されたすべてのルールの名前を含むリスト Rules.FiredRules 文字列リスト 適用されたすべてのルールのリスト Rules.FiredRules.Names 文字列リスト 適用されたすべてのルールの名前を含むリスト プロパティ - S 以下の表では、名前が S で始まるプロパティについて説明します。 表 A-22 プロパティ - S 名前 型 説明 SecureReverseProxy.EmbeddedHost 文字 列 HTTPS 要求に埋め込まれた HTTP 要求に含まれ る URL のホスト名 SecureReverseProxy.EmbeddedProtocol 文字 列 HTTPS 要求に埋め込まれた HTTP 要求に含まれ る URL のプロトコル SecureReverseProxy.EmbeddedURL 文字 列 HTTPS 要求に埋め込まれた HTTP 要求に含まれ る URL パラメーター 文字列: URL のホ スト名 これは、 SecureReverseProxy.EmbeddedHost プ ロパティの値に指定されたホストの URL です。 SecureReverseProxy.GetDomain 文字 列 SecureReverseProxy モジュールの設定に指定 されたドメイン SecureReverseProxy.IsValidReverseProxyRequest SecureReverseProxy.URLToEmbed 720 McAfee Web Gateway 7.6.0 ブー ル true の場合、要求で送信された URL の形式が SecureReverseProxy の設定の要件を満たして います。 文字 列 HTTPS 要求に埋め込まれた HTTP 要求で送信さ れた URL 製品ガイド A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター SecureToken.CreateToken 文字 列 暗号化された文字列 文字列: 暗号化す る文字列 この文字列は、IP アドレスを保護するトークンと して機能します。 トークンの作成には AES-128 ビット アルゴリズムが使用されます。 SecureReverseProxy モジュールの設定パラメ ーターの値によっては、この文字列にタイムスタン プが含まれます。 SecureToken.IsValid ブー ル true の場合、指定されたトークンは有効で、期限 1 文字列: 検査す 切れになっていません。 るトークン SecureReverseProxy モジュールの設定パラメ 2 数値: トークン ーターの値によっては、トークンの文字列にタイム が期限切れにな スタンプが含まれていません。 るまでの時間 この場合、トークンの期限切れは検査されません。 (秒数) SecureToken.GetString 文字 列 IP アドレスを保護するトークンとして機能する文 1 文字列: 検査す 字列 るトークン トークンが無効か、期限切れの場合、文字列は空に 2 数値: トークン なります。 が期限切れにな るまでの時間 (秒数) SNMP.Trap.Additional 文字 列 SNMP プロトコルでトラップに送信された追加メ ッセージ SOCKS.Version 文字 列 クライアント要求がこのプロトコルで Web オブ ジェクトにアクセスするときに使用される SOCKS プロトコルのバージョン。 SSL.Certificate.CN.ToWildcard ワイ ルド カー ド式 ワイルドカード式に変換された SSL 認証書の共 通名 SSL.Client.Certificate.Serial 文字 列 クライアント証明書のシリアル番号 SSL.ClientContext.IsApplied ブー ル true の場合、SSL セキュア通信のクライアント コ ンテキストの設定パラメーターが設定されていま す。 SSL.Server.Certificate.AlternativeCNs ワイ ルド カー ド式 リス ト SSL 証明書で使用するための Web サーバーの代 替共通名のリスト SSL.Server.Certificate.CN 文字 列 Web サーバーの共通名は SSL セキュア通信で提 供します。 SSL.Server.Certificate.CN.HasWildcards ブー ル true の場合、SSL 証明書にある Web サーバーの 共通名にワイルドカードが含まれています。 SSL.Server.Certificate.DaysExpired 数値 Web サーバーの SSL 証明書の日数が期限切れに なってからの日数 文字列: 変換する 共通名 SSL.Server.Certificate.HostAndCertificate McAfee Web Gateway 7.6.0 製品ガイド 721 A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 ホス ト名 と証 明書 SSL セキュア通信で Web サーバーに接続すると きに使用されるホスト名と証明書 ホス ト名 と証 明書 SSL セキュア通信で Web サーバーに接続すると きに使用される証明書 SSL.Server.Certificate.SelfSigned ブー ル true の場合、Web サーバーの SSL 証明書は自己 署名です。 SSL.Server.Certificate.SHA1Digest 文字 列 文字列は Web サーバーの SSL 証明書の SHA1Digest を表します。 パラメーター SSL.Server.Certificate.OnlyCertificate SSL.Server.CertificateChain.AllRevocationStatusesKnown ブー ル true の場合、Web サーバーの証明書チェーンで SSL 証明書が失効しているかどうかを確認できま す。 ブー ル true の場合、Web サーバーの証明書チェーンで SSL 証明書が期限切れになっています。 ブー ル true の場合、Web サーバーの証明書チェーンで SSL 証明書が失効しています。 SSL.Server.CertificateChain.ContainsExpiredCA SSL.Server.CertificateChain.ContainsRevoked SSL.Server.CertificateChain.FirstKnownCAIsTrusted ブー ル true の場合、Web サーバーの証明書チェーンで先 頭にある SSL 証明書の発行元は信頼された証明 機関です。 ブー ル true の場合、Web サーバーの証明書チェーンで先 頭にある SSL 証明書の発行元は既知の証明機関 です。 SSL.Server.CertificateChain.IsComplete ブー ル true の場合、Web サーバーの SSL 証明書チェー ンは完了しています。 SSL.Server.CertificateChain.Length 数値 Web サーバーの証明書チェーンでの SSL 証明書 番号 SSL.Server.CertificateChain.FoundKnownCA SSL.Server.CertificateChain.PathLengthExceeded ブー ル true の場合、Web サーバーの SSL 証明書チェー ンの長さが制限を超えています。 数値 SSL セキュア通信で実行されるキー交換で最も脆 弱なリンクの正規化後の長さ SSL.Server.Handshake.CertificateIsRequested ブー ル true の場合、Web サーバーとの SSL セキュア通 信の確立でハンドシェイクが要求されています。 SSO.Action 文字 列 SSO 要求の応答で実行された内部アクションの名 前を戻します。 SSO.Config 文字 列 SSO 要求の応答で実行された内部アクションで使 用された文字列の名前を戻します。 SSL.Server.Cipher.KeyExchangeBits 722 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター SSO.Debug 文字 列 SSO デバッグ メッセージを戻します。 SSO.GetConnectorInfo 変数 ユーザーが要求したサービスの SSO コネクター に関する情報を戻します。 この情報は、 sso-conn-info という名前のローカル変数に JSON オブジェクトとして保存されます。 SSO.GetData JSON SAML シングル サインオンに必要な追加情報を戻 オブ します。 ジェ クト SSO.GetDatFile 文字 列 指定した DAT ファイルを更新サーバーから取得 文字列: SSO DAT し、ファイルのコンテンツを文字列を戻します。 ファイルの名前 シングル サインオン モジュールは、SSO DAT フ ァイルのコレクションを使用して Launchpad を 作成します。 SSO.GetIceTokenLoginAction 文字 列 要求されたサービスまたはアプリケーションでの 1 文字列: サービ シングル サインオンの完了に必要なユーザー情報 ス ID を戻します。 2 変数: sso-user-data SSO.GetPostLoginAction 文字 列 要求された HTTP サービスまたはアプリケーショ 1 文字列: ID プロ ンでのシングル サインオンの完了に必要な情報を バイダー 戻します。 2 文字列: ユーザ ー名 文字列: サービス ID 3 文字列: サービ ス ID 4 文字列: ユーザ ー アカウント SSO.GetSAMLLoginAction 文字 列 要求された SAML サービスまたはアプリケーショ 1 文字列: サービ ンでのシングル サインオンの完了に必要なユーザ ス ID ー情報を戻します。 2 変数: sso-user-data SSO.GetServices JSON オブ ジェ クト SSO サービス選択ルール セットで追加された現 変数: 在のユーザーに関するすべての情報を戻します。 "conditions" この情報は JSON 形式で戻されます。たとえば、 ユーザーにアクセスが許可されたクラウド サービ スの名前やすべてのアカウント情報が戻されます。 SSO.GetTools 文字 列 JavaScript ツールの文字列を戻します。 SSO.IsManagementRequest ブー ル 現在の要求が SSO 要求で、以下のいずれかまたは 両方の条件を満たしている場合、true を戻します。 • Web Gateway が SSO 要求を受信している。 • SSO.Action プロパティが有効な設定で処理さ れた。 McAfee Web Gateway 7.6.0 製品ガイド 723 A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター SSO.LogProperties JSON SSO アクセス ログと SSO 追跡ログの生成に使 オブ 用する SSO 要求の情報を保存します。 ジェ クト SSO.ManagementHost 文字 列 設定で指定された SSO サービスのホスト名を戻 します。 この値は通常、Web Gateway が提供す る SSO サービスをホスティングしているサーバ ーの名前になります。 SSO.OTPRequired ブー ル SSO アクションで OTP 認証を必要とする場合に true を戻します。 SSO.ProcessTask ブー ル シングル サインオンの設定を使用して、共通の SSO タスク (認証情報の管理など) を処理しま す。 SSO タスクが正常に処理されると、このプロ パティが true を戻します。 SSO.UserHasAccessToService ブー ル ユーザーにクラウド サービスへのアクセスまたは アカウントの管理が許可された場合に true を戻 します。 SSOConnector.ToString 文字 列 クラウド コネクターの名前を対応するクラウド サービスまたはアプリケーションのサービス ID に変換します。 文字列: クラウド コネクターの名前 Statistics.Counter.Get 数値 アクティビティの発生またはカウンターで記録さ れた状況の数 文字列: カウンタ ーの名前 Statistics.Counter.GetCurrent 数値 最後に発生したアクティビティの数またはカウン 文字列: カウンタ ターで記録された状況の数 (完全に完了したもの) ーの名前 Stopwatch.GetMicroSeconds 数値 ルール セットの処理時間 (マイクロ秒) 文字列: ルール セ ットの名前 Stopwatch.GetMilliSeconds 数値 ルール セットの処理にかかった時間 (ミリ秒) 文字列: ルール セ ットの名前 StreamDetector.IsMediaStream ブー ル true の場合、Web オブジェクトとしてストリーミ ング メディアが要求されています。 このパラメ ーターは URL で渡 されます。 これは、ストリーミング メディアのフィルタリン グで使用される基本プロパティです。 StreamDetector.MatchedRule 文字 列 一致したストリーミング メディア フィルタリン グ ルールの名前 StreamDetector.IsMediaStream プロパテ ィが true に設定されていると、このプロパティに 値が設定されています。 StreamDetector.Probability 数値 Web オブジェクトがストリーミング メディアの 可能性 1 から 100 までの値。 StreamDetector.IsMediaStream プロパテ ィが true に設定されていると、このプロパティに 値が設定されています。 724 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.BackwardFind 数値 逆方向検索によって文字列で見つかったサブ文字 列の開始位置 1 文字列: サブ文 字列を含む文字 列 サブ文字列が見つからない場合は -1 が戻されま す。 2 文字列: サブ文 字列 3 数値: サブ文字 列の逆方向検索 を開始する位置 String.Base64DecodeAsBinary 文字 列 base-64 エンコーディング文字列の復号結果を表 文字列: エンコー すバイナリ文字列 ド形式の文字列 String.Base64DecodeAsText 文字 列 base-64 エンコーディング文字列の復号結果を表 文字列: エンコー すテキスト文字列 ド形式の文字列 String.Base64Encode 文字 列 base-64 エンコーディングで文字列をエンコード 文字列: エンコー した結果を表す文字列 ドする文字列 String.BelongsToDomains ブー ル true の場合、指定した文字列がドメイン名のリス 1 文字列: リスト トに含まれています。 内で検索する文 字列 文字列がリスト項目 (ドメイン名) に一致すると、 プロパティの値が true になります。 2 文字列リスト: 文字またはドットとサブ文字列が続くは文字列 ドメイン名のリ (ドメインのサブドメイン名) がリスト項目 スト (*.<list entry>) に一致する場合にも、プロパテ ィの値が true になります。 いずれの場合も、List.LastMatches プロパティ の値に文字列が設定されます。 String.Concat 文字 列 指定された 2 つの文字列の連結 1 文字列: 連結す る最初の文字列 2 文字列: 連結す る 2 番目の文字 列 String.CRLF 文字 列 復帰改行 String.Find 数値 順方向検索によって文字列で見つかったサブ文字 列の開始位置 サブ文字列が見つからない場合は -1 が戻されま す。 1 文字列: サブ文 字列を含む文字 列 2 文字列: サブ文 字列 3 数値: サブ文字 列の順方向検索 を開始する位置 McAfee Web Gateway 7.6.0 製品ガイド 725 A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.FindFirstOf 数値 文字列で見つかったサブ文字列の最初の文字位置 1 文字列: サブ文 字列を含む文字 列 サブ文字列が見つからない場合は -1 が戻されま す。 2 文字列: サブ文 字列 3 数値: サブ文字 列の検索を開始 する位置 String.FindLastOf 数値 文字列で見つかったサブ文字列の最後の文字位置 サブ文字列が見つからない場合は -1 が戻されま す。 1 文字列: サブ文 字列を含む文字 列 2 文字列: サブ文 字列 3 数値: サブ文字 列の検索を開始 する位置 String.GetWordCount 数値 文字列の単語数 文字列: 単語数を 取得する文字列 String.Hash 文字 列 指定された文字列の特定のタイプのハッシュ値 1 文字列: ハッシ ュ値の検索に使 用する文字列 2 文字列: ハッシ ュ タイプ String.IsEmpty ブー ル true の場合、指定された文字列は空です。 文字列: 空かどう か検査する文字列 String.Length 数値 文字列の文字数 文字列: 文字数を 計算する文字列 String.LF 文字 列 改行 726 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.MakeAnonymous 文字 列 匿名にされ、匿名化の解除に 1 つまたは 2 つのパ 文字列: 匿名化す る文字列 スワードを必要とする文字列 匿名にする文字列は、プロパティのパラメーターと して指定します。 パスワードは、プロパティの [匿名化] で設定しま す。 このプロパティをルールで使用すると、重要なデー タを匿名化できます。たとえば、 [Authentication.UserName] プロパティの値と して取得されるユーザー名を匿名化できます。 このルールのイベントが認証プロパティに [String.MakeAnonymous] の値を設定します。 認証プロパティがパラメーターとして使用するの で、匿名化されたユーザー名が値として使用されま す。 イベントが実行されると、匿名化されたユーザー名 が [Authentication.UserName] の値に設定され ます。 これにより、重要な情報が保護されます。 このルールを有効にするには、ルールの前に認証プ ロパティが処理されている必要があります。 この プロパティが処理されていないと、匿名化される文 字列が設定されません。 String.MatchWildcard 文字 列リ スト ワイルドカード式と一致する文字列の用語リスト 1 文字列: 用語と 一致する文字列 2 ワイルドカード 式: 一致させる ワイルドカード 式 3 数値: サブ文字 列の検索を開始 する位置 String.Replace 文字 列 指定された文字列によって置き換えられたサブ文 字列を持つ文字列 1 文字列: 置換す るサブ文字列を 含む文字列 2 数値: 置換を開 始する位置 3 数値: 置換する 文字数 4 文字列: 置換す る文字列 McAfee Web Gateway 7.6.0 製品ガイド 727 A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.ReplaceAll 文字 列 文字列は指定された文字列が置き換えられそれぞ れのサブ文字列が発生します。 1 文字列: 置換す るサブ文字列を 含む文字列 2 文字列: 置換さ れるサブ文字列 3 文字列: 置換す るサブ文字列 String.ReplaceAllMatches 文字 列 文字列は指定されたような文字列に置き換えられ たワイルドカード式に一致するそれぞれのサブ文 字列が発生します。 1 文字列: 置換す るサブ文字列を 含む文字列 2 ワイルドカード 式: 一致させる ワイルドカード 式 3 文字列: 置換す るサブ文字列 String.ReplaceFirst 文字 列 文字列は指定された文字列が置き換えられ最初の サブ文字列が発生します。 1 文字列: 置換す るサブ文字列を 含む文字列 2 文字列: 置換す るサブ文字列 3 文字列: 置換す る文字列 String.ReplaceFirstMatch 文字 列 文字列は指定されたような文字列に置き換えられ たワイルドカード式に一致する最初のサブ文字列 が発生します。 1 文字列: 置換す るサブ文字列を 含む文字列 2 ワイルドカード 式: 一致させる ワイルドカード 式 3 文字列: 置換さ れるサブ文字列 String.ReplaceIfEquals 文字 列 文字列は指定された文字列が置き換えられすべて のサブ文字列が発生します。 1 文字列: 置換す るサブ文字列を 含む文字列 2 文字列: 置換す るサブ文字列 3 文字列: 置換す る文字列 728 McAfee Web Gateway 7.6.0 製品ガイド A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.SubString 文字 列 開始位置と長さで指定した文字列に含まれている サブ文字列 1 文字列: サブ文 字列を含む文字 列 2 数値: サブ文字 列の先頭位置 3 数値: サブ文字 列の文字数 数字が指定されて いない場合、サブ文 字列はオリジナル の文字列の最後ま で拡張します。 String.SubStringBetween 文字 列 この文字列の 2 つのその他文字列の間で拡張する 1 文字列: サブ文 文字列のサブ文字列 字列を含む文字 列 他のサブ文字列の最初を探すとともに、このサブ文 字列の検索を開始します。 この文字列が見つかっ 2 文字列: 必要な た場合、検索は次のサブ文字列の検索を継続しま サブ文字列の直 す。 前で終わるサブ 最初のサブ文字列が見つからないと、検索結果は戻 文字列 されません。 2 番目のサブ文字列が見つからなか った場合、見つけるサブ文字列は最初のサブ文字列 3 文字列: 必要な からメイン文字列の終わりまで拡張します。 サブ文字列の直 後に始まるサブ 文字列 String.ToCategory カテ ゴリ カテゴリに変換される文字列 文字列: 変換する 文字列 String.ToDimension ディ メン ショ ン ディメンションに変換される文字列 文字列: 変換する 文字列 String.ToHex 16 進 16 進値に変換された文字列 値 文字列: 変換する 文字列 String.ToIP IP IP アドレスに変換された文字列 文字列: 変換する 文字列 String.ToIPRange IP 範 囲 IP アドレス範囲に変換された文字列 文字列: 変換する 文字列 String.ToMediaType メデ ィア タイ プ メディア タイプに変換される文字列 文字列: 変換する 文字列 String.ToNumber 数値 数値に変換される文字列 文字列: 変換する 文字列 String.ToSSOConnector 文字 列 クラウド サービスまたはアプリケーションのサー 文字列: サービス ビス ID を対応するクラウド コネクターの名前に ID 変換します。 McAfee Web Gateway 7.6.0 製品ガイド 729 A 構成リスト プロパティのリスト 表 A-22 プロパティ - S (続き) 名前 型 説明 パラメーター String.ToStringList 文字 列リ スト 1 文字列: 変換す る文字列 文字列リストは、文字列で変換する要素のリストで す。 例: 変換する文字列がテキストの場合、文字 2 文字列: 区切り 列リストはこのテキストの単語リストになります。 記号 区切り文字は、文字列で変換する要素を区切るサブ 文字列です。 たとえば、通常のテキストの場合、 3 文字列: 必要な 空白文字が区切り記号になります。 スペースまた サブ文字列の直 は複数の文字などサブ文字列は単一文字の可能性 後に始まるサブ があります。 スペースを指定するにはスペース 文字列 キーを押します。 文字列リストに変換される文字列 調整文字は変換する文字列の始めまたは最後の要 素に表示されますが、文字列リストには表示されま せん。 たとえば、カンマ、ピリオド、単一疑問符 などが調整文字になります。 また、タブ位置や改 行など「不可視」の可能性もあります。 調整文字を指定するには、お互いから離れていない ユーザー インターフェースに提供されたフィール ドに調整する文字を入力します。 次の組み合わせを使用して非表示の文字を入力し ます。 \t - タブ ストップ \r - 復帰改行 \n - 改行 \b - バックスペース \\ - バックスラッシュ 区切り記号として文字を指定した場合、文字列リス トの結果からも削除されるため、調整文字として指 定する必要はありません。 String.ToWildcard ワイ ルド カー ド式 ワイルドカード式に変換された文字列 文字列: 変換する 文字列 String.URLDecode 文字 列 エンコード形式で指定された URL の標準形式 文字列: エンコー ドされた URL String.URLEncode 文字 列 URL のエンコード形式 文字列: エンコー ドする URL System.HostName 文字 列 アプライアンスのホスト名 System.UUID 文字 列 アプライアンスの UUID (Universal Unique Identifier) 730 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A プロパティ - T 以下の表では、名前が T で始まるプロパティについて説明します。 表 A-23 プロパティ - T 名前 型 説明 パ ラ メ ー タ ー TIE.Filereputation 数値 TIE サーバーから取得したファイル レピュテーション スコア Timer.FirstReceivedFirstSentClient 数値 アプライアンスのクライアントから最初のバイトを受信してか ら、トランザクション内でこのクライアントに最初のバイトを 送信するまでの処理時間。 このプロパティは、FTP 接続でなく HTTP または HTTPS 接続 の場合にのみ使用できます。 Timer.FirstSentFirstReceivedServer 数値 アプライアンスから Web サーバーに最初のバイトを送信して から、トランザクション内でこのサーバーから最初のバイトを 受信するまでの処理時間。 このプロパティは、FTP 接続でなく HTTP または HTTPS 接続 の場合にのみ使用できます。 Timer.HandleConnectToServer 数値 トランザクション内で Web サーバーに接続するまでの処理時 間 Timer.LastReceivedLastSentClient 数値 アプライアンスのクライアントから最後のバイトを受信してか ら、トランザクション内でこのクライアントに最後のバイトを 送信するまでの処理時間。 このプロパティは、FTP 接続でなく HTTP または HTTPS 接続 の場合にのみ使用できます。 Timer.LastSentLastReceivedServer 数値 アプライアンスから Web サーバーに最後のバイトを送信して から、トランザクション内でこのサーバーから最後のバイトを 受信するまでの処理時間。 このプロパティは、FTP 接続でなく HTTP または HTTPS 接続 の場合にのみ使用できます。 Timer.ResolveHostNameViaDNS 数値 トランザクション内で DNS サーバーでホスト名を検出するま での処理時間。 計算されるのは、外部サーバーの検索時間です。 キャッシュの 検索は考慮されません。 Timer.TimeInExternals 数値 要求の処理中に、ルール エンジン以外でプロセスに関係するコ ンポーネント (ドメイン コントローラー、マルウェア対策スキ ャン エンジンなど) が応答を待機する時間 (ミリ秒)。 この時間は、プロパティの評価中に待機した時間を表します。 この時間を計算するときに、関連するすべての処理サイクルの 待機時間が考慮されます。 McAfee Web Gateway 7.6.0 製品ガイド 731 A 構成リスト プロパティのリスト 表 A-23 プロパティ - T (続き) 名前 型 説明 パ ラ メ ー タ ー Timer.TimeInRuleEngine 数値 要求の処理中 (関連するすべての処理サイクルの操作) にルー ル エンジンが消費した時間 (ミリ秒)。プロパティの評価にか かる時間が計算されます。 関連するすべての処理サイクルで要求の処理は 1 つのトラン ザクションとして見なされます。 ログ処理ルール内でプロパティが評価された場合、完全なトラ ンザクションでルール エンジンが使用した時間になります。 Timer.TimeInTransaction 数値 要求の処理中 (関連するすべての処理サイクルの操作) に消費 された時間 (ミリ秒)。プロパティの評価にかかる時間が計算 されます。 ルール エンジンの処理時間と待機時間は、このプロパティ値に 集計されます。 関連するすべての処理サイクルで要求の処理は 1 つのトラン ザクションとして見なされます。 ログ処理ルール内でプロパティが評価された場合、完全なトラ ンザクションで使用した時間になります。 Tunnel.Enabled ブー true の場合、HTTP または HTTPS トンネルが有効になってい ル ます。 プロパティ - U 以下の表では、名前が U で始まるプロパティについて説明します。 表 A-24 プロパティ - U 名前 型 URL 文字 Web オブジェクトの URL 列 URL.Categories カテ URL が属する URL カテゴリのリスト ゴリ リス ト URL.CategoriesForURL カテ 指定された URL が属する URL カテゴリのリスト ゴリ リス ト URL.CategorySetVersion 数値 URL フィルタリングで使用されたカテゴリ セットのバージ ョン番号 URL.CloudLookupLedToResult 732 説明 文字 列: 文 字列形 式の URL true の場合、Global Threat Intelligence サービスがクラ ウド検索を実行し、URL の評価が取得されています。 URL.DestinationIP IP URL.Domain 文字 アクセスが要求されたドメイン名 列 McAfee Web Gateway 7.6.0 パラメ ーター DNS 検索で見つかった URL の IP アドレス 製品ガイド 構成リスト プロパティのリスト A 表 A-24 プロパティ - U (続き) 名前 型 説明 パラメ ーター URL.DomainSuffix 文字 アクセスが要求されたドメイン名の接尾辞 列 URL.FileExtension 文字 要求されたファイルの拡張子 列 URL.FileName 文字 URL でアクセス可能なファイルの名前 列 URL.ForwardDNSLedToResult ブー true の場合、DNS 前方参照により、URL の評価が取得さ ル れています。 URL.Geolocation 文字 URL が属しているホストがある国の ISO 3166 コード。 列 このプロパティに値を割り当てるには、URL フィルター モ ジュールの次のオプションを有効にする必要があります。 オンラインの GTI Web レピュテーションとカテゴリ化サ ービスだけを使用する URL.Geolocation 文字 指定した URL のホストが存在している国の名前。 列 この URL は、現在処理中の要求で送信された URL です。 国は、ISO 3166 に従って識別されます。 URL フィルタリングの設定オプションで [ローカル GTI データベースを無効にする] を選択している場合に のみ、名前が検索されます。 URL.GeolocationForURL 文字 指定した URL のホストが存在している国の名前。 文字 列 列: レ この URL は、プロパティのパラメーターとして指定します。 ピュテ ーショ 国は、ISO 3166 に従って識別されます。 ンス コアを URL フィルタリングの設定オプションで [ローカル 検索す GTI データベースを無効にする] を選択している場合に る国名 のみ、名前が検索されます。 URL.GetParameter 文字 文字列形式での URL のパラメーター 列 URL.HasParameter ブー true の場合、指定されたパラメーターは URL のパラメータ 文字 ル 列: パ ーに属します。 ラメー ター名 URL.Host 文字 URL が属しているホスト 列 McAfee Web Gateway 7.6.0 文字 列: パ ラメー ター名 製品ガイド 733 A 構成リスト プロパティのリスト 表 A-24 プロパティ - U (続き) 名前 型 説明 パラメ ーター URL.Host.BelongsToDomains ブー true の場合、特定の URL を送信してアクセスを要求したホ 文字列 ル リス ストがリスト内のいずれかのドメインに属します。 ト: ド いずれかのドメインに属するホスト名の名前が メイン List:LastMatches プロパティの値に設定されます。 名のリ URL.Host.BelongsToDomains プロパティを使用する スト と、URL に含まれているドメイン名またはドメイン名のド ットより左側の部分 (*.domain.com) と比較することが できます。 ドメイン名 (*domain.com) に含まれる部分 は一致と見なされません。 例: ドメイン リスト は、プロパティのパラメーターとして指定 される文字列リストです。 次の項目が含まれています (URL でドメイン名の前のドットは省略しています)。 twitter.com mcafee.com dell.com k12.ga.us xxx 条件: URL.Host.BelongsToDomains("Domain List") equals true 比較される URL: http://twitter.com http://www.twitter.com http://my.mcafee.com http://my.support.dell.com http://www.dekalb.k12.ga.us any.site.xxx 比較されない URL: http://malicioustwitter.com http://www.mymcafee.com http://www.treasury.ga.us このプロパティを使用すると、複雑な条件を作成しなくても 同じ結果を得ることができます。例: • ワイルカードを含む式のリストに 2 つの項目を使用する 場合: twitter.com と *twitter.com • ワイルドカードを含む式に複雑な項目を使用する場合: regex((.*\.|.?)twitter\.com) これらの項目が Other Domain List リストに含まれて いる場合、次の条件が twitter.com ドメインと比較され ます。 734 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト プロパティのリスト A 表 A-24 プロパティ - U (続き) 名前 型 説明 パラメ ーター URL.Host と "Other Domain List" の比較 URL.HostIsIP ブー true の場合、ホストへのアクセスで送信される URL は IP ル アドレスです。 URL.IsHighRisk ブー true の場合、URL のレピュテーション スコアは高リスク範 ル 囲内にあります。 URL.IsMediumRisk ブー true の場合、URL のレピュテーション スコアは中リスク範 ル 囲内にあります。 URL.IsMinimalRisk ブー true の場合、URL のレピュテーション スコアは低リスク範 ル 囲内にあります。 URL.IsUnverified ブー true の場合、URL のレピュテーション スコアは未確認のリ ル スク範囲内にあります。 URL.Parameters 文字 URL パラメーターのリスト 列リ スト URL.ParametersString 文字 URL にパラメーターを含む文字列 列 URL にパラメーターが含まれている場合、文字列が ? 文字 で始まっています。 URL.Path 文字 URL のパス名 列 URL.Port 数値 URL のポート番号 URL.Protocol 文字 URL のプロトコル 列 URL.Raw 文字 クライアントまたは他のネットワーク コンポーネントから 列 アプライアンスが受信した URL (元の形式)。 ルール構成に対してこのプロパティを使用すると、単純な URL プロパティに対して処理が実行され、URL を可読形式 に変換する時間が短縮されるため、処理速度が向上します。 URL.Reputation 数値 指定された URL のレピュテーション スコア この URL は、現在処理中の要求で送信された URL です。 URL.ReputationForURL 数値 指定された URL のレピュテーション スコア URL.ReputationString 文字 指定された URL のレピュテーション スコア (文字列形式) 列 この URL は、現在処理中の要求で送信された URL です。 McAfee Web Gateway 7.6.0 文字 列: レ この URL は、プロパティのパラメーターとして指定します。 ピュテ ーショ ンス コアを 検索す る URL 製品ガイド 735 A 構成リスト プロパティのリスト 表 A-24 プロパティ - U (続き) 736 名前 型 URL.ReputationStringForURL 文字 指定された URL のレピュテーション スコア 文字 列 列: レ この URL は、プロパティのパラメーターとして指定します。 ピュテ ーショ ンス コアを 検索す る URL URL.ReverseDNSLedToResult ブー true の場合、DNS 逆引き参照により、URL の評価が取得 ル されています。 McAfee Web Gateway 7.6.0 説明 パラメ ーター 製品ガイド 構成リスト プロパティのリスト A 表 A-24 プロパティ - U (続き) 名前 型 説明 パラメ ーター URL.SmartMatch ブー true の場合、このプロパティのパラメーターで渡された 文字列 ル URL リストで文字列として指定されている 1 つ以上の部分 リス ト: と URL が比較されます。 URL この文字列リストの項目には、サブ文字列として URL のド の一部 メインまたはパス部分を指定する必要があります。 両方を から構 指定することもできます。 成され た文字 URL に指定されたドメインのサブドメインしか含まれてい 列形式 ない場合には、ドメイン部分も比較されます。 のリス ト パス部分は、URL のパス部分の先頭が比較されます。 また、リスト項目に URL のプロトコルとポートを指定でき ます。 文字列リストの項目のドメイン部分またはパス部分 (ある いはその両方) と URL が比較され、プロトコル部分とポー ト部分 (いずれも指定されている場合) が比較された場合、 プロパティの値が true になります。 文字列リストの項目にポートが指定され、URL が指定され た場合、該当する結果が戻されません。 たとえば、次の項目を含む文字列リストを使用します。 http://www.mycompany.com/ samplepath/xyz 比較結果は次のとおりです。 mycompany.com (一致) http://mycompany.com (一致) https://mycompany.com (不一致) http://www.mycompany.com/ (一致) host.mycompany.com (不一致) http://www.mycompany.com:8080/ (不一致) http://www.mycompany.com/samplepath/ (一 致) /samplepath/ (一致) mycompany.com/samplepath/ (一致) com (一致) このプロパティを使用すると、複雑な URL ホワイトリスト またはブラックリストと比較して検索を行うことができま す。たとえば、URL ホストと完全な URL の両方の項目を含 むリストを使用できます。 URLFilter.DatabaseVersion 数値 アプライアンスのデータベースのバージョン番号 URLFilter.EngineVersion 文字 URL フィルタリング モジュール (エンジン) のバージョン 列 を表す文字列 User-Defined.cacheMessage 文字 Web キャッシュの使用率の情報を提供するメッセージ テ 列 キスト User-Defined.eventMessage 文字 イベントで情報を提供するメッセージ テキスト 列 McAfee Web Gateway 7.6.0 製品ガイド 737 A 構成リスト ワイルドカード式 表 A-24 プロパティ - U (続き) 名前 型 説明 パラメ ーター User-Defined.loadMessage 文字 CPU 負荷で情報を提供するメッセージ テキスト 列 User-Defined.logLine 文字 ログ ファイルに書き込まれるエントリ 列 User-Defined.monitorLogMessage 文字 ログ ファイルに書き込まれるエントリ 列 User-Defined.notificationMessage 文字 通知メッセージのテキスト 列 User-Defined.requestLoadMessage 文字 要求負荷で情報を提供するメッセージ テキスト 列 User-Defined.requestsPerSecond 数値 1 秒間にアプライアンスで処理される要求数 プロパティ - W 以下の表では、名前が W で始まるプロパティについて説明します。 表 A-25 プロパティ - W 名前 型 説明 Wildcard.ToString 文字列 文字列に変換されるワイルカード式 パラメーター ワイルドカード式: 変換するワイルドカード ワイルドカード式 構成アクティビティがアプライアンスで完了したら、ブロック リストやホワイトリストに URL を一致させるためな ど、複数の目的に対してワイルドカード式を使用できます。 使用できるワイルドカード式には、2 つのタイプがあります。 • glob 表現 — これらの使用はデフォルトで行われます。 表現タイプに関する詳細は、次の Linux マン ページなどに記載されています。 glob(7) • 正規表現(Regex) — これらを使用する場合は、regex という語を最初に入力した後、半角丸括弧内に正規表 現を含める必要があります。例は次のとおりです。 regex(a*b) McAfee Web Gateway アプライアンスで使用される正規表現は、Perl の正規表現構文に従います。この構文に 関する情報は、次の Linux マン ページなどに記載されています。 perlre(1) 738 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト ワイルドカード式 A ワイルドカード式のテスト ワイルドカード式をリストに追加する際には、テストを行ってから実際に追加することができます。 タスク 1 [ポリシー] 、 [リスト]を選択します。 2 リスト ツリーで、[ワイルドカード式]を展開し、リストを選択します。 3 設定ペインで、[追加]アイコンをクリックします。 [ワイルドカード式の追加]ウィンドウが開きます。 4 入力フィールドにワイルドカード式を入力し、[テスト]をクリックします。 [ワイルドカード式のテスト]ウィンドウが開き、式が有効であるかどうかに関する情報が表示されます。 重要な特殊 glob 文字のリスト 以下の表は、glob タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提供 します。 表 A-26 重要な特殊 glob 文字のリスト 文字 説明 ? 任意の単一の文字と一致します(角括弧の間にない場合)。 例: ?est は、以下と一致します。 best rest test およびその他 * 空の文字列を含む任意の文字列と一致します(角括弧の間にない場合)。 例: b* は、以下と一致します。 b best binary およびその他 [...] 角括弧に含まれるいずれかの単一の文字と一致します。 ? および * は角括弧内の通常文字です。 例: [a5?] は、以下と一致します。 a 5 ? 最初の文字は! 以外である必要があります(感嘆符)。 McAfee Web Gateway 7.6.0 製品ガイド 739 A 構成リスト ワイルドカード式 表 A-26 重要な特殊 glob 文字のリスト (続き) 文字 説明 ! 感嘆符の後の文字を除く任意の 1 文字と一致します。 例: [!ab] は、以下と一致します。 c S % 以下とは一致しません。 a b - 文字の範囲を示すために使用されます。 例: [a-f A-F 0-5] は、以下と一致します。 d F 3 およびその他 / ? および * とは一致しません。また、[...] に含むこと、および範囲の一部にすることができません。 これは、たとえば、以下のことを意味します http://linux.die.net/* は以下のパス名と一致しません。 http://linux.die.net/man/7/glob しかし、パス名は次と一致します。 http://linux.die.net/*/*/* \ 前に ?、*、または [ が付いている場合、これらは通常文字になります。 例: [mn\*\[] は、以下と一致します。 m n * [ . .(ドット)で始まるファイル名は明示的に一致する必要があります。 例: 以下のコマンド rm * はファイル .profile を削除しません。 しかし、次のコマンドの場合は削除します。 rm .* 740 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト ワイルドカード式 A 重要な特殊正規表現文字のリスト 以下の表は、正規表現タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提 供します。 以下の例には、regex の用語と括弧が含まれます。アプライアンスでこれらの式に関する作業を行う際には、両方 を使用する必要があります。 表 A-27 重要な特殊正規表現文字のリスト 文字 説明 . 任意の 1 文字と一致します。 例: regex(.est) は、以下と一致します。 best rest テスト およびその他 * 前の文字 0 回以上と一致します 例: regex(a*b) は、以下と一致します。 b ab aaaaab およびその他 + 前の文字 1 回以上と一致します。 例: regex(c+d) は、以下と一致します。 cd ccccd およびその他 ? 前の文字 0 回または 1 回と一致します。 例: regex(m?n) は、以下と一致します。 n mn ^ 行の先頭と一致します $ 行の末尾と一致します。 McAfee Web Gateway 7.6.0 製品ガイド 741 A 構成リスト ワイルドカード式 表 A-27 重要な特殊正規表現文字のリスト (続き) 文字 説明 {...} 指定回数の 1 文字と一致するために使用します。 オプション: • a{n} — n 回の 1 文字と一致します。 例: regex(a{3}) は、以下と一致します。 aaa • a{n,} — n 回以上の 1 文字と一致します。 例: regex(p{4,}) は、以下と一致します。 pppp ppppp およびその他 • a{n,m} — 限界値を含めて n ~ m 回と一致します。 例: regex(q{1,3}) は、以下と一致します。 q qq qqq | 二者択一的に一致する表現を分割します。 例: regex(abc|klm) は以下と一致します。 abc klm (...) 他の表現と組み合わせて、別の表現を区切ります。 例: regex(bi(n|rd)) は以下と一致します。 bin bird [...] 角括弧に含まれるいずれかの単一の文字と一致します。 例: regex([bc3]) は、以下と一致します。 b c 3 - 文字の範囲を括弧内の表現で示すために使用されます。 例:regex([c-f C-F 3-5]) は、以下と一致します。 d F 4 およびその他 742 McAfee Web Gateway 7.6.0 製品ガイド 構成リスト ワイルドカード式 A 表 A-27 重要な特殊正規表現文字のリスト (続き) 文字 説明 ^ かっこ内にある表現を、アクセント サーカムフレックスの後に続く文字を除き、任意の 1 文字と一致しま す。 例: regex([^a-d]) は、以下と一致します。 e 7 & およびその他。以下を除きます。 a b c d \ 特殊文字の前にある場合、それを通常の文字に変換します。 例: regex(mn\+) は、以下と一致します。 mn+ 通常の文字の前にある場合、文字の特定のクラスと一致します。 これらのクラスの詳細については、perlre man ページまたはその他のドキュメントを参照してください。 次はよく使われる文字クラスの例です。 regex(\d) は、次のような数字と一致します。 3 4 7 およびその他 regex(\w) は次のようなすべてのアルファベット文字と一致します。 a F s およびその他 regex(\D) は数字ではなく次のようなすべての文字と一致します。 c T % およびその他 McAfee Web Gateway 7.6.0 製品ガイド 743 A 構成リスト ワイルドカード式 744 McAfee Web Gateway 7.6.0 製品ガイド B REST インターフェース アプライアンスの標準インターフェースにログオンすることなく、アプライアンスを管理することを可能にするイン ターフェースが提供されています。この代わりのインターフェースは、REST()インターフェースとして知られて います。 REST インターフェースを使用して、さまざまな種類のアクティビティを特定のアプライアンス、またはそれに接続 されている他のアプライアンスに実行できます。 • アクション — アプライアンスをオフ、再起動、キャッシュを消去、構成バックアップを作成、およびさまざまな 他のアクティビティを実行します。 • ファイル処理 — ダウンロード、変更、削除、およびその他のアクティビティを実行するために、システムにアク セス、ログ、およびファイルのトラブルシューティングします • ポリシー構成 — エンジンおよびルール アクションの設定を構成したり、有効化、追加、削除、エクスポート、 インポートなどのアクティビティを実行することにより、ルール セットおよびルールを管理したりします。 • 更新 — 手動エンジン構成および自動 yum 更新とエンジン更新のトリガーを実行します。 適切なスクリプトは、これらのアクティビティを実行する通常の方法です。 目次 REST インターフェースの使用の準備 REST インターフェースの操作 REST インターフェースを操作するためのサンプル スクリプト REST インターフェースの使用の準備 ユーザーが REST インターフェースを操作できるようにするには、アプライアンスの標準ユーザー インターフェー スで REST インターフェースを有効にし、アクセスを許可する必要があります。 タスク • 746 ページの「インターフェースの使用の有効化」 アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェー スの使用を有効化できます。 • 746 ページの「インターフェースにアクセスする権限を与える」 インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限 を追加する必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 745 B REST インターフェース REST インターフェースの操作 インターフェースの使用の有効化 アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェースの使用を有 効化できます。 タスク 1 [構成] 、 [アプライアンス]を選択します。 2 アプライアンス ツリーで、REST インターフェースを使用して管理するアプライアンスを選択して、[ユーザー インタフェース]をクリックします。 3 [UI アクセス]で、必要に応じて、[HTTP 経由の REST インターフェースの有効化]または[HTTPS 経由の REST インターフェースの有効化]を選択します。 4 [変更の保存]をクリックします。 インターフェースにアクセスする権限を与える インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限を追加する必 要があります。 タスク 1 [アカウント] 、 [管理者アカウント]を選択します。 2 [ロール領域]で管理者ロールを選択して、[編集]をクリックします。 [ロールの編集]ウィンドウが開きます。 3 [REST インタフェースがアクセス可能]を選択します。 4 [OK]をクリックしてウィンドウを閉じます。 5 [変更の保存]をクリックします。 これで、管理者ロールを適切なユーザーに割り当てることができます。 既存のロールにアクセス権限を追加する代わりに、この権限を持つ新しいロールを作成して、それを名前を付けるこ とも可能です。例: REST Admin。 REST インターフェースの操作 REST インターフェースを操作する際には、1 つまたは複数のアプライアンスでアクティビティを実行するために、 HTTP または HTTPS の要求を送信することを目的として REST インターフェースを使用します。 直ちに処理される個々の要求を送信したり、bash スクリプトなどのスクリプト内で要求を使用したりすることがで きます。後者は、一般的な使用法です。 要求は、この要求を処理して応答を送信するためのサーバーを提供するアプライアンスのクライアントを使用して、 REST インターフェースに送信されます。このサーバーでは特定の作業領域が割り当てられるため、一部のタイプの 変更を適用するには、変更を確定するための要求を送信して、この変更が有効になるようにする必要があります。 1 つのアプライアンスで REST インターフェースにログオンする際には、認証が行われ、セッション ID が提供され ます。すると、アプライアンスでアクションを実行したり、ファイルやリストを操作したりするために、HTTP また は HTTPS の要求を送信できます。さらに、集中管理構成でノードとして接続されているその他のアプライアンス(最 初にログオンしたアプライアンス以外)でも、同じことを実行できます。 REST インターフェースは、ATOM 形式とも呼ばれる特定の形式で提供されます。 746 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B インターフェース サーバーと通信するためのクライアントとして、curl(Client for URLs)などのデータ転送ツー ルを使用することができます。 要求を送信するためのサンプル スクリプト curl を使用して REST インターフェースに要求を送信する bash スクリプトの例は、次のとおりです。要求の目的 は、構成バックアップを作成することです。 このスクリプトは、基本的に以下を実行します。 • アプライアンスで REST インターフェースへのログオンと認証を行う • バックアップ ファイルを作成するための要求を送信する • 再度ログオフする また、このスクリプトは、REST インターフェースにログオンするための要求内で指定された URL に対する変数を 使用します。この変数は、先頭で設定されます。 # !bin/bash # Set URL variable for access to REST interface REST="http://localhost:4711/Konfigurator/REST" ## Log on and authenticate curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/ login" ## Create backup file curl -b cookies.txt -X POST "$REST/backup" -o filename.backup ## Log off again curl -b cookies.txt -X POST "$REST/logout" データ転送ツールとしての curl の使用 アプライアンスで REST インターフェースに要求を送信するために、データ転送ツールとして curl を使用すること ができます。 curl を使用して送信される要求は、curl コマンド、1 つまたは複数のオプション、および 1 つの URL という 3 つ の部分で通常は構成されます。 たとえば、次のバックアップ要求が送信されたとします。 curl -b cookies.txt -X POST "$REST/backup" -o filename.backup ここで、curl コマンドは、テキスト ファイル内に収集された cookie を送信するための -b オプション、および別の ファイルに要求の出力を保存する -o オプションとともに指定されています。-X オプションは、要求メソッドに対す るものです。 URL は、IP アドレス、ポート番号、およびアプライアンスで REST インターフェースにアクセスするために必要な その他の情報を値として持つ変数として指定されます。この後には、実行する必要のあるアクティビティの名前が続 きます。 これらと、curl の他のオプションを、適切な URL とともに使用することにより、必要に応じてアクティビティを実 行するために、アプライアンスで REST インターフェースに要求を送信できます。 curl データ転送ツールは、Linux およびその他の UNIX オペレーティング システムで利用可能です。詳細は、curl マン ページなどで説明されています。 McAfee Web Gateway 7.6.0 製品ガイド 747 B REST インターフェース REST インターフェースの操作 要求メソッド 要求メソッドは、-X オプションによって curl で指定されます。アプライアンスで REST インターフェースを操作す る際には、GET、POST、PUT、および DELETE という方法を使用することができます。例は次のとおりです。 curl -X POST <URL> 要求メソッドが指定されていない場合は、デフォルトのメソッドとして GET が使用されます。 ヘッダー 要求とともにヘッダーが送信される場合は、-H オプションによって指定されます。例は次のとおりです。 curl -H <ヘッダー名>:<ヘッダー値> -X POST <URL> -H オプション文字を各ヘッダーの前で繰り返すことにより、1 つの要求内で複数のヘッダーを送信できます。 curl -H <ヘッダー名 1>:<ヘッダー値 1> -H <ヘッダー名 2>:<ヘッダー 2> <...>-X POST <URL> 要求には、application/atom+xml を値として持つ Accept ヘッダーが通常は含まれています。curl では、 REST インターフェースで受け入れられる Accept: */* がデフォルトとして送信されるため、多くの場合はこのヘ ッダーを省略してもかまいません。 ただし、要求の本文内にあるデータを送信する場合は、application/atom+xml を値として持つ Content-Type ヘッダーを含める必要があります。その後、Content-Length ヘッダーを含めて正しく設定する必要もあります。 後者については、デフォルトによって curl で行われるため、このツールを使用する場合には明示的に行う必要はあ りません。 要求時に取得する応答のヘッダーを出力に含める場合は、-i オプションを挿入する必要があります。 curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login" -v オプションは、詳細出力を作成します。つまり、要求ヘッダーも含まれるようになります。 URL 要求内の URL は、プロトコル(REST インターフェースとの通信において HTTP または HTTPS)、IP アドレスまた はホスト名と、要求が送信される先のアプライアンスのポート番号、および REST インターフェースへのアプライア ンスの内部パスを指定します。 この後には、実行する必要のあるアクティビティの名前と、存在する場合はさらなるパラメーターが続きます。 REST インターフェースはアプライアンスのコンフィギュレーター サブシステム内にあるため、このサブシステムの 内部名である Konfigurator が URL 内に現れます。 たとえば、ログイン要求内の URL は、次のようになります。 curl -X POST "HTTP://localhost:4711/Konfigurator/REST/login?userName=myusername &pass=mypassword この要求では、ログオン認証情報に対するクエリ パラメーターも URL 内にあります。クエリ パラメーターは、示す ように、?(疑問符)によって導入され、&(アンパサンド)で区切られます。また、URL は、;(セミコロン)によ って導入されるマトリックス パラメーターを持つこともできます。 URL エンコードが正しくなるように、URL 内のスペースは %20 記号で埋める必要があります。たとえば、Bob Smith は Bob%20Smith にします。 コードの書き込みと読み取りを容易にするために、URL 内では変数を使用できます。たとえば、$REST 変数を適宜 設定した場合、上記の要求は次のようになります。 748 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B curl -X POST "$REST/login?userName=myusername&pass=mypassword 要求本文内のデータの送信 要求の本文内にあるデータを送信するには、そのデータを含んでいるファイルの名前の前で -d オプションを使用し ます。 curl -b cookies.txt -X POST -d "file.txt" "$REST/list?name=newlist&type=string" バイナリ データのみを送信する場合に使用するオプションは、--data-binary です。 curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H "Content-Type:text/plain; charset=UTF-8" ファイル名を指定するためのオプション名の後には、@ 記号を使用できます。 インターフェースへの認証 REST インターフェースを使用して、アプライアンスのアクティビティを実行する前に、認証する必要があります。 認証するには、REST インターフェースに送信するログオン要求でユーザー名とパスワードを提出します。 それらを提出するには、以下の 2 つの方法があります。 • クエリ パラメーターの使用 • 認証ヘッダーの使用 認証に成功した後、応答には後に続くそれぞれの要求に含む必要のある、セッション ID が含まれます。 認証のためにクエリ パラメーターを使用する ログオン要求で URL に追加するクエリ パラメーターで認証情報を提出できます。 curl -i -X POST "$REST/login?userName=myusername&pass=mypassword" 認証ヘッダーの使用 また、認証するために基本アクセス認証方法を使用することも可能で、それは認証情報を認証ヘッダーに提出するこ とを必要とします。 curl -i -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login 認証ヘッダーで、認証: 基本 の後の文字列が、ユーザー名とパスワードの Base64 エンコード形式です。 セッション ID ログオン要求の応答してセッション ID が送信されます。セッション ID は、次のような形式になっています。 D0EFF1F50909466159728F28465CF763 それは、次のいずれかに含まれます。応答本文: <entryxmlns="http://www.w3.org/2005/ Atom"><contenttype="text">D0EFF1F50909466159728F28465CF763</content></entry> Set-Cookie ヘッダー: Set-Cookie:JSESSIONID=D0EFF1F50909466159728F28465CF763 ログオン要求の後に続くセッションの要求では、セッション ID を JSESSIONID として含める必要があります。 McAfee Web Gateway 7.6.0 製品ガイド 749 B REST インターフェース REST インターフェースの操作 より簡単にコードを書いたり読んだりするために、変数を ID の値に設定し、それを ID を含めるために使用するこ とが可能です。 export SESSIONID=D0EFF1F50909466159728F28465CF763 ID の前にセミコロンを付けたして、それをマトリックス パラメーターとして URL に付与することができます。 curl -i "$REST/appliances;jsessionid=$SESSIONID" あるいは、ID を Cookie ヘッダー内で ID を送信できます。 curl -i -H "Cookie:JSESSIONID=$SESSIONID" "$REST/appliances" curl のオプション -c は、テキストファイルですべての Cookie を収集することを可能にし、それはその後に後続の 要求とともに送信されます。 curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login" Cookie ファイルを要求とともに送信するには、オプション -b が使用されます。 curl -i -b cookies.txt "$REST/appliances" リソースの要求 システム ファイル、ログ ファイル、リスト、およびその他の項目に関して REST インターフェースに送信された要 求は、リソースの要求と見なされます。 リソースの要求に対する応答は、以下のいずれかに設定できます。 • エントリ — エントリは、個々のリソースに関する情報(リソースにアクセスするために使用できる ID、名前、 URL など)を xml 形式で配信します。 • フィード - フィードは、リソースの集合に関する情報を xml 形式で配信します。 フィードの例には、集中管理構成でノードとして利用可能なアプライアンスのリスト、アプライアンスに存在す るすべてのリストのリスト、または特定のタイプのすべてのリストのリストが含まれます。 • バイナリ データ — バイナリ データは、ダウンロードを要求したファイル内に配信されます。 要求されたデータが利用可能でない場合は、応答を空にすることもできます。 xml データのオーバーヘッドの削減 応答で受信する xml データのオーバーヘッドは、適切な Accept ヘッダーをリソースの要求に含めることによって 削減できます。この目的のため、ヘッダー値は application/mwg+xml にする必要があります。 通常の Atom 形式のエントリの代わりに、xml データのみをその形式のコンテンツ部分から受信します。 Atom 形式のフィードの代わりに、ID のリストのみを要求したリソースに対して受信します。 同様に、リソースを操作する際(リソースを変更する場合など)にも xml データのオーバーヘッドを削減できます。 このためには、Content-Type ヘッダーを application/mwg+xml に設定する必要があります。 フィードのページング フィードを要求する際に、ページングを使用することができます。つまり、複数のページに分割されるフィードを要 求することが可能です。 750 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B ページング情報は、URL に追加されるクエリ パラメーターによって要求内で指定されます。使用できるパラメータ ーには、以下の 2 つがあります。 • PageSize — 1 ページの最大要素数 • Page — ページ番号 ページングを使用するフィードの要求は、次のようになります。 curl -i -b cookies.txt "$REST/list?pageSize=10&page=4" たとえば、フィードが 35 リストのリストである場合、上記の要求内の pageSize パラメーターはフィードを 4 ペ ージに分割し、そのうちの 3 ページにはそれぞれ 10 リスト、最後の 1 つには 5 リストのみが含まれます。また、 最後のページが配信される対象です。 フィード内での移動 フィード内での移動を可能にするため、受信する xml ファイルには適切なリンクが含まれています。 これらのリンクを使用すると、現在、次、前、最初、および最後のページにそれぞれ移動できます。 基本アクティビティの実行 REST インターフェースを操作する際には、ログオン、ログオフ、変更の確定、構成バックアップの作成など、複数 の基本アクティビティを作業環境内で実行できます。 POST 要求メソッドは、これらのアクティビティすべてを実行するために使用されます。特定のアクティビティは、 要求の URL に追加されるパラメーターによって指定されます。 たとえば、アプライアンスで REST インターフェースからログオフするための要求は、次のとおりです。 curl -i -b cookies.txt -X POST "$REST/logout" 基本アクティビティに対するパラメーターは、以下のとおりです。 • login — ログオンします • discard — 変更を破棄します • logout — ログオフします • backup — 構成をバックアップします • heartbeat — セッションをキープアライブ(維 持)します • restore — 構成を復元します • commit — 変更を確定します これらのアクティビティの実行以外にも、REST インターフェースのバージョンに関する情報、および現在作業して いるアプライアンスの標準ユーザー インターフェースのバージョンに関する情報も要求することができます。 ログオン アプライアンスで REST インターフェースにログオンするには、login パラメーターが要求内で使用されます。この 要求内では、認証用の情報も入力します。例は次のとおりです。 curl -i -X POST "$REST/login?userName=myusername&pass=mypassword" 認証が正常に実行されると、ログオン要求に対する応答によってセッション ID が提供されます。 ログオフ アプライアンスで REST インターフェースからログオフするには、logout パラメーターが使用されます。 curl -i -b cookies.txt -X POST "$REST/logout" ログオフすると、セッション情報が削除され、必要な確定が行われていないセッション中の変更は破棄されます。 McAfee Web Gateway 7.6.0 製品ガイド 751 B REST インターフェース REST インターフェースの操作 セッションのキープアライブ 要求内で heartbeat パラメーターを使用すると、現在作業しているセッションが維持されます。 curl -i -b cookies.txt -X POST "$REST/heartbeat" 変更の確定 アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を確定するには、 commit パラメーターが使用されます。 curl -i -b cookies.txt -X POST "$REST/commit" 変更の破棄 アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を破棄するには、 discard パラメーターが使用されます。 curl -i -b cookies.txt -X POST "$REST/discard" 構成のバックアップ 現在作業しているアプライアンスに対して構成バックアップを作成するには、backup パラメーターが使用されま す。 curl -b cookies.txt -X POST "$REST/backup -o filename.backup" 構成をバックアップまたは復元する際には、出力の一部として応答ヘッダーは必要ないため、要求内に -i オプショ ンを含めなくてもかまいません。 構成の復元 現在作業しているアプライアンスの構成を復元するには、restore パラメーターが使用されます。また、バックアッ プ ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。 curl -b cookies.txt --data-binary @filename.backup -X POST "$REST/restore" -H "Content-Type:text/plain;charset=UTF-8" バージョン情報の要求 REST インターフェースのバージョンに関する情報や、現在作業しているアプライアンスの標準ユーザー インターフ ェースのバージョンに関する情報を要求するには、version パラメーターを使用できます。 このパラメーターを要求内で単独使用すると、両方のインターフェースのバージョンを含むフィードが XML 形式で 取得されます。 curl -i -b cookies.txt -X GET "$REST/version" また、いずれかのインターフェースに対するバージョン情報のみを取得することもできます。REST インターフェー スに対しては、次の要求を送信できます。 curl -i -b cookies.txt -X GET "$REST/version/mwg-rest" 標準ユーザー インターフェースに対しては、次の要求を送信できます。 curl -i -b cookies.txt -X GET "$REST/version/mwg-ui" 752 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B 個々のアプライアンスでの作業 1 つのアプライアンスで REST インターフェースにログオンした後、接続されているその他のアプライアンスでアク ティビティを実行することができます。個々のアプライアンスは、その UUID(ユニバーサル固有識別子)によって 要求内で識別されます。 個々のアプライアンスの UUID を調べるには、集中管理構成でノードとして接続されているすべてのアプライアンス のフィードを、現在作業しているアプライアンスに要求できます。 フィードには、すべてのノードに対する UUID のリストが含まれます。UUID は次のようになります。 081EEDBC-7978-4611-9B96-CB388EEFC4BC フィードを取得するために、GET 要求が送信されます(appliances パラメーターが URL に追加された状態で)。 curl -i -b cookies.txt -X GET "$REST/appliances" これで、個々のアプライアンスを UUID によって識別し、たとえば、action パラメーターと shutdown アクショ ン名が追加された POST 要求を使用してこのアプライアンスをシャットダウンできます。 curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown" 適切なスクリプトを実行するなどして、フィードによって UUID が配信された個々のアプライアンスすべてで、この アクションまたはその他のアクティビティを繰り返すことが可能です。 アクション REST インターフェースを操作する際のアクションとは、要求内の action パラメーターに先行するアクティビティ です。リソースの変更を伴わず、アクションは直ちに実行され、確定するための要求は必要ありません。 アクション名は以下のとおりです。 • restart — アプライアンスを再起動します • rotateLogs — ログ ファイルのローテーション を行います • shutdown — アプライアンスをシャットダウ ンします • rotateAndPushLogs — ログ ファイルのロー テーションとプッシュを行います • flushcache — キャッシュをフラッシュします • license — ライセンスをインポートします アプライアンスの再起動 アプライアンスを再起動するには、要求内のアクション名として restart が使用されます。 curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/action/restart" アプライアンスのシャットダウン アプライアンスをシャットダウンするには、アクション名として shutdown が使用されます。 curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown" キャッシュのフラッシュ アプライアンスでキャッシュをフラッシュするには、アクション名として flushcache が使用されます。 curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/flushcache" ログ ファイルのローテーション アプライアンスでログ ファイルのローテーションを行うには、アクション名として rotateLogs が使用されます。 McAfee Web Gateway 7.6.0 製品ガイド 753 B REST インターフェース REST インターフェースの操作 curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/rotateLogs" ログ ファイルのローテーションとプッシュ アプライアンスでログ ファイルのローテーションとプッシュを行うには、アクション名として rotateAndPushLogs が使用されます。 curl -i -b cookies.txt -X POST "$REST/appliances/" <UUID>/action/rotateAndPushLogs" ライセンスのインポート アプライアンスでライセンスをインポートするには、アクション名として license が使用されます。また、ライセ ンス ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。 curl -i -b cookies.txt -H "Content-Type:text/plain; charset=UTF-8" -X POST "$REST/ appliances/ <UUID>/action/license" --data-binary @license.xml ファイルとリストの操作 システム ファイル、ログ ファイル、トラブルシューティング用にアップロードされたファイル、およびリストを操 作する際には、action パラメーターの代わりに、system、log、files、および list といったパラメーターが要求 内で使用されます。 システム ファイルおよびリストに対して行われた変更は、適切な要求を送信することによって確定される必要があり ます。 システム ファイルの操作 アプライアンスでシステム ファイルを操作するために、REST インターフェースを使用することができます。 不適切な方法でシステム ファイルを移動すると、正常に動作しているアプライアンスに影響を与える可能性がありま す。 特定のアプライアンスでシステム ファイル(/etc/hosts ファイルなど)にアクセスするための要求内では、UUID を使用してアプライアンスを識別し、system パラメーターを URL に追加します。 システム ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接ア クセスすることができます。 それ以外の場合は、アプライアンスに存在するシステム ファイルのリストを配信するフィードを要求できます。例は 次のとおりです。 curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/system" その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。 システム ファイルに関しては、以下を実行できます。 • システム ファイルのダウンロード • システム ファイルの変更 アプライアンスのログ ファイルやその他のファイルとは異なり、システム ファイルに対して行った変更を確定する ための要求を別途に送信する必要があります。 FIPS 対応モードでアプライアンスを実行している場合は、システム ファイルを変更できません。 754 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B システム ファイルのダウンロード システム ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、 このシステム ファイルのパスと名前を URL に追加します。 curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/ <UUID> /system/etc/hosts" -O -O オプションは、データをローカル ファイル(名前は、データをダウンロードしたアプライアンスで指定されてい るものと同じ)内に保存します。 システム ファイルの変更 システム ファイルを変更する際には、Content-Type ヘッダーを設定し、このシステム ファイルのパスと名前を URL に追加します。また、ファイルは、このシステム ファイルを変更するためのバイナリ形式データを含む要求本 文として提供します。 curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/ system/etc/hosts" --data-binary @binary.zip ログ ファイルの操作 アプライアンスでログ ファイルを操作するために、REST インターフェースを使用することができます。 特定のアプライアンスでログ ファイルにアクセスするための要求内では、UUID を使用してアプライアンスを識別 し、log パラメーターを URL に追加します。 ログ ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接アクセ スすることができます。 それ以外の場合は、アプライアンスのルート ログ ディレクトリに保存されているファイルとディレクトリのリスト を配信するフィードを要求できます。例は次のとおりです。 curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/log" その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。 応答のフィードとして受信する xml ファイルは、MIME タイプの情報を提供し、個々のログ ファイルであるのか、 またはディレクトリであるのかを、フィード内の各要素に対して示します。 • "application/x-download" — 個々のログ ファイルの場合 • "application/atom+xml; type=feed" — ディレクトリの場合 たとえば、ルート ログ ディレクトリに個々のログ ファイル debug_1234.log が含まれていることを示す xml フ ァイルは、次のようになります。 <link href="http://localhost:4711/Konfigurator/REST/appliances/ 081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/debug_1234.log" rel="self" type="application/x-download"/> また、ディレクトリ connection_tracing が含まれていることは、次のように示されます。 <link href="http://localhost:4711/Konfigurator/REST/appliances/ 081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/connection_tracing" rel="self" type="application/atom+xml; type=feed"/> McAfee Web Gateway 7.6.0 製品ガイド 755 B REST インターフェース REST インターフェースの操作 個々のログ ファイルに関しては、以下を実行できます。 • ログ ファイルのダウンロード • ログ ファイルの削除 ログ ファイルのダウンロード ログ ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、この ログ ファイルのパスと名前を URL に追加します。 curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/ <UUID> /log/debug/debug_1234.log" -O -O オプションは、ログ ファイル データをローカル ファイル(名前は、データをダウンロードしたアプライアンス で指定されているものと同じ)内に保存します。 ログ ファイルの削除 ログ ファイルを削除する際には、このログ ファイルのパスと名前を URL に追加します。 curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/log/debug/debug_1234.log" トラブルシューティング用にアップロードされたファイルの操作 アプライアンスでトラブルシューティングを目的としてアップロードされたファイルを操作するために、REST イン ターフェースを使用することができます。 アプライアンスの標準ユーザー インターフェースでは、[トラブルシューティング]トップレベル メニューからアク セスできる[ファイル]の下に、トラブルシューティングを目的としてファイルをアップロードできます。 特定のアプライアンスでアップロードされたファイルの 1 つにアクセスするための要求内では、UUID を使用してア プライアンスを識別し、files パラメーターを URL に追加します。 アップロードされたファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイ ルに直接アクセスすることができます。 それ以外の場合は、これらのファイルのリストを配信するフィードを要求できます。例は次のとおりです。 curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/files" その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。 アップロードされたファイルに関しては、以下を実行できます。 • アップロードされたファイルのダウンロード • アップロードされたファイルへのファイルの追加 • アップロードされたファイルの変更 • アップロードされたファイルの削除 アップロードされたファイルのダウンロード アップロードされたファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダー を指定し、このファイルの名前を URL に追加します。 curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/ <UUID>/files/troubleshooting.zip" -O 756 McAfee Web Gateway 7.6.0 製品ガイド B REST インターフェース REST インターフェースの操作 -O オプションは、ダウンロードされたデータをローカル ファイル(名前は、データをダウンロードしたアプライア ンスで指定されているものと同じ)内に保存します。 アップロードされたファイルへのファイルの追加 アップロードされたファイルに別のファイルを追加する際には、Content-Type ヘッダーを設定し、追加するファイ ルの名前を URL に追加します。また、バイナリ形式のデータを含むこのファイルは、要求本文として提供します。 curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/ moretroubleshooting.zip" --data-binary @moretroubleshooting.zip コンテンツ タイプが application/x-www-form-urlencoded でないことを確認してください。これは、curl ツールによってヘッダーがこの値に設定されるためです。 アップロードされたファイルの変更 アップロードされたファイルを変更する際には、Content-Type ヘッダーを設定し、このファイルの名前を URL に 追加します。また、ファイルは、このファイルを変更するためのバイナリ形式データを含む要求本文として提供しま す。 curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/ troubleshooting.zip" --data-binary @binary.zip アップロードされたファイルの削除 アップロードされたファイルを削除する際には、このファイルの名前を URL に追加します。 curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/files/troubleshooting.zip" リストの操作 アプライアンスでリストとリスト エントリを操作するために、REST インターフェースを使用することができます。 リストにアクセスするための要求内では、list パラメーターを URL に追加します。 アプライアンスで利用可能なすべてのリストのリストを配信するフィードに対する要求は、次のようになります。 curl -i -b cookies.txt -X GET "$REST/appliances/ list" その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することができます。これ 以外に、ファイルの名前とタイプに対するクエリ パラメーターを追加することもできます。 次の要求は、利用可能な文字列リストのフィードを取得します。 curl -i -b cookies.txt -X GET "$REST/appliances/ list?type=string" 次の要求は、Default という名前を持つすべてのリストのフィードを取得します。 curl -i -b cookies.txt -X GET "$REST/appliances/ list?name=Default" 要求に応答するフィードとして受信する xml ファイルは、各リストに対してリスト ID を提供します。この ID は、 アクセスするリストを識別するために使用できます。リスト ID は次のようになります。 com.scur.type.regex.11347 リスト ID は、特定のリストのエントリのフィードに対する要求内で、entry パラメーターとともに使用することも できます。次の要求は、リスト エントリ フィードを取得します。 curl -i -b cookies.txt -X GET "$REST/appliances//list/<list ID>/entry" McAfee Web Gateway 7.6.0 製品ガイド 757 B REST インターフェース REST インターフェースの操作 要求に応答するフィードとして受信する xml ファイルは、各エントリに対して位置を識別するための番号を提供し ます。この位置は、アクセスするエントリを識別するために使用できます。 リストに関しては、以下を実行できます。 • コンテンツを含むリストの追加 • リストの取得 • コンテンツ内に名前とタイプを含むリストの追加 • リストの変更 • 空のリストの追加 • リストのコピー • リストの削除 リスト エントリに関しては、以下を実行できます。 • リスト エントリの取得 • リスト エントリの移動 • リスト エントリの削除 • リスト エントリの挿入 • リスト エントリの変更 コンテンツを含むリストの追加 コンテンツを含むリストを追加する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式 のファイルを要求本文として提供します。また、URL のクエリ パラメーターを使用して、リストの名前をタイプを 指定します。 curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d @listwithcontent.xml "$REST/list?name=newlist&type=category" この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。 要求とともに送信する xml ファイルは、次のようになります。 <entry> <content type="application/xml"> <list> <description/> <content> <listEntry> <entry>com.scur.category.192</entry> <description/> </listEntry> <listEntry> <entry>com.scur.category.195</entry> <description/> </listEntry> <listEntry> <entry>com.scur.category.140</entry> <description/> </listEntry> </content> 758 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースの操作 B </list> </content> </entry> コンテンツ内に名前とタイプを含むリストの追加 コンテンツ内に名前とタイプが含まれているリストを追加する際には、Content-Type ヘッダーを指定し、-d オプ ションを使用して xml 形式のファイルを要求本文として提供します。 curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d @nameandtypeinside.xml" "$REST/list" この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。 要求とともに送信する xml ファイルは、次のようになります。 <entry> <content type="application/xml"> <list name="Lifestyle" typeId=“com.scur.type.category”> <description/> <content> <listEntry> <entry>com.scur.category.192</entry> <description/> </listEntry> <listEntry> <entry>com.scur.category.195</entry> <description/> </listEntry> <listEntry> <entry>com.scur.category.140</entry> <description/> </listEntry> </content> </list> </content> </entry> 空のリストの追加 空のリストを追加する際には、URL のクエリ パラメーターを使用して、リストの名前をタイプを指定します。 curl -i -b cookies.txt -X POST "$REST/list?name=newlist&type=category" この要求への応答には、xml 形式の空のリストが要求本文として含まれます。 リストの取得 コンテンツを含むリストを取得する際には、そのリスト ID を URL に追加します。 McAfee Web Gateway 7.6.0 製品ガイド 759 B REST インターフェース REST インターフェースの操作 curl -i -b cookies.txt -X GET "$REST/list/ <リスト ID>" この要求への応答には、xml 形式の該当リストが要求本文として含まれます。これは、新しいリストが追加された場 合と同じ構造を持ちます。 リストの削除 リストを削除する際には、そのリスト ID を URL に追加します。 curl -i -b cookies.txt -X DELETE "$REST/list/ <リスト ID>" リストの変更 リストを変更する際には、変更されたコンテンツでそのリストを置換します。Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。また、リスト ID も URL に追 加します。 変更されたコンテンツの構造は、コンテンツ内に名前とタイプを含めずにリストのコンテンツが追加された場合と同 じです。 curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedlist.xml "$REST/list/<list ID>" この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。 リストのコピー リストをコピーする際には、コピーするリストの ID を URL に追加します。また、copy パラメーターと、コピー されるリストが持つべき名前に対するクエリ パラメーターも追加します。 curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/copy/?newname" この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。 リスト エントリの取得 リスト エントリを取得する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し ます。 curl -i -b cookies.txt -X GET "$REST/list/<リスト ID>/entry/3" この要求への応答には、xml 形式のエントリが要求本文として含まれます。 リスト エントリの削除 リスト エントリを削除する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し ます。 curl -i -b cookies.txt -X DELETE "$REST/list/<リスト ID>/entry/4" リスト エントリの変更 リスト エントリを変更する際には、変更されたコンテンツでそのリスト エントリを置換します。Content-Type ヘ ッダーを指定し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。 また、リスト ID、entry パラメーター、およびそのエントリの位置も URL に追加します。 curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedentry.xml "$REST/list/<リスト ID>/entry/2" 760 McAfee Web Gateway 7.6.0 製品ガイド B REST インターフェース REST インターフェースを操作するためのサンプル スクリプト この要求への応答には、xml 形式の変更済みエントリが要求本文として含まれます。 要求とともに送信する変更済みコンテンツは、次のようになります。 <entry xmlns=“http://www.w3org/2011/Atom”> <content type="application/xml"> <listEntry> <entry>com.scur.category.192</entry> <description/> </listEntry> </content> </entry> リスト エントリの移動 リスト エントリを移動する際には、リスト ID、entry パラメーター、およびそのエントリの元の位置を URL に追 加します。また、move、newpos クエリ パラメーター、およびそのエントリの新しい位置も追加します。 curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/entry/4/move?newpos=3" この要求への応答には、xml 形式のエントリ(新しい位置)が要求本文として含まれます。 リスト エントリの挿入 リスト エントリを挿入する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式のエント リを要求本文として提供します。 また、リスト ID、entry パラメーター、そのエントリを挿入する位置、および insert パラメーターも URL に追 加します。 curl -i -b cookies.txt -H "Content-Type:application/xml -X POST -d @newentry.xml "$REST/list/<リスト ID>/entry/2/insert" この要求への応答には、xml 形式の挿入済みエントリが要求本文として含まれます。 REST インターフェースを操作するためのサンプル スクリプト REST インターフェースを操作する際には、インターフェースに要求を送信するために適切なスクリプトを使用する ことができます。 以下のスクリプトは、データ転送ツールとして curl を使用する bash スクリプトです。これらは、以下のアクティ ビティを完了します。 • アクションの実行 • ログ ファイルのダウンロード • 構成バックアップの作成 • 構成の復元 アクションの実行 次の bash スクリプトは、複数のアプライアンスのそれぞれで特定のアクションを実行します。 McAfee Web Gateway 7.6.0 製品ガイド 761 B REST インターフェース REST インターフェースを操作するためのサンプル スクリプト # !bin/bash # Set URL variable for access to REST interface REST="http://10.149.112.48:4711/Konfigurator/REST" # Set action variable action="flushcache" ## Log on and authenticate curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/ login" ## Write appliances feed to appliancesxml variable appliancesxml=`curl -b cookies.txt "$REST/appliances"` ## Retrieve UUIDs from appliancesxml variable using xpath uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"`` ## Perform action on all appliances, identifying them by their UUIDs echo $uuids for uuid in $uuids do echo Sending $action to $uuid curl -b cookies.txt -X POST "$REST/appliances/$uuid/action/$action" done ## Log off again curl -b cookies.txt -X POST "$REST/logout" ログ ファイルのダウンロード 次の bash スクリプトは、複数のアプライアンスのそれぞれから特定のログ ファイルをダウンロードします。 # !bin/bash # Set URL variable for access to REST interface REST="http://10.149.112.48:4711/Konfigurator/REST" # Set log file variable auditlog="/audit/audit.log" ## Log on and authenticate curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/ login" ## Write appliances feed to appliancesxml variable appliancesxml=`curl -b cookies.txt "$REST/appliances"` ## Retrieve UUIDs from appliancesxml variable using xpath uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"` ## Retrieve log file from all appliances, identifying them by their UUIDs echo $uuids for uuid in $uuids do echo Downloading $auditlog from $uuid 762 McAfee Web Gateway 7.6.0 製品ガイド REST インターフェース REST インターフェースを操作するためのサンプル スクリプト B curl -b cookies.txt -H "Accept:application/x-download" -X POST "$REST/appliances/ $uuid/log/$auditlog" -o audit$uuid.log done ## Log off again curl -b cookies.txt -X POST "$REST/logout" 構成バックアップの作成 次の bash スクリプトは、1 つのアプライアンスで構成バックアップを作成します。 # !bin/bash # Set URL variable for access to REST interface REST="http://localhost:4711/Konfigurator/REST" ## Log on and authenticate curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/ login" ## Create backup file curl -b cookies.txt -X POST "$REST/backup" -o file.backup ## Log off again curl -b cookies.txt -X POST "$REST/logout" 構成の復元 次の bash スクリプトは、1 つのアプライアンスでバックアップ ファイルから構成を復元します。 # !bin/bash # Set URL variable for access to REST interface REST="http://localhost:4711/Konfigurator/REST" ## Log on and authenticate curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/ login" ## Restore configuration from backup file curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H "Content-Type:text/plain; charset=UTF-8" ## Log off again curl -b cookies.txt -X POST "$REST/logout" McAfee Web Gateway 7.6.0 製品ガイド 763 B REST インターフェース REST インターフェースを操作するためのサンプル スクリプト 764 McAfee Web Gateway 7.6.0 製品ガイド C サードパーティ ソフトウェア 以下のリストでは、McAfee Web Gateway アプライアンス ソフトウェアの開発に使用したサードパーティ ソフト ウェアの情報を提供します。 サードパーティ ソフトウェアのリスト このリストでは、サードパーティ ソフトウェアの情報を名前の英字順に説明します。 Apache Jakarta 共通 IO 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2002-2012 The Apache Software Foundation Apache log4j 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2007 The Apache Software Foundation. Apache ORO 部分的に使用 Apache License 1.1 で使用可能 Copyright © 2002-2003 The Apache Software Foundation. Apache Tomcat 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2012 The Apache Software Foundation. Apache-Jakarta Codec 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2000-2009 The Apache Software Foundation McAfee Web Gateway 7.6.0 製品ガイド 765 C サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト Apache-Jakarta Fileupload 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2002-2010 The Apache Software Foundation Apache-Jakarta Lang 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2001-2011 The Apache Software Foundation Arabica XML and HTML Toolkit for C++ Berkeley Software Distribution (BSD) License 2.0 で使用可能 部分的に使用 Copyright © 2001-2013 Jez UK Ltd ASM 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2000-2005 INRIA France Telekom. Boost C++ Libraries 部分的に使用 Boost Software License 1.0 で使用可能 Copyright © miscelleaneous Bzip2 部分的に使用 Bzip2 License で使用可能 Copyright © 1996-2013 [email protected] Chromium Source 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2010 Code Project - Walking the callstack 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2005 Jochen Kalmbach 766 McAfee Web Gateway 7.6.0 製品ガイド サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト C Dynamic Drive - DD Tooltip 部分的に使用 Dynamic Drive DHTML Scripts License で使用可能 Copyright © 1998-2004 Dynamic Drive Eclipse 部分的に使用 Eclipse Public License 1.0 および Common Public License で使用可能 Copyright © 2005-2009 Eclipse contributors and others ftpparse 部分的に使用 Ftp Parse License で使用可能 Copyright © 2000 D. J. Bernstein 図のアイコン 部分的に使用 Creative Commons Attribution License 3.0 で使用可能 Copyright © 2013 Yusuke Kamiyamane Glazed Lists 部分的に使用 Mozilla Public License 1.1 で使用可能 Copyright © 2003-2006 publicobject.com O'Dell Engineering Ltd googletest 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2008 Google Inc Info-ZIP project - source-UnZip 部分的に使用 Info-ZIP Updated License で使用可能 Copyright © 1999-2005 Greg Roelofs Jackson JSON Processor Core Annotations 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2000-2005 INRIA France Telecom McAfee Web Gateway 7.6.0 製品ガイド 767 C サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト jersey-bundle 部分的に使用 Common Development and Distribution License 1.0 で使用可能 Copyright © 2000-2005 INRIA France Telecom JFreeChart 部分的に使用 GNU Lesser General Public License 2.1 で使用可能 Copyright © 2000-2009 Object Refinery Limited and Contributors JIDE Common Layer 部分的に使用 GNU Lesser General Public License 2.1 で使用可能 Copyright © 2002-2011 JIDE Software, Inc JSON 部分的に使用 パブリック ドメインで使用可能 jsprogressBarHandler 部分的に使用 Creative Commons Attribution Share-Alike License 2.5 で使用可能 Copyright © 2007 - 2008 Bram Van Damme JSR-311 - JAX-RS - The Java API for RESTful Web Services 部分的に使用 Common Development and Distribution License 1.0 で使用可能 Copyright © 2009 Sun Microsystems, Inc jQuery 部分的に使用 Massachusetts Institute for Technology (MIT) License で使用可能 Copyright © 2005, 2013 jQuery Foundation, Inc jQuery UI 部分的に使用 Massachusetts Institute for Technology (MIT) License で使用可能 Copyright © 2013 jQuery Foundation and other contributors 768 McAfee Web Gateway 7.6.0 製品ガイド サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト C Kerberos 5 部分的に使用 Kerberos 5 Massachusetts Institute of Technology (MIT) License で使用可能 Copyright © 1985-2013 Massachusetts Institute of Technology and contributors libuuid 部分的に使用 Theodore Ts'o License で使用可能 Copyright © 1999 Theodore Ts'o Mozilla Rhino JavaScript for Java 部分的に使用 Mozilla Public License 1.1 で使用可能 Copyright © 2012 Mozilla Foundation msgpack 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2004 The Apache Software Foundation Open BSD 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 1982, 1986, 1990, 1991, 1993 The Regents of the University of California opencsv 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2005 Bytecode Pty Ltd OpenSSL 部分的に使用 OpenSSL License 1.1 で使用可能 Copyright © 1999-2011 The OpenSSL Project Paho 部分的に使用 Eclipse Public License 1.0 で使用可能 McAfee Web Gateway 7.6.0 製品ガイド 769 C サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト POCO 部分的に使用 Boost Software License 1.0 で使用可能 Prototype JavaScript Framework 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2005-2010 Sam Stephenson rapidjson 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2011 Milo Yip RapidXml 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2008 2006, 2007 Marcin Kalicinski RARLAB-UnRAR 部分的に使用 unRAR License で使用可能 Copyright ©1993-2012 RDialog 部分的に使用 Ruby License で使用可能 Copyright © 2007 Aleks Clarks RegExFormatter Tutorial 部分的に使用 Creative Commons Attribution License 2.5 で使用可能 Copyright © 2008, 2010, Oracle and/or its affiliates Ruby 部分的に使用 Ruby License 2.5 で使用可能 Copyright © 1995-2013 Yukihiro Matsumoto 770 McAfee Web Gateway 7.6.0 製品ガイド サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト C シルク アイコン 部分的に使用 Creative Commons Attribution License 2.5 で使用可能 Copyright © 2008 Mark James StAX2 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2004 Alexander Slominski 2006 Chris Fry test/unit 部分的に使用 Ruby License 2.0 で使用可能 Copyright © 2000-2003, Nathaniel Talbott The ASN.1 Compiler 部分的に使用 Berkeley Software Distribution (BSD) Two Clause License (BSD -) License 2.0 で使用可能 Copyright © 2003, 2004, 2005, 2006, 2007 Lev Walkin The Legion of the Bouncy Castle 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2000-2012 2000 - 2012 The Legion Of The Bouncy Castle The prefuse visualization toolkit 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2000-2012 Regents of the University of California Trove for Java 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2000-2012 The Legion of the Bouncy Castle Valgrind Instrumentation Framework 部分的に使用 Massachusetts Institute of Technology (MIT) License 2.0 で使用可能 Copyright © 2000-2012 The Legion of the Bouncy Castle McAfee Web Gateway 7.6.0 製品ガイド 771 C サードパーティ ソフトウェア サードパーティ ソフトウェアのリスト Woodstox 部分的に使用 Apache License 2.0 で使用可能 Copyright © 2000-2012 2004 Tatu Saloranta XStream Library 部分的に使用 Berkeley Software Distribution (BSD) License 2.0 で使用可能 Copyright © 2003-2006 Joe Walnes 2006-2007 XStream Committers. 772 McAfee Web Gateway 7.6.0 製品ガイド 索引 A Advanced Threat Defense Advanced Threat Defense ルール セット 418 ePolicy Orchestrator 611 ESM 617 Ethernet ボンディング 56 ATD - ファイルをすぐに使用可能にするオフライン スキャンのラ イブラリ ルール セット 419 H Content Security Reporter でのモニタリング 414 Helix プロキシ 154 キー要素 412 既存のレポートの使用 407 I ゲートウェイ ATD の設定 415 ICAP 通信 結果の使用、実行中のスキャン 409 ICAP クライアントの設定 431 スキャン条件 405 ICAP サーバーの設定 110 設定 410 ICAP サーバー リスト 431 モニタリング 414 セキュア ICAP 102 ワークフロー 404 データ損失防止での ICAP サーバーの使用 430 IceToken 認証 C 説明 473 比較、SAML 509 Content Security Reporter 414 D J Data Exchange Layer、参照: DXL Data Loss Prevention JavaScript Object Notation データ (JSON) 231 ディクショナリ設定 427 L 分類設定 427 Launchpad DNS サーバー カスタマイズ 513 逆引き参照 127 スタイル シートのインポート、カスタム 515 条件付きの前方参照 126 スタイル シートの編集、デフォルト 514 設定 127 表示、カスタム ロゴ 516 ドメインに応じた使用 126 DXL TIE サーバー 129 編集、Launchpad.html ファイル 513 LDAP ダイジェスト認証 243 アーキテクチャ 129 認証方法 266 サンプル ルール 129 シナリオ 129 設定、TIE サーバーの使用 131 メッセージ 129 Dynamic Content Classifier URL カテゴリ 352 使用を構成する 352 M McAfee Pledge 278 McAfee ServicePortal、アクセス 18 N NIC のボンディング 56 E Enterprise Security Manager 617 McAfee Web Gateway 7.6.0 P PKI 395 製品ガイド 773 索引 R REST インターフェース curl 747 アクション 753 アクセス権限 746 アップロードされたファイル 756 インターフェースの操作 746 個々のアプライアンスでの作業 753 サンプル スクリプト 761 SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セット (続き) 認証サーバー要求 507 認証されたクライアントの Cookie を設定する 505 ServicePortal、製品マニュアルの入手方法 18 SNMP モニタリング 608 SOCKS プロキシ 設定 104 SOCKS プロトコル SOCKS プロキシ 102 システム ファイル 754 SOCKS プロキシ ルール セット 105 使用の準備 745 ネクスト ホップ プロキシ 446 使用の有効化 746 認証 749 プロトコル ディテクターの設定 454 SSL スキャナが無効な XMPP 110 リスト 757 リソースの要求 750 SSL スキャン SSL スキャナー ルール セット 390 ログ ファイル 755 クライアント証明書リスト 381 基本アクティビティ 751 証明書キー 395 ハードウェア セキュリティ モジュール 395 S 秘密鍵 395 SAML SSO データ ソース ホワイトリスト 377 LDAP 認証 493 モジュール 377 SAML SSO データソース リスト 377 使用、LDAP サーバー 495 使用、Web サービス 494 ルール 377 SSO カタログ 使用、データベース 495 クラウド コネクター 473 SAML シングル サインオン サービス 475 ID プロバイダー (IdP) 484 テクニカル ノート 474 開始 484 表示、ユーザー インターフェース 474 外部データソースの設定 493 SSO コネクター リスト サービス プロバイダー (SP) 484 コネクターの追加 479 証明書管理 486 設定、クラウド アクセス 478 説明 484 表示、ユーザー インターフェース 474 SAML 認証、外部 ID プロバイダー SSO ロギング ID プロバイダーの URL、ホワイトリストへの追加 501 概要 537 SAML 属性マッピング 502 有効 538 応答、検証 502 ルール セットのリファレンス 539 応答、設定 500 ルール セット、SSO アクセス ログ 540 静的 ACS URL、サポート 498 ルール セット、SSO 追跡ログ 541 静的 ACS URL、設定 499 ルール セット、SSO ロギング停止 543 設定 498 T 説明 496 プロセス 497 要求、設定 499, 500 ルール セット 503 SAML バックエンドと修正済みの ACS URL を含む Cookie 認証 ルー ル セット HTTP(S) プロキシでの Cookie 認証 505 IdP が修正済みの ACS URL を使用する場合に SAML アサーショ ンを傍受する 504 774 TCP ウィンドウ スケーリング 110 TIE サーバー 129 U URL フィルタリング Dynamic Content Classifier 352 IFP プロキシ 354 説明 503 URL フィルター モジュール 337 認証サーバーでクライアントを認証する 506 URL フィルタリング ルール セット 337 認証サーバーでの Cookie 認証 506 URL プロパティを使用してホワイトリストを追加 344 McAfee Web Gateway 7.6.0 製品ガイド 索引 URL フィルタリング (続き) アプライアンス (続き) キー要素 339 コンポーネント 21 キー要素の設定 339 システム アーキテクチャ 21 固有の URL フィルター データベース 353 システム構成 36 ブロック リスト 337 システム情報行 25 ベスト プラクティス、URL プロパティを使用してホワイトリスト に追加 344 集中管理 156 ホワイトリスト 337 設定デーモン 21 モジュール 337 ダッシュボード 563 ルール 337 トラブルシューティング 623 ルール セット 337 配備概要 22 主要機能 20 user-agent ヘッダー 132 フィルタリング サイクル 177 ユーザー インターフェース 25 W ルール 179 WCCP 83 ロギング 573 Web キャッシュ ログオフ 25 Web キャッシュ ルール セット 440 アプリケーション フィルタリング 有効にする 440 各機能 364 ルール 440 システム リスト 364 ルール セット 440 プロセス 364 Web フィルタリング Advanced Threat Defense 403 ブロッキング リスト 364 ルール 364 SSL スキャン 377 ルール セット 369 URL フィルタリング 337 アラート 563 アプリケーション フィルタリング 364 暗号化のバックアップ 640 ウイルスとマルウェアのフィルタリング 324 グローバル ホワイトリスト 375 い ストリーミング メディア フィルタリング 370 一元管理 データ損失防止 421 グループにノードを割り当てる 159 メディア タイプ フィルタリング 359 更新グループにノードを割り当てる 160 スケジュール設定されたジョブを追加 163 あ ネットワーク グループにノードを割り当てる 160 アクション ノードの追加 158 ランタイム グループにノードを割り当てる 159 アクションのリスト 643 設定 235 イベント [設定] タブ 237 イベントのリスト 651 ルールに追加 192 追加、ルール 193 ルール要素 179 ルール要素 179 アプライアンス インスタント メッセージ REST インターフェース 746 Web フィルタリング 19 プロセス 106 インスタント メッセージング [アプライアンス] タブ 38 ICQ の設定 110 アラート 563 Windows Live Messenger の設定 110 エラー処理 592 XMPP の設定 110 Yahoo の設定 110 オペレーティング システム 21 管理者 298 インライン リスト 202 コア 21 構成のバックアップ 640 う 構成のリストア 640 ウイルスとマルウェアのフィルタリング 高レベルの管理アクティビティ 22 Gateway Anti-Malware ルール セット 324, 334 コーディネーター 21 キー要素 325 コンフィギュレーター 21 キー要素の設定 325 McAfee Web Gateway 7.6.0 製品ガイド 775 索引 ウイルスとマルウェアのフィルタリング (続き) システムの設定 337 く クォータの管理 ホワイトリスト 324 許可オーバーライド 316 マルウェア対策キュー 336 警告 314 マルウェア対策モジュール 324 時間のクォータ 306 メディア ストリームのスキャン 336 システム設定 321 モジュール 324 セッションのブロック 319 モジュールの設定 329 ルール 324 ボリュームのクォータ 309 クラウド コネクター ルール セット 324 HTTP、設定 480 埋め込みオブジェクト サイクル 177 SAML2、設定 487, 488 カスタム 474 え カスタム、削除 477 エラー処理 カスタム、設定 477 インシデント ID のリスト 661 事前定義 474 インシデント情報の使用 592 説明 473 エラー ID の使用 592 テンプレート 473 エラー ID のリスト 645 テンプレート、汎用と個別 476 演算子 179 汎用 HTTP 476 演算対象 179 汎用 IceToken 476 汎用 SAML2 476 お 汎用の HTTP 設定 481 応答サイクル 177 汎用の HTTP、設定 480 オペレーティング システム 21 汎用の IceToken、設定 509, 510 オンラインのルール セット ライブラリ 185 汎用の SAML2 設定 489 汎用の SAML2、設定 489 オンライン ヘルプ 25 クラウド ストレージの暗号化 か 暗号化アルゴリズム 545 外部リスト クラウド ストレージ暗号化サポートの設定 549 システム設定 224 クラウド ストレージ暗号化の設定 549 推奨される使用方法 215 クラウド ストレージ暗号化ルール セット 550 ソース 215 手動でのストレージ データの復号 550 プロパティ 215 ストレージ サービス 545 モジュール 215 ストレージ データの暗号化 545 モジュールの設定 218 ストレージ データの復号 545 隔絶されたネットワークの更新 66 設定 548 監視 データの暗号化と復号の概要 548 データの暗号化と復号の設定 548 ESM への syslog データの送信 617 グローバル ホワイトリスト ロギング 573 グローバル ホワイトリストのルール セット 375 管理者 アカウント 298 ホワイトリスト 375 外部アカウント 301 ルール 375 高レベルのアクティビティ 22 ルール セット 375 テスト アカウント 299 こ ロール 300 コア サブシステム 21 き 構成のバックアップ 640 キャッシュ ボリュームのサイズ変更 64 構成のリストア 640 共通カタログ 購読リスト 776 使用の有効化 228 更新 211 ユーザー アカウント 229 コンテンツの取得 209 リスト タイプ 228 コンテンツの設定 211 McAfee Web Gateway 7.6.0 製品ガイド 索引 購読リスト (続き) 作成 210 条件 (続き) 演算対象 179 コーディネーター サブシステム 21 追加、ルール 191 このガイドで使用している表記規則とアイコン 17 パラメーター 179 このガイドについて 17 複雑 181 コンフィギュレーター サブシステム 21 プロパティ 179 ルール要素 179 さ 証明書キー 395 サードパーティ ソフトウェア 765 シングル サインオン .NET と Java Web アプリケーション 509 サイクル 埋め込みオブジェクト 177 HTTP アプリケーションとサービス 479 応答 177 HTTP アプリケーションの認証情報モデル 480 リクエスト 177 SAML アプリケーションとサービス 484 SSO カタログ 473 監視、ログオン 517 し システム アーキテクチャ 21 システム構成 キャッシュ ボリュームのサイズ変更 64 システム ファイル 62 初期設定 35 初期セットアップ後 36 静的ルーティングの設定 54 データベースの更新 65 ネットワーク保護設定 52 ファイル エディター タブ 63 システム情報行 25 システム設定 [アプライアンス] タブ 38 使用許諾条件 40 データ利用方針 40 ネットワーク インターフェースの設定 48 日付と時刻の設定 42 ファイル サーバーの設定 43 フィードバックの収集 41 ポート転送の設定 53 ユーザー インターフェースの設定 44 ライセンス 40 ライセンスの設定 40 利用統計の設定 41 集中管理 構成の更新 164 スケジュール ジョブ 156 設定 156, 165 ノード 156 ノード グループ 156 ノード グループの設定 161 ノード通信プロトコル 126 閉鎖ネットワークのアプライアンスの更新 66 ベスト プラクティス - ノード グループの設定 161 キー要素 518 クラウド コネクター 473 作成、ブックマーク 516 使用、Launchpad 511 使用可能な認証方法 473 設定の概要 470 データソース 473 動的 HTTP アプリケーション 479 表示、更新状況 478 プロキシ モードと非プロキシ モードでの処理 471 問題の解決 543 リストと設定 533 ルール セットのサマリー 517 ルール セットのリファレンス 520 シングル サインオンの設定 証明書と秘密鍵 536 説明 534 シングル サインオン リスト 533 シングル サインオン ルール セット HTTPS 処理 523 Launchpad 524 OTP 認証 526 サービスの選択 521 実行、IceToken SSO 531 実行、SAML SSO 530 実行、SSO 532 取得、オンプレミスでの属性 529 取得、クラウドでの属性 530 取得、ログイン アクション 527 処理、共通タスク 531 説明 520 進行状況の表示 進行状況ページ 433 データ トリックル 433 使用許諾条件 40 条件 演算子 179 McAfee Web Gateway 7.6.0 製品ガイド 777 索引 す データ損失防止 ICAP サーバー 430 ストリーミング メディア フィルタリング ベスト プラクティス 373 プロセス 421 モジュールの設定 374 ルール 421 ルール 370 ルール セット 428 ロギング 421 データベースの更新 せ 自動 65 設定 手動 65 アクション 235 データ利用方針 40 アクセス 238 テクニカル サポート、製品情報の入手方法 18 作成 239 テンプレート システム 235 エディター 463 制限付きアクセス 199 タブ 463 [設定] タブ 237 タイプ 235 モジュール 235 リスト タブにアクセスする 238 と 透過型モード ブリッジ 93 ルールのアクセス 238 ルーター 88 設定デーモン 21 ドキュメント このガイドの対象読者 17 そ 製品固有、検索 18 ソースベースのルーティング 60 表記規則とアイコン 17 トップレベル メニュー た アカウント 25 帯域幅スロットル 438 設定 25 ダッシュボード ダッシュボード 25 アクセス 564 トラブルシューティング 25 アラート 563 グラフおよび表 563 トップ スコア 567 ポリシー 25 トラブルシューティング AV スレッド 640 評価、データ 567 暗号化のバックアップ 640 タブ コア ファイル 637 アプライアンス 38 構成のバックアップ 640 アラート 564 構成のリストア 640 管理者アカウント 298 再起動、サービス 639 グラフおよび表 567 システム ツール 639 設定 237 接続追跡ファイル 638 テンプレート 463 ネットワーク ツール 639 ファイル エディター 63 パケット追跡ファイル 638 リスト 203 表示、実行中の AV スレッド 640 ルール セット 186 フィードバック ファイル 637 方法 623 ち ルール追跡 624 チャネル ボンディング 56 長期接続ハンドラー に ICAP サーバーの設定 110 認証 IM 認証ルール セット 277 て Kerberos 管理システムの設定 256 定期的なルール エンジン トリガー リスト 110 LDAP ダイジェスト認証 243 データ トリックル 433 LDAP の設定 245 LDAP 方法 266 778 McAfee Web Gateway 7.6.0 製品ガイド 索引 認証 (続き) McAfee Pledge 278 ハイブリッド ソリューション (続き) 手順 556 Novell eDirectory の設定 245 同期の有効化 558 NTML エージェントの設定 245 プロキシの使用 558 NTML の設定 245 RADIUS の設定 245 ルール セットの選択 557 パスワードの変更 25 Windows ドメイン メンバーシップの設定 258 インスタント メッセージング 274 ひ 共通の設定 245 秘密鍵 395 異なる方法の実装 255 システム設定 256 詳細設定 245 設定 245 認証サーバーの設定 245 ユーザー データベースの設定 245 ワンタイム パスワード 278 ワンタイム パスワードの設定 245 ふ フィードバックの収集 41 フィルタリング 埋め込みオブジェクト サイクル 177 応答サイクル 177 プロセス フロー 177 プロパティ 176 ユーザー 176 ね リクエスト サイクル 177 ネクスト ホップ プロキシ SOCKS プロトコル 446 持続性 444 設定 453 トラブルシューティング 450 プロキシ WCCP 83 Data Exchange Layer 110, 129 DNS の設定 110 DXL 110, 129 モード 442 FTP の設定 110 Helix 154 要求の転送 442 HTTP の設定 110 ラウンドロビン モード 442 ICAP サーバーの設定 110 ルール セット 455 ICQ の設定 110 フェールオーバー モード 443 ネットワーク インターフェースのボンディング 56 IFP の設定 110 Office 365 のバイパス 136 SOCKS プロキシ 102 の ノード通信プロトコル 126 SOCKS プロキシの設定 110 SSL スキャナが無効な XMPP 110 は TCP ウィンドウ スケーリング 110 ハードウェア セキュリティ モジュール PKI 395 UDP プロトコル 104 アクセス 395 管理者の役割 395 設定 400 取り付け 395 保存、秘密鍵 395 リモート使用の設定 398 ローカル使用の設定 398 ログ モジュールの操作 395 ハイブリッド ソリューション Web Hybrid の設定 558 概要 553 手動同期 558 製品 553 設定 556, 558 使い方 553 McAfee Web Gateway 7.6.0 UDP の設定 110 user-agent ヘッダー 132 WCCP による FTP トラフィックのリダイレクト 124 Windows Live Messenger の設定 110 XMPP の設定 110 Yahoo の設定 110 インスタント メッセージ 106 高可用性でのサイズ制限 81 自動設定 152 条件付きの DNS 前方参照 126 詳細設定 110 設定 110 送信元 IP アドレス 122 タイムアウト 110 定期的なルール エンジン トリガー リスト 110 透過型ブリッジ モード 93 製品ガイド 779 索引 プロキシ (続き) メディア タイプ フィルタリング 透過型プロキシ 72 キー要素 360 透過型ルーター モード 88 キー要素の設定 360 ネットワークのセットアップ 110 ブロック リスト 359 ノード通信プロトコル 126 メディア タイプ フィルタリングのルール セット 359 プロキシ HA の設定 77 ルール 359 プロキシ HA モード 78 ルール セット 359 明示的プロキシ モード 70 リバース HTTPS 139 ブロック理由 ID 認証設定 460 ブロック設定 461 も モニタリング ePolicy Orchestrator 611 SNMP エージェント 608 ブロック理由 ID のリスト 644 Syslog へのアクセス ログ データの送信 613 リダイレクト設定 462 エラー処理 592 プロパティ ダッシュボード 563 追加、ルール 191 パフォーマンスの測定 604 フィルター処理 176 プロパティの一覧 670 ルール要素 179 ゆ ユーザー インターフェース 完全なルール ビュー 32 へ 閉鎖されたネットワークの更新 66 ベスト プラクティス LDAP 認証の設定 266 Syslog へのアクセス ログ データの送信 613 URL プロパティを使用してホワイトリストを追加 344 エラー ハンドラーの使い方 594 高可用性でのサイズ制限 81 集中管理でのノード グループの設定 161 ストリーム ディテクターの設定 373 設定、明示的プロキシ モードと WCCP 83 使い方、 user-agent ヘッダー 132 使い方、McAfee が維持する購読リスト 213 配備タイプに合わせた認証の設定 259 プロキシ HA モードの設定 78 理由の特定、画像が表示されない 634 ルールの設定 196 ログの作成 585 ログ ファイル フィールドの追加 583 ベストプラクティス 調整、透過型ブリッジ構成 98 トラブルシューティング、ネクスト ホップ プロキシの問題 450 ヘルプ 25 キー要素 28 キー要素ビュー 30 検索 25 サンプル画面の収集 25 システム情報行 25 システム設定 44 主要要素 25 設定、Web セキュリティ ポリシー 28 設定機能のサポート 27 [設定] タブ 237 設定ペイン 25 タブ バー 25 ツールバー 25 トップレベル メニュー 25 ナビゲーション ペイン 25 パスワードの変更 25 ヘルプ 25 保存、変更 25 ユーザー設定 25 ログオフ 25 ユーザー メッセージ 種類 457 タブ 463 テキスト 457 ほ テキストの編集 459 保存、変更 25 テンプレート 457 ボンディング、インターフェース 56 テンプレート エディター 463 ボンディングされたインターフェース 56 認証設定 460 ブロック設定 461 め 変数 457 明示的プロキシ モード 70 リダイレクト設定 462 メディア ストリームのスキャン 336 780 McAfee Web Gateway 7.6.0 製品ガイド 索引 ルール セット (続き) ら ライセンス 40 オンライン ライブラリ 185 ライセンスの設定 40 サイクル 183 作成 193 システム 184 り 条件 183 リクエスト サイクル 177 制限付きアクセス 199 リスト デフォルト システム 184 インライン リスト 202 ネストされた 183 外部リスト 215 ライブラリ 185 カスタム リスト 202 共通カタログ 228 更新可能なシステム リスト 202 [ルール セット] タブ 186 ルール追跡 概要 624 購読リスト 209 検索 626 作成 205 追跡の削除 636 システム リスト 202 追跡の復元 635 種類 202 リスト 626 制限付きアクセス 199 理由の特定、画像が表示されない 634 [リスト] タブ 203 ルール追跡ペイン 626 リスト タブにアクセスする 205 ルールのアクセス 205 利用統計の設定 41 ろ ロギング る モジュール 573 ルール ルール 573 ログ ファイル 573 アクション 179 イベント 179 演算子 179 ログオフ 25 演算対象 179 わ 作成 188 ワイルドカード式 柔軟性 175 glob 表現 738 条件 179 重要な特殊 glob 文字のリスト 739 セットせっと 183 重要な特殊正規表現文字のリスト 741 表記、マニュアル 181 正規表現 738 プロセス フロー 177 プロパティ 179 ユーザー インターフェースでの形式 179 テスト 739 ワンタイム パスワード McAfee Pledge 278 要素 179 概要 278 [ルール セット] タブ 186 許可オーバーライドに設定 280 ルール セット ユーザー認証に設定 279 インポート 195 McAfee Web Gateway 7.6.0 製品ガイド 781 0B16