...

Web Gateway 7.4.0 製品ガイド

by user

on
Category: Documents
16

views

Report

Comments

Transcript

Web Gateway 7.4.0 製品ガイド
製品ガイド
改訂 A
McAfee Web Gateway 7.4.0
著作権
Copyright © 2013 McAfee, Inc. 無断複製を禁じます。
商標
McAfee、McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、Foundscore、Foundstone、Policy
Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee Total Protection、TrustedSource、
VirusScan、WaveSecure は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標です。 その他すべての登録商標および商標は
それぞれの所有者に帰属します。
製品名および機能名、説明については、事前の断りなく変更される場合があります。 最新の製品および機能については、mcafee.com でご確認ください。
ライセンス情報
ライセンス条項
お客様へ: お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」
といいます) をよくお読みください。 お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに
付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認くださ
い。 本契約の規定に同意されない場合は、製品をインストールしないでください。 この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすこ
とによりご購入額全額をお返しいたします。
2
McAfee Web Gateway 7.4.0
製品ガイド
目次
13
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1
15
はじめに
Web トラフィックのフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
アプライアンスの主要機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
アプライアンスの主要コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2
アプライアンスの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
高レベルの管理アクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
21
ユーザー インターフェース
ユーザー インターフェースの主要要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
設定機能のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
データをリロードして変更を破棄する . . . . . . . . . . . . . . . . . . . . . . . . 24
ユーザー インターフェース以外での Web Gateway の管理 . . . . . . . . . . . . . . . . . . . 24
3
25
ルール
フィルタリングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フィルタリング サイクル . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
27
プロセス フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
ルール要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
ユーザー インターフェースでのルールの形式 . . . . . . . . . . . . . . . . . . . . . 29
複雑な条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
ルール セット システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
ルール セット ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
ルール セット タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルールに名前を付けて有効にする . . . . . . . . . . . . . . . . . . . . . . . . .
34
36
36
[条件の追加]ウィンドウの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . 37
ルール条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
ルール アクションを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40
ルール イベントを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
ルール セットのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
構成項目へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4
45
リスト
リスト タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Web Gateway 7.4.0
46
製品ガイド
3
目次
リスト タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
リストへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
リスト タブのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . .
49
ルールのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . .
49
リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新しいリストの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
50
リストのエントリーの入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
さまざまなタイプのリストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
ワイルドカード式を URL のグローバル ホワイトリストに追加 . . . . . . . . . . . . . . . 51
URL カテゴリをブロック リストに追加する . . . . . . . . . . . . . . . . . . . . .
52
メディア タイプ フィルター リストにメディア タイプを追加する . . . . . . . . . . . . . . 52
外部リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
ルールでの外部リスト データの使用 . . . . . . . . . . . . . . . . . . . . . . . .
54
置換とプレースホルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
外部リスト モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
外部リスト モジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
外部リストの全般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
外部リスト システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
購読リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
購読リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
購読リスト コンテンツの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
購読リストの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
顧客保守リストのコンテンツ ファイルの作成 . . . . . . . . . . . . . . . . . . . . .
66
マップ タイプ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
マップ タイプ リストを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . 68
プロパティによるマップ タイプ リストの操作 . . . . . . . . . . . . . . . . . . . . . 69
外部リストと購読リストを使用したマップ データの取得 . . . . . . . . . . . . . . . . .
共通カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
70
共通カタログ リストの使用を準備する . . . . . . . . . . . . . . . . . . . . . . . . 71
共通カタログ リストのユーザー アカウントのセットアップ . . . . . . . . . . . . . . . . 72
共通カタログ リストに管理者アカウントをセットアップする . . . . . . . . . . . . . . . . 72
共通カタログ リストでの REST インターフェースの使用を有効にする . . . . . . . . . . . .
73
McAfee ePO サーバーに Web Gateway を登録する場合の設定例 . . . . . . . . . . . . . . 73
JavaScript Object Notation データ . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
74
79
設定
設定のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
設定タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
設定タブのアクションおよびモジュール設定にアクセスする . . . . . . . . . . . . . . . . 82
ルールのアクションおよびモジュール設定へのアクセス . . . . . . . . . . . . . . . . .
82
システム設定へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
アクションおよびモジュール設定の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6
85
プロキシ
プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
明示的プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
明示的プロキシ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
透過型プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
プロキシ HA 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4
透過型ルーター モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
透過型ルーター モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
95
透過型ルーター モードでノードを設定する . . . . . . . . . . . . . . . . . . . . . .
95
透過型ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
McAfee Web Gateway 7.4.0
製品ガイド
目次
透過型ブリッジ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
100
透過型ブリッジ モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 100
透過型ブリッジ モードでノードを設定する . . . . . . . . . . . . . . . . . . . . .
100
透過型ブリッジの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
セキュア ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
インスタント メッセージング . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
105
XMPP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
109
共通のプロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
110
プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
110
FTP ログオンでの Raptor 構文の使用 . . . . . . . . . . . . . . . . . . . . . . . . . .
117
ノード通信プロトコル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
117
ドメインに応じた DNS サーバーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 118
ドメインに応じて DNS サーバーを設定する . . . . . . . . . . . . . . . . . . . . .
118
ドメイン名サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
リバース HTTPS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
120
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト . . . . . . . .
121
アプライアンスに、DNS エントリーによりリダイレクトされたリクエストをリスンさせる . . . .
122
リバース HTTPS プロキシ構成の SSL 証明書 . . . . . . . . . . . . . . . . . . . .
123
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ . . . . . . . . . .
126
プロキシ自動構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
.pac ファイルを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . .
133
wpad.dat ファイルをダウンロードするルールの作成 . . . . . . . . . . . . . . . . .
134
wpad ホストの自動検出の構成 . . . . . . . . . . . . . . . . . . . . . . . . .
134
Helix プロキシの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
Helix プロキシの使用の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
7
135
137
認証
認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
137
認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
認証モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
異なる認証方法の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
認証を構成するためのシステム設定の使用 . . . . . . . . . . . . . . . . . . . . . . . .
148
Kerberos 管理システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 148
アプライアンスを Windows ドメインに参加させる . . . . . . . . . . . . . . . . . .
149
Windows ドメイン メンバーシップの設定 . . . . . . . . . . . . . . . . . . . . .
150
ベスト プラクティス - 配備タイプに合わせた認証の設定 . . . . . . . . . . . . . . . . . . . . 151
明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . .
152
透過型モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
WCCP を使用した明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . 157
インスタント メッセージング認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
158
インスタント メッセージ認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . 159
インスタント メッセージ認証の認証モジュールの構成 . . . . . . . . . . . . . . . . .
159
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 . . . . . . . .
160
IM 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
ワンタイム パスワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
ユーザー認証にワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . .
163
許可オーバーライドにワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . 163
ワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 164
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット . . . . . . . . . . .
164
「OTP を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . . . . . 167
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セット . . . . . 169
「OTP と Pledge を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . 171
クライアント証明書認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Web Gateway 7.4.0
172
製品ガイド
5
目次
クライアント証明書認証のための証明書の使用 . . . . . . . . . . . . . . . . . . . . 173
クライアント証明書認証のためのルール セット . . . . . . . . . . . . . . . . . . . . 174
認証サーバーへのリクエストのリダイレクト . . . . . . . . . . . . . . . . . . . . . 174
クライアント証明書の認証の実施 . . . . . . . . . . . . . . . . . . . . . . . . . 176
認証サーバー(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
176
サーバー証明書の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . 176
証明機関の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . . .
177
アプライアンスのリクエストを受信するリスナー ポートの構成 . . . . . . . . . . . . . .
178
Cookie 認証(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
179
受信リクエストのリスナー ポートを変更するためのルール セットの変更 . . . . . . . . . .
179
クライアント証明書のブラウザーへのインポート . . . . . . . . . . . . . . . . . . .
180
管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
管理者アカウントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
182
182
管理者アカウントの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
182
管理者アカウントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
182
管理者アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
管理者のロールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
管理者のロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
外部アカウントの管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
8
184
187
クォータの管理
Web ページ上でクォータおよびその他の制限を課す . . . . . . . . . . . . . . . . . . . . . 187
時間のクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
189
時間のクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
時間のクォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
時間のクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 191
ボリュームのクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
ボリュームのクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
193
ボリューム クォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
ボリュームのクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . .
195
警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
197
警告の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
警告設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
警告ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
198
許可オーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
許可オーバーライドの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
200
許可オーバーライド設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
201
許可オーバーライド ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
201
セッションのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
ブロック セクションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
ブロック セッションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
セッションのブロック ルール セット . . . . . . . . . . . . . . . . . . . . . . .
クォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Web フィルタリング
204
205
207
ウイルスおよびマルウェアのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . 207
ウイルスおよびマルウェアのフィルタリングの構成 . . . . . . . . . . . . . . . . . .
209
マルウェア対策モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 209
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 . . . . . . . . . . .
210
マルウェア対策設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
メディア ストリームのスキャン . . . . . . . . . . . . . . . . . . . . . . . . .
216
マルウェア対策キュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
6
マルウェア対策の透かしを削除する . . . . . . . . . . . . . . . . . . . . . . . .
218
ゲートウェイ マルウェア対策ルール セット . . . . . . . . . . . . . . . . . . . . .
220
McAfee Web Gateway 7.4.0
製品ガイド
目次
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
URL フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
URL フィルター モジュールの設定 . . . . . . . . . . . . . . . . . . . . . . . .
223
URL フィルターー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
223
Dynamic Content Classifier を使用する URL フィルタリング . . . . . . . . . . . . . . 226
固有の URL フィルター データベースの使用 . . . . . . . . . . . . . . . . . . . . .
228
IFP プロキシを使用した URL フィルタリング . . . . . . . . . . . . . . . . . . . .
229
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワイトリストに追加する
233
URL フィルタリング ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
239
メディア タイプ フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . .
241
メディア タイプ フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . . 241
メディア タイプ フィルタリングのプロパティ . . . . . . . . . . . . . . . . . . . .
242
メディア タイプ フィルタリング ルールの変更 . . . . . . . . . . . . . . . . . . . . 242
メディア タイプ フィルタリングのルール セット . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
244
245
アプリケーション フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . .
247
アプリケーション フィルタリングのリストを作成する . . . . . . . . . . . . . . . . .
247
アプリケーション フィルタリング ルールのリスク レベルを修正する . . . . . . . . . . . .
248
アプリケーション コントロール ルール セット . . . . . . . . . . . . . . . . . . . . 249
ストリーミング メディア フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . 251
ストリーミング メディア フィルタリングの構成 . . . . . . . . . . . . . . . . . . .
252
ストリーミング メディア検出モジュールを設定する . . . . . . . . . . . . . . . . . .
253
ベスト プラクティス - ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . 253
ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
254
グローバル ホワイトリスト登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
255
グローバル ホワイトリストの構成 . . . . . . . . . . . . . . . . . . . . . . . .
255
グローバル ホワイトリストのルール セット . . . . . . . . . . . . . . . . . . . . .
256
SSL スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
SSL スキャンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257
SSL スキャン モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
258
デフォルトのルート証明書権限の置換 . . . . . . . . . . . . . . . . . . . . . . .
259
クライアント証明書リスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
260
SSL スキャナー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
263
SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . . . . . 264
証明書チェーン設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
SSL スキャナー ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 265
ハードウェア セキュリティ モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . 270
ハードウェア セキュリティ モジュールへの秘密鍵の保存 . . . . . . . . . . . . . . . .
270
キー処理にハードウェア セキュリティ モジュールを使用する . . . . . . . . . . . . . . . 271
ハードウェア セキュリティ モジュールのドライバーをインストールする . . . . . . . . . . . 272
HSM エージェントの使用を有効にする . . . . . . . . . . . . . . . . . . . . . . . 272
ハードウェア セキュリティ モジュールの設定 . . . . . . . . . . . . . . . . . . . .
272
秘密鍵 ID を追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
秘密鍵のロックを解除する . . . . . . . . . . . . . . . . . . . . . . . . . . .
273
秘密鍵を使用して証明書を設定する . . . . . . . . . . . . . . . . . . . . . . . . 274
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
McAfee Advanced Threat Defense の使用を設定する . . . . . . . . . . . . . . . . . 278
マルウェア対策モジュールを設定して McAfee Advanced Threat Defense を使用する . . . . .
278
ゲートウェイ ATD の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
「Advanced Threat Defense」ルール セット . . . . . . . . . . . . . . . . . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
282
Data Loss Prevention の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 285
デフォルトの分類を使用して Data Loss Prevention を構成する . . . . . . . . . . . . .
286
ディクショナリ エントリを使用して data loss prevention を構成する . . . . . . . . . . . 286
McAfee Web Gateway 7.4.0
製品ガイド
7
目次
Data Loss Prevention(分類)の設定 . . . . . . . . . . . . . . . . . . . . . . . 288
Data Loss Prevention(ディクショナリ)の設定 . . . . . . . . . . . . . . . . . . . 288
Data Loss Prevention ルール セット . . . . . . . . . . . . . . . . . . . . . . . 289
ICAP サーバーを使用した Data Loss Prevention . . . . . . . . . . . . . . . . . .
10
291
295
サポート機能
進行状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
295
進行状況の表示の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
進行状況の表示モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 297
進行状況ページ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
データ トリックル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
298
進行状況の表示(ルール セット) . . . . . . . . . . . . . . . . . . . . . . . .
299
帯域幅スロットル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
300
帯域幅スロットル ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
帯域幅スロットルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
301
Web キャッシング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302
Web キャッシュの有効化の検証 . . . . . . . . . . . . . . . . . . . . . . . . .
302
Web キャッシュ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
302
ネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
304
ネクスト ホップ プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . 304
ネクスト ホップ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
305
ネクスト ホップ プロキシ モジュールの構成 . . . . . . . . . . . . . . . . . . . . . 306
11
ネクスト ホップ プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
306
ネクスト ホップ プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . .
307
309
ユーザー メッセージ
ユーザーへのメッセージの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
ユーザー メッセージのテキストを編集する . . . . . . . . . . . . . . . . . . . . . . . .
311
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
ブロック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
312
リダイレクト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
313
テンプレート エディター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
12
319
システム構成
初期セットアップのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
初期セットアップ後のシステム構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
320
一般的な機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 320
ネットワーク システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
認証およびクォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 320
Web フィルタリング システム設定 . . . . . . . . . . . . . . . . . . . . . . . .
320
集中管理システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
ログおよびトラブルシューティングに対するシステム設定 . . . . . . . . . . . . . . . . 321
システム設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
アプライアンス タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
一般的なアプライアンス機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . .
323
ライセンス設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
323
GTI URL フィードバックの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
324
日時設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
ファイル サーバー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
327
ユーザー インターフェース設定 . . . . . . . . . . . . . . . . . . . . . . . . .
328
ネットワーク機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . .
330
ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
330
ネットワーク保護設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
ポート転送設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
McAfee Web Gateway 7.4.0
333
製品ガイド
目次
静的ルート設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
333
システム ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
334
ファイル エディター タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
334
キャッシュ ボリュームのサイズ変更 . . . . . . . . . . . . . . . . . . . . . . . . . . .
335
データベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
データベース情報の手動更新 . . . . . . . . . . . . . . . . . . . . . . . . . .
336
自動エンジン更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . 337
閉鎖されたネットワークの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
閉鎖ネットワークのアプライアンスの更新 . . . . . . . . . . . . . . . . . . . . . . 337
13
339
一元管理
一元管理構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
339
一元管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
341
一元管理構成にアプライアンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
341
一元管理設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
ノード グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . 342
ランタイム グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . .
342
更新グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . 343
14
ネットワーク グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . .
343
ベスト プラクティス - 集中管理構成でのノード グループの設定 . . . . . . . . . . . . . . . .
344
ノードの同期を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
346
スケジュール設定されたジョブを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
347
一元管理構成でのアプライアンス ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . .
347
一元管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
348
359
クラウド サービス
クラウド アプリケーションへのログオン . . . . . . . . . . . . . . . . . . . . . . . . .
359
クラウド アプリケーションへのログオンを設定する . . . . . . . . . . . . . . . . . .
364
クラウド アプリケーションへのログオンを設定する . . . . . . . . . . . . . . . . . .
365
シングル サイン オンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
認証 MCSSO の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
シングル サイン オンのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 368
シングル サイン オン ルール セット . . . . . . . . . . . . . . . . . . . . . . . . 369
MCSSO 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
369
クラウド アプリケーションのログオン問題の解決 . . . . . . . . . . . . . . . . . . .
370
クラウド ストレージ データの暗号化と復号 . . . . . . . . . . . . . . . . . . . . . . . .
371
クラウド ストレージ データの暗号化と復号化を設定する . . . . . . . . . . . . . . . .
374
データの暗号化と暗号化解除を設定する . . . . . . . . . . . . . . . . . . . . . . . 374
クラウド ストレージ暗号化の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 375
クラウド ストレージ暗号化サポートの設定 . . . . . . . . . . . . . . . . . . . . .
375
クラウド ストレージ データを手動で復号化する . . . . . . . . . . . . . . . . . . . . 376
クラウド ストレージ暗号化ルール セット . . . . . . . . . . . . . . . . . . . . . .
15
Web Hybrid
376
379
Web Hybrid Security ソリューションの設定の同期 . . . . . . . . . . . . . . . . . . . . . 379
同期のための Web フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 380
16
同期設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
380
Web Hybrid 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
381
383
モニタリング
ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
383
ダッシュボードへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . .
384
アラート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
グラフおよび表のタブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
McAfee Web Gateway 7.4.0
製品ガイド
9
目次
ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
392
ロギングの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
393
ログ ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
394
ログ ファイル タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
394
ログ ファイル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
ログ ファイル マネージャー設定 . . . . . . . . . . . . . . . . . . . . . . . . .
396
ファイル システム ログ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
ログ ハンドラーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
400
ログ ルールの要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
401
ベストプラクティス - ログ ファイル フィールドの追加 . . . . . . . . . . . . . . . . . 402
ベスト プラクティス - ログの作成 . . . . . . . . . . . . . . . . . . . . . . . .
403
ログ ルール セットへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . .
408
ウイルス検出ログ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
409
エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410
エラー ID を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . 410
インシデント情報を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . .
410
エラー処理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
411
エラー処理ルール セットの表示 . . . . . . . . . . . . . . . . . . . . . . . . .
412
デフォルト エラー ハンドラー ルール セット . . . . . . . . . . . . . . . . . . . .
412
パフォーマンス測定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
パフォーマンス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
420
パフォーマンス測定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
420
パフォーマンス情報をログするためのプロパティのルール内での使用 . . . . . . . . . . . . 421
ルール セット処理時間を測定するためのイベントのルール内での使用 . . . . . . . . . . . . 422
McAfee ePO を監視するためのデータの転送 . . . . . . . . . . . . . . . . . . . . . . .
423
ePolicy Orchestrator 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . .
424
ePolicy Orchestrator 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
ePO リクエストのバイパス ルール セット . . . . . . . . . . . . . . . . . . . . .
425
SNMP でのイベント モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
425
SNMP 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
425
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
17
429
トラブルシューティング
トラブルシューティング方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
429
ルール追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
430
ルール追跡を使用してルール処理の問題をデバッグする . . . . . . . . . . . . . . . . .
431
ルール追跡ペイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
ルール追跡を使用して要求のブロック理由を確認する . . . . . . . . . . . . . . . . . . 438
削除したルール追跡をルール追跡ペインに復元する . . . . . . . . . . . . . . . . . . . 439
ルール追跡を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
440
フィードバック ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
440
コア ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
441
接続追跡ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441
パケット追跡ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
442
ネットワーク ツールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
アプライアンスの構成をバックアップまたは復元する . . . . . . . . . . . . . . . . . . . . . 443
A
445
構成リスト
アクションのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
ブロック理由 ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
エラー ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
10
イベントのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
452
インシデント ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
461
McAfee Web Gateway 7.4.0
製品ガイド
目次
プロパティのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
ワイルドカード式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ワイルドカード式のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
533
533
重要な特殊 glob 文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 534
重要な特殊正規表現文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . 535
B
REST インターフェース
539
REST インターフェースの使用の準備 . . . . . . . . . . . . . . . . . . . . . . . . . .
539
インターフェースの使用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 540
インターフェースにアクセスする権限を与える . . . . . . . . . . . . . . . . . . . . 540
REST インターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
データ転送ツールとしての curl の使用 . . . . . . . . . . . . . . . . . . . . . . . 541
インターフェースへの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
543
リソースの要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
544
基本アクティビティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . .
545
個々のアプライアンスでの作業 . . . . . . . . . . . . . . . . . . . . . . . . .
547
システム ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
ログ ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C
549
トラブルシューティング用にアップロードされたファイルの操作 . . . . . . . . . . . . .
550
リストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
551
REST インターフェースを操作するためのサンプル スクリプト . . . . . . . . . . . . . . . . .
555
559
サードパーティ ソフトウェア
主要リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559
ユーザー インターフェース: . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
索引
McAfee Web Gateway 7.4.0
561
565
製品ガイド
11
目次
12
McAfee Web Gateway 7.4.0
製品ガイド
まえがき
この製品ガイドでは、McAfee® Web Gateway バージョン 7.4.0 の特徴と機能、製品の概要、製品の設定と保守の
手順について詳しく説明します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
このガイドの内容
このガイドは、分かりやすい構成になっています。必要な情報を簡単に探すことができます。
McAfee Web Gateway アプライアンスが、主要機能、管理者の活動、配備オプション、およびシステム アーキテ
クチャ、管理アクティビティと共に概説されて紹介されています。
その後に、アプライアンスのアプライアンスの設定方法、およびプロキシ、認証、フィルタリング機能の設定まで最
初に行う必要のある手順の実行方法を説明します。
McAfee Web Gateway 7.4.0
製品ガイド
13
まえがき
製品マニュアルの検索
これらの主要機能の構成は、別の章で説明します。
ドメイン名サービス、ポート転送、またはスタティック ルートなどのアプライアンス システムの機能を構成する方
法や一元管理構成でノードとしてアプライアンスをセットアップする方法も説明します。
モニタリングとトラブルシューティングに関する章は、ガイドの巻末に提供されています。
付録には、アクション、イベント、プロパティなど、重要な設定要素のリストが含まれます。
製品マニュアルの検索
McAfee では、インストールから日常の利用やトラブルシューティングまで、製品利用の各フェーズで必要になる情
報を提供しています。製品のリリース後は、McAfee のオンライン KnowledgeBase で製品情報を提供します。
タスク
1
McAfee テクニカル サポートの ServicePortal (http://mysupport.mcafee.com) にアクセスします。
2
[Self Service] で、必要な情報にアクセスします。
情報
手順
ユーザー マニュアル 1 [Product Documentation] をクリックします。
2 製品を選択し、次にバージョンを選択します。
3 製品マニュアルを選択します。
KnowledgeBase
• 製品に関する質問の回答を検索するには、[Search the KnowledgeBase] をクリック
します。
• 製品とバージョン別に表示される記事を参照するには、[Browse the
KnowledgeBase] をクリックします。
14
McAfee Web Gateway 7.4.0
製品ガイド
1
はじめに
McAfee® Web Gateway アプライアンスは、ネットワークの包括的な Web セキュリティを保証します。
これは、ウイルスやその他のマルウェア、不適切なコンテンツ、データ漏えいおよび関連の問題など、Web から発
生する脅威に対してネットワークを保護します。また、法令順守や生産的な作業環境も保証します。
目次
Web トラフィックのフィルター
アプライアンスの主要機能
アプライアンスの主要コンポーネント
アプライアンスの配備
高レベルの管理アクティビティ
Web トラフィックのフィルター
アプライアンスは、ネットワークを Web に接続し、そのネットワークを出入りする Web トラフィックをフィルタ
ーするゲートウェイとしてインストールされます。
実装された Web セキュリティ ルールに従って、それはネットワーク内から Web にユーザーが送信する要求と、
Web から返される応答をフィルターします。
要求または応答とともに送信される埋め込みオブジェクトもフィルターされます。
不正なコンテンツや不適切なコンテンツはブロックされ、有効なコンテンツは通過が許可されます。
図 1-1 Web トラフィックのフィルター
McAfee Web Gateway 7.4.0
製品ガイド
15
1
はじめに
アプライアンスの主要機能
アプライアンスの主要機能
Web トラフィックのフィルターは複雑なプロセスです。アプライアンスの主要機能は、以下のようないくつかの方
法で利用されます。
Web オブジェクトのフィルタリング
アプライアンスの特殊なウイルス対策機能とマルウェア対策機能によって Web トラフィックがスキャンおよびフィ
ルターされ、オブジェクトが感染していた場合、その Web オブジェクトはブロックされます。
™
その他の機能は、Global Threat Intelligence システムからの情報を使用するか、メディア タイプおよび HTML フ
ィルタリングを行って要求された URL をフィルタリングします。
それらはそれら自体をフィルタリングしない機能によりサポートされますが、ユーザーのリクエストを数えたり、
Web オブジェクトのダウンロードの進行状況を示すなどのジョブを行います。
ユーザーのフィルタリング
内部および外部データベースと NTLM、LDAP、RADIUS、Kerboros、その他などの方法から情報を使用して、アプ
ライアンスの認証機能によりユーザーをフィルタリングします。
通常のユーザーをフィルタリングするのに加えて、このアプライアンスは管理権限と責任をコントロールできるよう
にします。
Web トラフィックのインターセプト
これは、Web オブジェクトまたはユーザーのフィルタリングを行うための前提条件です。HTTP、HTTPS、FTP、
Yahoo、ICQ、Windows Live Messenger などのさまざまなネットワーク プロトコルを使用して、アプライアンス
のプロキシ機能により実行されます。
アプライアンスは明示的プロキシ モード、あるいは透過的なブリッジまたはルーター モードで実行できます。
フィルター処理のモニタリング
アプライアンスのモニタリング機能は、フィルタリング プロセスの継続的な概要を示します。
Web 使用、フィルタリング アクティビティ、およびシステム動作の情報を表示するダッシュボードを含みます。ロ
グ記録とトレーシング機能のみならず、McAfee ePO サーバーへのデータの転送や SNMP エージェントでイベント
をモニタリングするオプションも使用できます。
16
McAfee Web Gateway 7.4.0
製品ガイド
はじめに
アプライアンスの主要コンポーネント
1
アプライアンスの主要コンポーネント
McAfee Web Gateway アプライアンスではいくつかのサブシステムを使用して、そのオペレーティング システム
に基づいてフィルターおよびその他の機能を実行します。
アプライアンス サブシステム
アプライアンスおよびそのモジュールのサブシステムは次を実行します。
•
Core サブシステム — Web トラフィックを傍受するためのプロキシ モジュールと、Web セキュリティ ポリシ
ーを構成しているフィルタリング ルールを処理するためのルール モジュールを提供します。
このサブシステムはさらに、フィルタリング ルールのための特別なジョブを完了するモジュール(エンジンとも
呼ばれる)を備えており、たとえば、マルウエア対策エンジン、URL フィルター エンジン、または認証エンジン
など、自分で構成することができます。
フロー マネージャー モジュールは、モジュール間の効率的な協力関係を保証します。
•
コーディネーター サブシステム — アプライアンスで処理されるすべての構成データを保管します
このシステムはまた、更新と集中管理機能も備えています。
•
コンフィギュレーター サブシステム — ユーザー インターフェースを提供します(内部サブシステムは
Konfigurator です)。
図 1-2 アプライアンス サブシステムおよびモジュール
オペレーティング システム
アプライアンスのサブシステムは、そのオペレーティング システムである MLOS2(McAfee Linux Operating
System バージョン 2)に依存します。
このバージョンは、ユーザーがこれらの製品の 2 つ以上に責任を持つ管理者である場合、学習努力を軽減する
McAfee Email Gateway など、他の Linux ベースの McAfee セキュリティ製品でも使用されます。
McAfee Web Gateway 7.4.0
製品ガイド
17
1
はじめに
アプライアンスの配備
オペレーティング システムは、フィルタリング ルールがトリガーするアクション、ファイルとネットワークの読み
取り、書き込み、およびアクセス制御を実行する機能を備えています。
構成デーモン(sysconfd daemon)は、オペレーティング システムで変更された構成設定を実装します。
アプライアンスの配備
McAfee Web Gateway アプライアンスを設定する前に、その使用方法を検討します。異なるプラットフォームで実
行し、ネットワーク統合の異なるモードを構成できます。一元管理構成のノードとして、複数のアプライアンスをセ
ットアップおよび管理もできます。
プラットフォーム
アプライアンスを異なるプラットフォームで実行できます。
•
ハードウェアベースのアプライアンス— 物理ハードウェア プラットフォーム上
•
仮想アプライアンス — 仮想マシン上
ネットワーク統合
ネットワークで、アプライアンスは異なるモードで Web トラフィックをインターセプト、フィルタリング、および
送信できます。
•
明示的プロキシ モード — アプライアンスが通信するクライアントがそれを認識しています。
「明示的に」それら
を構成して、トラフィックをアプライアンスに仕向けます。
•
透過的モード — クライアントはアプライアンスを認識していません。
•
透過型ブリッジ — アプライアンスは、クライアントと Web の間で「見えない」ブリッジとして動作します。
これに対してクライアントを構成する必要があります。
•
透過的ルーター — アプライアンスは、ユーザーが記入する必要があるルーティング テーブルに従ってトラフ
ィックを仕向けます。
管理と更新
アプライアンスを管理し、種々の方法で更新を配布することができます。
•
スタンドアロン — アプライアンスを個別に、アプライアンスが他のアプライアンスから更新を受信しないように
管理します。
•
一元管理 — アプライアンスを複雑な構成のノードとしてセットアップし、そのユーザー インターフェースでほ
かのノードを、更新の配布を含めて管理します。
また、他のノードでアプライアンスを管理し、アプライアンスが他のノードから更新を受信するように設定する
ことができます。
高レベルの管理アクティビティ
アプライアンスの管理には、ネットワークの要件に応じて、異なるアクティビティが含まれます。
以下は推奨される高レベルの管理アクティビティです。
18
McAfee Web Gateway 7.4.0
製品ガイド
はじめに
高レベルの管理アクティビティ
1
タスク
1
初期設定を実行します。
セットアップ手順には、ホスト名や IP アドレスなどのシステム パラメーターの設定、フィルタリング規則の初
期システムの実装およびライセンス付与などが含まれます。
この段階では、2 つのウィザードが利用可能です。1 つは初期構成用のものであり、もう 1 つはフィルタリング
規則用のものです。
2
プロキシ機能を設定します。
初期セットアップ後に、アプライアンスに明示的プロキシ モードと HTTP プロトコルが事前設定されます。
この設定を変更し、アプライアンスが通信するその他のネットワーク コンポーネントを構成することもできます。
3
認証の実施を検討します。
デフォルトでは、アプライアンスに認証は実施されません。
実施する場合、NTML、LDAP、Kerberos、およびその他の数多くの異なる認証方法から選択できます。
4
Web フィルタリングを設定します。
ウイルスとマルウェア フィルタリング、URL フィルタリング、メディア タイプ フィルタリング、その他のフィ
ルタリング関連プロセスを初期設定する間に実施するルールを見直すことができます。
これらのルールを微調整して、ネットワークの要件に対応するように適応させることができます。
フィルタリング規則の操作には、これらの規則が使用するリストの維持とルール アクションとフィルタリング プ
ロセスに含まれるモジュールの設定の構成が含まれます。
5
アプライアンスの振る舞いを監視します。
要件に従ってアプライアンスを設定したときに、フィルタリング プロセスを実行する方法を監視できます。
また、CPU とメモリ使用量、アクティブな接続数、その他のシステム関数をモニタリングすることもできます。
これらのアクティビティに関する詳細は、セットアップ、認証、または Web フィルタリング の下のそれらを取り
上げているセクションを参照してください。
McAfee Web Gateway 7.4.0
製品ガイド
19
1
はじめに
高レベルの管理アクティビティ
20
McAfee Web Gateway 7.4.0
製品ガイド
2
ユーザー インターフェース
ユーザー インターフェースでは、ルール、リスト、設定、アカウント、Web Gateway の他の機能を操作できます。
重要なフィルタリング パラメーターやシステム パラメーターに関する情報を表示し、トラブルシューティングを行
うこともできます。
目次
ユーザー インターフェースの主要要素
設定機能のサポート
ユーザー インターフェース以外での Web Gateway の管理
ユーザー インターフェースの主要要素
以下のスクリーンショットには、ユーザー インターフェースの主要要素が表示されています。
McAfee Web Gateway 7.4.0
製品ガイド
21
2
ユーザー インターフェース
ユーザー インターフェースの主要要素
以下の表では、ユーザー インターフェースの主要要素について説明します。
表 2-1 ユーザー インターフェースの主要要素
オプション
定義
システム情報
行
システムとユーザーの情報が表示されます。
最上位メニュ
ー バー
以下のメニューから 1 つを選択することができます。
• [ダッシュボード] - イベント、Web の使用、フィルタリング、システムの動作に関する情報が
表示されます。
• [ポリシー] - Web セキュリティ ポリシーを設定します。
• [設定] - アプライアンスのシステム設定を行います。
• [アカウント] - 管理者アカウントを管理します。
• [トラブルシューティング] - アプライアンスで発生した問題を解決します。
タブ バー
現在選択されている最上位メニューのタブが表示されます。
最上位メニューには次のタブがあります。
• [ダッシュボード]
• アラート
• グラフと表
• [ポリシー]
• ルール セット
• リスト
• 設定
• [設定]
• アプライアンス
• ファイル エディター
• [アカウント]
• 管理者アカウント
[トラブルシューティング] にはタブがありません。
ツールバー (タ 様々なツールを使用できます。表示されるツールは、選択したタブによって異なります。
ブ上)
ナビゲーショ
ン ペイン
ルール、リスト、設定などの項目がツリー構造で表示されます。
設定ペイン
ナビゲーション ペインで選択されている項目の設定が表示され、編集することができます。
[ユーザー設定] ウィンドウが開き、ユーザー インターフェースを設定したり、パスワードの変更を行うことがで
きます。
22
[ログアウト]
ユーザー インターフェースからログオフします。
ヘルプ アイコ
ン
オンライン ヘルプが表示されます。
ページ内の情報を参照したり、ツリー構造に従ってページを移動することができます。また、全文
検索を実行したり、インデックス項目で検索できます。
McAfee Web Gateway 7.4.0
製品ガイド
ユーザー インターフェース
設定機能のサポート
2
表 2-1 ユーザー インターフェースの主要要素 (続き)
オプション
定義
[検索]
ウィンドウが開き、次の検索オプションを選択できます。
• [オブジェクトの検索] - ルール セット、ルール、リスト、設定を検索します。
入力フィールドに検索語句を入力すると、指定した語句に一致する名前のオブジェクトがすべて
表示されます。
• [参照するオブジェクトの検索] - リスト、プロパティ、設定を選択して検索すると、選択項目
が使用されているルールがすべて表示されます。
[変更を保存]
変更を保存します。
設定機能のサポート
ユーザー インターフェースには、設定を行うための様々な機能が用意されています。
表 2-2 管理機能のサポート
オプション
定義
黄色い三角形
空のリストか、入力が必要なリスト名と一緒に表示されます。
フィルター リストが作成されても、細かい情報が必要な場合、ポリシー設定ウィザードで入
力されない場合があります。
黄色の挿入テキスト ユーザ インターフェースの項目の上にマウス ポインターを置くと、その項目の意味と使用方
法が表示されます。
OK アイコン
入力項目が有効な場合に、ウィンドウに表示されます
エラー アイコン
入力項目が無効な場合に、ウィンドウに表示されます
メッセージ テキス
ト
エラー アイコンと一緒に表示され、無効な入力項目の情報が表示されます。
薄赤色の入力フィー 無効な入力があることを示します。
ルド
[変更を保存]
項目を変更すると、ボタンが赤になります。
変更を保存すると再び灰色になります。
赤い三角形
変更された項目が保存されていない場合に、タブ、アイコン、リスト項目と一緒に表示され
ます。
たとえば、ルールを変更した場合、以下の場所に赤い三角形が表示されます。
• 設定ペインのルール エントリの行
• ルール セットのアイコン
• [ルール セット] タブで突き出ている部分
• 最上位メニュー バーの [ポリシー] アイコンの上
変更の破棄
ユーザー インターフェースで管理者アクティビティを実行している場合、それらを保存する代わりに作成した変更を
破棄できます。
変更を破棄するための 1 つのオプションは、保存していない変更で本当に行うかどうかに関わらず、ログオフを実行
する場合の正しい答えです。
もう 1 つのオプションは、変更を破棄し、構成データをリロードするためのものです。
McAfee Web Gateway 7.4.0
製品ガイド
23
2
ユーザー インターフェース
ユーザー インターフェース以外での Web Gateway の管理
構成データのリロードは、最後に保存した後、既存の構成を復元します。これは、他の管理者によって完了できます。
アプライアンスの初期セットアップの後にまだ変更が保存されていない場合、初期セットアップ構成が復元されます。
データをリロードして変更を破棄する
既存の構成データをリロードして、ユーザー インターフェースで構成された変更を破棄できます。
タスク
1
[変更を保存する]ボタンの隣にある小さく黒い三角形をクリックします。
[バックエンドからデータをリロードする]を読み込む挿入が表示されます。
2
挿入をクリックします。
保留の変更が破棄され、構成データがリロードされます。
ユーザー インターフェース以外での Web Gateway の管理
標準のユーザー インターフェースにログオンしなくても、別のインターフェースを使用して Web Gateway を管理
することができます。このインターフェースは REST (Representational State Transfer) インターフェースとい
います。
REST インターフェースを使用すると、特定の Web Gateway アプライアンスとこのアプライアンスに接続するア
プライアンスの操作を管理することができます。たとえば、アプライアンスの電源を切ったり、再起動することがで
きます。また、リストや設定の操作や更新も実行できます。
REST インターフェースの基本的な使用方法については、このガイドの付録にある「REST インターフェース」を参
照してください。インターフェースと通信を行うためのサンプル スクリプトも掲載されています。
24
McAfee Web Gateway 7.4.0
製品ガイド
3
ルール
Web フィルタリングと権限はルールにより制御され、ネットワークのニーズに合わせて実装および変更できます。
ルールはグループ化され、ルール セットで使用可能になり、それぞれは通常はフィルタリング アクティビティの特
定のフィールドを対象としています。たとえば、ウイルスとマルウェア フィルタリング ルール セット、URL フィル
タリング ルール セット、認証ルール セットなどがある場合があります。
アプライアンスの初期セットアップ時に、ルール セットのデフォルトのシステムが実装されます。これらのルールと
ルール セットを見直し、それらを変更および削除し、固有のルールおよびルール セットをしたり、固有の完全なシ
ステムさえも作成できます。
さらに、その他のルール セットと同じ方法でライブラリからルール セットをインポートし、それらを変更できます。
目次
フィルタリングについて
ルール要素
ルール セット
ルール セット システム
ルール セット ライブラリ
ルール セット タブ
ルールの作成
ルール セットの作成
ルール セットのインポート
構成項目へのアクセス制限
フィルタリングについて
フィルタリング処理は、ネットワークの Web セキュリティを保証するために、実装ルールを使用するアプライアン
スで実行されます。
この処理は Web トラフィックをフィルターします。茶葉を引っかけて取り除き、すきまを通して液体を流れさせる
茶こしのように、一部のオブジェクトをブロックし、他は通過させます。
この処理は茶葉と液体はどのように区別するのでしょうか?茶こし器の場合は、明らかにサイズが主要な概念として
使用されています。大きすぎるものは通過できません。
同様に、フィルタリングの判断をするために、アプライアンスのフィルタリング処理は Web オブジェクトが持つ、
あるいは Web オブジェクトに何らかの方法で関連する、あらゆる種類のプロパティのルールを使用します。
フィルターされたオブジェクトのプロパティ
フィルタリング処理でチェックされた Web オブジェクトのプロパティは、たとえば、ウイルスに感染しています。
Web オブジェクトはウイルスに感染するプロパティを持つ場合があります。さらに簡単に言えば、ウイルスに感染
する可能性があります。
McAfee Web Gateway 7.4.0
製品ガイド
25
3
ルール
フィルタリングについて
その他の例では、特定の URL カテゴリーまたは特定の IP アドレスを持つプロパティに属するプロパティの場合があ
ります。
すると、これらのプロパティおよびその他のプロパティについて、以下のような疑問が生じます。
•
特定の Web オブジェクトにおいて、プロパティ p の値は?
•
そして、この値が x の場合、どのようなアクションが必要なのだろうか?
2 つめの質問に答えると、以下のルールに導かれます。
プロパティ p の値が x である場合、アクション y が必要。
アプライアンスのすべてのルールにおいて、プロパティは主要な要素です。プロパティを理解することは、ルールを
理解することにおいて不可欠です。
ルールを作成する際は、使用するプロパティについて考慮することから始めることが望ましいです。すでに存在する
ルールを例として使用し、たとえば、以下のように考慮することがあるかもしれません。
ウイルスと他のマルウェアをフィルタリングします。
「ウイルスに感染している」プロパティを使用し、それを中心に
ルールを作成します。特定の Web オブジェクトにこのプロパティがある場合、このルールにブロック アクション
の実行を必要とするようにします。
ルールは、以下のようになる可能性があります。
ウイルスに感染しているが true の値(特定の Web オブジェクトで)である場合は、このオブジェクトへのアクセ
スをブロックします。
この Web オブジェクトは、たとえば、ネットワークのユーザーがファイルをリクエストしたことで Web サーバー
が送信したファイルであり、アプライアンスでインターセプトおよびフィルタリングされたものである可能性があり
ます。
このセクションでは、普通の言葉を使用してプロパティとルールが説明されます。しかし、アプライアンスのユーザ
ー インターフェースにある形式はこれとはあまり変わりません。
たとえば、ウイルス感染に関する上記のルールが、以下のようにユーザー インターフェースに表示される場合があり
ます。
Antimalware.Infected equals true –> Block (Default)
この場合、Antimalware.infected がプロパティで Block がアクションの場合、デフォルトの方法で実行される
ものです。
ユーザー インターフェースに矢印が表示されずここに表示されています。特定の Web オブジェクトに疑わしいプ
ロパティがある場合、ブロック アクションがトリガーされていることを示します。
ユーザーのフィルタリング
プロパティは Web オブジェクトに関連する可能性がありますが、それをリクエストするユーザーにも関連する可能
性があります。
たとえば、ルールで ユーザーがメンバーであるユーザー グループ プロパティを使用して、許可されたグループにい
ないユーザーによって送信されたリクエストをブロックすることができます。
ユーザーがメンバーであるユーザー グループ(特定のユーザーで)が許可されているグループのリストにない場合、
このユーザーによって送信されるリクエストをブロックします。
26
McAfee Web Gateway 7.4.0
製品ガイド
ルール
フィルタリングについて
3
フィルタリング サイクル
このアプライアンスでのフィルタリング プロセスには、以下の 3 つのサイクルがあります。リクエスト サイクル、
応答サイクル、埋め込みオブジェクト サイクルいかなる時でも、これらの中から 1 つの処理しかできません。
リクエスト サイクルはネットワークのユーザーが Web に送信するリクエストをフィルタリングするために実行さ
れ、応答サイクルはこれらのリクエストにより Web から受信した応答のために使用されます。
埋め込みオブジェクトがリクエストまたは応答とともに送信される場合、埋め込みオブジェクト サイクルは追加の処
理のサイクルとして実行されます。
埋め込みオブジェクトは、たとえば、ファイルをアップロードするというリクエストとともに送信されるファイルで
あり、このファイルに埋め込まれるということがあります。フィルタリング プロセスは、リクエスト サイクル、リ
クエストのフィルタリング、アップロードのリクエストがあるファイルの確認から開始します。すると、埋め込みフ
ァイルに対して埋め込みオブジェクト サイクルが開始されます。
同様に、Web サーバーから応答として送信されて、他のファイルが埋め込まれているファイルでは、応答サイクル
と埋め込みオブジェクト サイクルが次々と開始されます。
アプライアンスのすべてのルールにつき、どのサイクルで処理されるかが指定されています。しかし、サイクルは個
々のルールで指定されているのではなく、それを含むルール セットで指定されます。
1 つのサイクルのみ、またはサイクルの組み合わせで、ルール セットを処理できます。
プロセス フロー
フィルタリング プロセスでは、実装されているルールがルール セットでの位置に応じて、次々と処理されます。
ルール セット自体は、ユーザー インターフェースの[ルール セット]タブで表示されている、ルール セット システ
ムの順序に処理されます。
3 つのサイクルそれぞれで、このサイクルでどれを処理する必要があるかを確認するために、実装されたルール セッ
トが次々と参照されます。
ルールが処理されて適用することが判明した場合、アクションをトリガーします。アクションは、Web オブジェク
トへのアクセスをブロックしたり、リクエストされたオブジェクトを削除するなどの、フィルタリング手段を取りま
す。
これに加え、アクションはフィルタリング プロセスに影響を与えます。フィルタリング プロセスを完全に停止する
必要があると指定、あるいは一部のルールを省いて続行、またはシンプルに次のルールで続行すると指定することが
できます。
すべての実装されたルールが処理された後も、処理が停止します。
それにより、プロセス フローは以下のようになります。
構成されたそれぞれのサ –> 処理が止まります。
イクルのすべてのルール
リクエスト サイクルでは、リクエストが適切なサーバーに通過することが許可され
が処理されたので、適用す
ます。
るルールが見つからない。
応答サイクルでは、Web から送信された応答は、適切なユーザーに転送されます。
埋め込みオブジェクト サイクルでは、リクエストまたは応答とともに送信された埋
め込みオブジェクトが一緒に通過することが許可されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、処理を –> 処理が止まります。
完全に停止する必要があ
処理が完全に止まるルールの例の一例は、ブロック アクションのあるルールです。
る。
McAfee Web Gateway 7.4.0
製品ガイド
27
3
ルール
ルール要素
たとえば、リクエストされた URL がブラックリストにあるためにリクエストがブ
ロックされた場合、他を処理を行うことは無意味になります。
リクエストがブロックされて適切な Web サーバーに渡されていないため、応答は
受信されません。リクエストがブロックされたため、リクエストとともに送信され
た埋め込みオブジェクトのフィルタリングも必要ありません。
メッセージは、たとえば、ユーザーにリクエストがブロックされたこととその理由
の通知など、アクションによって影響を受けたユーザーに送信されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、現在の –> このルール セットの処理が停止します。
ルール セットの処理を停
ルール セットの停止ルールに従うルールは省かれます。
止する必要がある。
ルール セットの処理を停止するルールの例は、同じルール セットにおいてホワイ
トリスト ルールにブロック ルールが続く場合です。
リクエストされた Web オブジェクトがホワイトリストで見つかった場合、そのリ
クエストは他にフィルタリングされることなく通過が許可されます。そのため、ル
ール セットはこれ以上処理されることなく、オブジェクトを最終的にブロックする
ルールは省かれます。
次のルール セットで処理が続行されます。
次のルール セットには、たとえば、リクエストが前のルール セットで通過するこ
とが許可されていてもそのリクエストをブロックするようなルールを、含むことが
できます。
ルールが適用され、現在の –> このサイクルの処理が停止します。
サイクルの処理を停止す
ルール セットの停止ルールに従うルールは省かれます。
る必要がある。
サイクルの処理を停止するルールの例は、グローバル ホワイトリスト ルールです。
リクエストされたオブジェクトがグローバル ホワイトリストで見つかった場合、そ
のリクエストは適切なサーバーに通過することが許可されます。リクエストが、最
終的に後に続くいかなるルールやルール セットにブロックされないことを保証す
るために、リクエスト サイクルはこれ以上処理されません。
次のサイクルで処理が続行されます。
ルールが適用され、次のル –> 処理は次のルールで続行します。
ールで処理が続行される
これは現在のルール セットにおける次のルール、あるいは次のルール セットまた
必要がある。
はサイクルの最初のルールである可能性があります。
フィルタリング プロセスを妨げずに続行させるルールの例は、統計ルールです。
このルールは、カウンターを増加させることでリクエストを数えるだけであり、そ
れ以外は何もしません。
ルール要素
アプライアンスの Web セキュリティ ルールには、3 つの主要要素があります。条件、アクション、および(オプシ
ョン)イベント.
1
[条件]
ルールが適用されるかどうかを判別します。
その他のルール構文は条件の代わりに条件を使用します。
URL のカテゴリーがリスト x にある場合、...
28
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール要素
3
条件には、以下の 3 つの要素があります。プロパティ、演算子、演算対象。
•
[プロパティ]
Web オブジェクトまたはユーザーに関連するものです。
URL のカテゴリー ...
•
[演算子]
演算対象のプロパティをリンクします。
... がリストにある
•
[演算対象]
プロパティがもつことができる値を指定します。
... x(リスト名)
演算対象はユーザー インターフェースではパラメーターとしても知られています。
2
[アクション]
条件が一致した場合に実行されます。
... URL をブロック
3
[イベント]
条件が一致した場合に実行されます。
... およびこのアクションをログに記録します。
イベントはルールに対してオプションです。ルールは複数のイベントを持つこともできます。
ユーザー インターフェースでのルールの形式
ユーザー インターフェイスでは、ルールは以下の形式で表示されます。
図 3-1 ユーザー インターフェースでのルールの形式
以下の表で、 ルール要素の意味を説明します。
表 3-1 ユーザー インターフェースでのルールの要素
オプショ
ン
定義
[有効]
ルールを有効または無効にすることを可能にします
[名前]
ルールの名前
• [URL のブロック ...] ― 名前のテキスト
• [カテゴリー ブロックリスト] (ルール名) — ルールにより使用されるリスト
リスト名をクリックすると、編集のためにリストが開きます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空で、エントリーの入力が必要であることを示
します。
McAfee Web Gateway 7.4.0
製品ガイド
29
3
ルール
ルール要素
表 3-1 ユーザー インターフェースでのルールの要素 (続き)
オプショ
ン
定義
[条件]
ルールの条件
条件は、[詳細の表示]切り替えボタンをクリックした後のみに、表示されます。
• [URL.Categories] — プロパティ
• [<Default>] — プロパティの値を取得するモジュールの設定
たとえば、URL フィルターー モジュールの設定であるここに表示されるデフォルト設定。
設定名をクリックすると、編集のために設定が開きます。
モジュール名はルールでは表示されません。しかし、ルールの条件の[編集]ウィンドウで表示されま
す。
• [リストに少なくとも 1 つある場合] ― 演算子
• [カテゴリー ブラックリスト] — 演算対象、またはパラメーターとして知られています
リスト名をクリックすると、編集のためにリストが開きます。
リスト名は、条件が表示されていないときに利用可能にするため、ルール名と条件の両方に表示され
ます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空であることを示します。
[アクショ
ン]
ルールのアクション
• [ブロック] — アクションの名前
• [<URLBlocked>] — アクションの名前
設定名をクリックすると、編集のために設定が開きます。
[イベン
ト]
ルールの 1 つ以上のイベント
イベントは、[詳細の表示]切り替えボタンをクリックした後のみに、完全に表示されます。
• [Statistics.Counter. Increment] — イベントの名前
• [“BlockedByURLFilter, 1”] — イベントのパラメーター
• [<Default>] — イベントの設定
設定名をクリックすると、編集のために設定が開きます。
複雑な条件
ルールの条件は、2 つ以上の部分で構成することで複雑にできます。
各部分の複雑な条件には演算子と演算対象のあるプロパティがあります。これらの部分は、AND または OR でリン
クされています。
フィルターされた URL が、2 つの指定されたカテゴリ リストのいずれか(または両方)にあるカテゴリに属してい
る場合、条件の一致になります。
3 つ以上の部分で条件を構成し、AND と OR の両方を間に使用している場合は、どのように部分が論理的につなが
っているかを示すために括弧を入れる必要があります。たとえば、(a AND b) OR c の意味は、a AND (b OR c) と
は違います。
30
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール セット
3
3 つめの条件の部分をユーザー インターフェースに追加すると、小文字がその部分の前に表示され、追加のフィール
ドが構成ウィンドウの下に挿入されます。
a AND b OR c など、フィールドは条件部分を簡単に表示します。それから、必要に応じてフィールドに括弧を入力
できます。
ルール セット
ルールは、アプライアンスのルール セットにグループ化されて含まれます。ルールはそのままでは使用できません。
ルールはルール セットに含まれる必要があります。
ルール セットは単一のルールのみか、複数のルールを含むことができます。1 つ以上のネストされた ルール セット
を含めることもできます。ルール セットがネストされたルール セットを含む場合、ネストされたルール セットと同
じレベルで個々のルールを含むことができます。
ルール セットは、通常、Web セキュリティを保証する特定の機能を提供するために、一緒に動作するルールを含み
ます。
たとえば、ウイルスとマルウェアをフィルタリングするルール セットに、ブロック ルールを省いてユーザーがアク
セスできるように、感染したルール セットをブロックするルール、および 1 つ以上のオブジェクトをホワイトリス
トするルールを含めます。
施行されたルール セットを変更し、固有のルール セットを作成してネットワークに適した方法で機能的なユニット
を構築できます。
ルール セットの条件
ルールと同様にルール セットには条件があり、その条件に一致した場合に適用されます。
通常、ルール セットの条件はルールの条件とは異なります。ルールが適用されるには、条件とルール セットの条件
の両方が一致する必要があります。
ルール セット サイクル
ルール セットは、フィルタリング プロセスの 3 つのサイクルでルールとともに処理されます。
ルール セットは、たとえば、リクエスト サイクルのみ、リクエストと応答サイクル、および 3 つのサイクルすべて
など、これらのサイクルのいかなる組み合わせでも処理することができます。
ルール セットのサイクルは、これを含み個々のルールのものと同じです。ルールに関しては、そのルール セットか
らのサイクルとは異なることはできません。
ネストされたルール セット
ルール セットには、他のルール セットをネストできます。ネストされたルール セットには独自の条件があります。
サイクルに関しては、ネストされたルール セットのサイクルで処理できますが、すべてのサイクルで処理する必要は
ありません。
この方法だと、ネストされたルール セットで特定のサイクルに特に対応すると同時に、他のルール セットで異なる
サイクルに対応するように構成できます。
たとえば、メディア タイプ フィルタリング ルール セットは、すべてのサイクルに適用される可能性がありますが、
有しているすべてのネストされたルール セットでは処理されません。
McAfee Web Gateway 7.4.0
製品ガイド
31
3
ルール
ルール セット システム
メディア タイプ フィルタリング ルール セット(リクエスト、応答、および埋め込みオブジェクト)
•
ネストされたルール セット、メディア タイプ アップロード(リクエストのみ)
•
ネストされたルール セット、メディア タイプ ダウンロード(応答および埋め込みオブジェクトのみ)
ルール セット システム
ルール セットは、ルール セット システム内のアプライアンスで実装されます。
Web アクセスのリクエストがアプライアンスで受け取られると、このリクエストに対して、システム内のすべての
ルール セットは上から下に処理されます。
ルール セットのルールを適用する場合、このルールのアクションが実行されます。アクションがブロックされている
場合、処理が停止します。その他のアクションの場合は、1 つの方法または別の方法で処理が続行します。
同様に、実装されたシステムのルール セットは、リクエストおよび応答と一緒に送信された応答および埋め込みオブ
ジェクトの場合に処理されます。
ルール セット システムの操作
アプライアンスの初期セットアップ時に、ルール セットのデフォルトのシステムが実装されます。このシステムを微
調整して、ネットワーク要件に対応するには、以下を実行できます。
•
ルールとルール セットの変更
•
ルール セットのインポート
•
ルールとルール セットの削除
•
ルールとルール セットの新しい位置への移動
•
新規ルールとルール セットの作成
•
ルールをコピーし、その他のルール セットに貼り
付ける
デフォルト ルール セット システム
デフォルトのルール システムは次のようになります(ネストされたルール セットが表示されます)。
表 3-2 デフォルト ルール セット システム
ルール セット
説明
SSL スキャナー
他のフィルタリング機能によって処理するため、SSL セキュアードの Web
トラフィックを準備します。
(デフォルトでは有効ではありません)
32
グローバル ホワイトリスト
ホワイトリストされた URL または IP アドレスのリクエストに対してフィ
ルタリングを省くことを許可します。
共通ルール
Web キャッシング、進行状況を表示、およびアーカイブを開くなどの、フ
ィルタリング プロセスをサポートする機能を提供します。
URL フィルタリング
個々の URL と URL カテゴリーのフィルタリングを制御します。
メディア タイプ フィルタリング
特定タイプのメディアのフィルタリングを制御します。
Gateway AntiMalware
ウイルス シグネチャと積極的な方法を使用してウイルスとマルウェアのフ
ィルタリングを制御します。
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール セット ライブラリ
3
ルール セット ライブラリ
ルール セット ライブラリは、実装されたルール セット システムにインポートするためのルール セットを提供しま
す。
システムにない機能を追加するため、または実装されているルール セットがネットワークに適していない場合に、ラ
イブラリをインポートできます。
•
ルール セット ライブラリは、デフォルト ルール セット システムの一部であるルール セットも含みます。
•
オンライン ルール セット ライブラリからもっと多くのルール セットが利用可能です。このライブラリへのリ
ンクは、標準ルール セット ライブラリのウィンドウに表示されます。
標準ルール セット ライブラリでは、ルール セットは、認証や URL フィルタリングなどのカテゴリーでグループ化
されます。
以下のテーブルでは、標準ルール セット ライブラリのカテゴリーを示します。
表 3-3 ルール セット ライブラリのカテゴリー
ルール セット カテゴリー
次のルール セットが含まれます。
アプリケーション コントロール アプリケーションおよびアプリケーションの各機能をフィルタリングする
認証
ユーザーを認証する
警告/クォータ
ユーザーの Web アクセスでクォータおよびその他の制限を課す
共通ルール
Web キャッシング、進行状況の表示、アーカイブを開くなどのフィルタリング プ
ロセスをサポートする
DLP
data loss prevention を実装する
ePO
ePolicy Orchestrator の使用を有効にする
エラー処理
エラー処理範囲を実装する
Gateway Anti-Malware
ウイルス感染およびその他のマルウェア感染のために Web オブジェクトをフィ
ルタリングする
HTML/スクリプト フィルター HTML ページおよびスクリプトをフィルタリングする
ICAP クライアント
アプライアンスで ICAP クライアントを実行する
ログ
フィルタリングと他のアクティビティのログを記録する
メディア タイプ フィルター
特定のタイプのメディアをフィルタリングする
Mobile Security
モバイル トラフィックをフィルタリングする
ネクスト ホップ プロキシ
データ転送用のネクスト ホップ プロキシを使用する
プライバシー
プライバシーを保証するリクエストを修正する
SiteAdvisor Enterprise
フィルタリング リクエストのために SiteAdvisor を使用する
SSL スキャナー
SSL セキュア Web トラフィックを処理する
URL フィルター
個々の URL および URL カテゴリーをフィルタリングする
Web Hybrid
McAfee SaaS Web Protection Service との同期を有効にする
McAfee Web Gateway 7.4.0
製品ガイド
33
3
ルール
ルール セット タブ
ルール セット タブ
[リスト セット]タブでは、ルールとルール セットを操作できます。
[ルール セット]タブの主要要素
以下の表で、[ルール セット]タブの主要な要素について説明します。
表 3-4 [ルール セット]タブの主要要素
要素
説明
[ルール セット ツールバ
ー]
ルール セット ツリーのルールセットを操作するための項目
[ルール セット ツリー ]
アプライアンス構成のルール セットを表示するツリー構造
[ルール セット メニュー ]
以下のツリー構造を表示するボタン:
•(一般的な)ルール セット
• ログ ハンドラー ルール セット
• エラー ハンドラー ルール セット
• ユーザー定義のプロパティ(ルール セットの条件、ルール条件、およびルール イベ
ントでの使用のため)
34
[ルール ツールバー ]
ルールの操作をする項目
[ルール]
現在選択されているルール セットのルール
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール セット タブ
3
ルール セット ツールバー
ルール セット ツールバーでは、次のオプションが提供されています。
表 3-5 ルール セット ツールバー
オプション
定義
[追加 ]
ルール セット メニューで現在選択されているものによって、項目を追加するためのメニューまた
はウィンドウを開きます。
• (([ルール セット]が選択されている)- メニューを開き、以下の項目を選択できます。
• [ライブラリからのルール セット] — ルール セット ライブラリからのルール セットをイン
ポートするための[ルール セット ライブラリから追加]ウィンドウを開きます
• [ルール セット] — アプライアンス設定にルール セットを追加できる[新規ルール セットの
追加]ウィンドウが開きます。
• [最上位レベル ルール セット] — ルール セット ツリーの最上位レベルにルール セットを追
加するための[最上位レベル ルール セットの追加]ウィンドウを開きます
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ユーザー定義プロパティ]が選択されている場合)— プロパティを追加する[新規ユーザー定
義プロパティの追加]ウィンドウを開くための[ユーザー定義プロパティ]を選択できます。
[エクスポート] ルール セットをライブラリまたはファイルにエクスポートするための[ルール セットのエクスポ
ート]ウィンドウが開きます。
[編集]
選択したルール セットを編集するための[ルール セットの編集]ウィンドウが開きます。
[削除]
選択したルール セットを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セットを、同じレベルの他のルール セットの上に移動します。
[下へ]
ルール セットを、同じレベルの他のルール セットの下に移動します。
[外に移動]
ルールをそのネストしているルール セットから、ネストしているルール セットと同じレベルに移
動します。
[中に移動]
ルール セットをそのネストしているルール セットから、このルール セットに続くルール セット
に移動します。
[すべて展開]
ルール セット ツリーで折りたたまれているすべての項目を展開します
[すべて折りた
たむ]
ルール セット ツリーで展開されているすべての項目を折りたたみます
ルール ツールバー
ルール ツールバーでは、次のオプションが提供されています。
表 3-6 ルール ツールバー
オプション
定義
[追加 ]
ルールを追加するための[ルールの追加]ウィンドウが表示されます。
[編集]
選択したルールを編集するための[ルールの編集]ウィンドウが開きます。
McAfee Web Gateway 7.4.0
製品ガイド
35
3
ルール
ルールの作成
表 3-6 ルール ツールバー (続き)
オプション
定義
[削除]
選択したルールを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セット内でルールを上の位置に移動します。
[下へ]
ルール セット内でルールを下の位置に移動します。
[コピー]
選択したルールをコピーします。
[貼り付け]
コピーしたルールを貼り付けます。
[詳細情報の表示]
条件を含むルール エントリーの詳細を表示または非表示にします。
ルールの作成
ルールの作成は、ルールの異なる要素に関連するいくつかのアクティビティを含みます。
[ルールの追加]ウィンドウが、ルールの作成のため提供されます。適切な順番でルール要素を構成するアクティビテ
ィを完了できます。
たとえば、ルールの名前付けと有効化を開始し、条件、アクション、イベントを追加できます。
タスク
•
36 ページの「ルールに名前を付けて有効にする」
ルールに名前を設定し、一般設定として有効にします。
•
39 ページの「ルール条件の追加」
ルール条件を追加して、ルールを適用する場合について決定します。
•
40 ページの「ルール アクションを追加」
ルール条件に一致する場合、実行するアクションを追加します。
•
41 ページの「ルール イベントを追加する」
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
ルールに名前を付けて有効にする
ルールに名前を設定し、一般設定として有効にします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールのためにルール セットを選択します。
3
設定パネルの上の[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
ルール セットの以下の一般的な設定を構成します。
a
[名前]フィールドで、ルールの名前を入力します。
b
[ルールを有効にする]を選択して、ルール セットが処理されたときにルールが処理されるようにします。
c [オプション][コメント]フィールドで、ルールの平文コメントを入力します。
引き続き、ルールの要素を追加します。
36
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルールの作成
3
[条件の追加]ウィンドウの操作
ルール条件を追加するためのウィンドウには、適切な条件要素の選択で役立ついくつかの機能があります。
ルール条件の 3 つの要素に従って、ウィンドウは以下のコラムに分割されます。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
1 つの列の中で、プロぱ q ティ、演算子、演算対象がリストに表示されます。
たとえば、次のような操作を選択できます。
•
左側の列:MediaType.EnsuredTypes
•
中央の列:リストにはない
•
右側の列:マルウェア対策メディア タイプ ホワイトリスト
これは、条件 MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist を作成しま
す。アクションとしてブロックを追加する場合、指定されたホワイトリストに入力されていないすべてのタイプのメ
ディアへのアクセスをブロックするためのルールを取得します。
適切な選択を行うために、ウィンドウでは次のことが行われます。
•
指定したフィルター設定に従ってリストをフィルタリングする
•
1 つの列で項目を選択するときに他の列のリストを採用して、選択した項目で構成される適した項目のみを表示
する
•
左と右の列のリスト項目を、現在表示されている項目に対して分類が可能な場合は、[推奨]、[候補]、[その他]の
カテゴリーにグループ化する
•
互いに組み合わせることが推奨できる場合は、2 項目または 3 項目を事前に選択する
左または右の列から開始する
追加する条件がすでに決まっている場合はその条件に応じて、左または右の列から項目の選択を開始できます。
たとえば、条件が感染された Web オブジェクトをフィルタリングするためのルールの一部である場合、左の列から
プロパティ Antimalware.Infected を選択することから始め、次に適した項目がなんであるかを見ます。結果は、
以下のようになります。Antimalware.Infected (property) equals (operator) true (operand).
一方で、ネットワークのユーザーが薬を販売する Web サイトにアクセスできないようにするルールの条件を含みた
い場合、まず URL カテゴリー リスト Drugs を演算対象として選択することから開始し、適切な演算子とプロパテ
ィと組み合わせます。結果は、以下のようになります。URL.Categories (property) at least one in list
(operator) Drugs (operand).
左側の列
ウィンドウの左側の列のリストでは、プロパティを選択できます。現在選択されているプロパティは、[選択済みのプ
ロパティ] フィールドの一番上の列に表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
37
3
ルール
ルールの作成
以下のようにリストを適応できます。
•
リストをフィルタリングします。
•
以下に従ってフィルタリングするために、[フィルター]メニューを使用します。
•
プロパティ タイプ
•
プロパティの値を配布するために呼び出されるモジュール(またはエンジン)
•
マルウェア対策条件、メディア タイプ条件など、条件グループ
メニューのこの部分は、ウィンドウが開く直前にも表示されます。条件グループを選択した後で、すべて
の列のリストが選択したグループの条件を設定するために適した項目のみを表示します。
•
•
•
ユーザー定義プロパティ (これらのプロパティを表示する)
メニューの下の入力フィールドに入力するフィルタリング用語を使用
[ユーザー定義プロパティの追加]ボタンとウィンドウを使用して、リストに自己構成プロパティを追加します。
このリストは右の列のリストから演算対象を選択するときに、自動的に適応されます。次に、この演算対象で構成さ
れているものに適したプロパティのみを表示します。
プロパティの選択後に、設定とパラメーターがある場合はそれらを構成できます。[設定]と[パラメーター]ボタンが
プロパティと共に表示され、それぞれの項目を構成するためのウィンドウを開きます。
中央の列
ウィンドウの中央の列のリストでは、演算対象を選択できます。現在選択されている演算子は、[選択済みの演算子]
フィールドの一番上の列に表示されます。
このリストは左または右の列のリストから項目を選択するときに、自動的に適応されます。次に、選択されている項
目と構成されているものに適した演算子のみが表示されます。
右側の列
ウィンドウの右側の列のリストでは、演算対象を選択できます。現在選択されている演算対象は、[比較対象] フィー
ルドの一番上の列に表示されます。
演算対象は種々のタイプの 1 つの項目、項目のリスト、別のプロパティであることがあります。単一の演算対象に
は、ブール値、文字列、数値、カテゴリー、および他が含まれます。
以下のようにリストを適応できます。
•
列の一番上のリストから、(リストとプロパティ タイプを含む) 演算対象のタイプを選択します。
このタイプの項目は、メイン リストに表示されます。
•
(リストとプロパティのみ:)[フィルターー]ドロップダウン メニューまたは下の入力フィールドを使用して、リス
トをフィルタリングします。
リストが演算対象として表示される場合、[追加 <リスト タイプ>] および [編集 <リスト タイプ>] ボタンが列の
一番下に表示されます。通常の方法で、リストの追加および編集のウィンドウを開きます。
このリストは左の列のリストからプロパティを選択するときに、自動的に適応されます。次に、このプロパティで構
成されているものに適した演算対象のみを表示します。
38
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルールの作成
3
ルール条件の追加
ルール条件を追加して、ルールを適用する場合について決定します。
タスク
1
[ルールの追加]ウィンドウで、[ルール条件]をクリックします。
2
[このルールを適用する ]セクションで、ルールが適用される場合を選択します。
•
[常に] — ルールは常に適用されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
•
[次の条件に一致した場合] — 構成された条件に一致したら、ルールが適用されます。
次の手順に続きます。
3
[条件]セクションで、[追加]をクリックし、ドロップダウン メニューから条件グループを選択します。
[条件の追加]ウィンドウが開き、選択されたグループから構成する条件に適合する項目を表示します。
すべての条件の項目を表示するには、[詳細条件]を選択します。
ウィンドウには 3 つの列があります。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
現在選択されている要素は、[選択したプロパティ]、[選択した演算子]、[比較]の下の各列上部に表示されます。
ウィンドウは、1 つの列の項目を選択した後、その他の列で自動的に採用して、適合する要素の選択をサポート
します。それから、その他の列は選択された項目を構成するのに適合する項目のみを表示します。
左または右列から項目を選択して開始できます。したがって、手順 4 ~ 6 も異なる順番で完了できます。
条件が演算子としてリストを使用する場合、右列からこのリストを選択して開始することを推奨します。
4
プロパティを選択します。
a
左列のリストから、項目を選択するか、事前選択された 1 つを残します(残っている場合)。
リストをフィルターするか、ユーザー設定プロパティを追加できます。
b [条件付き]設定が必要なプロパティを選択した場合、プロパティとともに表示されるか、事前に設定された
設定を残した[設定]ドロップダウン メニューから設定を選択します。
c [条件付き]パラメーターの設定が必要なイベントを選択した場合、プロパティ名の下の[パラメーター]をク
リックし、開いたウィンドウのオプションで、すべての必要なパラメーターの値を設定します。
5
中央列のリストから、オペレーターを選択するか、事前選択された 1 つを残します(残っている場合)。
McAfee Web Gateway 7.4.0
製品ガイド
39
3
ルール
ルールの作成
6
右列のリストから、演算子を選択するか、事前選択された 1 つを残します(残っている場合)。リストが空の場
合、例えば数字など、適合する値を入力します。
表示されている演算子のタイプを変更するには、列の上部にあるリストからタイプを選択します。
各演算子または演算子のタイプを選択した後、中央列および左列のリストが適用され、適合するオペレーターお
よびプロパティを表示します。
7
[条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
新しい条件を[ルールの追加]ウィンドウに表示します。
複雑な条件を構成する場合、手順 3 から 6 を繰り返し、更なる条件の部分を構成します。
オプションとして提供される[AND]または[OR]で条件の部分を接続します。3 つ以上の条件の部分は、括弧を入
力し、[条件の組み合わせ]フィールドで物理的に接続する方法を示してから表示されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
ルール アクションを追加
ルール条件に一致する場合、実行するアクションを追加します。
タスク
1
In the[ルールの追加]ウィンドウで、[アクション]をクリックします。
2
[アクション] リストから、次のいずれかを選択します。
•
[続行]— 次のルールの処理で続行します
•
[ブロック] — オブジェクトへのアクセスをブロックしてルールの処理を停止します
•
[リダイレクト] — オブジェクトから他のオブジェクトにアクセスをリクエストしたクライアントをリダイレ
クトします
•
[認証] — 現在のサイクルの処理を停止し、認証リクエストを送信します
•
[ルール セットの停止] — 現在のルール セットの処理を停止し、次のルール セットで続行します
•
[サイクルの停止] — 現在のサイクルの処理を停止しますが、リクエストされたオブジェクトへのアクセスは
ブロックしません
•
[削除] — リクエストされたオブジェクトを削除し、現在のサイクルの処理を停止します
3 [条件付き]設定(ブロック、リダイレクト、認証)が必要なイベントを選択した場合、[設定]リストから設定を
選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
4
すべての必要なルール要素を作成したが、イベントを追加しない場合は、以下の手順に従ってください。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
40
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール セットの作成
3
ルール イベントを追加する
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
タスク
1
[ルールの追加]ウィンドウで、[イベント]をクリックします。
2
[イベント]セクションで、[追加]をクリックし、ドロップダウン メニューから[イベント]を選択します。
[イベントの追加]ウィンドウが開きます。
3
[イベント] リストから、イベントを選択します。
リストをフィルターするには、リストの上の入力フィールドで用語のフィルタリングを入力します。
4 [条件付き]設定が必要なイベントを選択した場合、[設定]リストから設定を選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
5 [条件付き]パラメーターの設定が必要なイベントを選択した場合、[パラメーター]をクリックし、開いたウィン
ドウのオプションで、すべての必要なパラメーターの値を設定します。
6
[OK]をクリックします。
[イベントの追加]ウィンドウが閉じて、新しいイベントが[イベント] リストに表示されます。
7
手順の追加でこれが最後の場合、以下の手順に従います。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
ルール セットの作成
ルール セットを作成し、構成に追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
ルール セット ツリーの上の[追加]をクリックします。
ドロップダウン メニューが開きます。
4
[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
5
ルール セットに対して以下の全般設定を構成します。
•
[名前] — ルールの名前
•
[有効化] - オンにすると、ルール セットが有効になります。
•
[オプション][コメント] — ルール セットに関するテキスト形式のコメント。
McAfee Web Gateway 7.4.0
製品ガイド
41
3
ルール
ルール セットの作成
6
7
8
[適用先]セクションで、処理サイクルを構成します。1 つだけのサイクル、または以下にある 3 つのサイクルの
あらゆる組み合わせを選択できます。
•
[リクエスト ]— ネットワークのユーザーからのリクエストがアプライアンスに受信される際に、ルール セッ
トが処理されます。
•
[応答] — Web サーバーからの応答が受信される際にルール セットが処理されます。
•
[埋め込みオブジェクト] — リクエストと応答とともに送信される埋め込みオブジェクトのためにルール セ
ットが処理されます。
[このルール セットを適用する]セクションで、ルールが適用される場合を構成します。
•
[常に] — ルールは常に適用されます。
•
[次の条件に一致した場合] — 下で構成された条件に一致したら、ルール セットが適用されます。
[条件]セクションで、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
9
[プロパティ ]領域では、以下の項目を使用してプロパティを構成します。
•
[プロパティ ]— プロパティを選択するためのリスト(プロパティ タイプは括弧で表示されています)
•
[検索 ]— プロパティを検索できる[プロパティの検索]ウィンドウが開きます。
•
[パラメーター ]— 3 つまでのパラメーターを追加できる[プロパティ パラメーター]ウィンドウが開きます。
ステップ 10 を参照してください。
パラメーターがない場合、アイコンはグレーアウトされます。
•
[設定 ]— プロパティの値を配信するモジュールの設定を選択するリスト(モジュール名は括弧内に表示され
ます)
プロパティに設定が必要なくて、(必要なし)が追加されている場合、アイコンはグレーアウトされます。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[編集 ]— 選択した設定を編集するための[設定の編集]ウィンドウが開きます。
プロパティのためにパラメーターを構成する必要がない場合、[OK ]をクリックし、 ステップ 11 に進みます。
10 プロパティ パラメーターを追加する必要がある場合、以下を実行します。
a
[パラメーター]をクリックします。
[プロパティ パラメーター]ウィンドウが開きます。
b
必要に応じていくらでもパラメーターを追加します。
パラメーターは以下のいずれかになります。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
11 [演算子]リストから、演算子を選択します。
12 [パラメーター]領域で、パラメーターを追加します(演算対象としても知られています)。
これは、以下のいずれかになります。
42
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
McAfee Web Gateway 7.4.0
製品ガイド
ルール
ルール セットのインポート
3
13 [条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
14 [オプション][権限]タブをクリックして、新しいルール セットへのアクセスが許可されるユーザーを構成しま
す。
15 [新しいルール セットの追加]ウィンドウを閉じるには、[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、ルール セットがルール セット システムに挿入されます。
16 [変更の保存]をクリックします。
ルール セットのインポート
ライブラリからルール セットをルール セット システムにインポートできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
[追加]ドロップダウン メニューから、[ライブラリからのルール セット]を選択します。
ライブラリ ルール セットのリストがあるウィンドウが開きます。
4
インポートするルール セット、たとえば、[Gateway Antimalware ]ルール セットを選択します。
このルール セットをインポートする際に競合が発生した場合、それらはウィンドウに表示されます。
ルール セットがすでにルール セット システムに存在しているリストや設定など構成オブジェクトを使用すると
きに競合が発生します。
5
以下の方法を 1 つ使用することで競合を解決します。
•
•
6
[競合の自動解決]をクリックし、すべての競合に対する方針を以下から 1 つ選択します。
•
[既存のオブジェクトを参照することで解決する ]— インポートされたルール セットが、アプライアンス
の構成に同じ名前で存在しているオブジェクトを参照している場合、これらの既存のオブジェクトに参照
が適用されます。
•
[推奨にコピーと名前変更することで解決する ]— インポートされたルール セットが、アプライアンスの
構成に同じ名前で存在しているオブジェクトを参照している場合、これらのオブジェクトは使用されます
が、競合を回避するために名前変更されます。
リストされている競合を次々にクリックして、上記のいずれかの方針を毎回選択することで、個々に解決しま
す。
[OK]をクリックします。
ルール セットがルール セット ツリーに挿入されます。これはデフォルトで有効になります。
ルール セットがフィルタリング ジョブを実行する必要があるリストや設定がルール セットで実装され、リスト
と設定ツリーで表示できます。
7
必要である場合、ルール セット ツリーの上にある青色の矢印を使用して、ルール セットを移動させます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
43
3
ルール
構成項目へのアクセス制限
構成項目へのアクセス制限
ルール セットを作成、または設定、または既存のものを操作するときに、それらへのアクセスを制限できます。
タスク
1
[ポリシー] 、 [ルール セット](または[リスト]または[設定])を選択します。
2
ツリー構造で、新しい項目を追加する位置に移動します。
3
ツリー構造の上にある[追加]をクリックします。
[追加]ウィンドウが開きます。
4
新しい項目を追加するための手順を完了させます。次に、[アクセス許可]タブを選択します。
3 つのアクセスのモードが構成できます(読み込みと書き込み、読み込み、アクセスなし)。
5
[読み込みと書き込み]ペインで[追加] をクリックします。
[ロールまたはユーザーの追加]ウィンドウが開きます。
6
対応するペインにあるリストから、ロールまたはユーザーを(または各タイプの 2 つ以上を同時に)選択します。
または、[ワイルドカード]フィールドに、ロールまたはユーザーの名前としてワイルドカード式を入力します。
7
必要に応じて[読み込みと書き込み]リストにいくらでもエントリーを追加します。
エントリーを削除するには、ペインにある[削除]ボタンを使用します。
8
[読み込み]および[アクセスなし]ペインも同様に入力します。
9
タブのリストに含まれていないすべてのロールおよびユーザーのアクセスを構成するには、[他のすべてのロール
が有する]の下のラジオ ボタンを使用します。
10 [OK]をクリックしてウィンドウを閉じます。
11 [変更の保存]をクリックします。
44
McAfee Web Gateway 7.4.0
製品ガイド
4
リスト
リストは Web オブジェクトおよびユーザーの情報を取得するためにルールで使用されます。
いくつかタイプのリストがあり、それらは作成した人とそれらを含む要素のタイプに関して異なります。適宜、異な
る方法でこれらのリストを操作します。
ユーザー インターフェースで異なる場所にリストが表示されます。たとえば、ルールとルール セットの条件、リス
ト タブ、および設定内などです。
アプライアンスの初期セットアップ時に、リストはルール セット システムと共に施行されます。
施行されたシステムのリストを見直し、それらを変更および削除し、固有のリストも作成できます。
目次
リスト タイプ
リスト タブ
リストへのアクセス
リストの作成
さまざまなタイプのリストの操作
外部リスト
購読リスト
マップ タイプ リスト
共通カタログ
JavaScript Object Notation データ
McAfee Web Gateway 7.4.0
製品ガイド
45
4
リスト
リスト タイプ
リスト タイプ
Web セキュリティ ルールでは、いくつかのタイプのリストを使用して、Web オブジェクトおよびユーザーの情報を
取得します。
以下はアプライアンスのメイン タイプのリストです。
•
カスタム リスト — これらのリストは変更可能です。これらは[リスト]タブのリスト ツリーにある上のブランチ
に表示されます。
カスタム リストには、文字列、数値、カテゴリ、および他のリストのタイプが含まれます。異なるリスト タイプ
では、異なる維持する方法が必要な場合があります。
•
カスタム リスト — これらのリストはユーザーが直接、変更できません。これらは[リスト]タブのリスト ツリー
にある下のブランチに表示されます。
システム リストには、カテゴリ、メディア タイプ、アプリケーション名のリストが表示されます。Web Gateway
の新しいバージョンにアップグレードすると、これらの情報も更新されます。
さらに、Data Loss Prevention(DLP)とアプリケーション フィルタリングに使用されるシステム リストが、
スケジュールされた自動更新に含まれます。
これらの更新には、Dynamic Content Classifier に適用される URL フィルターを設定する場合に選択可能なカ
テゴリ リストも含まれます。
•
インライン リスト — これらのリストは変更も可能ですが、[リスト]タブには表示されません。これらは、構成
アイテムの設定の一部、たとえば、ネットワーク プロトコルの設定の一部として、「インライン」で表示されま
す。
これらのタイプのリストに加えて、外部ソース(外部および購読リスト)からコンテンツを取得するリストを操作で
きます。
46
McAfee Web Gateway 7.4.0
製品ガイド
リスト
リスト タブ
4
リスト タブ
[リスト]タブでは、リストを操作できます。
リスト タブの主要要素
以下の表で、[リスト]タブの主要な要素について説明します。
表 4-1 リスト タブの主要要素
要素
説明
[リスト ツールバー]
[リスト]ツリーにあるリストを操作するための項目
[リスト ツリー]
アプライアンス構成のリストを表示するツリー構造
[リスト エントリー ツールバー ]
現在[設定]ツリーで選択されている項目の設定
[リスト エントリー ]
現在選択されているリストのエントリー
リスト ツールバー
リスト ツールバーでは、次のオプションが提供されています。
表 4-2 リスト ツールバー
オプション
定義
[追加 ]
リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
選択したリストを編集するための[リストの編集]ウィンドウが開きます。
McAfee Web Gateway 7.4.0
製品ガイド
47
4
リスト
リストへのアクセス
表 4-2 リスト ツールバー (続き)
オプション
定義
[削除]
選択したリストを削除します。
削除を確認するためのウィンドウが開きます
[インポート]
システムのファイル マネージャーを開いて、リストをインポートできます。
[エクスポート]
システムのファイル マネージャーを開いて、リスト ツリーで選択したリストをエクスポート
できます。
[表示]
さまざまな方法でリストを表示できるようにするためにメニューを開きます(名前昇順、名前
降順、リスト タイプ別、現在リストが存在しない場合に対してリスト タイプありなし)
[すべて展開]
リスト ツリーで隠されている項目をすべて表示します。
[すべて折りたた
む]
リスト ツリーで表示されているすべての項目を隠します。
リスト エントリー ツールバー
リスト エントリー ツールバーでは、次のオプションが提供されています。
表 4-3 リスト エントリー ツールバー
オプション
定義
[追加 ]
リスト エントリーを追加するための[<リスト タイプ> の追加]ウィンドウ([文字列の追加]ウィン
ドウなど)が表示されます。
[複数追加]
複数のリスト エントリーを追加することが特定のリスト タイプで可能である場合、それを実行する
ために、[<リスト タイプ> の追加]ウィンドウを開きます。
[編集]
選択したリスト エントリーを編集するための[<リスト タイプ> の編集]ウィンドウ([文字列の編
集]ウィンドウなど)が表示されます。
[削除]
選択したリスト エントリーを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
リストの上にエントリーを移動します。
[下へ]
リストの下にエントリーを移動します。
[フィルター] 一致しあtリスト エントリーのみ表示するために、フィルタリング用語を入力するための入力フィ
ールド
フィルタリング機能は、フィールドに文字を入力したらすぐ動作します。
リストへのアクセス
[リスト] タブのリストにアクセスするか、ルールのリスト名をクリックできます。
タスク
48
•
49 ページの「リスト タブのリストにアクセスする」
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
•
49 ページの「ルールのリストにアクセスする」
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックしま
す。
McAfee Web Gateway 7.4.0
製品ガイド
リスト
リストの作成
4
リスト タブのリストにアクセスする
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、アクセスするリストを含むブランチに移動し、リスト名をクリックします。
設定パネルにリストのエントリが表示されます。
リストで作業できます。
ルールのリストにアクセスする
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスするリストのルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
アクセスするリストのルールで、次のうちの 1 つを行います。
•
この名前に含まれている場合、ルール名のリスト名をクリックする。
•
ルール条件のリスト名をクリックする。
<Type>がアクセスするリストのタイプの場合、[編集リスト <Type>]ウィンドウを開きます。
リストで作業できます。
リストの作成
初期設定のアプライアンスで実行したもの、またはライブラリからリストをインポートした場合に加えて、独自のリ
ストを作成できます
以下の 2 つのステップを含むリストを作成します。
•
新しいリストの追加
•
新しいリストにエントリを記入する
タスク
•
50 ページの「新しいリストの追加」
後でエントリを入力する新しいリストを追加できます。
•
50 ページの「リストのエントリーの入力」
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
49
4
リスト
リストの作成
新しいリストの追加
後でエントリを入力する新しいリストを追加できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、リストを追加する位置に移動します。
3
ツールバーで、[追加]をクリックします。
[リストの追加]タブが選択されている状態で、[リストの追加]ウィンドウが開きます。
4
リストの一般的な設定を構成するには、以下の項目を使用します。
•
[名前] — リストの名前
•
[コメント] — [オプション]リストの標準テキスト形式のコメント
•
[タイプ] — リスト タイプを選択するためのリスト
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストがリスト ツリーに表示されます。
7
[変更の保存]をクリックします。
これで、リストにエントリを入力できます。
リストのエントリーの入力
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2 [リスト]ツリーから、エントリーを追加するリストを選択します。
3
設定パネルで[追加]をクリックします。
[<リスト タイプ> の追加]ウィンドウ、たとえば、[文字列の追加]ウィンドウが開きます。
4
特定のリスト タイプで実行される方法で、エントリーを追加します。
5 [オプション] [コメント]フィールドで、リスト エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[<リスト タイプ> の追加]ウィンドウが閉じて、リストにエントリーが追加されます。
7
50
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
リスト
さまざまなタイプのリストの操作
4
さまざまなタイプのリストの操作
リストの操作はリスト タイプに応じてさまざまな方法で行われます。
たとえば、タイプが文字列で有る場合、[文字列の追加]ウィンドウの[文字列]フィールドに文字列を入力することで
エントリーを追加できます。しかし、タイプが MediaType である場合は、フォルダーのシステムの一部である、
メディア タイプ フォルダーからエントリーを選択します。
文字列およびワイルドカード式のリストでは、
[複数追加]をクリックして、各エントリーを改行にテキストを入力す
ることで、複数のエントリーを一度に追加するオプションがあります。
メディア タイプ リストの場合、個別に選択したくない場合は、複数のエントリーとフォルダーーを一度に選択する
ことができます。
タスク
•
51 ページの「ワイルドカード式を URL のグローバル ホワイトリストに追加」
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
•
52 ページの「URL カテゴリをブロック リストに追加する」
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスを
ブロックします。
•
52 ページの「メディア タイプ フィルター リストにメディア タイプを追加する」
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
ワイルドカード式を URL のグローバル ホワイトリストに追加
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、グローバル ホワイトリスト登録のルールを含むルール セット(たとえば、[グローバ
ル ホワイトリスト]など)を選択します。
設定パネルにルールが表示されます。
3
リストのワイルドカード式に一致するホストに URL を送信する際のリクエストを除外するホワイトリストを使
用するルール(たとえば、[URL.Host がグローバル ホワイトリストに一致する]など)を見つけます。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(ワイルドカード式)]ウィンドウが開きます。
4
[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
5
[ワイルドカード式]フィールドにワイルドカード式を入力します。
複数のワイルドカード式を一度に追加するには、[複数追加]をクリックし、それぞれのワイルドカード式を新し
い行に入力します。
6 [オプション][コメント] フィールドで、ワイルドカード式にコメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じ、ホワイトリストにワイルドカード式が表示されます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
51
4
リスト
さまざまなタイプのリストの操作
URL カテゴリをブロック リストに追加する
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスをブロックしま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリング用のルールを含むルール セットを選択します。
設定パネルにルールが表示されます。
3
カテゴリ ブラックリストを使用するルールを見つけ([カテゴリ ブラックリストに存在するカテゴリを持つ URL
をブロックする] など)、リスト名をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
4
ブロックしたいカテゴリを持つグループ フォルダー(たとえば[購買]など)を展開し、カテゴリ(たとえば[オン
ライン ショッピング]など)を選択します。
複数のカテゴリを一度に追加するには、複数のカテゴリか、1 つまたは複数のグループ フォルダーを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、ブロック リストにカテゴリが表示されます。
6
[変更の保存]をクリックします。
メディア タイプ フィルター リストにメディア タイプを追加する
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、メディア フィルタリングのルールを含むルール セット(たとえば、メディア タイプ
フィルタリング ルール セットのネストされた[ダウンロード メディア タイプ] ルール セットなど)に移動し、
それを選択します。
設定パネルにルールが表示されます。
3
[メディア タイプ ブロック リストからタイプをブロックする] ルールを選択して、リスト名をクリックします。
[リストの編集(メディア タイプ)]ウィンドウが開きます。
4
[編集]をクリックします。
[編集]ウィンドウが開きます。メディア タイプを持つグループ フォルダーのリストが表示されます。
5
追加したいメディア タイプを持つグループ フォルダー(たとえば、[オーディオ])、メディア タイプ(例、[audio/
mp4]など)を展開しを選択します。
複数のメディア タイプを一度に追加するには、複数のメディア タイプか、1 つまたは複数のグループ フォルダ
ーを選択します。
52
McAfee Web Gateway 7.4.0
製品ガイド
リスト
外部リスト
6
4
[OK]をクリックします。
ウィンドウが閉じると、フィルター リストにメデイア タイプが表示されます。
7
[変更の保存]をクリックします。
外部リスト
データは、Web サーバーなどの外部ソースから取得でき、アプライアンスのルールで使用されます。
このデータは完全なリストまたは単独の値のいずれでもかまいません。一般的には外部リストまたは外部リスト デ
ータと呼ばれます。外部リストでは、文字列、数値、IP アドレス、その他、さまざまなデータ型を使用できます。
外部リストの重要な機能は、アプライアンスでダイナミックに処理されることです。外部リスト データのすべての取
得および変換は、データが初めてルールで使用されるときにランタイムで行われます。
データが取得されると、構成できる期間、内部キャッシュに保存されますが、ディスクには保存されないため、アプ
ライアンスの再起動時には保持されません。また、外部リストはユーザー インターフェースのリスト ツリーには表
示されません。
外部リスト プロパティ
外部ソースから取得したデータへのアクセスは、特別なプロパティを通じて行われます。外部リスト プロパティの名
前は ExtLists.<タイプ> です。<タイプ> はプロパティの値であるリストの要素のタイプです。たとえば、
ExtLists.IntegerList の値は整数のリストです。候補のリストには、文字列、数値、ワイルドカード表現式、その
他を含む要素のタイプが含まれます。
通常、外部リストのプロパティの値がリストでありますが、1 つの値に対する外部リストのプロパティもあります。
外部ソースが後のタイプのプロパティに対する入力として複数の値を指定するとき、最後の値のみが取得され、保存
されます。
外部リスト データはソース タイプに応じてフィルターすることができ、指定されたルールで使用されるプロパティ
のタイプに応じて別の形式に変換されます。
外部リスト プロパティのパラメーターを設定することにより、ランタイムにプロパティのパラメーターと置換される
プレースホルダーを指定できます。これらのプレースホルダーを使用して、外部リストの内容をユーザー名またはユ
ーザー グループ名などの条件に依存させることができます。
ロギングの目的で、ExtLists.LastUsedListName プロパティを使用することができます。これは、最後に使用
された外部リスト モジュールの設定の名前を値として持ちます。
外部リスト モジュール
外部ソースから取得するデータを指定するためには、外部リスト モジュール(外部リスト フィルターまたはエンジ
ンとも呼ばれます)の設定を行う必要があります。
外部データを正常に取得できない場合、外部リスト モジュールはエラー コードを返し、それはエラー ハンドラー ル
ールを使用して処理できます。別の範囲のエラー ID がこの目的で利用できます。
外部リスト モジュールは、外部ソースから取得するデータをキャッシングするために、メモリを消費します。外部リ
スト ハンドリングのルールを設定するときは、このことを考慮に入れる必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
53
4
リスト
外部リスト
外部リスト データのソース
外部リストが記入するコンテンツのソースには、以下のようなものがあります。
•
Web サービス。これは HTTP、HTTPS、または FTP プロトコルの下でアクセスできます。
•
ローカル ファイル システム内のファイル
•
LDAP または LDAPS サーバー
•
データベース サーバー:
•
PostgreSQL
•
SQLite3
データベースでクエリを実行する場合は、SQL クエリ言語が使用されます。しかし、特定のクエリ形式は、両方のデ
ータベース タイプに対して異なる場合があります。
SQLite3 データベースは、ファイルベースで操作し、実稼働環境ではなく、テストにお勧めします。しかし、このタ
イプのデータベースのデータをすでにもっている場合は、それを引き続き使用したい場合があります。それ以外の場
合、外部リスト コンテンツを取得するためには、Web サービスまたはファイル データ ソースを使用することは簡
単です。
使用法(推奨)
外部リスト機能の操作は、以下のような場合にお勧めします。
ほとんどが外部ソースに保管された多数のリストを処理する必要があり、中央管理構成でノードとして複数のアプラ
イアンスを実行中で、リスト データに頻繁に変更を適用する必要がある場合。
すべてのノードのすべてのリスト データの同期は、スケール自在ではなくなります。
ルールでの外部リスト データの使用
外部リスト データを処理するためには、条件の中で適切な外部リスト プロパティを含むルールを構成する必要があ
ります。
URL が外部ソースに保管されるリストの IP アドレス範囲の 1 つの中にある宛先 IP をもつ場合、Web オブジェク
トのリクエストをブロックする場合を考えてみましょう。
以下のルールでこれを達成することができます。
禁止範囲の IP アドレスをもつ URL をブロックする
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –>
Block<URL Blocked>
ルールが処理されると、URL.Destination.IP の値である IP アドレスが ExtLists.IPRangeList の値であるリ
ストの範囲の 1 つの中にあるかどうかをチェックされます。
外部リスト プロパティと共に、<External Lists> 設定が指定されます。これらは、外部リスト モジュールが外部
リスト プロパティの値として適切なデータを取得するために使用する設定です。
これらの設定を構成して、特定の外部リストを取得する場所や取得が実行 s あれる方法についてモジュールに指示す
る必要があります。たとえば、リストが Web サーバーのテキスト ファイルに保管される場合、ファイルへのアクセ
スを許可する URL を指定できます。
これらの設定の一部として設定できるその他の情報には、タイムアウトとサイズ制限があります。
外部リスト プロパティのパラメーターはオプションです。これらはこの例では空です。
54
McAfee Web Gateway 7.4.0
製品ガイド
リスト
外部リスト
4
デフォルトで、アプライアンスでは外部リストの取り扱いのためのルールはありません。外部リスト データを使用し
てネットワークのユーザーの Web アクセスを制限したい場合は、上述のように 1 つ以上のルールをセットして、そ
れを適切なルール セットに挿入してください。
置換とプレースホルダー
外部リスト データの取得においてより柔軟性を得るために、URL など、外部リスト モジュールの設定を行うときに
プレースホルダーを使用できます。
プレースホルダーは、外部リスト プロパティのパラメーターとして指定する値でランタイムに置換されます。
たとえば、個人ユーザーに許可されるメディア タイプのリストを配布する Web サービスからデータを取得したいと
します。特定のメディア タイプのリストの URL は以下のとおりです。
http://my-web-service.com/ mediatypes?user= <value>
ここで、<value> はユーザーの名前です。
個々のユーザーをそれぞれカバーする外部リスト モジュールの個別設定を行うことは面倒ですから、以下のような方
法でプレースホルダーを使用できます。
•
設定の中の Web サービスの URL パラメーターの場合、以下のとおり指定します。
http://my-web-service.com/mediatypes?user=${0}
ここで、${0} はルールで使用している外部リスト プロパティの 3 つのパラメーターの最初のパラメーターに対
するプレースホルダーです。
•
外部リスト プロパティの最初のパラメーターの場合、Authentication.Username プロパティを指定します。
これは、個々のユーザーが使用できるメディア タイプのリストを取得します。ユーザー名は、特定のタイプのメディ
アにアクセスするためのリクエストを送信した後で、認証する必要があるときにこのユーザーが送信するものです。
以下の 2 つのタイプのプレースホルダーを使用することができます。
•
${<n>} — 変換値で置換されるプレースホルダー
<n> は、外部リスト プロパティのパラメーターの一番号(0、1、2)です。ランタイムに、このプレースホル
ダーはパラメーターの設定時に指定した値により置換されます。
プレースホルダーが置換される前に、値が変換されます。このプロセスは、「エスケープ」ともいいます。変換
は、含まれるデータ ソースの内部ルールに従って実行されます。
たとえば、ソースが Web サービスである場合、対応する HTTP 基準(RFC 2616)の条件に従って、%XX シ
ーケンスによって許可されないすべての文字を置換します。
•
$<<n>> — 変換されない値で置換されるプレースホルダー
上記のように、変換はありません。このことは、置換により望ましくない結果に至らないように、自分自身で確
認することが必要なことを意味します。
このタイプのプレースホルダーは それらの一部が置換されるのではなく、URL 全体が置換されるときに使用する
ことができます。
外部リスト モジュールの構成
外部リスト モジュールの設定を構成し、外部リスト データを取得する必要があるモジュールの情報を提供できます。
デフォルトでは、アプライアンスのこのモジュールに設定は存在しません。個別設定を追加し、ルール内からデータ
を取得する各外部リストへ構成する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
55
4
リスト
外部リスト
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[外部リスト]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
[名前]フィールドに、設定名を入力します。
4 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
5 [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
6
必要に応じて、その他設定パラメーターを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、設定が設定ツリーの[外部リスト]の下に表示されます。
8
[変更の保存]をクリックします。
外部リスト モジュール設定
外部リスト モジュール設定は、外部ソースからデータを取得するモジュールを構成するために使用されます。
データ ソースの種類
データが取得されるソースの種類の設定
ここで選択する内容に応じて表示される別のセクションでそれぞれのソースの種類に対する特定の設定を構成できま
す。
表 4-4 データ ソースの種類
オプション
定義
[Web T[rX]
データは HTTP、HTTPS、または FTP プロトコルの下で Web サービスを使用して取得さ
れます。
[ディスクのファイル] データはローカル ファイル システム内のファイルから取得されます。
[LDAP]
データは LDAP サーバーから取得されます。
[データベース]
データは PostgreSQL または SQLite3 データベースから取得されます。
共通パラメーター
外部リンク処理のための時間制限の設定
56
McAfee Web Gateway 7.4.0
製品ガイド
リスト
外部リスト
4
表 4-5 共通パラメーター
オプション
定義
[操作のタイム 外部リスト処理が正常に完了しなかった場合に操作が中断されるまでの経過時間(秒数)を指定値
アウト]
に制限します。
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。たとえば、
Web サーバーがアプライアンスからの要求に応答しないときなどに、タイムアウトに達します。
タイムアウトの有効期限は次のように指定できます。
• [単純な有効期限] — これを選択すると、取得したリスト データが内部キャッシュから削除され
るまでの時間(分)を[有効期限]入力フィールドで指定できます
• [スケジュール設定された有効期限] — これを選択すると、外部リストが内部キャッシュから削
除されるまでの時間(分)を表示される複数の入力フィールドで指定できます
[有効期限:]
取得したデータが内部キャッシュから削除されるまでの時間(分)を指定値に制限します。
[分/時間/日/
月/曜日]
取得したデータが内部キャッシュから削除されるまでの時間を指定値に制限します。
これらの入力フィールドはスケジュール設定された有効期限を選択したときに表示されます。
削除は cron ジョブにより計算され、実行されるため、入力は「cron」と互換性がなければなりま
せん。
詳細については、Linux (UNIX) オペレーティング システムのマニュアルの crontab (5) マン
ページを参考にしてください。
これらの値の 1 つまたは任意の数だけ組み合わせて値を指定できます。
データ変換設定
外部ソースから取得したデータを変換するための設定
これらの設定は、選択した[Web サービス]または[ディスクのファイル]をデータのソースとして選択しているときに
のみ使用できます。
表 4-6 データ変換設定
オプション
定義
[データ タイプ]
変換されるデータの入力形式を選択できます。
以下から 1 つを選択できます。
• [ プレーン テキスト] — 元のメッセージをテキスト形式で添付してください
各行は変換されたリストで個別のエントリーとして表示されます。
任意に、以下の入力フィールドのフィルタリング用語として正規表現を指定することができま
す。この用語と一致する文字列のみ、リストに入力されます。
正規表現にグループ化演算子がない場合、完全な文字列がリストに保管されます。それ以外の
場合、最初のグループにより取得されたデータが保管されます。
• [XML] — 元のメッセージを XML 形式で添付してください
取得するデータを選択するためには、XPath 式を指定する必要があります。たとえば、XML
タグや属性に従って、データを取得できました。
[正規表現]
変換されたデータの取得に使用する正規表現が表示されます。
[データの種類]の[プレーン テキスト]を選択している場合に、このオプションが表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
57
4
リスト
外部リスト
表 4-6 データ変換設定 (続き)
オプション
定義
[XPath 式]
変換されたデータの取得に使用する XPath 式が表示されます。
[データの種類]の[XML テキスト]を選択している場合に、このオプションが表示されます。
XPath 式の使用法に関して、w3schools サイトで提供されている XPath のチュートリアル
など、適切な資料を参照してください。
[2 番目の属性の
XPath 式
(MapType の場
合のみ)]
マップ タイプ変換データの取得に使用する 2 番目の属性の XPath 式が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[XPath 式] フィールドの XPath 式で設定された最初の属性では、キーのデータが取得されま
す。
この XPath 式で外部リストから取得する項目数は、最初の属性の式で取得される項目数と一致
させる必要があります。
2 つの式で取得する項目の順番も一致させる必要があります。
Web サービス固有のパラメーター
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。
これらの設定は Web サービスが[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-7 Web サービス固有のパラメーター
オプション
定義
[Web サイトの URL]
外部リストを含んでおり、特定の Web サービス(HTTP、HTTPS、または FTP)により
提供される Web サーバーのファイルの URL を指定します。
URL 内部のプレースホルダーを指定できます。
[認証データの指定]
選択されると、データを Web サービスから取得する前に正常に実行するべき認証情報を
指定できます
[HTTP 認証の種類]
HTTP 認証の種類を選択するためのリストを提供します。
サポートされる種類は次のとおりです。なし、基本、ダイジェスト
[ユーザー名]
認証のために送信するユーザー名を設定します。
[ユーザーのパスワー
ド]
認証のために送信するパスワードを設定します。
[サーバーにアクセスす
るためにネクスト ホッ
プ プロキシを使用]
これを選択すると、Web サーバーへのアクセスは、ネクスト ホップ プロキシ サーバー
を使用して行われます。
[設定]をクリックすると、パスワードを設定するためのウィンドウを開きます。
このチェックボックスを選択した後で、以下の 3 つの項目がアクセス可能になります。
[ネクスト ホップ プロ Web サーバーにアクセスするために、ネクスト ホップ プロキシとして使用できるサーバ
キシ サーバー リストの ーのリストを選択するためのリストを提供します。
リスト]
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
58
McAfee Web Gateway 7.4.0
製品ガイド
4
リスト
外部リスト
表 4-7 Web サービス固有のパラメーター (続き)
オプション
定義
[証明機関のリスト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリスト
を選択するためのリストを提供します。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[追加 HTTP ヘッダーの アプライアンスで受け取った後に HTTP 要求に追加するヘッダーを選択するためのリス
リスト]
トを提供します。
次の表に[追加の HTTP ヘッダーのリスト]にあるエントリーを示します。
表 4-8 追加の HTTP ヘッダー - リスト エントリー
オプション
定義
[ヘッダー名]
HTTP 要求に追加するヘッダーの名前を指定します。
[ヘッダー値]
HTTP 要求に追加するヘッダーの値を指定します。
[コメント]
ヘッダーの平文テキストのコメントを提供します。
ファイル固有のパラメーター
外部リストのソースがローカル ファイルシステム内のファイルであるときに設定が適用されます。
これらの設定は[ディスクのファイル]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-9 ファイル固有のパラメーター
オプション
定義
[ファイルの完全パス] 外部リストのソース ファイルのローカル ファイル システム内でのパスが表示されます。
LDAP 固有のパラメーター
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
これらの設定は[LDAP]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-10 LDAP 固有のパラメーター
オプション
定義
[LDAP サーバーの
URL]
外部リストのソースであるローカル ファイル システムからのファイルの名前を指定します。
URL 内部のプレースホルダーを指定できます。
ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカ
ル ファイル システムの一部を指定できます。
ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりませ
ん。
[証明機関のリス
ト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリストを選
択するためのリストを提供します。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集するた
めのウィンドウを開きます
[ユーザー名]
LDAP サーバーに接続しようとするときにアプライアンスが送信するユーザー名を指定しま
す。
McAfee Web Gateway 7.4.0
製品ガイド
59
4
リスト
外部リスト
表 4-10 LDAP 固有のパラメーター (続き)
オプション
定義
[LDAP パスワー
ド]
LDAP サーバーに接続しようとするときにアプライアンスが送信するパスワードを設定しま
す。
指定した[設定/変更]切り替えボタンを使用して、パスワードを設定または変更できます。
[検索 DN]
外部リストについて検索される LDAP サーバーのデータベースのドメイン名を指定します。
この名前の中でプレースホルダーを指定できます。
[検索範囲]
LDAP サーバーの外部リストの検索範囲を選択できます。
• [サブツリー] — 検索される[検索 DN]の下で指定されたドメインの完全なサブツリー。
• [1 レベル] — 検索される[検索 DN]の下で指定されたドメインの下の 1 レベルのみ。
• [基本] — 検索される[検索 DN]の下で指定された基本のドメインのみ。
[検索フィルター]
LDAP サーバーの外部リストの検索結果をフィルタリングする用語を指定します。
データベースのエントリーの名前がフィルタリング用語と一致している場合のみ、エントリー
が示す項目が取得されます。
この用語の中でプレースホルダーを指定できます。
[属性]
たとえば、電子メール アドレスなど、対象の検索結果である LDAP サーバーのデータベース
の項目の属性を指定します。
[2 番目の属性
(MapType のみ)]
LDAP サーバーのデータベース項目の 2 番目の属性が表示されます。この項目のデータがマ
ップ タイプ データの場合に検索結果が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[属性] フィールドで設定された最初の属性では、キーのデータが取得されます。
[LDAP バージョン
3 を有効にする]
これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
このオプションを無効にする場合、LDAP サーバーで通信するために使用されるエンコーディ
ングを指定する必要があります。
[LDAP バージョン 3 を有効にする]の選択を解除すると、この情報に対して以下の入力フィー
ルドが表示されます。
[LDAP ライブラリ
に参照に従うこと
を許可する]
リストを取得するために、外部リストに検索が行われる LDAP サーバーの外部の場所への参照
に従うことができます。
データベース固有のパラメーター
外部リストのソースがデータベースであるときに適用される設定
これらの設定は[データベース]が[データ ソースの種類]セクションで選択されているときに表示されます。
60
McAfee Web Gateway 7.4.0
製品ガイド
リスト
外部リスト
4
表 4-11 データベース固有のパラメーター
オプション
定義
[SQL クエリ]
データベースで実行されるクエリのタイプを表す文字列を指定します。
外部リスト情報の取得に使用されるクエリのデフォルトの種類は、SELECT です。
文字列の末尾にセミコロン(;)を追加することもできますが、必須ではありません。
クエリはまた、さまざまなデータを含むプレースホルダーを使用することもできます。
プレースホルダー $N が使用される場合、変数の値として入力されるデータは SQL の挿入を避
けるために「エスケープ」されます。次に、\ (バックスラッシュ)が \\ (ダブル バックス
ラッシュ)で置き換えられ、' (アポストロフィ)が \ (バックスラッシュ)で置き換えられま
す。
SQL クエリは、複数の列を返すクエリを実行する場合、通常 1 データ列を返し、最初のものだ
けが外部リストのコンテンツに使用されます。
いくつかの列からコンテンツを取得するためには、適切な SQL 演算子を使用して、出力するた
めの列の組み合わせを指定する必要があります。
[データベースの
種類]
外部リストのコンテンツが取得されるデータベースの種類を指定します。
以下の 2 種類が使用可能です。
• PostgreSQL
• SQLite3
データベースの種類を選択した後で、データベース固有のパラメーターがこのタイプに従って表
示されます。
表 4-12 PostgreSQL データベース固有のパラメーター
オプション
定義
[データベース ホスト]
データベースが常駐するサーバーのホスト名を指定します。
[データベース ポート]
外部リストの内容を取得するためのクエリをリスンするデータベースのポート
のポート番号を指定します。
デフォルトのポート番号は 5432 です。
[データベース サーバーのデータ データベース サーバーの下でわかっているデータベースの名前を指定します。
ベース名]
[データベース ユーザー名]
データベース サーバーに接続するアプライアンスのユーザー名を指定します。
[データベースのパスワード]
アプライアンスのユーザー名のパスワードを設定します。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
表 4-13 SQLite データベース固有のパラメーター
オプション
定義
[SQLite データベースへのファイル パス] データベースを含むアプライアンスのファイルへの完全パスを指定し
ます。
詳細パラメーター
外部リンク処理のための詳細な方法の設定
McAfee Web Gateway 7.4.0
製品ガイド
61
4
リスト
外部リスト
表 4-14 詳細パラメーター
オプション
定義
[データ変換中に「不正」 選択すると、整数、倍精度、ブール値など、要求された種類に変換できないデータが省略
エントリーをスキップ] されます。
[取得するエントリーの 外部リストから取得するエントリーの数を指定値に制限します。
最大数]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
[取得するエントリーの 外部リストから取得するデータ量(KB)を制限します。
最大サイズ]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
外部リストの全般設定の構成
アプライアンスでの使用のため取得するすべての外部リストに適用する設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[外部リスト]をクリックします。
外部リストの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
外部リスト システム設定
外部リスト システム設定は、アプライアンスで処理するすべての外部リストに適用されます。
グローバル構成
外部リスト データを保管するアプライアンスの内部キャッシュの設定
表 4-15 グローバル構成
オプション
定義
[外部リスト キャッシュ 内部キャッシュに保管されているデータを削除します。
のフラッシュ]
[失敗後の再試行までの
時間]
外部リスト モジュールが特定の外部ソースからのデータを取得することに失敗したこと
を記憶している時間(秒)を指定値に制限します。
このモジュールは、障害を記憶する限り、ソースに対する再試行を実行しません。
ネットワークの要件に従って、デフォルト値を維持するか、それを変更することをお勧め
します。
このようにして、すでに過負荷になっている Web サーバーに定期的に再試行することに
よって、負荷を追加しないで済みます。
62
McAfee Web Gateway 7.4.0
製品ガイド
4
リスト
購読リスト
ファイル データ ソースの構成
外部リスト データを取得できるローカル ファイル システムの設定
表 4-16 ファイル データ ソースの構成
オプション
定義
[ファイル データ アクセ ローカル ファイル システム内に外部リストを保管するためのフォルダーを指定するパ
スに許可されるファイル スを指定します。
システム]
データが取得される外部リストは、このフォルダーーに保管される必要があります。
それ以外の場合、データを取得しようとすると、アクセス拒否エラーとなります。
外部リスト データが SQLite データベースから取得されると、ここで指定されるパスは
データベースを含むローカル ファイル システム内のフォルダーーへのパスです。
Web データ ソースの構成
外部リスト データのソースであるすべての Web サービスの設定
表 4-17 Web データ ソースの構成
オプション
定義
[SSL 証明書の ID のチ これを選択すると、SSL セキュア コミュニケーションで Web サーバーが送信する証明
ェック]
書が検証されます。
アプライアンスで実施される SSL スキャニング ルールに従って検証が実行されます。
たとえば、Web サーバーが自己署名証明書を使用する場合にはエラーになる場合があり
ます。
購読リスト
Web セキュリティ ルールで使用するリストは、適切なサーバーから取得されるコンテンツが給されている場合があ
ります。これらは、購読リストと呼ばれます。
行動リストを操作するときには、リスト名などの全般設定のみを自分自身で構成する必要があります。IP アドレス
や URL などのリストのコンテンツについては、行動リストまたは指定する別のサーバーを維持するために指定され
る McAfes サーバーなど、サーバーに依存します。
McAfee サーバーからコンテンツを取得する購読リストは、McAfee が維持するリストと呼ばれます。別のサーバー
からコンテンツを取得する購読リストは、カスタマーが維持するリストと呼ばれます。
購読リストを作成した後、それはユーザー インターフェースのリスト ツリーの購読リスト ブランチで表示されま
す。リスト ツリーの他のリストと同様に購読リストを操作できます。
購読リストのサイズには制限があります。購読リストは 4 MB よりも大きかったり、100,000 を超える数のエントリ
ーを含むことはできません。
更新スケジュールを構成したり、更新を手動で実行することにより、最新のコンテンツが購読リストにより Web セ
キュリティ ルールに使用できるようにする必要があります。
McAfee サーバーからのリスト コンテンツの取得
購読リストのコンテンツがこの目的で指定された McAfee サーバーから取得されるとき、カタログからこのリストに
対するコンテンツのタイプを選択します。
McAfee Web Gateway 7.4.0
製品ガイド
63
4
リスト
購読リスト
コンテンツは McAfee サーバー上に維持されます。McAfee が維持するリストが最新のコンテンツを保持している
ことを確認するためには、アプライアンスのユーザー インターフェースで手動更新を実行してください。
別のサーバーからのリスト コンテンツの取得
購読リストのコンテンツが McAfee サーバー以外のサーバーから取得されるとき、サーバーにこのコンテンツを保持
するファイルの URL を指定します。
コンテンツはこのサーバー上に維持されます。この種の購読リストの更新は、リスト設定を構成するときにセットア
ップするスケジュールに従って実行されます。
購読リストの作成
購読リストを作成するには、一般リスト設定およびリスト コンテンツの設定を構成します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
3
リストの全般設定を行います。
a
[名前]フィールドに、リスト名を入力します。
b
[入力]リストから、リスト タイプを選択します。
c
[含む]の下で、リストが含まれるエントリのタイプを選択します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
e [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
4
[リスト コンテンツをリモートから管理する] を選択します。
5
リスト コンテンツの設定を行います。
•
McAfee サーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[McAfee の保持されたリスト]を選択します。
•
[選択]をクリックします。
[リスト コンテンツの選択]ウィンドウが開きます。
•
•
コンテンツ タイプを選択します
•
[OK]をクリックしてウィンドウを閉じます。
他のサーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[顧客の保持されたリスト]を選択します。
•
[セットアップ]をクリックします。
[セットアップ]ウィンドウが開きます。
64
•
リスト コンテンツの設定を構成します。
•
[OK]をクリックしてウィンドウを閉じます。
McAfee Web Gateway 7.4.0
製品ガイド
リスト
購読リスト
6
4
もう一度 [OK] をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの[購読リスト] ブランチにリストが表示されます。
7
[変更の保存]をクリックします。
購読リスト コンテンツの設定
McAfee サーバー以外のサーバーで購読リストが維持されている場合、設定はそのコンテンツに対して構成される必
要があります。
表 4-18 購読リスト コンテンツの設定
オプション
定義
[ダウンロードす 購読リストのコンテンツのファイルの URL を指定します。
る URL]
URL を指定する形式は、次のとおりです。
HTTP | HTTPS | FTP ://<パス>/<ファイル名>.<拡張子>
[これを使用す
る]
これを選択すると、ラジオ ボタンの隣に表示される証明書認証チェーンに含まれる証明書が使用
されます。
リストのコンテンツを提供するサーバーへの接続が HTTPS プロトコルの下のコミュニケーショ
ン用の SSL セキュア接続の場合に必要です。
[証明書のエラー これをが選択されると、証明書のエラーはサーバーからのリストの内容を取得するときに障害を
発生させません
を無視する]
[ユーザー認証]
サーバーへのアクセスのための認証が必要な場合のユーザー名とパスワードの設定のためのセク
ションを提供します。
• [ユーザー名 ]-サーバーに認証するためのユーザー名を指定します。
• [パスワード] — サーバー認証のためのパスワードを設定します。
[プロキシ]
リスト コンテンツによるサーバーへのアクセスに使用されるプロキシ サーバーを選択するため
のリストを提供します。
デフォルトでは、リスト コンテンツ サーバーへのアクセスに使用されるプロキシ サーバーがあ
りません。
[プロキシの追
加]
リストにプロキシ サーバーを追加するためのウィンドウを開きます。
[リストの内容の リストの内容の設定と更新のためのセクションを提供します。
更新]
以下のとおり、更新を実行できます。
• [毎時間ごとの時刻(分)] — 1 時間経過した後の分を設定します。
• [毎日の時刻] — 時間と分を指定します。
• [毎週の曜日と時刻] — 曜日と時刻(時間と分)を指定します。
• [毎] — 次の更新が発生するまでの間隔(分)を設定します。
購読リストの更新
購読リストの内容の更新は、内容がこの目的で提供された McAfee サーバーから、または別のサーバーから取得され
たかどうかに応じて、スケジュールに従って実行されます。
McAfee サーバーから取得されたリストの内容の場合は、更新を手動で実行する必要があります。手動更新を行うた
びに、すべての McAfee が維持するリストが一緒に更新されます。
McAfee が維持するリストの内容はまた、この主の新しいリストを作成するたびにも更新されます。
McAfee Web Gateway 7.4.0
製品ガイド
65
4
リスト
購読リスト
McAfee サーバー以外のサーバーから取得されたリストの内容の場合は、更新はスケジュールに従って実行されます。
それぞれの購読リストは、固有のスケジュールをもっています。リストの内容の設定を構成するときに、スケジュー
ルをセットアップし、変更できます。
一元管理構成でノードの購読リストを管理するとき、更新は更新グループ内のすべてのその他のノードにより共有さ
れます。
更新グループは一元管理設定のセクション[このノードは次のグループのメンバーです]により構成されます。
McAfee サーバー上に維持されている購読リストの更新
McAfee サーバー上に維持されている購読リストの場合は、更新を手動で実行する必要があります。
McAfee が維持するリストの内容はまた、新しいリストを作成するたびにも更新されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーの上のツールバーで、[手動エンジン更新]をクリックします。
McAfee が維持するリストの内容が更新されます。
顧客保守リストのコンテンツ ファイルの作成
顧客保守リストとして購読リストを設定した場合、リストの構造を記述したコンテンツ ファイルを作成し、リストの
コンテンツを取得する Web サーバーに保存する必要があります。
コンテンツ ファイルは txt または xml 形式で作成します。作成する形式は顧客保守リストの構造が単純か複雑かに
よって異なります。単純なリストの場合、コンテンツ ファイルはどちらの形式でも作成できますが、複雑なリストの
場合には xml 形式で作成します。
単純なリストとしては、アプリケーション名、カテゴリ、ディメンション、IP、IP 範囲、メディア タイプ、数字、
文字列、ワイルドカードなどのタイプがあります。
複雑なリストとしては、証明機関、拡張リスト要素、ホストと証明書、ICAP サーバー、ネクスト ホップ プロキシな
どのタイプがあります。
単純なリストのコンテンツ ファイル (txt 形式)
次の例は、ワイルドカードを使用した txt 形式のコンテンツ ファイルです。
type=regex "*.txt" "txt file extension" "*.xml" "xml file extension"
この txt 形式のコンテンツ ファイルの意味は次のとおりです。
•
ファイルの最初の行は顧客保守のタイプを表します。形式は次のとおりです。type=<list type>
リスト タイプの場合、applcontrol、category、dimension、ip、iprange、mediatype、number、
string、regex のいずれかを使用します。
•
2 行目以降はリスト エントリです。
各行では、必要な数の項目を記述します。項目は二重引用符で囲む必要があります。
ワイルドカード リストのエントリには 2 つの項目があります。1 つはワイルドカードで、もう 1 つはワイルド
カードを説明するコメントです。
66
McAfee Web Gateway 7.4.0
製品ガイド
リスト
購読リスト
4
以下では、コンテンツ ファイルの表記規則について説明します。
type=string "withoutDescription" "*emptyDescription\"\"\" "" "data with description and more
spaces in-between"
"description" "data with spaces*
"
"description" "Hello
\"Michael\" \"Michael!\"" ""
•
文字列タイプのリストのエントリにも 2 つの項目 (文字列とコメント) がありますが、説明は省略できます。
説明を省略する場合、2 行目のように、コンテンツ ファイルの項目も省略します。
•
あるいは、3 行目のように、二重引用符の間に何も記述しません。
この行は次の条件を満たしている必要があります。
•
文字列内の二重引用符は、バックスラッシュでマスクする必要があります。
•
二重引用符が続かないバックスラッシュは文字 (バックスラッシュ) と見なされます。
•
* (アスタリスク) など、英数字以外の文字を文字列の先頭に使用することはできません。
ユーザー インターフェースで、3 行目のリスト項目は次のようになります。*emptyDescription\""
•
コンテキスト ファイルの項目間に複数のスペースが挿入されていると、顧客保守リスト内では無視されます。
ユーザー インターフェースで、4 行目の項目は次のようになります。"data with description and more
spaces in-between" "description"
•
コンテキスト ファイルの文字列内に複数のスペースがある場合、顧客保守リストでは無視されます。
ユーザー インターフェースで、5 行目の項目は次のようになります。"data with spaces*
" "description"
•
6 行目では、すでに説明した表記規則がいくつか使用されています。
単純なリストのコンテンツ ファイル (xml 形式)
次の例は、ワイルドカードを使用した xml 形式のコンテンツ ファイルです。リストのコンテンツは、前のサブセク
ションの最初の例と同じです。
<content type="regex">
<listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
コンテンツ タイプは、txt 形式のコンテンツ ファイルと同じ項目を使用する必要があります。
複雑なリストのコンテンツ ファイル
複雑な顧客保守リストのコンテンツを手動で作成するのは簡単なことではありません。ただし、ユーザー インターフ
ェースのオプションを使用して、既存の複雑なリストをエクスポートし、ファイルに保存することは可能です。
次のファイルでは、複雑なリストが xml 形式で記述されています。ファイルで <content> タグと </content> タ
グで囲まれている行をすべて削除すると、複雑なリストのコンテンツ ファイルを取得できます。
次に、<content> タグを <content type="<file type>" に変更します (例: <content
type="nexthopproxy">)。
ファイルタイプの指定に使用できる文字列は ca、extendedlist、icapserver、hostandcertificate、
nexthopproxy です。
McAfee Web Gateway 7.4.0
製品ガイド
67
4
リスト
マップ タイプ リスト
マップ タイプ リスト
マップ タイプ リスト (マップ) を使用すると、相互に対応するキーと値の組み合わせを保存することができます。キ
ーと値は両方とも文字列タイプです。
既存のマップを参照すると、マップ上に特定のキーが存在するかどうか、またはどの値がキーに対応しているのか調
べることができます。
その他に、特定のキーに対して値の設定や削除を行ったり、マップ全体を 1 つの文字列に変換することができます。
Web Gateway のユーザー インターフェースでマップ タイプ リストを作成して、入力することができます。また、
外部リストと契約済みのリスト機能を使用して、リストをリモートから取得することもできます。
マップに他のデータ タイプ (数字、IP アドレスなど) を使用する場合、Number.ToString や IP.ToString など
のプロパティを使用してデータを変換することができます。
マップ タイプ リストを作成する
マップ タイプ リストを作成するには、このタイプのリストを追加し、キーと値の組み合わせを定義します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
リスト ツリーで [追加] アイコンをクリックします。
[リストの追加] ウィンドウが開きます。
3
マップ リストを追加します。
a
[名前] フィールドで、リスト名を入力します。
b
[タイプ] リストで、[マップ タイプ] を選択します。
c
[OK] をクリックします。
ウィンドウが閉じます。リスト ツリーで、[カスタム リスト] 、 [マップ タイプ] の順に移動すると、新しいマ
ップ タイプ リストが表示されます。
設定ペインでエントリを入力できます。
4
設定ペインで [追加] アイコンをクリックします。
[マップ タイプの追加] ウィンドウが開きます。
5
次のように、エントリを設定します。
a
[キー] フィールドで、キーの名前を入力します。
b
[値] フィールドで、値を入力します。
c
[OK] をクリックします。
ウィンドウが閉じます。設定ペインの先頭行にエントリのペアが表示されます。
6
68
[変更を保存] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
リスト
マップ タイプ リスト
4
プロパティによるマップ タイプ リストの操作
いくつかのプロパティは、マップ タイプ リストの操作に使用できます。これらのプロパティをルール条件で使用す
ると、マップ タイプ リストの情報を取得したり、リストの変更や作成、リストから文字列への変換を行うことがで
きます。
マップ タイプ リスト (マップ) に関する情報を取得する場合、次の操作を実行できます。
•
名前を指定してマップを取得する
•
マップ内のキーのリストを取得する
•
特定のキーがマップに存在するかどうかを確認す
る
•
マップ内の特定のキーの値を取得する
•
マップ内のキーと値の組み合わせの数を確認する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.ByName
指定した名前のマップを提供します。
Map.HasKey
指定したマップに指定したキーが存在する場合 true になります。
Map.Size
マップ内のキーと値の組み合わせの数を提供します。
Map.GetKeys
マップ内のキーのリストを提供します。
Map.GetStringValue
指定したマップの指定したキーの値を表す文字列を提供します。
たとえば、ルールの条件で Map.GetStringValue プロパティを使用すると、特定の値を含むキーがリストにある
かどうか確認できます。キーはユーザー名で、値の文字列は認証でトークンとして使用されます。
条件を次のように設定します。
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
sampleuser キーの値が sampletoken の場合、条件を満たし、特定のアクション (続行 など) が実行されます。
マップを変更すると、元のマップのコピーに変更が適用され、元のマップは変更されません。これにより、次の操作
を行うことができます。
•
キーに特定の値を設定する
•
キーを削除する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.SetStringValue
指定したキーに指定した値が設定されているマップを提供します。
Map.DeleteKey
指定したキーが削除されたマップを提供します。
新しいマップを作成したり、マップを文字列に変換する場合には、次のプロパティを使用します。
プロパティ
説明
Map.CreateStringMap
空の新しいマップを提供します。
Map.ToString
文字列に変換されたマップを提供します。
McAfee Web Gateway 7.4.0
製品ガイド
69
4
リスト
共通カタログ
外部リストと購読リストを使用したマップ データの取得
マップ タイプ リスト (マップ) のデータは、外部リストと購読リストから取得できます。
外部リスト
外部リストからマップ データを取得するには、ルールの条件で ExtLists.StringMap プロパティを使用します。
このプロパティには、外部リストをソースとするマップのリストが設定されています。
たとえば、外部ソースから取得するリストに特定のキーが含まれているかどうか確認する場合、以下の条件を設定し
ます。
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
外部リストと取得場所を指定するには、取得を実行する外部リスト モジュールを設定する必要があります。前述の条
件では、この設定は External Lists に指定します。
外部リスト データは、Web サービス、ファイル、PostgreSQL、SQLite3 データベース、LDAP から取得できます。
マップ データの取得元を設定する場合、ソース タイプについて以下の点に注意してください。
•
Web サービスまたはファイル
Web サービスまたはファイルから取得する場合、データの種類は Plain Text にする必要があります。
データを検索する場合、2 つの部分から構成される正規表現を使用します。最初の部分がキー、2 番目が値です。
•
データベース
データを取得するデータベース クエリでは、2 つの列を照会する必要があります。最初の列はキー、2 番目の列
は値です。
•
LDAP
データを取得するには、LDAP 設定の最初の属性と 2 番目の属性を設定します。最初の属性はキー、2 番目の属
性は値です。
購読リスト
マップ データを取得する購読リストの項目は次の形式にする必要があります。
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
listEntry 要素に complexEntry が含まれています。これにより、購読リスト モジュールがこの形式を処理でき
るようになります。
共通カタログ
共通カタログでは、McAfee ePO サーバーから Web Gateway アプライアンスにプッシュできるリストが提供され
ます。
IP アドレス、ドメイン名、文字列、ワイルドカードなどのリストをプッシュできます。
Web Gateway アプライアンスのリストの内容は変更しないでください。このコンテンツは、McAfee ePO サーバー
との間で更新されます。これらの更新により、適用済みの変更が上書きされます。
70
McAfee Web Gateway 7.4.0
製品ガイド
リスト
共通カタログ
4
リストの転送を行うため、両方のシステムで REST (Representational State Transfer) インターフェースが実行さ
れます。また、Web Gateway の McAfee ePO 拡張ファイルが McAfee ePO サーバーで実行されている必要があり
ます。
この拡張ファイルには、拡張ファイルの使用方法を説明するヘルプの拡張ファイルも含まれます。拡張パッケージは、
[ePolicy Orchestrator] システム設定で Web Gateway のユーザー インターフェースに適用されます。
McAfee ePO サーバーからの要求を Web Gateway の Web セキュリティ ルールでフィルタリングされないよう
にするには、ライブラリから適切なルール セットをインポートし、ルール セット ツリーの先頭に配置して有効にす
る必要があります。
また、リスト転送の処理を許可するアプライアンスにインスタンスが必要なため、McAfee ePO ユーザー アカウン
トをセットアップする必要があります。このアカウントをセットアップするには、[ePolicy Orchestrator] のシステ
ム設定を使用します。
McAfee ePO アカウントのユーザーは、内部の Web Gateway 管理者アカウントの中でも管理者として表示されま
す。
共通カタログのリストが Web Gateway にプッシュされると、ユーザー インターフェースの [リスト] タブに表示
されます。リスト名には、McAfee ePO サーバーから取得したリストであることを示すプレフィックスが付いていま
す。
これらのリストを使用して、[リスト] タブのほかのリストのようなルールを構成できます。
共通カタログ リストの使用を準備する
McAfee ePO サーバーから Web Gateway アプライアンスにプッシュされる共通カタログ リストの使用を準備す
るには、次の手順に従います。
タスク
1
Web Gateway で McAfee ePO ユーザーのアカウントをセットアップします。
2
Web Gateway で、同じユーザー名とパスワードを使用して管理者アカウントをセットアップします。
3
Web Gateway での REST インターフェースの使用を可能にします。
4
Web Gateway のユーザー インターフェースでライブラリから「ePO 要求を迂回」ルール セットをインポート
します。このルール セットをルール セット ツリーの最上位に移動し、有効にします。
5
Web Gateway の McAfee ePO 拡張パッケージをダウンロードし、McAfee ePO サーバーにインストールしま
す。
6
McAfee ePO サーバーのユーザー インターフェースで、Web Gateway が稼動しているアプライアンスを指定
し、Web Gateway と通信を行う新しいサーバーを登録します。
約 15 分後、Web Gateway で処理された Web トラフィックのデータがユーザー インターフェースのダッシュ
ボードに表示されます。
7
McAfee ePO サーバーから Web Gateway にリストをプッシュします。
Web Gateway にプッシュしたリストがユーザー インターフェースのリスト ツリーに表示されます。
McAfee ePO 拡張パッケージのインストールと McAfee ePO サーバーでの操作については、McAfee ePO のマニュ
アルを参照してください。
McAfee Web Gateway 7.4.0
製品ガイド
71
4
リスト
共通カタログ
共通カタログ リストのユーザー アカウントのセットアップ
共通カタログ リストを使用するには、Web Gateway で McAfee ePO ユーザー アカウントをセットアップし、リ
ストの転送を行うインスタンスを作成する必要があります。
タスク
1
[構成] 、 [ePolicy Orchestrato]を選択します。
2
[ePolicy Orchestrator の設定] で、ユーザー アカウントを設定します。
a
[ePO ユーザー アカウント] フィールドで、事前に設定されている値 (epo) を使用します。
b
[パスワード] フィールドの横にある [変更] をクリックします。
[新しいパスワード] ウィンドウが表示されます。
c
ウィンドウのオプションを使用して、新しいパスワードを設定します。
3
[ePO のデータ収集を有効化]]が選択されていることを確認します。
4
[変更の保存]をクリックします。
設定した McAfee ePO アカウントのユーザー名が Web Gateway の管理者アカウントとして表示されます。
共通カタログ リストに管理者アカウントをセットアップする
共通カタログ リストを使用するには、McAfee ePO のユーザー アカウントと同じ名前とパスワードを使用して、
Web Gateway に管理者アカウントをセットアップする必要があります。
タスク
1
[アカウント] 、 [管理者アカウント] の順に選択します。
2
[内部管理者アカウント] で、[追加] をクリックします。
[管理者の追加] ウィンドウが開きます。
3
共通カタログ リストを使用する管理者アカウントをセットアップします。
a
[ユーザー名] フィールドに epo と入力します。
b
[パスワード] フィールドと [パスワードの確認] フィールドに、ePO ユーザーのユーザー アカウントをセッ
トアップしたときに設定したパスワードを入力します。
c
[ロール] リストで、[ePO 共通カタログ管理者] を選択します。
d
[編集] をクリックして、ロールの現在の設定を確認します。
[ロールの編集]ウィンドウが表示されます。必要に応じて、以下の設定を有効にします。
e
•
[ポリシー - リストにアクセス可能 ]
•
[ポリシー - リストの作成 ]
•
[REST インターフェースにアクセス可能 ]
[OK] をクリックします。
ウィンドウが閉じて、新しい管理者アカウントが [内部管理者アカウント] に表示されます。
この管理者アカウントは、McAfee ePO ユーザーのユーザー アカウントと一緒に Web Gateway のインスタンスと
して機能し、McAfee ePO サーバーからのリスト転送の処理で必要になります。
72
McAfee Web Gateway 7.4.0
製品ガイド
リスト
共通カタログ
4
共通カタログ リストでの REST インターフェースの使用を有効にする
McAfee ePO サーバーに接続して共通カタログ リストを取得する場合、Web Gateway で内部 REST
(Representational State Transfer) インターフェースを有効にする必要があります、
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、共通カタログ リストを転送するアプライアンスを選択し、[ユーザー インターフェー
ス] をクリックします。
3
[UI アクセス] で、[HTTP 接続で REST インターフェースを有効にする] と [HTTPS 接続で REST インターフ
ェースを有効にする] の両方を選択します。
4
[ログイン ページ オプション] で、[1 つのログイン名で複数のログインを許可する] を選択します。
5
[変更を保存] をクリックします。
McAfee ePO サーバーに Web Gateway を登録する場合の設定例
共通カタログ リストを Web Gateway アプライアンスに転送するには、McAfee ePO サーバーでアプライアンスを
新しいサーバーとして登録する必要があります。
以下に、この登録を行う場合の設定例を示します。
オプション
サンプル値
[サーバーの種類]
McAfee Web Gateway 7
[名前]
mwg7-3.sample-lab.local
[メモ]
(オプション)
[ホスト名]
mwg7-3.sample-lab.local
[ホスト アドレス]
171.18.19.226
[管理ポート ]
4712
[統計取得ポート]
9090
[ユーザー名 (ホスト GUI への
アクセス) ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
ユーザー名または現在のユーザー名>
[パスワード ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
パスワードまたは現在のパスワード>
[ユーザー名 (統計取得とリスト
管理) ]
epo
[パスワード]
<ePO ユーザーや Web Gateway の管理者アカウントと同じパスワード>
[オプション]
[このシステムのリストを ePO で管理する] (有効)
Web Gateway のユーザー インターフェースにアクセスする場合の初期のユーザー名とパスワードは、それぞれ
admin と webgateway です。
McAfee Web Gateway 7.4.0
製品ガイド
73
4
リスト
JavaScript Object Notation データ
JavaScript Object Notation データ
Web Gateway では、JavaScript Object Notation (JSON) 形式でエンコードされたデータの読み取り、変更、作
成を行うことができます。
JavaScript Object Notation は、テキスト ベースのデータ交換フォーマットです。JavaScript で読み取りが可能
ですが、この言語の使用とは関係ありません。このフォーマットは、対話型の Web サイトとの通信や、NoSQL や
ドキュメント指向データベース (MongoDB、Couch DB など) との通信に使用されます。
JSON ベースのプログラミング インターフェースは、Facebook や Twitter などの有名なソーシャル ネットワーク
でも使用されています。
Web Gateway では、McAfee Advanced Threat Defense が提供するスキャン レポートなどで JSON データを使
用します。外部ソースから取得し、Web Gateway で処理されたリストも JSON データ形式で記述されます。
JSON データ
JSON データはオブジェクトとして使用できます。JSON オブジェクトは、文字列や数値など、同じまたは異なる通
常のデータ型を含むコンテナーです。
JSON オブジェクトの基本構造は次のようになります。
object:{"key":value,
"key":value, ...}
例:
Employee:{"First name":"Joe",
"Last name":"Miller",
"Age": 32}
JSON 要素の値は、文字列、数値、ブール値、NULL のいずれかのデータになります。
JSON オブジェクトに配列が含まれている場合もあります。
object:{"key":value,
"key":value,
array:[value, value,
...]}
例:
Employee:{"First name":"Joe",
"Last Name":"Miller",
"Children":[Ian, Lisa]}
本来の JavaScript Objection Notation では、階層データ構造の最上位でオブジェクトと配列以外は使用できませ
ん。Web Gateway でサポートするときに、単純な要素も最上位で使用できるようになりました。
JSON オブジェクトが他の JSON オブジェクトに埋め込まれている場合もあります。
JSON データを処理するプロパティの使用
Web Gateway で JSON データの読み取り、変更、作成を行うために、いくつかのプロパティを使用することがで
きます。
たとえば、JSON.FromString プロパティを使用すると、文字列から JSON 要素を作成できます。この文字列は、
プロパティのパラメーターとして指定します。JSON.FromString("Miller") は、"Miller" という文字列を JSON
要素の値として渡します。
JSON オブジェクトの作成には JSON.CreateObject プロパティを使用します。初期状態では、このオブジェクト
は空です。オブジェクト内に JSON 要素を格納するには、両方の項目に名前を付けて指定する必要があります。
オブジェクト名はユーザー定義のプロパティで設定します。
たとえば、User-Defined.myjsonemployee という名前でユーザー定義のプロパティを作成して、ルール内の
イベントを使用し、JSON.CreateObject プロパティの値を渡すことができます。
74
McAfee Web Gateway 7.4.0
製品ガイド
リスト
JavaScript Object Notation データ
4
名前
ユーザー定義のプロパティとして JSON オブジェクトを作成する
条件
Always
アクション
–>
Continue
イベント
– Set User-Defined.myjsonemployee = JSON.CreateObject
空の JSON オブジェクト User-Defined.myjsonemployee に値を挿入するには、JSON.StoreByName プ
ロパティを使用します。このプロパティでは、パラメーターとしてオブジェクト名、要素キー、要素の値を指定しま
す。
たとえば、以下の例では、"Last name" というキーと "Miller" という値を持つ要素をオブジェクトに保存していま
す。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", JSON.FromString("Miller"))
オブジェクトに要素を保存する場合、より簡単な方法で保存することもできます。
•
JSON.StoreByName プロパティを使用する前に、オブジェクトを作成する必要はありません。
プロパティのパラメーターとしてオブジェクト名を指定したときに、オブジェクトが存在しないと、指定した名
前でオブジェクトが作成されます。
•
要素値を取得するために、JSON.FromString プロパティを使用する必要はありません。
文字列を直接指定して、この値を作成できます。JSON 要素の値に格納できる他のデータ型も同様の方法で作成
できます。
以下の方法でもオブジェクトに要素が保存されます。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", "Miller"))
JSON プロパティのグループ
同じ種類のデータの処理を行うという点で、多くの JSON プロパティは他のプロパティと類似しています。
JSON.FromString などの JSON.From<x> プロパティは、単純なデータ型を値に持つ JSON 要素を渡します。こ
のデータ型の値は、JSON プロパティのパラメーターとして指定されます。
以下では、JSON プロパティの中で重要なグループについて説明します。
•
JSON.From<x> = 単純なデータ型の値を持つ JSON 要素を渡します。
プロパティ:JSON.FromString、JSON.FromNumber、JSON.FromBool、JSON.FromStringList、
JSON.FromNumberList
•
JSON.As<x> = JSON 要素の値を単純なデータ型で渡します。
このグループのプロパティは、JSON.From<x> プロパティとは逆の処理を行う場合に使用されます。
これらのプロパティを使用するには、JSON 要素の形式が単純なデータ型と一致している必要があります。
たとえば、JSON.AsString プロパティは、JSON 要素の値が (JSON) 文字列の場合にのみ文字列を渡します。
プロパティ:JSON.AsString、JSON.AsNumber、JSON.AsBool
McAfee Web Gateway 7.4.0
製品ガイド
75
4
リスト
JavaScript Object Notation データ
•
JSON.Create<x> = JSON オブジェクト、配列、要素値 0 を作成します。
プロパティ:JSON.CreateObject、JSON.CreateArray、JSON.CreateNull
•
JSON.Get<x> = オブジェクト内または要素のデータ型から JSON 要素を生成します。
JSON.GetByName は JSON オブジェクトでキーに一致する要素を取得します。
JSON.GetAt は JSON 配列内の位置に一致する要素を取得します。
JSON.GetType は要素のタイプを取得します。
フィルタリング ルールでの JSON プロパティの使用
JSON.ToString プロパティは、JSON 要素の値を文字列形式に変換します。
たとえば、このプロパティは、特定のクライアントの IP アドレスをホワイトリストに追加する単純なリストで使用
できます。
このルールでは、特定のクライアント IP アドレスをホワイトリストに追加するクライアント IP アドレスと比較し、
両方のアドレスが一致するかどうか確認します。
名前
JSON 要素値で提供されたクライアント IP アドレスを許可する
条件
アクション
Client.IP equals String.ToIP(JSON.ToString(User-Defined.myjsonipaddress)) –> StopCycle
ホワイトリストに追加するクライアント IP アドレスは、ユーザー定義プロパティの
User-Defined.myjsonipaddress の値で渡します。
JSON.ToString プロパティは、この値を文字列形式に変換します。String.ToIP プロパティは、この文字列を IP ア
ドレスに変換し、ルールの先頭にある Client.IP プロパティに指定された値と一致するかどうか比較します。
UserDefined.myjsonipaddress プロパティを同じルールで使用するには、このプロパティを JSON データ形式で
作成し、ホワイトリストに追加するアドレスを値として設定する必要があります。
値を確認するには、次のように同じルールで別のイベントを使用します。
名前
JSON タイプのユーザー定義プロパティの値をクライアント IP アドレスに設定する
条件
アクション
Always –> Continue
イベント
– Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
ルール イベントの JSON.FromString プロパティが、プロパティ パラメーターで文字列として指定されたクライア
ント IP アドレスを JSON 要素の値に変換します。
Advanced Threat Defense レポートからの JSON データの取得
Web Gateway で McAfee Advanced Threat Defense がルールによって呼び出され、Web オブジェクトをスキャ
ンすると、スキャン結果が Antimalware.MATD.Report プロパティの値として保存されます。
この結果は文字列として提供されますが、この文字列には JSON スタイルで配列の要素となる項目が含まれていま
す。この項目は、JSON.ReadFromString プロパティを使用すると、JSON 要素に変換できます。このプロパティ
は、AntiMalware.MATD.Report プロパティをパラメーターとして使用します。
JSON 要素は、ユーザー定義プロパティの値として設定できます。
76
McAfee Web Gateway 7.4.0
製品ガイド
リスト
JavaScript Object Notation データ
4
これらのプロパティを使用するルールは次のようになります。
名前
JSON タイプのユーザー定義プロパティの値を Advanced Threat Defense レポートに設定する
条件
アクション
Always –> Continue
イベント
– Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
たとえば、JSON.GetByName プロパティを使用して結果のデータを取得し、ログ ファイルに書き込むことができ
ます。
名前
Advanced Threat Defense レポートから取得した JSON データをログ ファイルに書き込む
条件
アクショ
ン
イベント
Always – Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
このルールのイベントで、"Summary" は、スキャン結果のデータを値として持つ JSON 要素のキーになります。
このキーと値は、JSON オブジェクトの Antimalware.MATD.Report プロパティの値として保存されます。
JSON オブジェクトの構造は次のようになります。
いくつかの埋め込みオブジェクトが存在します。要素キーは、レポートで実際に使用されているものですが、値はサ
ンプルです。
Report:{"Summary":{"Selectors":[{"Engine":"GAM engine", "MalwareName":"EICAR test file",
"Severity":"5" }], "Verdict":{"Severity":"5", "Description":"Subject is malicious" },
"Stats":[{"ID":"0", "Category":"Persistence, Installation Boot Survival", "Severity":
"5" }] }
JSON データ形式での外部リストの取得
外部ソースから取得したリストで JSON データを処理するには、Ext.Lists.JSON プロパティを使用します。外部
リストを取得すると、リストのコンテンツは JSON 要素になり、このプロパティに値が保存されます。
他の外部リスト プロパティと同様に、Ext.Lists.JSON は文字列形式の 3 つのパラメーターを使用し、外部ソース
の識別に使用します。
McAfee Web Gateway 7.4.0
製品ガイド
77
4
リスト
JavaScript Object Notation データ
78
McAfee Web Gateway 7.4.0
製品ガイド
5
設定
設定は、Web Gateway でモジュール (エンジン)、ルール アクション、システム機能を設定する場合に使用されま
す。
設定名はユーザー インターフェースの様々な場所で表示されます。たとえば、ルールの条件、アクション、イベント
の他、[設定] タブや [アプライアンス] タブにも表示されます。
設定名をクリックすると、パラメーターと値にアクセスし、設定を行うことができます。
アプライアンスの初期セットアップでは、アクション設定のルール セットとアプライアンスの設定が実装されます。
ルール セット ライブラリからルール セットをインポートすると、追加モジュールとアクション設定が実装されま
す。
最初に実装またはインポートされた設定を確認し、変更することができます。モジュールとアクション設定を完全に
削除し、独自のモジュールとアクション設定を作成することもできます。
目次
設定のタイプ
設定タブ
アクセスの設定
アクションおよびモジュール設定の作成
設定のタイプ
異なる種類の設定がルールの処理やアプライアンスのその他の機能と共に使用されます。
•
モジュール設定 — プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジ
ュール(エンジンとも呼ばれる)の設定
•
アクション設定 — ルールで実行されるアクションの設定
•
システム設定 — アプライアンスのシステム設定
モジュール設定
モジュール設定は、プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジュ
ール(エンジンとも呼ばれる)の設定です。
たとえば、URL フィルター モジュールは、フィルタリング ルールの URL.Categories プロパティの値を配布するた
めに URL カテゴリーの情報を取得します。
ルールでは、ルールにより呼び出されるモジュールの設定名がルール プロパティの隣に表示されます。たとえば、ウ
イルスとマルウェア フィルタリングのルールでは、Gateway Antimalware を Antimalware.Infected の隣
に設定名として表示できます。
McAfee Web Gateway 7.4.0
製品ガイド
79
5
設定
設定のタイプ
このことは、マルウェア対策モジュールが呼び出され、値 true または false がプロパティに対して配布されると、
モジュールは Gateway Antimalware 設定で実行されます。たとえば、この設定により、感染について Web オ
ブジェクトをスキャンする際にどの方法を使用するかが決定します。
これらのルールのモジュール設定には、[設定]タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
アクションの設定
アクションの設定は、ルールにより実行されるアクションに対する設定です。
これらは主に、ブロックや認証などのルール アクションの影響を受けるユーザーに送信されるメッセージを指定する
ために構成されます。ユーザーに影響を与えないアクション、たとえば「ルール セットの続行」や「停止」には設定
がありません。
これらのルールの設定には、[設定]タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
システム設定
システム設定は、アプライアンス システムの設定、たとえば、ネットワーク インターフェースの設定またはドメイ
ン名サーバーの設定です。
これらの設定は、[構成]最上位メニューの[アプライアンス]タブでアクセスすることができます。
これらの設定を変更できますが、、新しい設定を作成することはできません。
80
McAfee Web Gateway 7.4.0
製品ガイド
設定
設定タブ
5
設定タブ
[設定]タブでは、アクションとモジュールの設定を操作できます。
設定タブの主要要素
以下の表で、[設定]タブの主要な要素について説明します。
表 5-1 設定タブの主要要素
要素
説明
[設定ツールバー]
アクションとモジュール(エンジン)の設定の操作のためのコントロール
[設定ツリー]
アクションとモジュール(エンジン)を表示するツリー構造
[設定]
現在選択しているアクションとモジュール(エンジン)のパラメーターと値
設定ツールバー
設定ツールバーでは、次のオプションが提供されています。
表 5-2 設定ツールバー
オプション
定義
[追加 ]
設定を作成するための[設定の追加]ウィンドウが表示されます。
[編集]
既存の設定を編集するための[設定の編集]ウィンドウを開きます
McAfee Web Gateway 7.4.0
製品ガイド
81
5
設定
アクセスの設定
表 5-2 設定ツールバー (続き)
オプション
定義
[削除]
選択した設定を削除します。
削除を確認するためのウィンドウが開きます。
[すべて展開]
設定ツリーで折りたたまれているすべての項目を展開します
[すべて折りたたむ]
設定ツリーで展開されているすべての項目を折りたたみます
アクセスの設定
[設定]タブの設定にアクセスするか、ルールの設定名をクリックできます。システム設定にアクセスするため、[構
成]トップレベル メニューの[アプライアンス] タブで作業する必要があります。
タスク
•
82 ページの「設定タブのアクションおよびモジュール設定にアクセスする」
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
•
82 ページの「ルールのアクションおよびモジュール設定へのアクセス」
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスでき
ます。
•
83 ページの「システム設定へのアクセス」
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
設定タブのアクションおよびモジュール設定にアクセスする
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[アクション] または [エンジン] ブランチに移動し、作業する設定にアクセスします。
3
この設定を選択するには、次のいずれかを実行します。
•
[アクション] ブランチで、アクションをクリックして展開し、アクセスするアクションを選択します。
•
[エンジン] ブランチで、モジュール(エンジンとも呼ばれている)をクリックして展開し、アクセスするモジ
ュールを選択します。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
ルールのアクションおよびモジュール設定へのアクセス
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスする設定のルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
82
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.4.0
製品ガイド
設定
アクションおよびモジュール設定の作成
4
5
アクセスする設定のルールで、設定名をクリックします。
•
モジュール設定にアクセスするルール条件で
•
アクション設定にアクセスするルール アクションで
[設定を編集]ウィンドウが選択した設定とともに開きます。
この設定で作業できます。
システム設定へのアクセス
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、設定名をクリックします。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
アクションおよびモジュール設定の作成
モジュールとアクションの設定を作成できます。
これらの設定を作成する場合、完全に新しいものを作成するのではなく、新しい名前を付けて必要に応じて変更する
既存の設定を使用します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
新しい設定を作成する開始ポイントとして、提供する必要がある設定を選択するには、以下の 2 つの方法のうち
1 つを使用します。
•
設定ツリーで、これらの設定を選択し、[追加]をクリックします。
選択された設定のパラメーターと値とともに、[設定の追加]ウィンドウが開きます。
•
[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
ウィンドウの[設定]ペインから設定を選択します。
これらの設定のパラメーターおよび値が設定パネルに表示されます。
3
[名前]フィールドで、新しい設定名を入力します。
4 [オプション][コメント] フィールドで、設定の平文コメントを入力します。
5
必要に応じて、既存の値を変更します。
6 [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
McAfee Web Gateway 7.4.0
製品ガイド
83
5
設定
アクションおよびモジュール設定の作成
7
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
84
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
アプライアンスは Web トラフィックをインターセプトし、フィルタリング ルールが拒否する場合にそれを転送する
ためにそのプロキシ機能を使用します。ネットワークの要件に対応するように、これらの機能を構成することが可能
です。
プロキシのキー設定は次の通りです。
•
ネットワーク モード — 明示的プロキシ モードまたは透過的モード
特定の設定は、これらの各モードに対して構成できます。
•
ネットワーク プロトコル — HTTP、HTTPS、FTP、ICAP、およびインスタント メッセージング プロトコル
プロトコル設定は、各ネットワーク モードに対して設定できる共通のプロキシ設定です。
その他の共通プロキシ設定を構成し、リバース HTTPS プロキシまたはプロキシ自動構成など、特別なプロキシ ソリ
ューションも実装します。
目次
プロキシの構成
明示的プロキシ モード
透過型ルーター モード
透過型ブリッジ モード
セキュア ICAP
インスタント メッセージング
XMPP プロキシ
共通のプロキシ設定の構成
プロキシ設定
FTP ログオンでの Raptor 構文の使用
ノード通信プロトコル
ドメインに応じた DNS サーバーの使用
リバース HTTPS プロキシ
プロキシ自動構成
Helix プロキシの使用
プロキシの構成
アプライアンスのプロキシ機能を、ネットワークに適切なように構成できます。
以下の高レベル手順を完了します。
タスク
1
プロキシ設定を確認します。
McAfee Web Gateway 7.4.0
製品ガイド
85
6
プロキシ
明示的プロキシ モード
以下のキー設定は、デフォルトで構成されます。
2
•
ネットワーク モード:明示的プロキシ
•
ネットワーク プロトコル:HTTP
必要に応じて、これらの設定を変更します。
たとえば、以下の操作を実行できます。
•
異なるネットワーク モードを構成します。
以下のいずれかを選択します。
•
•
高可用性機能の明示的プロキシ モード
•
透過型ルーター モード
•
透過型ブリッジ モード
異なるネットワーク プロトコルを構成します。
以下のうち 1 つ以上を HTTP(またはそれらを追加するか HTTP を無効にする)に追加できます。
•
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
インスタント メッセージ プロトコル:Yahoo、ICQ、Windows Live Messenger、XMPP(Jabber およ
びその他サービス用)
タイムアウトまたはクライアント接続の最大数など、他のプロキシ設定を変更します。
3
リバース HTTPS プロキシまたはプロキシ自動構成など、必要な場合特別なプロキシ ソリューションを構成しま
す。
4
変更を保存します。
明示的プロキシ モード
明示的なプロキシ モードで、アプライアンスによりフィルタリングされる Web トラフィックをもつクライアント
は、それらが接続されていることを「知っています」。明示的にそれらを構成して、Web トラフィックをアプライア
ンスに仕向けるようにする必要があります。
これが保証される場合、アプライアンスがネットワーク内で配備される場所はあまり重要ではありません。一般的に、
これはファイアウォールの背後に置かれ、ルーター経由でクライアントとファイアウォールに接続されます。
86
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
明示的プロキシ モード
6
以下のダイアグラムは、明示的プロキシ モードでの構成を表示します。
図 6-1 明示的プロキシ モード
明示的プロキシ モードの構成
明示的プロキシ モードでアプライアンスのプロキシ機能を構成でき、これはこれらの機能のデフォルト モードです。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、明示的プロキシ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワークのセットアップ]の下で、明示的プロキシ モードのオプション 2 つのうち 1 つを選択します。
•
[プロキシ] — これは、明示的プロキシ モードです。
これはデフォルトのプロキシ モードです。
これが選択されると、明示的プロキシ モードの透過機能を構成する特定の設定は、[ネットワーク セットアッ
プ]設定の下に表示されます。
•
[プロキシ HA] — 高可用性機能の明示的プロキシ モード用
このオプションを選択した後で、特定の[プロキシ HA] 設定が[ネットワーク設定]の設定の下に表示されま
す。
4
必要に応じて、選択されたオプションに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
透過型プロキシ設定
透過型プロキシ設定は、明示的なプロキシ モードの透過型機能を構成するために使用されます。
透過型プロキシ
透過型機能をもつ明示的なプロキシ モードの設定
McAfee Web Gateway 7.4.0
製品ガイド
87
6
プロキシ
明示的プロキシ モード
表 6-1 透過型プロキシ
オプション
定義
[サポートされている
クライアントのリダ
イレクション方法]
Web トラフィックのインターセプトとそれをアプライアンスに仕向ける方法を提供しま
す。
• [WCCP] — これが選択されると、追加ネットワーク デバイスによりインターセプトさ
れ、WCCP プロトコルを使用してアプライアンスに仕向けられる IPv4 プロトコルの下
で HTTP クライアント要求が Web サーバーに送信されます。
クライアントはリダイレクションを認識せずに、引き続き透過的になります。
クライアント要求に対して同様の方法で、Web サーバーからの応答はアプライアンスに
戻されます。
WCCP リダイレクションの方法を使用する場合は、リダイレクションが実行できるよう
に、1 つまたは複数の WCCP サービスをアプライアンス上で構成する必要があります。
クライアント要求とサーバー応答をインターセプトするネットワーク デバイスを構成す
る必要もあります。このデバイスは、ルーティング機能によりルーターまたはスイッチと
して構成できます。
このオプションを選択した後で、[WCCP サービス] インライン リストが WCCP サービ
スを設定し、追加するために表示されます。
• [L2 透過型] — これが選択されると、クライアント要求は IPv4 の下で Web サーバーに
送信され、IPv5 プロトコルは追加ネットワーク デバイスによりインターセプトされ、
Layer 2 リダイレクション方法を使用してアプライアンスに仕向けられます。
この方法の下で、宛先アドレスがアプライアンスのアドレスでない場合でも、クライアン
ト要求はアプライアンスで受け付けられます。リダイレクションはクライアントに対し
て「透過型」となります。
インターセプトされ、アプライアンスのリストにリダイレクトされるクライアント要求の
元のポートを、これらの要求がリダイレクトされるポートと共に入力する必要がありま
す。
追加のネットワーク デバイスを適宜、構成する必要があります。
このオプションが選択されると、要求はアクティブな FTP モードの接続を使用して層御
進できません。パッシブ FTP モードのみが利用できます。
このオプションを選択した後で、[ポート転送] インライン リストがポート入力のために
表示されます。
次の 2 つの表では、WCCP サービスとポート転送のリストのエントリーを説明しています。
表 6-2 WCCP サービス ― リスト エントリー
オプション
定義
[サービス ID]
Web トラフィックを WCCP プロトコル下のアプライアンスに仕向けるサービスを識別しま
す。
[WCCP ルーター
定義]
Web トラフィックを WCCP サービスを使用してアプライアンスにリダイレクトするマルチキ
ャスト IP アドレスと DNS 名(またはルーティング機能を備えたスイッチ)を指定します。
ここで複数のルーターを、それぞれのエントリーをカンマで区切って構成することができます。
[リダイレクトす
るポート]
データ パケットがリダイレクトする宛先アドレスにもっていなければならない Web サーバー
のポートのリストを示します。
ここで最大 8 個のポートを、カンマで区切って、指定できます。
[リダイレクトす リダイレクトするポートが元のポートであるかどうかを指定します。
るポートは、元の
WCCP サービスを構成する場合、Web サーバーからアプライアンスへの応答をリダイレクトす
ポートです]
るためにサービスが使用されるときには、このオプションを選択する必要があります。
[プロキシ リスナ
ー IP アドレス]
88
クライアント要求に応じる場合にアプライアンスの IP アドレスを指定します。
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
明示的プロキシ モード
6
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
[プロキシ リスナ
ー ポート]
クライアント要求をリスンするためのポートを指定します。
[MD5 認証キー]
制御データ パケットを署名し、検証するための MD5 アルゴリズム下で使用されるパスワード
を設定します。
デフォルトのポート番号は 9090 です。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
パスワードは最大 8 文字です。
割り当て方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、割り当て方法を指定します。
• [マスクで割り当て] ― 選択すると、送信元または宛先の IP アドレスのマスキングは負荷分
散に使用されます。
• [ハッシュで割り当て] — 選択すると、上記で指定されたハッシュ アルゴリズムが負荷分散
に使用されます。
McAfee Web Gateway 7.4.0
製品ガイド
89
6
プロキシ
明示的プロキシ モード
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
負荷分散のための 主要アイテムはこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示
入力
されます。以下の要素がそれに関係しており、負荷分散の基準としてデータ パケットで使用さ
れているものを指定します。
マスクまたはハッシュのいずれによる割り当てを選択したかに応じて、異なる要素が提供され
ます。
複数のアプライアンスを実行するときに、負荷分散はそれらのプロキシに対して構成すること
ができます。データ パケットは、送信元または宛先 IP アドレスおよびポート番号に基づいて
これらのプロキシに分散できます。
送信元または宛先 IP アドレスを負荷分散に使用する場合は、マスクしたり、ハッシュ アルゴ
リズムを適用したりすることができます。割り当て方法のオプションを参照してください。
送信元または宛先ポートを使用する場合は、ハッシュ アルゴリズム法のみを選択できます。
マスクによる割り当ての負荷分散オプション:
• [ソース IP マスク] — ソース IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
• [宛先 IP マスク] — 宛先 IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
マスクの最大長は 4 桁です。例: 0xa000。
両方のマスクではともに、6 ビットを最大値として設定できます。
マスクを 0x0 に設定すると、負荷分散に対する影響はなくなります。
たとえば、負荷分散に発信元 IP アドレスのみを使用する場合、この値を宛先 IP アドレスのマ
スクに設定する必要があります。
ハッシュによる割り当ての負荷分散オプション:
• [送信元 IP] — 選択すると、負荷分散は送信元 IP アドレスに基づきます。
• [宛先 IP] — 選択すると、負荷分散は宛先 IP アドレスに基づきます。
• [送信元ポート] — 選択すると、負荷分散は送信元のポート番号に基づきます。
• [ 宛先ポート] — 選択すると、負荷分散は 宛先のポート番号に基づきます。
クライアント要求を処理するために 1 つの WCCP サービスを構成し、さらに Web サーバー応
答を処理するために別のサービスを構成する場合は、"crosswise" の対応する方法で[送信元
IP]および[宛先 IP]を選択する必要があります。
これは、クライアント要求サービスに [発信元 IP]を選択すると、Web サーバーの応答サービ
スに [宛先 IP] を選択する必要があることを意味しています。Web サーバーの応答サービス
に[発信元 IP] を選択すると、クライアント要求サービスに [宛先 IP] を選択する必要がありま
す。
[発信元ポート]および[宛先ポート]を選択すると、同じものが適用されます。
[割り当ての加重] プロキシに割り当てられる負荷の大きさを判別する値を設定します。
この値を使用して、他のものよりも大きな CPU 容量をもつアプライアンスのプロキシにより大
きな負荷を割り当てることができます。0 はプロキシに負荷を分散しないことを意味します。
90
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
明示的プロキシ モード
6
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
転送方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、転送方式を指定します。
• [GRE-カプセル化] — これを選択すると、データ パケットは、リダイレクトされる前に、ル
ーターによりカプセル化されます
• [L2-ローカル NIC の書き換え] — これを選択すると、データ パケットは(Web サーバーへ
のルート上で)次のデバイスの MAC アドレスをアプライアンスの MAC アドレスで置換する
ことによりアプライアンスにリダイレクトされます
[L2-リダイレクト データ パケットがリダイレクトするアプライアンスのネットワーク インターフェースを指定
ターゲット]
します。
[マジック (マス
ク割り当て)]
アプライアンスがルーターに送信するマスクの未知のフィールドを設定できます。
[コメント]
WCCP サービスの平文テキストのコメントを提供します。
この設定は、ルーターに使用される、さまざまなバージョンのベンダーのオペレーティング シ
ステムとの互換性を確保する必要があります。
表 6-3 ポート転送 - リスト エントリー
オプション
定義
[元の宛先ポート]
クライアント要求に属するデータ パケットが最初に送信されるポートを指定します。
[宛先プロキシ ポート]
データ パケットがリダイレクトされるポートを指定します。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
高度な送信接続設定
アプライアンスのネットワーク環境の要件である Web サーバーに送信されるクライアント要求に含まれる情報の処
理方法を指定する設定
McAfee Web Gateway 7.4.0
製品ガイド
91
6
プロキシ
明示的プロキシ モード
表 6-4 高度な送信接続設定
オプション
定義
[IP スプーフィング
これを選択すると、アプライアンスはクライアント要求にソース アドレスとして含まれ
(HTTP、HTTPS、FTP)] ているクライアント IP アドレスを維持し、それを種々のプロトコルの下で要求された
Web サーバーとの通信に使用できます。
WCCP サーバーが Web トラフィックをインターセプトし、それをアプライアンスに仕
向けるために使用されるとき、クライアント要求をリスンするアプライアンスの各ポー
トに対して 2 つのサービスを構成する必要があります。クライアントからくる要求に対
して 1 つ、Web サーバーにより送信される要求に対して 1 つです。
このオプションが選択されていないとき、アプライアンスは送信元ポートを選択し、こ
の通信でそれを使用します。
• [明示的なプロキシ接続のための IP スプーフィング] — これが選択されると、クライ
アント アドレスは明示的なプロキシ モードに維持され、Web トラフィックは追加デ
バイスによりインターセプトされません。
• [IP スプーフィングのクライアントと同じ送信元ポートを使用する] — これが選択さ
れると、クライアントの Web サーバーとの通信のための送信元アドレスに加えて、ク
ライアントの送信元ポートが使用されます。
このオプションが選択されていないとき、アプライアンスはランダムな送信元ポート
を選択し、この通信でそれを使用します。
[HTTP:ホスト ヘッダー 選択すると、要求された Web サーバーとの通信のために HTTP プロトコルの下でクラ
は、元の宛先アドレス(透 イアント要求にホスト ヘッダーとして含まれている宛先アドレスが使用されます。
過型プロキシ)よりも優
透過型プロキシ構成では、クライアント要求を転送するために接続を供給するため、Web
先順位があります]
サーバーとの通信で TCP プロトコルの下で指定される宛先アドレスを使用することも
できます。このアドレスは、元のの宛先アドレスとしても知られています。
クライアント要求をインターセプトするアプライアンスの透過型プロキシ、または要求
をインターセプトしてアプライアンスにリダイレクトする WCCP サービスに対して、両
方の通信方法を使用できます。
HOST ヘッダーの宛先アドレスを使用するのはよい方法ですが、一部の構成では、Web
サーバーとの通信のため、このオプションの選択を解除して、元の宛先アドレスを使用
することが必要である可能性があります。
• Web トラフィックは実行中の透過型プロキシの複数のアプライアンスで処理されて
おり、宛先のアドレスに従ってクライアント要求がルーティングされる場合、Web サ
ーバーに接続すると、プロキシで元の宛先 ID アドレスを使用できる必要があります。
• これは、WCCP サービスがクライアント要求をインターセプトし、負荷分散のために
宛先アドレスを使用して複数のアプリケーションにそれらをリダイレクトする場合に
も適用されます。
IP スプーフィングのサンプル WCCP サービス設定
IP スプーフィングをもつ WCCP サービスを構成するためのサンプル設定
IP スプーフィングを実行する場合のみ、これらの設定を構成します。通常は、WCCP プロトコルの下でアプライアン
スに Web トラフィックをリダイレクトするために 2 つのサービスを構成する必要はありません。
Web トラフィックをインターセプトし、それをアプライアンスに仕向ける WCCP サービスをもつ構成で IP スプー
フィングを使用できます。この場合、リスンするアプライアンスのすべてのポートに対して 2 つのサービスを構成す
る必要があります。
クライアントからの要求に対して 1 つのサービス、Web サーバーにより送信される要求の応答に対してもう 1 つの
サービスです。
以下の表は、これらのサービスのサンプル パラメーター値を示しています。
92
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
明示的プロキシ モード
6
表 6-5 IP スプーフィングで構成された 2 つの WCCP サービスのサンプル パラメーター値
オプション
クライアント要求のサービス
Web サーバー応答のサービス
[サービス ID]
51
52
[WCCP ルーター定義]
10.150.107.254
10.150.107.254
[リダイレクトするポート]
80, 443
80, 443
[リダイレクトするポート
は、元のポートです]
false
true
[プロキシ リスナー IP ア
ドレス]
10.150.107.251
10.150.107.251
[プロキシ リスナー ポー
ト]
9090
9090
[MD5 認証キー]
*****
*****
負荷分散のためのインプッ
ト
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[送信元 IP]
true
false
[宛先 IP]
false
true
[送信元ポート]
true
false
[宛先ポート]
false
true
割り当て方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[マスク割り当て]
true
true
[ハッシュによる割り当て]
false
false
[割り当ての重みづけ]
100
100
転送方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。ローカルの NIC 要素に対する GRE カプセル化と L2 書き
換えがそれに関係しています。
[GRE カプセル化]
false
false
[ローカル NIC への L2 書
き換え]
true
true
[L2-リダイレクト ターゲ
ット]
eth1
eth1
[マジック(マスク割り当
て)]
-1
-1
[コメント]
プロキシ HA 設定
プロキシ HA 設定は、高可用性機能を備えた明示的なプロキシ モードでアプライアンスのプロキシ機能を構成するた
めに使用されます。
プロキシ HA
高可用性機能を備えた明示的プロキシ モードの設定
McAfee Web Gateway 7.4.0
製品ガイド
93
6
プロキシ
透過型ルーター モード
表 6-6 プロキシ HA
オプション
定義
[ポート転送]
ユーザーが送信した要求が転送されるポートを入力するためのリストを提供します。
[ディレクター データ パケットを仕向けるアプライアンスの優先順位 (0 ~ 99 の範囲) を設定します。
の優先順位 ]
最高値が表示されます。0 はアプライアンスがデータ パケットをフィルターするだけで、仕向ける
ことはないことを意味します。
高可用性の構成で、2 つのアプライアンスは、互いにフェールオーバー機能を備えながら、データ
パケットを仕向けるために一般的にゼロよりも高い優先順位をもつディレクター ノードとして設
定されます。
残りのノードは、ゼロ優先順位で構成されます(「スキャンイング ノード」と呼ばれます )。
この優先順位の値は、スライダーのスケールで設定されています。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプライ
アンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスのリストが表示されます。
Web Gateway で高可用性機能 (プロキシ HA) 機能を有効にし、明示的プロキシ モードを設定して
いる場合には、仮想 IP を使用してユーザー インターフェースにログインしないでください。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 6-7
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーが要求を送信した時に受信するデータ パケットに使用されるプロトコル名を指定
します。
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポートを指定します。
[宛先プロキシ ポート] 上記ポートに送信されたデータ パケットが最初に転送されたポートを指定します。
[コメント]
表 6-8
ポート転送に関するテキスト形式のコメントを提供します。
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インターフェー
ス]
VRRP(仮想ルーター冗長性プロトコル)の下のハートビートに使用されるアプ
ライアンスのネットワーク インターフェースを指定します。
[コメント]
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
透過型ルーター モード
透過型ルーター モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
透過型ルーター モードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンス
にリダイレクトするように設定する必要はありません。
アプライアンスは、ファイアウォールのすぐ背後にルーターとして配置されます。アプライアンスとクライアントの
接続にスイッチを使用できます。トラフィックの転送にはルーティング テーブルが使用されます。
94
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
透過型ルーター モード
6
以下のダイアグラムは、透過型ルーター モードでの構成を表示します。
図 6-2 透過型ルーター モード
透過型ルーター モードを設定する
アプライアンスのプロキシ機能を透過型ルーター モードに設定するには、次の操作を行う必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ルーター モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定] で、[透過型ルーター] を選択します。
このモードを選択した後で、[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
[変更の保存]をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ル
ーター モードを設定できます。
透過型ルーター モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ルーター モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワークとプロキシを設定します。
McAfee Web Gateway 7.4.0
製品ガイド
95
6
プロキシ
透過型ルーター モード
タスク
•
96 ページの「透過型ルーター モードで実行するディレクター ノードのネットワークを設定する」
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネッ
トワーク インターフェースを設定します。
•
96 ページの「ディレクター ノードのプロキシを透過型ルーター モードに設定する」
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
97 ページの「スキャン ノードを透過型ルーター モードに設定する」
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネ
ットワーク インターフェースを設定する必要があります。プロキシの設定方法はディレクター ノード
に設定する場合と同じですが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ルーター モードで実行するディレクター ノードのネットワークを設定する
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネットワーク イ
ンターフェースを設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
3
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web トラフィックの受信用に 1 つ以上のインターフェースが必要です。また、送信用にも 1 つ以上のインター
フェースを設定する必要があります。
4
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
ディレクター ノードのプロキシを透過型ルーター モードに設定する
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
[ポート リダイレクトの追加] ウィンドウが開きます。
96
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
透過型ルーター モード
b
6
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、
「SSL スキャナー」ルール セットを有効にします。
このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効になっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
6
[管理 IP] フィールドに、ディレクターが接続するスキャン ノードの IP アドレスを入力します。
7
[仮想 IP] で、空いている仮想 IP アドレスを受信と送信用のネットワーク インターフェースに入力します。
8
[仮想ルーター ID] に表示されている番号をそのまま使用します。
9
[VRRP インターフェース] リストで、このプロトコルで行うハートビートのインターフェースを選択します。
10 必要に応じて、IP スプーフィングを設定します。
11 [HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
12 [変更を保存] をクリックします。
スキャン ノードを透過型ルーター モードに設定する
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネットワーク イ
ンターフェースを設定する必要があります。プロキシの設定方法はディレクター ノードに設定する場合と同じです
が、ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードとして設定するアプライアンスを選択し、[ネットワーク インターフ
ェース] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
97
6
プロキシ
透過型ルーター モード
3
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web 送信トラフィックを処理するインターフェースが 1 つ以上必要です。
4
[変更を保存] をクリックします。
5
ログオフして、アプライアンスに再度ログインします。
6
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)] を選択します。
7
[ネットワーク設定] で [透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
8
ディレクター ノードと同じポート リダイレクトを設定します。
9
[ディレクトリの優先順位] に 0 を設定します。
10 ディレクター ノードと同じ方法で IP スプーフィングを設定します。
11 ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
12 [変更を保存] をクリックします。
集中管理構成で複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
透過型ルーターの設定
透過型ルーターの設定では、アプライアンスのプロキシ機能を透過型ルーター モードに設定します。
透過型ルーター
透過型ルーター モードの構成の設定
表 6-9 透過型ルーター
オプション
定義
[ポート リダイレク
ト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリスト
から選択します。
[ディレクターの優先 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
順位]
から 99) を設定します。
ディレクターの優先順位は、アプライアンスは一元管理構成でいくつかのノードの 1 つであ
るときに関連してきます。最上位の値をもつモードは、その他のノードのみがそれらをフィ
ルターする間に、データ パケットを仕向けるディレクター ノードです。
ノードに 0 を指定すると、ディレクター ノードにすることはできません。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるア
プライアンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスを入力するためのリストを提供します。
[仮想ルーター ID]
仮想ルーターを識別します。
[VRRP インターフェ ハートビート メッセージの送受信のためのアプライアンスのネットワーク インターフェー
ース]
スを指定します。
98
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
透過型ルーター モード
6
表 6-9 透過型ルーター (続き)
オプション
定義
[IP スプーフィング
(HTTP、HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アド
レスとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用
します。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィング
(FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ
ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 6-10
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート]
要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポ
ート ]
リダイレクト先のポートが表示されます。
[発信元 IP による 指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
除外 ]
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されません。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処理
を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことができ
ます。
[宛先 IP による除 指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
外]
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されません。
• この方法でリダイレクトの対象外を設定すると、信頼できる宛先に送信する要求の処理を
Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことができま
す。
[コメント]
表 6-11
ポート転送に関するテキスト形式のコメントを提供します。
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インター ここで構成されている仮想 IP アドレスが割り当てられているアプライアンスのネットワ
フェース]
ーク インターフェースを指定します。
この仮想 IP アドレスがインターフェースに割り当てられるのは、現在のノードにアクテ
ィブ ディレクターの役割がない場合だけです。
[コメント]
McAfee Web Gateway 7.4.0
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
製品ガイド
99
6
プロキシ
透過型ブリッジ モード
透過型ブリッジ モード
透過型ブリッジ モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
このモードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンスにリダイレ
クトするように設定する必要はありません。通常、アプライアンスはファイアウォールとルーターの間に配置され、
ブリッジとして機能します。
以下のダイアグラムは、透過型ブリッジ モードでの構成を表示します。
図 6-3 透過型ブリッジ モード
透過型ブリッジ モードを設定する
アプライアンスのプロキシ機能を透過型ブリッジ モードに設定するには、次の操作を行う必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ブリッジ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
このモードを選択した後で、[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
[変更の保存]をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ブ
リッジ モードを設定できます。
透過型ブリッジ モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ブリッジ モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワーク、集中管理、プロキシを設定します。
100
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
透過型ブリッジ モード
6
タスク
•
101 ページの「透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設
定する」
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク イ
ンターフェースを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
•
102 ページの「ディレクター ノードのプロキシを透過型ブリッジ モードに設定する」
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
103 ページの「スキャン ノードを透過型ブリッジ モードに設定する」
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設
定しますが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設定する
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク インターフェー
スを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
3
透過型ブリッジ機能に使用するネットワーク インターフェースを準備します。
a
アプライアンスで未使用のネットワーク インターフェースを選択します。ここではまだ有効にしないでくだ
さい。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
e
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
4
透過型ブリッジ機能に使用するネットワーク インターフェースを設定します。
a
[構成] 、 [アプライアンス] の順に選択します。アプライアンスを選択して、[ネットワーク インターフェー
ス] をクリックします。
ibr0 という追加のネットワーク インターフェースが使用可能になります。これは、手順 3 で ibr0 と入力し
た未使用のネットワーク インターフェースです。
b
ibr0 インターフェースを選択します。
c
[IPv4] タブで、このインターフェースの IP アドレス、サブネット マスク、デフォルト ルートを設定しま
す。
d
有効にするインターフェースの横にあるチェックボックスを選択します。
McAfee Web Gateway 7.4.0
製品ガイド
101
6
プロキシ
透過型ブリッジ モード
5
現在アプライアンスとの接続に使用しているネットワーク インターフェースを透過型ブリッジ機能のネットワー
ク インターフェースとして設定します。
a
現在アプライアンスとの接続に使用しているネットワーク インターフェースを選択します。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
6
手順 3 で未使用のネットワーク インターフェースから選択した ibr0 を有効にします。
7
集中管理を設定します。
8
a
[集中管理] を選択します。
b
[集中管理設定] で、ibr0 ネットワーク インターフェースに設定した IP アドレスをリストに追加します。
[変更を保存] をクリックします。
透過型ブリッジ機能に複数のネットワーク インターフェースを使用する場合には、同様の方法でアプライアンスの未
使用ネットワーク インターフェースを設定します。
ディレクター ノードのプロキシを透過型ブリッジ モードに設定する
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
102
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
透過型ブリッジ モード
4
6
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
b
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、「SSL スキャナー」ルール セットを有効にする必
要があります。このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効に
なっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
6
[管理 IP] フィールドで、ネットワークの設定時に [ibr0] に指定した IP アドレスを入力します。
7
必要に応じて、IP スプーフィングを設定します。
8
[HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
9
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
[変更を保存] をクリックします。
スキャン ノードを透過型ブリッジ モードに設定する
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設定しますが、
ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)] を選択します。
McAfee Web Gateway 7.4.0
製品ガイド
103
6
プロキシ
透過型ブリッジ モード
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
ディレクター ノードと同じポート リダイレクトを設定します。
5
[ディレクトリの優先順位] に 0 を設定します。
6
ディレクター ノードと同じ方法で IP スプーフィングを設定します。
7
ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
8
[変更を保存] をクリックします。
集中管理構成で複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
透過型ブリッジの設定
透過型ブリッジの設定では、アプライアンスのプロキシ機能を透過型ブリッジ モードに設定します。
透過型ブリッジ
透過型ブリッジ モードの構成の設定
表 6-12 透過型ブリッジ
オプション
定義
[ポート リダイレ
クト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリストか
ら選択します。
[ディレクターの優 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
先順位]
から 99) を設定します。
最高値が表示されます。0 はアプライアンスがスキャニング ノードと呼ばれるものであるこ
とを意味し、データ パケットをフィルターするだけで、仕向けることはないことを意味しま
す。
このオプションは、スキャニング ノード(優先順位 = 0)またはディレクター ノー
ド(優先順位 > 0)としてノードを構成するためにのみ使用できます。
0 より大きいノードの優先順位の違いは評価されません。
透過型ブリッジ モードで複数のアプライアンスについて 0 より大きいノード優先
順位を構成した後で、その動作を観察して、データ パケットを仕向けるディレクタ
ー ノードになるものが実際にどれであるかを調べる必要があります。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプ
ライアンスのソース IP アドレスを指定します。
[IP スプーフィン
グ (HTTP、
HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アドレ
スとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用しま
す。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィン
グ (FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ
ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
次の表では、ポート転送のリストのエントリーを説明しています。
104
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
セキュア ICAP
表 6-13
6
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート] 要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポ リダイレクト先のポートが表示されます。
ート ]
[発信元 IP によ
る除外 ]
指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されません。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処理
を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことができ
ます。
[宛先 IP による
除外 ]
指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されません。
• この方法でリダイレクトの対象外を設定すると、信頼された宛先に送信される要求を処理の対
象外にすることができます。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
セキュア ICAP
アプライアンスが ICAP プロトコルの下でサーバーとクライアントのロールをとるとき、コミュニケーションを SSL
セキュア モードで実行できます。
このモードを使用するために、クライアントからの SSL セキュア リクエストを受け取るアプライアンスの各 ICAP
ポートのサーバー証明書をインポートする必要があります。クライアントは、証明書を送信する必要はありません。
ICAP サーバーに対して ICAP クライアントとしてのロールのアプライアンスから仕向けられるリクエストには、そ
のサーバーとの SSL セキュア通信を有効にするために、サーバー アドレスに仕様として ICAPS を含める必要があ
ります。
アプライアンスはクライアント証明書を ICAP サーバーに送信しません。
インスタント メッセージング
インスタント メッセージ ング プロキシは、インスタント メッセージング(IM)チャットとファイル転送をフィルタリ
ングするために、アプライアンスにセットアップできます。
ネットワークのユーザーがインスタント メッセージング通信に参加するとき、たとえば、インスタント メッセージ
ング サーバーにチャット メッセージを送ったり、そのメッセージに対する返信を受け取ったり、ファイルを送受信
したりします。アプライアンスのインスタント メッセージング プロキシは、実装したフィルタリング ルールに従っ
てこのフィルタリングをインターセプトしたり、フィルタリングできます。このために、インスタント メッセージン
グ トラフィックは、アプライアンスにリダイレクトされます。
McAfee Web Gateway 7.4.0
製品ガイド
105
6
プロキシ
インスタント メッセージング
以下のネットワーク コンポーネントがフィルタリング プロセスに含まれています。
•
インスタント メッセージングのプロキシ — プロキシは Yahoo プロキシ、Windows Live Messenger プロキシ
やその他などさまざまなプロトコルの元でインスタント メッセージングをフィルタリングするために、アプライ
アンスをセットアップできます。
•
インスタント メッセージングのクライアント — これらのクライアントはネットワーク内のユーザーのシステム
上で実行され、インスタント メッセージング サーバーとの通信を可能にします。
•
インスタント メッセージングのサーバー — これらは、ネットワーク内からクライアントによりアドレス指定さ
れる宛先です。
•
ネットワークのその他のコンポーネント — インスタント メッセージング フィルターーに含まれる他のコンポ
ーネントには、たとえば、インスタント メッセージング トラフィックをアプライアンスにリダイレクトするファ
イアウォールやローカル DNS サーバーなどがあります。
インスタント メッセージング フィルタリングを設定するときには、インスタント メッセージング プロキシやインス
タント メッセージング トラフィックをインターセプトとフィルタリングできるようにするプロキシへの設定操作を
完了する必要があります。
また、インスタント メッセージング トラフィックがインスタント メッセージング プロキシに確実にリダイレクトさ
れるようにする必要もあります。しかし、この設定操作はクライアント上で行うものではなく、ネットワークの他の
コンポーネント上で行われます。たとえば、DNS のリダイレクトやファイアウォール ルールは適切な方法で設定さ
れます。
アプライアンスのインスタント メッセージング プロキシは、Yahoo、Microsoft、ICQ、Google により提供された
ベンダー IM クライアント ソフトウェアと共に主に使用されることを意図しています。しかし、クライアント ソフ
トウェアは、隠れた更新が行われた後で事前の警告なしに、新しいログオン サーバーを使用するなど、操作を変更す
る可能性があります。
サードパーティのクライアント ソフトウェアを使用するときは、一般的にログオン サーバー、プロトコル バージョ
ン、または認証方式が元のクライアント ソフトウェアのものに比べて変更されている可能性があることを理解してお
く必要があり、このことによりアプライアンスのインスタント メッセージング プロキシがインスタント メッセージ
ング トラフィックをインターセプトしたり、フィルタリングできなくなる可能性があります。
インスタント メッセージング プロキシの設定
アプライアンスでインスタント メッセージング プロキシを設定する場合、[構成]トップレベル メニューの[プロキ
シ]設定の関連する部分を構成する必要があります。
主に以下の設定があります。
•
インスタント メッセージング プロキシの有効化
•
インスタント メッセージング クライアントにより送信される要求 7 をリスンする IP アドレスとポート
•
インスタント メッセージング サーバーの設定
•
インスタント メッセージング通信のタイムアウト
デフォルト値は、アプライアンスの初期セットアップ後にこれらのすべての設定に対して事前設定されます。
以下のプロトコルの下のインスタント メッセージングを以下のとおり、フィルタリングすることができます。
106
•
Yahoo
•
ICQ
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
インスタント メッセージング
6
•
Windows Live Messenger
•
XMPP。Google Talk、Facebook チャット、Jabber、その他のインスタント メッセージング サービスに使用さ
れるプロトコル
インスタント メッセージング トラフィックのフィルタリングのために、アプライアンスで処理されるルールは、こ
れらのルール セットの設定で処理サイクルとして設定される要求(および IM)をもつものです。
しかし、応答サイクルは Yahoo プロトコルの下でインスタント メッセージングがフィルタリングされるときにも関
係します。このプロトコルの下では、要求されたファイルが通常の Web トラフィックでファイルを転送するために
使用される応答と同じ種類の応答で、クライアントに転送されます。ファイルはサーバーに保管され、HTTP のもと
で、クライアントにより取得されます。たとえば、適切な URL を使用するなどです。
インスタント メッセージング クライアントと特定のプロトコルの下のプロキシとの間の通信に問題が発生した場
合、クライアントは別のプロトコルを使用して切り替え、このようにプロキシをバイパスすることもできます。クラ
イアントは通常の Web トラフィックに対するプロトコルを使用することさえできます。アプライアンスのダッシュ
ボード上で、これは表示される IM トラフィックの減少と Web トラフィックの増大が導かれます。
セッションの開始
クライアントとサーバー間のインスタント メッセージング セッションの初期化中に、クライアントの要求はアプラ
イアンスでのみ受信できますが、応答を返信することはできません。この状態が続く限り、
IM.Message.CanSendBack プロパティはルールで使用されるときの値として false をもつことになります。
インスタント メッセージング トラフィックを完全にブロックしない限り、セッション初期化に関するブロッキング
ルールを施行しないことをお勧めします。必要なヘルパー接続を許可することも必要です。通常は、DNS 要求や
HTTP 転送が該当します。
認証されたユーザーのみを許可するなど、施行する制限はチャット メッセージやファイル転送など、セッション自体
が進行中の間のトラフィックに適用されます。
インスタント メッセージング フィルタリングのためのその他のネットワーク コンポーネントの構成
インスタント メッセージング フィルタリングのその他のネットワーク コンポーネントの構成の目的は、クライアン
トとサーバーの間で進行中のインスタント メッセージング トラフィックを、1 つ以上のインスタント メッセージン
グ プロキシを実行中のアプライアンスにリダイレクトすることです。
たとえば、ICQ プロトコルの下で、クライアントはホスト名 api.icq.net をもつサーバーに要求を送信します。イ
ンスタント メッセージング フィルタリングの場合は、ホスト名をアプライアンスの IP アドレスではなく、ICQ サ
ーバーの IP アドレスに解決しない DNS リダイレクト ルールを作成する必要があります。
同様に、ファイアウォール ルールを作成して、インスタント メッセージング トラフィックをインスタント メッセー
ジング サーバーではなく、アプライアンスにダイレクトすることができます。
Windows Live Messenger の下でのインスタント メッセージング トラフィックのフィルタリング
Windows Live Messenger プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリン
グを設定するとき、以下の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は messenger.hotmail.com です。これは、インスタント メ
ッセージング プロキシをもつアプライアンスの IP アドレスによるリダイレクト ルールにより解決される必要があ
るホスト名です。
時々、クライアントは DNS ルックアップで解決されるホスト名を要求せずに、サーバーに接続します。この場合、
クライアント設定内の以下のレジストリ エントリーを検索し、削除することを助けます。
geohostingserver_messenger.hotmail.com:1863, REG_SZ
McAfee Web Gateway 7.4.0
製品ガイド
107
6
プロキシ
インスタント メッセージング
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
http://login.live.com
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
ICQ の下でのインスタント メッセージング トラフィックのフィルタリング
ICQ プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以下
の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は次のようになります。
•
api.icq.net(サービス要求サーバー:AOL から
独立以来新規)
•
ars.oscar.aol.com(古いファイル転送プロキ
シ)
•
ars.icq.com(ファイル転送プロキシ:AOL から
独立以来新規)
•
login.icq.com(古いログオン手順の場合)
•
api.oscar.aol.com(古いサービス要求サーバ
ー)
•
login.oscar.aol.com(古いログオン手順の場
合)
ICQ クライアントは、アプライアンスのインスタント メッセージング プロキシによりインターセプトできない暗号
化プロセスのサーバーにログオンします。
しかし、これ以降、ICQ クライアントはログオン後に受け取るマジック トークンを使用して、セッション サーバー
に関する情報をサービス要求サーバーに求めます。ここで、インスタント メッセージング プロキシがインターセプ
トします。フィルタリング プロセスはその後、セッション サーバーとの通信でクライアント名が発表された後で、
別のログオン手順を使用します。
ベンダー Yahoo クライアントとは対照的に、ベンダー ICQ クライアントは Internet Explorer 接続設定を無視し
ます。
Yahoo の下でのインスタント メッセージング トラフィックのフィルタリング
Yahoo プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以
下の知識が役立ちます。
要求が送信されるインスタント メッセージング サーバーのリストが非常に長くなることがあります。以下は使用さ
れている、または使用されたことがあるサーバーのホスト名のリストです。これまでに現れた新しいサーバーはリス
トに追加することが必要な場合があります。
108
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
relay2.msg.dcn.yahoo.com
•
scsd.msg.yahoo.com
•
relay3.msg.dcn.yahoo.com
•
scse.msg.yahoo.com
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
XMPP プロキシ
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
6
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
[インターネットに直接接続]オプションが Yahoo クライアントの設定の中で有効になっている場合でも、Internet
Explorer の接続設定を引き続き使用している場合があります。これが原因となり、プロセスの後の段階でログオン
が失敗することがあります。したがって、ホワイトリストに URL *login.yahoo.com* も挿入することをお勧め
します。
インスタント メッセージング フィルタリングの問題
インスタント メッセージング フィルタリングの問題には、たとえば、クライアントとサーバー間の接続や施行され
たフィルタリング ルールの適用などが含まれる場合があります。
キープアライブ データ パケットはインスタント メッセージ トラフィックの一部として定期的な間隔で送信され、通
信パートナーが引き続き接続され、応答可能であることを示します。IM プロトコルとクライアント ソフトウェアに
応じて、間隔は 20 ~ 80 秒間の間で変動します。これらのデータ パケットは、アプライアンスで施行されるフィル
タリング ルールにより処理されません。
トラブルシューティングの状況でそのようなデータ パケットを検出した場合、どのルールが引き続き実行されている
のかを確認するために、ルール エンジン トレーシング機能を使用することができます。
クライアントがサーバーにログインのために要求を送信するとき、適切な設定が行われている場合は、アプライアン
スにリダイレクトされます。しかし、クライアントは同時に、SSL セキュア認証を必要とする別のサーバーにログイ
ンを試みることもできます。これが失敗した場合、クライアントはアプライアンスへの接続を停止することもできま
す。
一部のクライアントはまた、サーバーへのログオンの失敗後に基本的なトラブルシューティング テストを実行するた
めのオプションも提供しています。
XMPP プロキシ
アプライアンスのインスタント メッセージ通信をフィルタリングするとき、使用できるメソッドの 1 つは、XMPP
(拡張されたメッセージングおよび存在の有無に関するプロトコル) の下でプロキシをセットアップすることです。
このプロトコルは、Jabber の名前でも知られます。たとえば、Facebook チャットや Google トークに参加する際
に XMPP クライアントとサーバーの間で行き来するために使用されます。
[構成] 、 [プロキシ] の下でユーザー インターフェースの XMPP プロキシの設定を構成できます。
SSL スキャナー ルール セットがアプライアンスで有効に設定されていない場合、XMPP クライアントとこのアプラ
イアンスの間で行き来するトラフィックは暗号化されませんが、アプライアンスで有効なすべてのルールによりフィ
ルタリングされます。クライアントが暗号化されていなトラフィックを受け付けない場合、接続は閉じます。
McAfee Web Gateway 7.4.0
製品ガイド
109
6
プロキシ
共通のプロキシ設定の構成
SSL スキャナー ルールが有効に設定されているとき、アプライアンスの他のルールによりフィルタリングするため
に使用できるように、SSL スキャニングを使用してトラフィックは暗号化され、検査されます。
共通のプロキシ設定の構成
ネットワーク モードの特定の設定に加えて、共通のプロキシ設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、共通のプロキシ設定を構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
プロキシ設定
プロキシ設定は、アプライアンスで実施できるネットワーク モードの特定の機能および共通機能に使用されます。こ
れには、ルール エンジンを定期的にトリガーすることも含まれます。
ネットワーク設定
ネットワーク モードの実装の設定
ネットワーク モードが選択されると、これらの設定の下にこのモードの特定の設定が表示されます。
表 6-14 ネットワーク設定
オプション
定義
[プロキシ(オプション WCCP)] 選択すると、明示的プロキシ モードが使用されて、WCCP サービスは Web ト
ラフィックをアプライアンスにリダイレクトできます。
[プロキシ HA]
選択すると、高可用性機能を備えた明示的プロキシ モードが使用されます。
[透過型ルーター]
選択すると、透過型ルーター モードが使用されます。
[透過型ブリッジ]
透過型ブリッジ モードが使用されます。
HTTP プロキシ
HTTP プロトコルでアプライアンス上でプロキシを実行するための設定
このプロトコルは、Web ページおよびその他のデータ(高度なセキュリティのための SSL 暗号化も提供)の転送に
使用されます。
表 6-15 HTTP プロキシ
110
オプション
定義
[HTTP プロキシ]
選択すると、HTTP プロトコルでアプライアンス上でプロキシが実行されます
[HTTP ポート定義リスト]
クライアント要求をリスンするアプライアンスのポートを入力するためのリスト
を提供します。
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
プロキシ設定
表 6-15 HTTP プロキシ (続き)
オプション
定義
[FTP over HTTP の匿名ログイ アプライアンスの HTTP プロキシによって FTP サーバーに要求が送信されると
ン]
きに、匿名ユーザーとしてログオンする場合のユーザー名を指定します。
[FTP over HTTP の匿名ログイ ユーザー名のパスワードを設定します。
ンのパスワード]
FTP プロキシ
FTP プロトコルの下でアプライアンス上でプロキシを実行するための設定
このプロトコルは、制御機能とデータ転送のために個別の接続を使用して、ファイル転送に使用されます。
該当するルールに FTP U アップロード進捗状況表示イベントを挿入すると、FTP クライアントから
Web にファイルがアップロードされ、Web Gateway で処理されたときに、進行状況インジケーターが
クライアントに送信されます。
ウイルスやマルウェアのスキャンで処理に時間がかかる場合があります。この設定を行うと、このような
場合でもクライアントでのタイムアウトを防ぐことができます。
表 6-16 FTP プロキシ
オプション
定義
[FTP プロキシの有効にする] 選択すると、FTP プロトコルでアプライアンス上でプロキシが実行されます
[FTP ポート定義リスト]
クライアント要求をリスンするアプライアンスのポートを入力するためのリストを
提供します。
IFP プロキシ
IFP プロトコルでアプライアンス上でプロキシを実行するための設定
このプロトコルは、Web ページの転送に使用されます。
表 6-17 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロトコルでアプライアンス上でプロキシが実行されます。
[IFP ポート定義リスト]
IFP プロキシのクライアント要求を待機するアプライアンスのポートを入力する
ためのリストを提供します。
[同時に許可される IFP 要求の
最大数]
同時に処理される IFP 要求の数を指定値に制限します。
この設定を使用すると、IFP プロキシの過負荷を回避できます。
次の表では、IFP ポート定義リストのエントリについて説明しています。
McAfee Web Gateway 7.4.0
製品ガイド
111
6
プロキシ
プロキシ設定
表 6-18 IFP ポート定義リスト
オプション
定義
[リスナー アドレス]
IFP 要求をリスンするポートの IP アドレスおよびポート番号を指定します。
[リダイレクトとしてエラ
ー メッセージを送信する]
true に設定する場合、要求を送信したユーザーは、たとえば、要求がブロックされた
ことなどを、エラー メッセージ ページに要求をリダイレクトすることによって通知さ
れます。
そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されま
す。
[コメント]
IFP 要求にリスンするポートの平文コメントを提供します。
ICAP サーバー
ICAP クライアントとの通信で要求と応答を変更するアプライアンス上で ICAP サーバーとして実行するときの設定
表 6-19 ICAP サーバー
オプション
定義
[ICAP サーバーの有効にする] 選択すると、ICAP サーバーがアプライアンス上で実行されます。
[ICAP ポート定義リスト]
ICAP クライアントからの要求をリスンするアプライアンスのポートを入力するた
めのリストを提供します。
Web キャッシュ
アプライアンスの Web キャッシュを有効にする設定
Web キャッシュを有効化するのに加えて、キャッシュの読み取りと書き込みを制御するルール セットを施行する必
要があります。
表 6-20 Web キャッシュ
オプション
定義
[キャッシュを有効にする]
選択すると、Web キャッシュがアプライアンス上で実行されます。
HTTP(S)、FTP、ICAP のタイムアウト
HTTP、HTTPS、FTP、ICAP プロトコルの下での接続時のタイムアウトの設定
表 6-21 HTTP(S)、FTP、ICAP のタイムアウト
オプション
定義
[初期接続のタイムアウト]
要求を受け取らない場合に、新しく開いた接続が閉じるまでの時間(秒)を指定
値に制限します。
[接続のタイムアウト]
未完了の要求通信中にクライアントまたはサーバーがアクティブでない場合、接
続が閉じるまでの時間(秒数)を指定値に制限します。
[クライアント接続タイムアウ
ト]
クライアントへのプロキシとして実行中のアプライアンスからの接続が、要求間
で閉じるまでの時間(秒)を指定値に制限します。
[未使用の HTTP サーバーの最
大アイドル時間]
サーバーへのプロキシとして実行中のアプライアンスからの接続が、要求間で閉
じるまでの時間(秒)を指定値に制限します。
DNS 設定
ドメインドメイン名サーバーとの通信の設定
112
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
プロキシ設定
表 6-22 DNS 設定
オプション
定義
[IP プロトコル バー
ジョンの設定]
通信に使用される IP プロトコルのバージョンを選択できます。
•(バージョン オプション:)
• [受信接続と同じ ]— これが選択されると、受信接続ですでに使用中のプロトコル バー
ジョンが使用されます
• [IP4 ]— これが選択されると、IP プロトコルのバージョン 4 が使用されます
• [IP6 ]— これが選択されると、IP プロトコルのバージョン 6 が使用されます
• [フォールバックとしてその他のプロトコル バージョンを使用 ]— これが選択されると、
2 つのバージョンの 1 つが使用できない場合は、もう一方のプロトコル バージョンが使
用されます。
[DNS キャッシュの最 キャッシュに保管されたデータが削除されるまでの最小時間(秒数)を設定します。
小 TTL]
[DNS キャッシュの最 キャッシュに保管されたデータが削除されるまでの最小時間(秒数)を指定値に制限しま
す。
大 TTL]
Yahoo
Yahoo プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
表 6-23 Yahoo
オプション
定義
[Yahoo プロキシを有効にする]
これが選択されると、アプライアンスは Yahoo プロトコルの下でインスタン
ト メッセージングのプロキシとして実行されます
[リスナー アドレス]
クライアント要求をリスンするプロキシの IP アドレスおよびポート番号を指
定します。
[0.0.0.0:80 経由のファイル転送 これが選択されると、ファイル転送はこの IP アドレスとポートを使用できま
をサポート]
す
[ログイン サーバー]
要求を送信する前にユーザーがログオンするサーバーのホスト名とポート番号
を指定します。
[リレー サーバー(日本)]
ファイル転送時に中継ステーションとして使用されるサーバーのホスト名とポ
ート番号を指定します。
[Yahoo クライアント接続タイム
アウト]
クライアントへのインスタント メッセージング シプロキシが閉じるまでの時
間(秒)を指定値に制限します。
[Yahoo サーバー接続タイムアウ サーバーへのインスタント メッセージング シプロキシが閉じるまでの時間
ト]
(秒)を指定値に制限します。
ICQ
OSCAR(Open System for Communication in Real Time)プロトコルの下のインスタント メッセンジングの実
行のための設定
McAfee Web Gateway 7.4.0
製品ガイド
113
6
プロキシ
プロキシ設定
表 6-24 ICQ
オプション
定義
[ICQ プロキシを有効
にする]
これが選択されると、アプライアンスは OSCAR の下でインスタント メッセージングの
プロキシとして実行されます
[ログインとファイル転 ログオンとファイル転送を処理するインスタント メッセージング プロキシとポート番号
送プロキシ ポート]
として実行中のアプライアンスの IP アドレスを指定します。
• [追加ファイル転送プロキシ ポートを有効にする] — これを選択すると、ファイル転送
を処理するために追加ポートを使用できます
• [追加ファイル転送プロキシ ポート ]— ファイル転送を処理する追加の IP アドレスと
ポート番号を指定します。
[BOS リスナー ポー
ト]
インスタント メッセージング プロキシが実行しているアプライアンスの IP アドレスお
よび BOS (Basic OSCAR Service) 要求をリスンするポートの数を指定します。
これらの要求は、ファイル転送の要求など、チャット メッセージを送信するための要求で
す。
[ICQ ログイン サーバ
ー]
要求を送信する前にユーザーがログオンするサーバーのホスト名とポート番号を指定し
ます。
[ICQ サービス要求サ
ーバー]
要求を処理するサーバーのホスト名とポート番号を設定します。
[ICQ ファイル転送プ
ロトコル]
ファイル転送を処理するサーバーのホスト名とポート番号を設定します。
[ICQ クライアント接
続タイムアウト]
クライアントへのインスタント メッセージング シプロキシが閉じるまでの時間(秒)を
指定値に制限します。
[ICQ サーバー接続タ
イムアウト]
サーバーへのインスタント メッセージング シプロキシが閉じるまでの時間(秒)を指定
値に制限します。
Windows Live Messenger
Windows Live Messenger プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行す
るための設定
表 6-25 Windows Live Messenger
オプション
定義
[Windows Live Messenger
プロキシを有効にする]
これが選択されると、Windows Live Messenger の下でインスタント メッセンジ
ャーのプロキシがアプライアンスで実行されます
[Windows Live Messenger
NS プロキシ リスナー 1]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スとクライアント要求をリスンする 1 つ目のポートの番号を指定します。
[Windows Live Messenger
NS プロキシ リスナー 2]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スとクライアント要求をリスンする 2 番目のポートの番号を指定します。
[Windows Live Messenger
SB プロキシ ポート]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スと SB(Switchboard)モードでクライアント要求をリスンするポートの番号を指
定します。
[Windows Live Messenger クライアントへのインスタント メッセージング シプロキシが閉じるまでの時間
クライアント接続タイムアウ (秒)を指定値に制限します。
ト]
[Windows Live Messenger
サーバー接続タイムアウト]
サーバーへのインスタント メッセージング シプロキシが閉じるまでの時間(秒)
を指定値に制限します。
XMPP
XMPP プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
114
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
プロキシ設定
6
これは、Google Talk、Facebook チャット、Jabber、その他のいくつかのインスタント メッセージング サービス
に使用されるプロトコルです。
表 6-26 XMPP
オプション
定義
[XMPP プロキシを有効にす これが選択されると、XMPP プロトコルの下でインスタント メッセージングのプロキ
る]
シがアプライアンスで実行されます
[プロキシ ポート]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレス
と XMPP プロトコルの下で送信される要求をリスンするポートの番号
[クライアント接続タイムア クライアントへのインスタント メッセージング シプロキシが閉じるまでの時間(秒)
ウト]
を指定値に制限します。
[サーバー接続のタイムアウ サーバーへのインスタント メッセージング シプロキシが閉じるまでの時間(秒)を
ト]
指定値に制限します。
詳細設定
プロキシ機能の詳細設定
表 6-27 詳細設定
オプション
定義
[クライアント接続の最大数]
アプライアンスのプロキシとクライアントの間の接続数を指定値に制限します。
0 を指定すると、制限が設定されないことを意味します。
[稼働中のスレッド数]
Web オブジェクトのフィルタリングと送信用のプロキシとしてアプライアンス
が実行されるときに使用されるスレッド数を指定します。
[AV スキャンのスレッド数]
ウイルスおよびその他のマルウェアによる感染について、プロキシとしてアプラ
イアンスが実行されるときに Web オブジェクトをスキャンするために使用され
るスレッド数を指定します。
[TCP 遅延なしを使用]
これを選択すると、データ パケットをアセンブリするために、Nagle アルゴリズ
ムをを使用しないことによってプロキシ接続の遅延を回避します。
このアルゴリズムは、指定された量のデータが収集されるまで、パケットが送信
されないようにします。
[DNS キャッシュの最大 TTL
秒数]
ホスト名情報が DNS キャッシュに保存される時間(秒)を指定値に制限します。
[長時間接続によるタイムアウ
ト エラー(分単位)]
エラーのためにアクティブでない長時間接続が閉じるまでの時間(分)を指定値
に制限します。
[長時間実行している接続の確
認間隔(分単位)]
長い接続の実行中に送信されるメッセージ間に経過する時間(分)を指定値に制
限します。
[内部パス ID]
エラー メッセージの表示に使用されるスタイル シートの要求など、内部要求(ク
ライアントから受信する要求でない)を転送するためにアプライアンスが従うパ
スを定義します。
[本文を含めることができない
応答で RESPmod をバイパス
する]
これが選択されると、ICAP プロトコル下の通信で送信される応答は、本文を含ま
ない場合に RESPMOD モードに従って変更されません
[エラー テンプレートで埋め込 これが選択されると、アプライアンスで実装されるログ ハンドラーのルール セッ
まれる進行状況更新とオブジェ トは、指定された更新とオブジェクトを扱うように処理されます。
クトのコール ログ ハンドラー]
[プロキシを使用するローカル
ポートを通じた接続を許可す
る]
McAfee Web Gateway 7.4.0
これが選択されると、ローカル ポートはプロキシとして実行中のアプライアンス
での要求に使用できます。
製品ガイド
115
6
プロキシ
プロキシ設定
表 6-27 詳細設定 (続き)
オプション
定義
[Proxy.IP プロパティ値として
仮想 IP を使用する]
これが選択されると、高可用性モードの Proxy.IP プロパティの値は構成のすべ
てのノードの仮想 IP アドレスとなります。
プロキシに接続するためにクライアントが使用する仮想 IP アドレスです。
ダイレクター ノードがクライアントからスキャン ノードに送信された要求をリ
ダイレクトするとき、このアドレスもスキャン ノードにある Proxy.IP プロパテ
ィの値(スキャニング ノードの物理的アドレスではありません)です。
[HTTP(S):すべてのホップバイ これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライア
ホップのヘッダーを削除する]
ンスで受信する要求から、ホップバイホップのヘッダーが削除されます。
[HTTP(S):プロキシ ループを
検出するためにヘッダーを通じ
て検査する]
これが選択されると、HTTP または HTTPS プロキシとして実行されるアプライ
アンスで受信した要求で、ループを検出するために、ヘッダーを通じた検査が行
われます
[HTTP(S):ホスト ヘッダーよ
りも優先される絶対 URL から
のホスト]
これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライア
ンスで受信される要求で、絶対 URL に対応するホスト名が、要求ヘッダーに含ま
れるホスト名よりも優先されます
定期的なルール エンジン トリガー リスト
ルール エンジンをコールし、データをダウンロードする Web サーバーへの接続の設定
表 6-28 定期的なルール エンジン トリガー リスト
オプション
定義
[定期的なルール エンジン ト これが選択されると、[URL 定義リスト]と呼ばれるリストで指定される Web サー
リガー リストを有効にする] バーへの接続が、定期的な間隔でセットアップされます。
各 Web サーバーの接続の間隔も、リストで指定されます。
間隔が経過すると、アプライアンスのルール処理モジュール(ルール エンジン)が
コールされ、Web サーバーへの接続がセットアップされ、Web サーバーからデー
タがダウンロードされて、処理のためにルール エンジンに渡されます。
データは HTTP と HTTPS プロトコルの下でのみダウンロードされます。
接続がこのようにセットアップされる Web サーバーは、次のネクストホップ プロ
キシ サーバーと Web で特定のサービスを提供するために使用されるその他のサー
バーが含まれます。
[URL 定義リスト]
接続がセットアップできる Web サーバーのリストを提供します。
次の表では、URL 定義リストのリスト エントリについて説明しています。
表 6-29 URL 定義リスト - リスト エントリ
オプション
定義
[ホスト]
接続をセットアップする Web サーバーの IP アドレスとポート番号または URL を指定します。
[トリガー間隔] 次回、Web サーバーへの接続のセットアップを試みるまでの間隔(秒数)を指定します。
[コメント]
116
Web サーバー接続のプレーンテキストコメントを提供します。
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
FTP ログオンでの Raptor 構文の使用
6
FTP ログオンでの Raptor 構文の使用
FTP プロキシとして実行されるように Web Gateway を設定すると、プロキシとして Web Gateway の FTP サー
バーにログオンするときに Raptor 構文を使用できます。
このログオンを実行する場合、FTP サーバーにアクセスするユーザーは、適切な FTP クライアントから USER、
PASS、ACCEPT コマンドを実行できます。これらのコマンドでは、FTP サーバーと一緒に、FTP サーバーと Web
Gateway プロキシの両方のユーザー名とパスワードを指定します。
コマンドの構文は次のとおりです。
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
以下の表では、コマンド パラメーターの意味について説明します。
表 6-30 FTP ログオンのコマンド パラメーター
オプション
定義
ftpserver
アクセスを要求する FTP サーバー
ftpuser
FTP サーバーのユーザー名
ftpuserpass
FTP サーバーのパスワード
proxyuser
Web Gateway プロキシのユーザー名
proxyuserpass
Web Gateway プロキシのパスワード
ノード通信プロトコル
Web Gateway アプライアンスが集中管理構成のディレクターまたはスキャン ノードとして実行されるとき、ノー
ド間の通信には VRRP(Virtual Router Redundancy Protocol)と MWG Management Protocol を使用します。
プロトコルの使用は、ノードとして実行するアプライアンスで構成したプロキシ設定によって異なります。プロトコ
ルは、対象とするアクティビティがディレクター ノードであるか、スキャン ノードであるかにおいて異なります。
Virtual Router Redundancy Protocol
Virtual Router Redundancy Protocol は、Web Gateway を透過型ルーター モードまたは高可用性プロキシ モー
ドとして構成したときに使用されます。
このプロトコルの下で、仮想 IP アドレスはアクティブなディレクター ノードおよびバックアップ ディレクター ノ
ードに割り当てられます。プロトコルはまた、ディレクター ノードがアクティブなディレクター ノードの役割をも
つかどうかも判別します。
MWG Management Protocol
MWG Management Protocol は透過型ルーター、透過型ブリッジ、高可用性プロキシ モードで使用されます。こ
のプロトコルの下で、スキャン ノードが Web トラフィックの処理に使用できることを識別します。
アクティブなディレクターの役割をもつノードはスキャン ノードにブロードキャスト メッセージを送信します。そ
の際にそれぞれのプロキシ設定の Management IP オプションの下でソース IP アドレスとして構成された IP
を使用します。
このプロトコルは同じネットワーク セグメント内で使用可能なスキャン モードに、ディレクター ノードの検出メッ
セージに定期的な間隔で応答させます。
McAfee Web Gateway 7.4.0
製品ガイド
117
6
プロキシ
ドメインに応じた DNS サーバーの使用
セキュリティの考察事項
Virtual Router Redundancy Protocol および MWG Management Protocol のセキュリティ機能は、Address
Resolution Protocol(ARP)のセキュリティ機能と同様です。
Virtual Router Redundancy Protocol は、ローカル ブロードキャスト ドメインを超えてルーティングされない IP
アドレスをもつマルチキャストを使用します。MWG Management Protocol はブロードキャスト メッセージを使
用します。
同じネットワーク セグメントの不正ノードは VRRP メッセージを送信し、結果としてそれぞれの仮想 IP アドレスを
保持するアクティブなディレクター ノードになりすます可能性があります。そのノードは仮想 IP アドレスに対し
て受け取るすべてのデータ パケットをドロップした場合、ネットワーク接続が Web Gateway プロキシに接続され
ているクライアントで停止します。
Web Gateway プロキシの操作を疎外しないように、 Virtual Router Redundancy Protocol および MWG
Management Protocol に従ってプロキシ設定を構成するとき、保護されたネットワーク セグメントの IP アドレス
を使用するようにお勧めします。
ドメインに応じた DNS サーバーの使用
Web Gateway で Web アクセス要求を処理するときに URL の情報を IP アドレスに変換する DNS (ドメイン名シ
ステム) サーバーは、要求された宛先のドメインに応じて設定することができます。
このような DNS サーバーの使い方を条件付きの DNS 前方参照といいます。
ドメイン (たとえば、testnet.webwasher.com) は、URL 情報の解決に使用する DNS サーバーの IP アドレスと一
緒にリストに入力されます。この方法では、1 つのドメインに複数の DNS サーバーを指定できます。
Web 上の特定の宛先に対する要求が Web Gateway に送信されると、このリストに従って DNS サーバーに要求が
転送されます。
DHCP (動的ホスト構成プロトコル) を使用すると、使用する DNS サーバーを動的に設定できます。Web Gateway
アプライアンスの初期セットアップ後には、デフォルトの値が設定されています。
DHCP と条件付きの DNS 前方参照の両方を設定すると、DHCP が優先され、条件付きの DNS 前方参照は回避され
ます。
DNS サーバーとして BIND サーバーを設定すると、Web Gateway の設定ファイルに保存されている DNS サーバー
の設定が上書きされます。これらの値をドメイン名の解決で引き続き使用するには、手動で値を再度入力する必要があ
ります。
ドメインに応じて DNS サーバーを設定する
Web の宛先のドメインに応じて DNS サーバーを有効にするには、ドメイン名サービスを設定します。
タスク
118
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、DNS サーバーを設定するアプライアンスを選択して [ドメイン名サービス] をクリッ
クします。
3
[条件付き DNS 前方参照の設定] セクションで、必要に応じて設定を行います。
4
[変更を保存] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
ドメインに応じた DNS サーバーの使用
ドメイン名サービスの設定
ドメイン名サービスの設定では、DNS サーバーを構成します。条件付きの DNS 前方参照を設定して、特定のドメイ
ンに従って DNS サーバーを使用することもできます。
ドメイン名サービスの設定
DNS サーバーの設定
表 6-31 ドメイン名サービスの設定
オプション
定義
[プライマリ ドメイン名サーバー]
最初のサーバーの IP アドレスを指定します。
[セカンダリ ドメイン名サーバー]
2 番目のサーバーの IP アドレスを指定します。
[テリタリ ドメイン名サーバー]
3 番目のサーバーの IP アドレスを指定します。
条件付き DNS 前方参照の設定
ドメインに応じた DNS サーバーの使用を設定します。
表 6-32 条件付き DNS 前方参照の設定
オプション
定義
[条件付きの前方参
照を有効にする]
選択すると、[条件付き前方参照リスト] の DNS サーバーが、Web Gateway に対する要求
で送信されたドメイン情報を IP アドレスに変換します。
• 要求された宛先のドメインに従って、リストから DNS サーバーが選択されます。
• リスト内で、DNS サーバーは IP アドレスで表示されます。
• 1 つのドメインに対して最大 5 つまでの DNS サーバーを指定できます。
このオプションを有効にすると、次の 5 つのオプションが使用可能になります。
[デフォルト リゾル ドメイン情報の解決でデフォルトで使用される DNS サーバーの IP アドレスを指定します。
バー]
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[肯定応答の TTL]
特定の値に対する条件付き DNS 前方参照で肯定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 604800 秒です。
[否定応答の TTL]
特定の値に対する条件付き DNS 前方参照で否定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 10800 秒です。
[条件付き前方参照
リスト]
条件付き前方参照の対象となる DNS サーバーのドメインと IP アドレスが表示されます。
[条件付き前方逆引
き参照リスト]
条件付き前方参照で逆引き参照が実行されたときの対象となる DNS サーバーのドメインと
IP アドレスが表示されます。
以下の表では、条件付き前方参照リストの項目について説明します。
McAfee Web Gateway 7.4.0
製品ガイド
119
6
プロキシ
リバース HTTPS プロキシ
表 6-33 条件付き前方参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメイン名が表示されます。
特定のドメイン宛ての要求が Web Gateway に送信されると、このドメインに指定された DNS
サーバーが参照に使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
以下の表では、条件付き前方逆引き参照リストの項目について説明します。
表 6-34 条件付き前方逆引き参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメインの IP アドレスが表示されます。
• IP アドレスは CIDR 表記で指定されます。
• IP アドレスに逆引き参照が実行されると、このアドレスの DNS サーバーが使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
リバース HTTPS プロキシ
リバース HTTPS プロキシ構成を使用して、クライアントが、マルウェアや特定のメディア タイプなどの不必要なデ
ータを HTTPS プロトコルの下で、Web サーバーにアップロードできないようにすることができます
この構成で、HTTPS トラフィックはプロキシが実行されているアプライアンスにリダイレクトされます。それは検
査され、最終的にアプライアンスで施行されたルールに従って、転送またはブロックされます。
以下のようにこれを構成することができます。
•
透過型ブリッジまたはルーターをセットアップします
•
特定の Web サーバーへのアクセスがリクエストされるときに、アプライアンスを直接ポイントする DNS をセッ
トアップします
アプライアンスへのリダイレクションはまた、CONNECT ヘッダーの使用に依存するプロキシ認識接続を構成するこ
とによっても達成できます。
しかし、この方法では受信リクエストのヘッダーを整理するために追加ネットワーク デバイスが必要となります。し
たがって、お勧めしません。
ネットワークを構成するのに加え、SSL 証明書の処理を構成する必要があります。
任意に、リバース HTTPS プロキシのスムーズな操作を確保するために、SSL 関連でない追加の設定を構成できま
す。
120
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
リバース HTTPS プロキシ
6
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト
透過型ブリッジまたはルーター モードでは、ポート リダイレクト ルール(ポート転送ルールとも呼ばれる)を使用
して HTTPS トラフィックをアプライアンスのプロキシ ポートに仕向けることができます。
リダイレクトされたリクエストは SSL セキュア通信として取り扱われるように保証する必要もあります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、トラフィックをリダイレクトするアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[ネットワーク設定]セクションで、[透過型ブリッジ](または[透過型ルーター])を選択してください。
特定の透過型ブリッジ(またはルーター)設定のセクションが表示されます。
4
[ポート転送]の[追加]をクリックします。
[ポート転送の追加]ウィンドウが開きます。
5
新しいポート転送ルールに対して、以下のとおり構成します。
•
[プロトコル名] — HTTP
この設定により、HTTP および HTTPS プロトコルの両方の接続が対象になります。
•
[元の宛先ポート] — 443
リクエストの宛先となる Web サーバーが HTTP プロトコルでも同様に到達できる場合、ここにポート 80 を
追加できます(カンマで区切る)。このタイプのトラフィックはまた、アプライアンスにも仕向けられます。
•
[宛先のプロキシ ポート] — 9090
これは、アプライアンスのデフォルト プロキシ ポートです。
6
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいルールが表示されます。
7
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
8
9
以下の項目が構成されていることを確認してください。
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — 443
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しい HTTP プロキシ ポートが表示されます。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
121
6
プロキシ
リバース HTTPS プロキシ
アプライアンスに、DNS エントリーによりリダイレクトされたリクエストをリ
スンさせる
HTTPS プロトコル下のリクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、アプライ
アンスのプロキシを適切なポートで直接リスンするように設定できます。また、SSL セキュア接続のみが有効になる
ようにする必要もあります。
開始する前に
アプライアンスをこのような方法で構成する場合、以下の点を確認してください。
•
アプライアンスが DNS ルックアップを行うとき、要求された Web サーバーのホスト名がアプライ
アンスに解決されません。
このことは、アプライアンスの /etc/hosts ファイルに Web サーバーの IP アドレスを直接入力す
るか、適切に構成された内部 DNS サーバーを使用することにより、行うことができます。
•
コンテンツの検査を処理するルール セットがアプライアンスに施行され、有効に設定あsれます。
SSL スキャナー ルール セットのネストされたルール セットとして、デフォルトのルール セットで
適切なルール セットが指定されます。
DNS エントリーを使用するとき、ポート転送ルールの目的はほかの宛先のリクエストをアプライアンスに転送する
ことなので、ポート転送ルールは適用できません。しかし、DNS エントリーのため、アプライアンスはすでに宛先
となります。
また、SSL セキュア接続のみが有効になるようにする必要もあります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リクエストをリスンするアプライアンスを選択し、[プロキシ (HTTP(S)、FTP、ICAP、
および IM)]を選択します。
3
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
4
新しい HTTP プロキシ ポートの転送ルールに対して、以下のとおり構成します。
•
[リスナー アドレス ]— 0.0.0.0:443
この設定により、アプライアンスは IP アドレスにかかわらず、任意の Web サーバーのリクエストをリスン
するようになります。ここに特定の IP アドレスを指定して、該当するサーバーのリクエストをリスンするア
プライアンスに限定することもできます。
複数のネットワーク インターフェース カードをアプライアンス上で実行している場合、ネットワーク インタ
ーフェース カードと同じ数だけの Web サーバーを、IP アドレスをカンマで区切って指定できます
122
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — *
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
5
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しいプロキシ ポートが表示されます。
Web サーバーが HTTPS プロトコルでアクセスできるように設定されている場合は、リスナー アドレス
0.0.0.0:80 または特定の Web サーバーのアドレスをもつ別の HTTP プロキシを追加する必要があります。
6
[変更の保存]をクリックします。
リバース HTTPS プロキシ構成の SSL 証明書
リバース HTTPS プロキシ構成は通常、クライアントによる不必要なデータのアップロードに対して、制限された数
の Web サーバーを保護するようにセットアップされます。これらのサーバーの SSL 証明書をインポートし、それら
をアプライアンス構成に追加する必要があります。
リバース HTTPS プロキシ構成では、アプライアンスは SSL セキュア モードでクライアントと通信します。しかし、
SSL ハンドシェイク中にアプライアンスがクライアントに送信した SSL 証明書は、SSL Scanner モジュールでは
発行できません。したがって、アプライアンスは、クライアントがアクセスをリクエストしている Web サーバーの
元の証明書を使用します。
SSL クライアント コンテンツの設定を構成するときに、これらの証明書をインポートできます。
アプライアンスはクライアントに送信するための適切な証明書を見つけるために、いくつかの方法を使用します。
クライアントを送信するための証明書の選択
指定された状況で、どの証明書を送信するかを確認するために、アプライアンスはインポートされた証明書のリスト
をスキャンします。このリストで、証明書は、それらが属する Web サーバーのホスト名にマップされます。アプラ
イアンスは、クライアントがアクセスをリクエストしたホストの名前にマップされる証明書を送信します。
明示的プロキシ セットアップで、このホスト名は CONNECT リクエストのヘッダーで送信され、アプライアンスに
認識されます。
透過型セットアップでは、アプライアンスはホスト名を検出するために、以下の方法を使用します。
•
クライアントが SNI 拡張を送信する場合、ホスト名は明示的プロキシ構成でそれを検出するのと同様の方法で見
つけることができます。
•
クライアント リクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、ホスト名は転
送を構成するときに指定される IP アドレスにより判明します。
この場合、アプライアンスがリスンするように構成されたすべての IP アドレスに対する適切な値に、URL.Host
プロパティを設定するというルールで、ルール セットを作成することも必要になります。これにより、アプライ
アンスはフィルタリングまたは許可されたときに、リクエストを転送する場所を知ることができます。
•
透過型セットアップが DNS エントリーによるリダイレクションを使用しない場合、アプライアンスはハンドシ
ェイク メッセージをクライアントがリクエストした Web サーバーに送信し、Web サーバーから受信した証明書
から共通名を抽出し、この共通名を使用して、適切なホスト名を検出します。
この方法では、アプライアンスと Web サーバーも SSL セキュア モードで通信することを必要とします。このモ
ードが使用されることを保証するために、アプライアンスの設定を構成することができます。
リバース HTTPS プロキシ構成での SSL 証明書設定の作成
これらの設定を構成する場合、リバース HTTPS プロキシ構成で Web サーバーに使用される SSL 証明書の設定を作
成し、証明書をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA なしで SSL クライアント コンテキストを有効にする]を選択します。
McAfee Web Gateway 7.4.0
製品ガイド
123
6
プロキシ
リバース HTTPS プロキシ
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、追加する設定の名前を入力します。たとえば、Imported web server certificates
などです。
5 [オプション][コメント] フィールドで、設定の平文コメントを入力します。
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[SSL クライアント コンテキストの定義(証明書認証なし)]セクションで、設定パラメーターを構成します。
a
インライン リスト[ホストまたは IP によりサーバー証明書を選択する]のツールバーで、[追加]をクリックし
ます。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[インポート]をクリックし、[サーバー証明書のインポート] ウィンドウのオプションを追加して、Web サー
バーの SSL 証明書をインポートます。
c
必要に応じて[証明書マッピングへのホストの追加]ウィンドウのその他パラメーターを構成します。
d
[OK]をクリックします。
ウィンドウが閉じ、SSL 証明書を Web サーバーのホスト名にマッピングする新しいエントリがインライン
リストに表示されます。
e
より多くのマッピング エントリをインライン リストに追加する場合、サブステップ a から d を繰り返しま
す。
f
Web サーバーへの接続が SSL セキュアか否かに従って、[SSL Scanner 機能はクライアント接続にのみ適
用]を選択または選択解除します。
この接続を保護しない場合、HTTPS から HTTP へネットワーク プロトコルを変更するルールを作成する必要
があります。
g
必要に応じて SSL クライアント コンテキストのその他設定パラメーターを構成します。
h
[OK]をクリックします。
[設定の追加]ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
9
[変更の保存]をクリックします。
デフォルト ルール セット システムの、SSL スキャナー ルールで提供されるクライアント コンテキスト設定のた
め、ルールのこれらの設定を使用できます。
リバース HTTPS プロキシ構成での URL.Host プロパティの設定
クライアント リクエストが リバース HTTPS プロキシ構成の DNS エントリーによりアプライアンスにリダイレク
トされる場合、転送要求するアプライアンスに Web サーバーの IP アドレスを URL.Host プロパティの値としてセ
ットする必要があります。
リクエストのフィルタリングが許可される結果を導いた後で、アプライアンスは要求された Web サーバーにそれを
転送するために、リクエストと共に送信された URL.Host プロパティを使用します。
124
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
リクエストが DNS エントリーに従ってリダイレクトされる場合、Web サーバーは IP アドレスでアプライアンスに
認識されます。URL.Host プロパティが値として Web サーバーの IP アドレスをもつ場合、アプライアンスはリク
エストを適切な宛先に転送します。
URL.Host プロパティの値を IP アドレスに設定することは、ルールによって行うことができます。アプライアンス
がリクエストを転送する各 Web サーバーに対してそのようなルールを作成する必要があります。
これらのルールは、独自のルール セットに含むことができます。
タスク
•
125 ページの「URL.Host プロパティの設定のためのルール セットの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セ
ットを作成できます。
•
125 ページの「URL.Host プロパティを設定するためのルールの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
URL.Host プロパティの設定のためのルール セットの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セットを作成で
きます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットに適した名前を入力します。たとえば、[Set value of URL.Host to IP
address]などです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の[リクエストと IM] を選択します。
7
[このルール セットを適用]の[常に]を選択します。
8
[オプション][コメント]の下に、ルール セットに関する平文テキストのコメントを入力します。
9 [オプション][権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
URL.Host プロパティを設定するためのルールの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールを作成したルール セットを選択します。たとえば、[Set value of
URL.Host to IP address]などです。
McAfee Web Gateway 7.4.0
製品ガイド
125
6
プロキシ
リバース HTTPS プロキシ
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、URL.Host の値を 10.141.101.51 を設定するなど、新しいルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Destination.IP] を選択します。
b
中央列のオペレーターのリストから、[イコール]を選択します。
c
右列の[比較]の下の演算子フィールドに「、IP アドレスを入力します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[続行]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[プロパティ
の値を設定]を選択します。
[プロパティ設定の追加]ウィンドウが開きます。
10 以下のように、プロパティを設定します。
a
[このプロパティのセット]の下で、[URL.Host]を選択します。
b
[この文字列の結合]の下で、[追加]をクリックします。
[文字列を入力してください]ウィンドウが開きます。
c
[パラメーター値)]フィールドで、このルールで使用する IP アドレスを持つ Web サーバーのホスト名を入力
します。
d
[OK]をクリックします。
ウィンドウが閉じ、ホスト名が[プロパティ設定の追加]ウィンドウに表示されます。
11 [OK]をクリックします。
ウィンドウが閉じ、URL.Host プロパティを設定するイベントが[イベント]の下に表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、値の設定ルールで作成したルール セット内に新しいルールが表示されます。
13 [変更の保存]をクリックします。
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ
ネットワーク設定と SSL 証明書の取り扱いを構成するのに加えて、いくつかのほかのアクティビティを行い、リバ
ース HTTPS プロキシのスムーズな操作を保証することができます。
126
•
プロキシ ループ検出のアクティブ化解除
•
アプライアンス ポートへのアクセス制限
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
•
Web サーバーへのアクセス制限
•
複数 Web サーバーへの対応
タスク
•
127 ページの「プロキシ ループ検出のアクティブ化解除」
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを
検出できます。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお
勧めします。
•
127 ページの「アプライアンス ポートへのアクセス制限」
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユー
ザー インターフェースとファイル サーバー設定を適宜、構成する必要があります。
•
128 ページの「Web サーバーへのアクセス制限」
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、
制限された数の特定の Web サーバーを保護することです。したがって、この構成のためには、これらの
サーバーのみにアクセスを許可し、他のサーバーはブロックする必要があります。
•
130 ページの「複数 Web サーバーへの対応」
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリク
エストを転送します。
プロキシ ループ検出のアクティブ化解除
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを検出できま
す。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお勧めします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、プロキシ ループ検出のアクティブ化を解除するアプライアンスを選択し[プロキシ
(HTTP(S)、FTP、ICAP、および IM)]をクリックします。
3
[詳細設定]セクションで、[HTTP(S):プロキシ ループ検出のために、経由ヘッダーを検査]の選択を解除します。
4
[変更の保存]をクリックします。
アプライアンス ポートへのアクセス制限
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユーザー インタ
ーフェースとファイル サーバー設定を適宜、構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ポート アクセスを制限するアプライアンスを選択し、[ユーザー インターフェース]
を選択します。
3
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
4
[ファイル サーバー]を選択します。
5
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
6
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
127
6
プロキシ
リバース HTTPS プロキシ
Web サーバーへのアクセス制限
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、制限された数
の特定の Web サーバーを保護することです。したがって、この構成のためには、これらのサーバーのみにアクセス
を許可し、他のサーバーはブロックする必要があります。
他のサーバーへのアクセスがリクエストされ、ブロックされたら、アプライアンスにこれらの接続を閉じさせること
もお勧めします。
制限付きアクセス:
•
保護する Web サーバーのリストを作成します
•
ブロック ルールのルール セットを作成します
•
他の Web サーバーへのアクセスをブロックし、リクエストをブロックした後でクライアントの接続を閉じるルー
ルを作成します
タスク
•
128 ページの「保護された Web サーバー リストの作成」
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
•
129 ページの「ブロック ルールのルール セットの作成」
リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールのルール セットを
作成できます。
•
129 ページの「Web サーバーへのアクセスをブロックするルールの作成」
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサ
ーバーへのアクセスをブロックするルールを作成できます。
保護された Web サーバー リストの作成
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 保護された Web サーバーなど
• [オプション][コメント ]— 新しいリストに関するテキスト形式のコメント
•
[タイプ ]— ワイルドカード式
4 [オプション]権限タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [WildcardExpression] の下のリスト ツリーに表
示されます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
128
McAfee Web Gateway 7.4.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
7
保護する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
ブロック ルールのルール セットの作成
リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールのルール セットを作成できま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットの名前を入力します。たとえば、リバース HTTPS プロキシ構成で Web サ
ーバーをブロックするなどです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の下で、[リクエストと IM]を選択します。
7
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
8
以下のとおり、ルール セット条件を設定します。
a
[プロパティ] リストから、[URL.Protocol]を選択します。
b
[演算子]リストから、[等しい] を選択します。
c
[オペランド]で、https と入力します。
d [オプション][コメント ]で、新しいルール セットに平文テキストのコメントを入力します。
9 [オプション][権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
Web サーバーへのアクセスをブロックするルールの作成
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサーバーへのア
クセスをブロックするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ブロック ルールに作成するルール セットを選択します。たとえば、[リバース HTTPS
プロキシ構成で Web サーバーをブロックする]です。
McAfee Web Gateway 7.4.0
製品ガイド
129
6
プロキシ
リバース HTTPS プロキシ
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、ルールの名前を入力します。たとえば、保護された Web サーバーにのみアクセスを許可
するです。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーターのリストから、[リストで一致する]を選択します。
c
右列の演算子のリストから、構成する Web サーバーを選択します。たとえば、[保護された Web サーバー]
などです。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[ブロック]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
10 次の手順でイベントを設定します。
a
[イベント] リストから [プロキシ制御を有効にする] を選択します。
b
[設定リスト]から、[クライアントとの接続を維持しない]を選択します。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、作成した新しいルール セット内にルールが表示されます。
13 [変更の保存]をクリックします。
複数 Web サーバーへの対応
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリクエストを転
送します。
これを行うためには、
130
•
ルール セット ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートする
•
次のホップ プロキシ リストを作成する
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
リバース HTTPS プロキシ
6
•
次のホップ プロキシ設定の作成
•
保護されたサーバーのリストの Web サーバーが要求されたときに、リストと設定を使用し、
「次のホップ プロキ
シを有効にする」イベントをトリガーするルールを作成します
リストは保護サーバーのリストも使用します。このリストに対して、これらのサーバーへのアクセスを制限する
ために作成されたリストを使用できます。
タスク
•
131 ページの「次のホップ プロキシ リストを作成する」
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プ
ロキシとしてアドレス指定される Web サーバーのリストを作成できます。
•
132 ページの「次のホップ プロキシ設定の作成」
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
•
132 ページの「「ネクスト ホップ プロキシを有効にする」イベントのルールの作成」
保護されたサーバーのリストの Web サーバーが要求されたときに、「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールを作成できます。
次のホップ プロキシ リストを作成する
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プロキシとし
てアドレス指定される Web サーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 次のホップ プロキシとして保護された Web サーバーなど
• [オプション][コメント] — 新しいリストに関するテキスト形式のコメント。
•
[入力] — NextHopProxy
4 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [NextHopProxy]の下のリスト ツリーに表示され
ます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
7
解決する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
131
6
プロキシ
リバース HTTPS プロキシ
次のホップ プロキシ設定の作成
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ネクスト ホップ プロキシを有効にする]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
以下の設定パラメーターを構成します。
•
[名前] — 設定名、たとえば、 保護された Web サーバーなど
• (オプション)[コメント ]— 新しい設定に関するテキスト形式のコメント
4
5
[ネクスト ホップ プロキシ サーバーー]で、次のように構成します。
a
[ネクスト ホップ プロキシ サーバーのリスト]から、作成したネクスト ホップ プロキシ リストを選択しま
す。たとえば、ネクスト ホップ プロキシとして保護された Web サーバーーなどです。
b
[ラウンド ロビン]が選択されていることを確認してください。
c
[プロキシ スタイル リクエスト]の選択を解除します。
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
6
[変更の保存]をクリックします。
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成
保護されたサーバーのリストの Web サーバーが要求されたときに、
「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、[ネクスト ホップ プロキシ] ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、たとえば、保護された Web サーバーをネクスト ホップ プロキシとしてアドレス指定す
る などのルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
132
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
プロキシ自動構成
6
7
6
以下のとおり、ルール条件を構成します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーやーのリストから、[リストで一致しない]を選択します。
c
右列の演算子のリストから、構成した Web サーバー リストを選択し、[保護された Web サーバー]など、こ
れらのサーバーへのアクセスを制限します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックして、デフォルトの[続行]のままにします。.
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
10 イベントを次の手順で構成します。
a
[イベント] リストから、[ネクスト ホップ プロキシを有効にする]を選択します。
b
[設定]リストから、このルールに構成した設定を選択します。たとえば、[保護された Web サーバー]などで
す。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じて、新しいルールがネクスト ホップ プロキシ ルール セットに表示されます。
13 [変更の保存]をクリックします。
プロキシ自動構成
クライアントの Web ブラウザーのアプライアンスで 1 つ以上のプロキシ自動設定(PAC)ファイルを利用可能にす
ることができます。ブラウザーは、特定の Web ページにアクセスできるようにするプロキシを検索するために、そ
れらを使用できます。
プロキシ自動構成ファイルのファイル拡張子は通常、.pac です。アプライアンスにいくつか設定できます。たとえ
ば、「proxy.pac」や「webgateway.pac」などです。
プロキシ自動構成ファイルが WPAD (Web Proxy Auto-Discovery) プロトコルに準拠している場合、ファイル名は
「wpad.dat」になります。したがって、アプライアンスには 1 度しか存在できません。
.pac ファイルを使用可能にする
プロキシー自動構成に対してクライアントのブラウザーに「.pac」ファイルを使用可能にします。
タスク
1
アプライアンスの「/opt/mwg/files」フォルダーに「.pac」ファイルを保管します。
2
ブラウザーを開始し、ネットワーク構成設定に進みます。
3
[接続]セクションで、[設定]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
133
6
プロキシ
プロキシ自動構成
4
[自動プロキシー構成 URL]を選択し、「 .pac」ファイルのパスとファイル名を入力します。
たとえば、以下のように使用します。
http://mwgappl.webwasher.com:4711/files/proxy.pac
クライアントにファイルをダウンロードするための専用ポートを使用させたい場合、このポートを最初に構成す
る必要があります。
専用ポートが使用されない場合、クライアントはユーザー インターフェースに対して HTTP ポートに仕向けられ
ます(デフォルトのポート番号は 4711 です)。
5
[OK]をクリックします。
wpad.dat ファイルをダウンロードするルールの作成
クライアントの Web ブラウザーにより wpad.dat のダウンロードを有効にするためには、アプライアンスの適切な
ポートにダウンロード リクエストを転送するルールを構成する必要があります。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、wpad.dat ファイルを作成するアプライアンスを選択し、[ポート転送]をクリックし
ます。
3
[ポート転送ルール]の[追加]をクリックします。
[AppliancePortForwarding の追加]ウィンドウが開きます。
4
ポート転送ルールが以下のとおりの設定で構成されます。
•
[ソース ホスト] — 0.0.0.0
•
[ターゲット ポート] — 80
•
[宛先ホスト ]— 127.0.0.1
•
[宛先ポート] — <ファイル ダウンロード ポート>
<ファイル ダウンロード ポート>として、ユーザー インターフェースの HTTP ポート(デフォルト:4711)
または構成された専用ポートのいずれかを入力します。
5
[OK]をクリックします。
ウィンドウが閉じて、リストにルールが表示されます。
wpad ホストの自動検出の構成
wpad.dat ファイルが保管されるホストとして、Web ブラウザーにアプライアンスを検索するために自動検出を使
用させます。
タスク
134
1
Web ブラウザーを開始し、ネットワーク構成設定に進みます。
2
[接続]セクションで、[設定]をクリックします。
3
[このネットワークの自動検出プロキシ設定]を選択します。
4
[OK]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
プロキシ
Helix プロキシの使用
6
Helix プロキシの使用
Helix プロキシ-は、リアルタイム ストリーミング データを取り扱うサードパーティのプロキシです。
これはアプライアンスのユーザー インターフェースから最初にアクセスされませんが、管理システムにより提供され
たものなど、コマンド ライン インターフェースからアクセスできます。
Helix プロキシにアクセスした後で、固有のユーザー インターフェースのプロキシを管理できます。
Helix プロキシの使用の構成
コマンド ライン インターフェースから、Helix プロキシの使用を構成できます。
タスク
1
コマンド ライン インターフェースで、Helix プロキシのアクティベーション コマンドを入力します。
このコマンドは、以下のようなことが実行可能です。
service helix-proxy activate
初期管理者アカウントのユーザー名とパスワードを入力するように求められます。
2
両方を入力します。
Helix プロキシが開始します。
開始後に、アプライアンスの「 /opt/helix-proxy」フォルダーのプロキシの構成ファイルを検索でき、必要
に応じて個別に修正できます。
3
以下のコマンドとともに Helix プロキシのユーザー インターフェースを接続します。
http://<Helix プロキシの IP アドレス>:21774/admin/index.html
ユーザー インターフェースがログオン ウィンドウに表示されます。
4
ステップ 2 のユーザー名とパスワードを入力します。
ログオンが成功したら、プロキシのユーザー インターフェースが使用できるようになります。
5
必要に応じて、Helix プロキシの詳細構成のためこのインターフェースを使用します。
6
リアル プレイヤー アプリケーションを構成して、プロキシとしてアプライアンスを使用します。
以下のような方法でこれを完了します。
a
リアル プレイヤーを開始します。
b
ユーザー インターフェースで、プロキシ設定に進みます。
c
例えば、[RTSP](Real-Time Streaming Protocol)フィールドなどの適切な入力フィールドで、ポート番
号として 554 をもつアプライアンスの IP アドレスを入力します。
McAfee Web Gateway 7.4.0
製品ガイド
135
6
プロキシ
Helix プロキシの使用
136
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
アプライアンスでユーザーの「フィルタリング」ができます。つまり、認証できるユーザーのみに Web アクセスを
許可することが可能という意味です。
認証はデフォルトによ実施されませんが、事前定義された認証セットが存在し、それを使用することができます。
施行できる認証のタイプには、以下のものがあります。
•
標準認証 — HTTP、HTTPS、または FTP などの標準プロトコルの下で、Web アクセスに対してリクエストを送
信するユーザーの認証を構成できます。
デフォルト ルール セット システムの認証ルール セットが有効なときに、ユーザー情報はデフォルトで、内部ユ
ーザー データベースから取得されます。
この設定を変更して、NTLM、LDAP、Kerberos、およびその他など、別の方法を設定できます。
•
インスタント メッセージング認証 — Yahoo、Windows Live Messenger、ICQ、その他などのインスタント メ
ッセージング プロトコルの下で、Web アクセスに対してリクエストを送信するユーザーの認証を構成できます。
管理者アカウントとロールをセットアップし、維持することにより、アプライアンスへの管理者アクセスを制御する
こともできます。
目次
認証プロセス
認証の構成
認証モジュールの構成
認証設定
異なる認証方法の実装
認証を構成するためのシステム設定の使用
ベスト プラクティス - 配備タイプに合わせた認証の設定
インスタント メッセージング認証
ワンタイム パスワード
クライアント証明書認証
管理者アカウント
認証プロセス
認証できない場合、認証はネットワークのユーザーが、Web へアクセスできないことを確認します。認証プロセス
は、たとえば、内部データベース、または Web サーバー内のユーザー情報を確認します。それにしたがってアクセ
スをブロックまたは許可します。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する認証ルール
•
データベースからユーザーに関する情報を取得する認証モジュール
McAfee Web Gateway 7.4.0
製品ガイド
137
7
認証
認証の構成
認証ルール
認証ルール セットは、デフォルトのルール セット システムに含まれていますが、デフォルトでは有効になっていま
せん。認証されていないユーザーを認証するルールを含み、特定のリストにユーザー グループの 1 つとして属して
いないユーザーから、リクエストをブロックします。
またルール セットは、リクエストが送信された、またはリクエストされた URL の IP アドレスに基づいて、認証ス
キップのリクエストを送信するユーザーを許可するホワイトリスト ルールも含んでいます。
IM およびクッキー認証など、認証のその他タイプの追加ルール セットは、ルール セット ライブラリで利用可能で
す。
ルールは、これらのルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
認証モジュール
データベースからユーザーに関する情報を取得する認証モジュール(エンジンと呼ばれる)モジュールは、Web オ
ブジェクトへのアクセスをリクエストするユーザーが認証されていることを知る必要があるルールに呼び出されま
す。
この情報を取得するには、他にも次の方法があります。
•
[NTLM]-Windows ドメイン サーバー上のデータベースを使用
•
[NTLM Agent ]— Windows ベース システムの外部エージェントを使用して NTLM 認証方式を適用します
•
[ユーザー データベース]-アプライアンスにある内部データベースを使用
デフォルト ルール セット システムのルールセットが有効なときに、この方法はデフォルトで使用されます。
•
[LDAP ]-LDAP サーバー上のデータベースを使用
•
[Novell eDirectory]-LDAP サーバーのロールを担うサーバーにあるディレクトリからのデータを使用
•
[RADIUS]-RADIUS サーバー上のデータベースを使用
•
[Kerberos]-Kerberos サーバー上のデータベースを使用
•
[認証サーバー]-他の外部サーバーのデータベースを使用
認証モジュールの設定を構成して、認証プロセスの認証方法およびその他パラメーターを指定します。
認証の構成
認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
デフォルト ルール セット システムの認証と許可ルール セットを有効にします。
2
ユーザー データベース ルール セットでネストされた認証を確認します。
このルール セットは、認証されていないユーザーを認証するための単一のルールを含んでいます。
ルール条件は、認証モジュールの設定を含んでおり、ユーザー データベース認証の使用方法を指定します。これ
は、ユーザーの認証情報が、アプライアンスの内部情報から取得されるということです。
3
138
必要に応じてデフォルト ルール セットを変更します。
McAfee Web Gateway 7.4.0
製品ガイド
認証
認証モジュールの構成
7
たとえば、以下の操作を実行できます。
•
認証モジュールの共通パラメーターを変更します
•
ユーザー データベース方法の特定パラメーターを変更します
•
NTLM または LDAP など、異なる認証方法を実行します
•
新しい認証方法の特定パラメーターを変更します
4
インスタント メッセージ認証など、ライブラリからルール セットをインポートし、通信の異なるタイプに認証を
検討します。
5
変更を保存します。
認証モジュールの構成
認証モジュールを構成し、ユーザー情報を取得してユーザーを認証する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、認証のためにルール セットを選択します。
デフォルトのルール セット システムでは、これは認証と許可ルール セットです。
3
ユーザー認証を制御するルールを選択し、ルール条件で指定された設定をクリックします。
ルール セット システムのルール セットでこれは、たとえば、[Authenticate with User Database] ルール セ
ットでネストされたルール [Authenticate with User Database] であり、設定名は[ユーザー データベース]で
す。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
4
必要に応じて、これらの設定を構成します。
5
[OK]をクリックしてウィンドウを閉じます。
6
[変更の保存]をクリックします。
認証設定
認証設定は、認証モジュールが認証するユーザーの情報を探す方法を構成するために使用されます。
認証方法
認証方法を選択するための設定
McAfee Web Gateway 7.4.0
製品ガイド
139
7
認証
認証設定
表 7-1 スキャン エンジンの選択
オプション 定義
[認証方法] 認証方式を選択するためのリストを提供します。
以下のいずれかを選択できます。
• NTLM
• RADIUS
• NTLM-Agent
• Kerberos
• ユーザー データベース
• SSL クライアント証明書
• LDAP
• 認証サーバー
• Novell eDirectory
• ワンタイム パスワード
方法を選択した後、指定した設定が共通設定の下に表示されます。
認証テスト
特定の認証情報のあるユーザーが、認証されるかどうかをテストするための設定
表 7-2 認証テスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[認証ユーザー]
テストの実行。
[テスト結果 ]
テストの結果を指定します。
共通認証パラメーター
すべての認証方法で共通の設定
表 7-3 共通認証パラメーター
オプション
定義
[プロキシ領域]
認証を要求されたユーザーから、要求を受信するプロキシの場所を指定します。
[認証試行タイムアウト] 認証が正常に完了しない場合に、認証プロセスが停止する前に経過する時間(秒)を指定
値に制限します。
[認証キャッシュの使用] 選択されると、認証情報がキャッシュに保存されます。
すると認証は、認証サーバーまたは内部ユーザー データベースから取得した情報ではな
く、保存されている情報に基づくようになります。
[認証キャッシュ TTL]
認証情報がキャッシュに保存される時間(秒)を指定値に制限します。
詳細パラメーター
高度な認証を構成する設定
この設定はすべての認証方法と同じです。したがって、共通設定の後にここに説明されます。ユーザー インターフェ
ースで、現在表示されている認証方法に対して、指定の設定に従います。
140
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
認証設定
表 7-4 詳細パラメーター
オプション
定義
[常にプロパティ値
を評価する]
選択されると、プロパティへ値を割り当てる新しい評価は、このプロパティの処理を含むルー
ルが毎回実行されます。
キャッシュにプロパティに対する値が保存された場合、使用されません。
通常キャッシュ値が使用され、パフォーマンスを向上させることを推奨する一方、プロパティ
の新しい評価がっ必要な状況になる可能性があります。
これらの状況で、同じプロパティは認証ルール内かつ認証モジュールの同じ設定で、1 回以上
使用されます。新しい評価は、毎回ほとんどの現在値がプロパティに割り当てられていること
を確認します。
NTLM 固有のパラメーター
NTLM 認証方式の設定
表 7-5 NTLM 固有のパラメーター
オプション
定義
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定し
ます。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン
の 1 つです。
[グローバル グループを取
得する]
選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
検索されます。
[ローカル グループを取得
する]
選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
索されます。
[グループ名の前にドメイ
ン名を付ける(domain
\group) ]
選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式(安全性が低い)で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効
にする]
選択されると、認証情報がこのキャッシュに保存されます。
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間(秒)を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
NTLM-Agent 固有のパラメーター
NTLM-Agent 認証方法の設定
McAfee Web Gateway 7.4.0
製品ガイド
141
7
認証
認証設定
表 7-6 NTLM-Agent 固有のパラメーター
オプション
定義
[安全なエージェント接続を
使用する]
選択されると、NTML エーエンとと通信するために使用される接続は、SSL セキュ
ア通信です。
[認証接続のタイムアウト
(秒)]
アクティビティが発生しない場合に、NTLM Agent への接続が閉じる前に経過する
時間(秒)を指定値に制限します。
[エージェントの定義]
NTLM 認証の実行に関連するエージェントを入力するためのリストを提供します。
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定
します。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイ
ンの 1 つです。
[グローバル グループを取得 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
する]
検索されます。
[ローカル グループを取得す 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
る]
索されます。
[グループ名の前にドメイン
名を付ける(domain
\group) ]
選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式(安全性が低い)で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。
する]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間(秒)を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
ユーザー データベース固有のパラメーター
ユーザー データベース認証方法の設定
表 7-7 ユーザー データベース固有のパラメーター
オプション
定義
[クライアントにドメイン 選択されると、アプライアンスおよびそれが割り当てられたドメインの名前は、要求を
名とマシン名を送信する] 送信した認証されるユーザーであるクライアントに送信されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式(安全性が低い)で Windows
ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送信
される前に暗号化されます。
142
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
認証設定
表 7-7 ユーザー データベース固有のパラメーター (続き)
オプション
定義
[NTLM キャッシュを有効 選択されると、認証情報がこのキャッシュに保存されます。
にする]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存さ
れている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間(秒)を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
LDAP 固有のパラメーター
LDAP 認証方法の設定
表 7-8 LDAP 固有のパラメーター
オプション
定義
[接続する LDAP サーバー]
認証サーバーが取得された LDAP サーバーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP(S-LDAP)接続が LDAP サーバーとの通信に使用される場合に、証
明書を発行する証明機関を入力するためのリストを提供します。
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定します。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウを開
きます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有効 これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
にする ]
[LDAP ライブラリに参照に
従うことを許可する]
[接続がライブか確認]
[LDAP 動作のタイムアウ
ト]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバーに
リダイレクトされます。
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時間
(分)を指定値に制限します。
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間(秒)
を指定値に制限します。
[ユーザー オブジェクトの基 ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名(DN)を指定
本の識別名]
します。
[ユーザー名を DN にマッピ 選択されると、認証するユーザー名は DN へマップする必要があります(識別名)。
ングする]
この名前は、LDAP サーバーのディレクトリにあるユーザーを識別します
[ユーザー オブジェクトを検 ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
索するための表現をフィル
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用さ
タリングする]
れます。
[ユーザー属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバーで
参照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリストを提
供します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/(スラ
ッシュ)などを指定します。
McAfee Web Gateway 7.4.0
製品ガイド
143
7
認証
認証設定
表 7-8 LDAP 固有のパラメーター (続き)
オプション
定義
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP サ
ーバーで参照されます。
[グループ オブジェクトの基 グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名(DN)を指定
本の識別名]
します。
[グループ オブジェクトを検 グループ属性の参照を制限するためにフィルタリング用語を指定します。
索するための表現をフィル
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用
タリングする]
されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるグループ属性を入力するためのリストを提
供します。
Novell eDirectory 固有のパラメーター
Novell eDirectory 認証方法の設定
表 7-9 Novell eDirectory 固有のパラメーター
オプション
定義
[接続する LDAP サーバー]
認証情報を提供するために LDAP サーバーのロールを担う eDirectory サーバ
ーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP(S-LDAP)接続が LDAP サーバーとの通信に使用される場合に、
証明書を発行する証明機関を入力するためのリストを提供します。
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定しま
す。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウ
を開きます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえ
ば、ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有効にす これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
る]
[LDAP ライブラリに参照に従う
ことを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバ
ーにリダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時
間(分)を指定値に制限します。
[LDAP 動作のタイムアウト]
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間
(秒)を指定値に制限します。
[eDirectory ネットワーク アド
レス属性]
eDirectory サーバーで使用されているネットワーク アドレスを提供する属性
の名前を指定します。
[eDirectory ネットワーク ログ
イン時間属性]
eDirectory サーバーで使用されているログオン時間を提供する属性の名前を指
定します。
[eDirectory ネットワーク最小
更新間隔]
eDirectory サーバーからの情報が更新される前の閉じるまでの時間(秒)を指
定します。
[ユーザー オブジェクトの基本の ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名(DN)を
識別名]
指定します。
[ユーザー名を DN にマッピング 選択されると、認証するユーザー名は DN へマップする必要があります(識別
する]
名)。この名前によって、LDAP サーバーのディレクトリ内のユーザーを識別し
ます。
144
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
認証設定
表 7-9 Novell eDirectory 固有のパラメーター (続き)
オプション
定義
[ユーザー オブジェクトを検索す ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使
る]
用されます。
[ユーザー属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバ
ーで参照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリスト
を提供します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/(ス
ラッシュ)などを指定します。
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は
LDAP サーバーで参照されます。
[グループ オブジェクトの基本の グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名(DN)を
識別名]
指定します。
[グループ オブジェクトを検索す グループ属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として
る]
使用されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるグループ属性のリストを提供します。
RADIUS 固有のパラメーター
RADIUS 認証方法の設定
表 7-10 RADIUS 固有のパラメーター
オプション
定義
[RADIUS サーバー定義]
認証サーバーが取得された RADIUS サーバーを入力するためのリストを提供します。
[デフォルトのドメイン
名]
他のドメインが指定されていない場合に情報を取得するドメインの名前を指定します。
[共有秘密キー]
RADIUS サーバーへのアクセスを取得するためにアプライアンスに使用されるパスワ
ードを設定します。
[Radius 接続のタイムア
ウト (秒)]
トラフィックが発生しない場合に、RADIUS サーバーへの接続が閉じる前に経過する時
間(秒)を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[コードを含む属性の値]
RFC 2865 に従って、ユーザー グループ情報とともに取得される属性のコード値を設
定します。
たとえば、「クラス」属性のコードは 25 です。
[ベンダー ID のあるベン ユーザー グループ情報の検索においてベンダー関連のデータ取得に必要なベンダー ID
ダー固有の属性]
を設定します。
RFC 2865 によると、ベンダー ID はベンダー属性の一部であり、それに多数のサブ属
性が続きます。そのコード値は 26 です。
[ベンダーのサブ属性タイ RFC 2865 によると、ベンダー属性に含まれるサブ属性のタイプのコード値を設定しま
プ]
す。
すべてのベンダーはこの構造に従っていないので、ここで 0 の値を指定することをお勧
めします。これは認証モジュールがすべての入手可能なベンダー情報を取得することを
可能にします。
McAfee Web Gateway 7.4.0
製品ガイド
145
7
認証
認証設定
Kerberos 固有のバラメーター
Kerberos 認証方法の設定
[設定] トップレベル メニューで [Kerberos 管理] システム設定を使用すると、この認証方法の詳細を設定できます。
表 7-11 Kerberos 固有のバラメーター
オプション
定義
[チケットからグループ メンバーシッ
プ ID を抽出する]
Kerberos 認証のユーザー認証プロセスで使用されるチケットから情報を
取得し、ユーザーのグループを識別します。
このオプションを選択すると、次のオプションが使用可能になります。
[NTLM でグループ名を参照する]
ユーザーのグループ名を NTLM 認証で取得します。
認証サーバー固有のパラメーター
認証サーバー方法の設定
表 7-12 認証サーバー固有のパラメーター
オプション
定義
[認証サーバー URL]
この方法で認証情報を参照するために使用されるサーバーの URL を指定します。
[クライアント ID 必須]
選択すると、認証サーバーはユーザーが要求を送信したクライアントの ID を要求し
ます。
[Cookie に認証結果を保存]
これが選択されると、認証サーバーから取得した情報が cookie に保存されます。
Cookie 認証が実装されている場合は、ユーザーが 2 度も認証しなくても良いよう
に、それぞれのユーザーが送信する次の要求に Cookie を追加します。
[サーバーに持続 Cookie を
許可する]
選択されている場合、Cookie を複数の要求を認証サーバーに送信するために持続し
て使用できる
[認証サーバーのための
Cookie TTL(秒)]
要求とともにサーバーに送信される Cookie が保存される時間(秒)を指定値に制限
します。
[Cookie プリフィックス]
MWG_Auth のように、アプライアンスでクッキーに追加するプリフィックスを指
定します。
ワンタイム パスワード固有のパラメーター
ワンタイム パスワード認証の設定
146
McAfee Web Gateway 7.4.0
製品ガイド
認証
認証設定
7
表 7-13 ワンタイム パスワード固有のパラメーター
オプション
定義
[OTP サーバー]
ワンタイム パスワードでユーザーを認証するときに Web Gateway が接続する OTP サ
ーバーの IP アドレスとポート番号を指定します。
[SSL で接続して次の
証明書を信頼する]
OTP サーバーとの通信を SSL セキュア接続で実行します。
このオプションを選択すると、次の 4 つのフィールドの情報がグレー表示でなくなり、[イ
ンポート] ボタンが使用可能になります。
これらのフィールドには、OTP サーバーとの SSL セキュア通信で使用される証明書の詳
細が表示されます。
• [件名] - 証明書に関する全般的な情報が表示されます。
• [共通名 (CN)] - 証明書の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 証明書の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - 証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [発行者] - 証明書の発行者に関する情報が表示されます。
• [共通名 (CN)] - 発行者の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 発行者の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - サーバー証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [有効性] - 証明書の有効期間が表示されます。
• [開始] - 証明書の有効期間の開始日時が表示されます。
• [終了] - 証明書の有効期間の終了日時が表示されます。
• [延長] - 証明書の補足情報が表示されます。
• [コメント] — 証明書に関するコメントがテキスト形式で表示されます。
デフォルトでは、コメントはありません。
• [インポート] - 証明書をインポートするウィンドウが開きます。
[WS クライアント名]
OTP サーバーに接続する Web Gateway のユーザー名が表示されます。
[WS クライアント パ
スワード]
OTP サーバーに接続する Web Gateway のパスワードが表示されます。
[OTP メッセージ]
OTP サーバーから Web Gateway に送信されるメッセージのプレフィックスと区切り記
号が表示されます。
デフォルトでは、メッセージは次のようになります。
OTP for MWG:$$<OTP メッセージ>$$
McAfee Web Gateway 7.4.0
製品ガイド
147
7
認証
異なる認証方法の実装
異なる認証方法の実装
デフォルトのルール セットのユーザー データベース認証方式を使用したくない場合は、NTLM、LDAP、および他の
異なる認証方法を実装できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ユーザーを認証するためのルールを含むルール セット、たとえば、デフォルトの
[Authentication and Authorize] のルール セットに移動して、ネストされた [Authenticate with User
Database] ルール セットを選択します。
ネストされたルール セットのルールが設定パネルに表示されます。
3
[Authenticate with User Database] のルールを選択し、ルールの条件で [ユーザー データベース]をクリック
します。
[設定の編集]ウィンドウが開きます。
4
[認証方法]で提供されているリストから認証方法、たとえば、[NTLM]を選択します。
5
必要に応じて選択された方法の共通および特定のパラメーターを構成します。
6
[OK]をクリックしてウィンドウを閉じます。
7
[変更の保存]をクリックします。
認証方法の変更後は、それに応じて認証モジュールの設定、認証ルール、ネストされたルール セットの名前変更を適
切に行うことをお勧めします。
たとえば、NTLM を選択した後は、設定を NTLM に、およびルールとネストされたルール セットの両方を
Authenticate with NTLM に名前を変更します。
認証モジュールでは、デフォルト設定の名前を変更する代わりに、異なる名前やパラメーターの値のあるさまざまな
設定を保持することもできます。
認証を構成するためのシステム設定の使用
一部の認証方法について、認証モジュールの設定ではなく、アプライアンス システムの設定を構成する必要がありま
す。
これは、認証方法として NTLM を実装しているときに適用されます。この場合、Windows ドメインにアプライアン
スを参加させ、システム設定で、Windows ドメイン メンバーシップ設定を構成する必要があります。
これはまた、Kerberos 認証モデルにも適用されます。これは、Kerberos 管理システム設定を使用して行われま
す。
Kerberos 管理システムの設定
Kerberos 管理システムの設定は、Kerberos 認証方法の特別な設定です。
Kerberos 管理システム
Kerberos 認証方法の設定
148
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
認証を構成するためのシステム設定の使用
表 7-14 Kerberos 管理システム
オプション
定義
[キーのタブ ファイ
ル]
Kerberos サーバーにアクセスするのに必要なマスター キーを含むファイルを指定します。
ファイル名を入力するか、[参照]ボタンを使用してファイルを参照し、フィールドにその名
前を入力します。
Kerberos 方法に従って認証するためのチケットが発行されると、マスター キーがアプライ
アンスに読み込まれ、チケットを検証するのに使用されます。
Web リクエストをアプライアンスにダイレクトする負荷分散装置が実行している場合、負荷
分散装置のためにチケットは発行され、アプライアンスで検証されます。その場合、リクエ
ストがアプライアンスにダイレクトされるかどうかは確認されません。
[Kerberos 領域]
認証の目的のために構成されている管理ドメインを指定します。
Kerberos サーバーは、このドメインの境界内では、ホストからリクエストを提出するか、サ
ービスを使用するユーザーを認証する権限があります。
領域名は大文字小文字を区別しますが、通常は大文字のみが使用され、領域名を関連する
DNS ドメインと同じように表すことをお勧めします。
[アプライアンスと アプライアンスとそのクライアントのシステム時間に許容される最大時間差(秒)を指定値
クライアントの最大 に制限します。
時間差]
Kerberos を認証方法として構成することは、特定のブラウザーがリクエストを送信するのに
使用される場合に、問題につながる可能性があります。
• Microsoft Internet Explorer の 7.0 より低いバージョンが使用される場合は、Kerberos
認証は全く不可能なこともあります。
• このエクスプローラーが Windows XP で実行されている場合は、Kerberos 認証は予期通
りに動作しない可能性があります。
• Mozilla Firefox が使用される場合、Kerberos 認証方法を有効にするために、この認証方
法をブラウザーの設定で構成する必要があります。
[キャッシュを有効
にする]
選択されている場合、認証のために発行されたチケットは 1 回以降使用できません。
このオプションを選択すると、認証パフォーマンスが低下します。
アプライアンスを Windows ドメインに参加させる
NTLM 認証方法を使用する場合は、認証モジュールにドメイン サーバーに保存されているユーザー情報を取得させる
ために、アプライアンスを Windows ドメインに参加させる必要があります。
アプライアンスは 1 つ以上のドメインに参加させることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、参加するアプライアンスを選択し、[Windows ドメイン メンバーシップ]を選択しま
す。
設定パネルでドメインのリストが表示されます。最初はリストが空です。
3
ドメインをリストに入力するには、[参加]をクリックします。
[ドメイン参加]ウィンドウが開きます。
McAfee Web Gateway 7.4.0
製品ガイド
149
7
認証
認証を構成するためのシステム設定の使用
4
ドメイン名の構成、ドメイン コントローラー、ウィンドウでのその他の設定。
5
[OK]をクリックします。
ウィンドウが閉じて、リストに新しいドメインが表示されます。これでアプライアンスは、このドメインのメン
バーなりました。
複数のドメインを追加するには、ステップ 3 から 5 を繰り返します。
ツールバーのその端おアイコンを使用して、¥たとえば、リスト エントリーを変更したり、アプライアンスをドメイ
ンに残すなど、リストを操作してください。
Windows ドメイン メンバーシップの設定
Windows ドメイン メンバーシップの設定は、Windows ドメインにアプライアンスを参加させるために使用されま
す。
ドメイン参加
アプライアンスを Windows ドメインに参加させるための設定
表 7-15 ドメイン参加
オプション
定義
[Windows ドメイン名]
ドメイン名を指定します。
[McAfee Web Gateway アカウン アプライアンスのアカウント名を指定します。
ト名]
[既存のアカウントの上書き]
選択されている場合、既存のアカウントが上書きされます。
[NTLM バージョン 2 の使用]
選択されている場合、NTLM バージョン 2 が使用されます。
[この NTLM ドメインへのリクエ
ストのタイムアウト]
応答が受信されなかった場合、アプライアンスからドメイン コントローラーに
送信されたリクエストの処理が停止する前に経過する時間(秒)を指定値に制
限します。
[ドメイン コントローラーへの再
接続待ちの時間]
ドメイン コントローラーへの接続を前回試みてから、もう一度試みるまで待つ
時間(秒数)を指定します。
許容範囲は 5 ~ 300 です。
[構成済みドメイン コントローラ
ー]
認証情報を取得するためにアプライアンスが接続できるドメイン コントロー
ラーを入力するためのリストを提供します。
エントリーはコンマで区切る必要があります。
[アクティブなドメイン コントロ
ーラーの数]
同時にアクティブにできる構成済みドメイン コントローラーの最大数
[管理者名]
アプライアンスがドメインに参加するときに作成されるアカウントのユーザ
ー名を指定します。
許容範囲は 1 ~ 10 です。
ユーザー名とパスワードはこの目的のみに使用され、保存されません。
[パスワード]
150
McAfee Web Gateway 7.4.0
管理者名のパスワードを設定します。
製品ガイド
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
7
ベスト プラクティス - 配備タイプに合わせた認証の設定
認証を設定する場合、Web Gateway とクライアント間のトラフィックの設定されている配備タイプ (明示的プロキ
シ モード、透過型モードなど) を考慮する必要があります。ルール セット ライブラリには、各タイプの認証処理に
最適なルール セットが含まれています。
認証プロセスでは、次の 2 つの点を考慮する必要があります。
•
このプロセスで評価されるユーザーの認証情報を Web Gateway が取得する方法
認証プロセスのこの部分は、認証のフロントエンドともいいます。
ユーザーの認証情報を取得する方法は、Web Gateway とクライアント間のトラフィックの処理に明示的プロキ
シ モード (直接プロキシ モード) が設定されているのか、透過型モード (透過型ルーター モードまたは透過型ブ
リッジ モード) が設定されているのかによって異なります。
明示的プロキシ モードの場合、クライアントが WCCP プロトコルのサービスを使用して追加オプションとして
要求を送信できるように設定することができます。
ルール セット ライブラリには、各モードに最適なルール セットが含まれています。
•
取得後の認証情報の評価方法
このプロセスは、認証バックエンドともいいます。
証明情報の評価は、設定された認証方法 (LDAP、NTLM など) によって異なります。
認証のライブラリ ルール セット
認証を設定するルール セットは、ルール セット ライブラリの「認証」ルール セットにあります。
以下の表では、それぞれの配備タイプの推奨ルール セットについて説明します。
表 7-16 認証のライブラリ ルール セット
配備タイプ
推奨のライブラリ ルール セット
明示的プロキシ モード
直接プロキシ認証と許可
透過型ルーターまたはブリッジ モード
認証サーバー (時間/IP ベースのセッション)
WCCP を使用した明示的プロキシ モード
トラフィックが次のモードで処理される場合:
• 明示的プロキシ モード - 直接プロキシ認証と許可
• WCCP モード - 認証サーバー (時間/IP ベースのセッション)
ライブラリからルール セットをインポートすると、ネットワーク要件に合わせてルールを変更し、適用することがで
きます。
ルール セット ツリー内での位置
「認証」ルール セットは、
「グローバル ホワイトリスト」ルール セットの後で、共通のルール セットより前に配置す
る必要があります (デフォルトのルール セット ツリーを使用している場合)。
このように「認証」ルール セットを配置すると、グローバル ホワイトリストにある Web オブジェクトへの認証要
求を送信するときにユーザーの認証が不要になります。
McAfee Web Gateway 7.4.0
製品ガイド
151
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
明示的プロキシ モードの認証
明示的プロキシ モードの認証を設定する場合には、適切なルールを Web Gateway に実装する必要があります。
明示的プロキシ モードのライブラリ ルール セット
明示的プロキシ モードの推奨ライブラリ ルール セットは、直接プロキシ認証と許可です。
このルール セットには次の 2 つのルール セットがネストされています。
•
ユーザー データベースで認証
•
ユーザー グループを許可
このルール セットを実装すると、例外ルールが適用されない限り、Web Gateway のクライアントから受信した要
求に認証プロセスが実行されます。
Citrix がインストールされている構成か、ワークステーションが共有されている構成の場合、このルール セットを使
用して認証を処理します。
「直接プロキシ認証と許可」ルール セット
このルール セットのルールを使用すると、例外を作成できます。要求の送信ユーザーの認証を行わずに、Web
Gateway で要求を処理することができます。
次の項目で例外を作成できます。
•
要求を送信したクライアントの IP アドレス
•
要求の宛先となる Web オブジェクトの URL
これらのルールを使用すると、信頼されたクライアントから受信した要求や信頼された宛先に送信される要求でユー
ザーの認証が実行されません。これにより、パフォーマンスが向上します。
また、独自のルールを作成したり、このルール セットにツールを追加して、追加の例外を設定することもできます。
「ユーザー データベースで認証」ネスト ルール セット
このルール セットのルールにより、Web Gateway のクライアントから要求を送信するユーザーに認証が実行され
ます。ユーザーが指示に従って認証情報を送信すると、この情報が内部ユーザー データベースに記録された情報と比
較されます。
このルール セットは、このユーザーがまだ認証されず、以前の認証でも失敗していない場合に適用されます。この検
査では、Authentication.Is.Authenticated プロパティと Authentication.Failed プロパティが使用されま
す。
認証情報の評価に内部ユーザー データベースの情報ではなく、LDAP や NTLM などの別の認証方法を使用すること
もできます。
「ユーザー グループを許可」ネスト ルール セット
このルール セットのルールにより、承認されたユーザーの要求だけが許可されます。要求を送信したユーザーが特定
のリストのユーザー グループに属していない場合、要求がブロックされます。ユーザーが以前の評価で通過していて
も、要求はブロックされます。
このルールにより、追加のセキュリティ チェックを実装できます。このルールを使用する場合には、ルールで使用す
るリストにユーザー グループを定義する必要があります。使用しない場合には、ルール セットを無効にしたり、削
除することができます。
152
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
明示的プロキシ モードのルール セットの変更
明示的プロキシ モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更し
て、適用することができます。
次のような変更を行います。
•
認証方法の変更
•
ユーザー承認の変更、無効化、削除
•
例外ルールの設定
認証方法の変更
デフォルトでは、認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報を比較します。
この認証方法 (認証バックエンド) を変更するには、「ユーザー データベースで認証」ルール セットのルールで
Authentication.Authenticate プロパティの横に表示される設定を行う必要があります。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
ユーザー承認の変更、無効化、削除
ネストされた「許可されているユーザ グループ」ルール セットを使用すると、承認ユーザーからの要求のみが許可
されます。必要に応じて、このルール セットのルール リストにユーザー グループを追加できます。
このルールを追加のセキュリティ チェックとして使用しない場合には、ルール セットを無効にするか、削除します。
例外ルールの設定
「直接プロキシ認証と許可」ルール セットにルールを追加すると、認証プロセスの複数の例外に対応することができ
ます。
いずれかのルールに該当すると、ルール セットの処理が停止します。ネストされたルール セットは認証処理の対象
外になります。
たとえば、要求を送信したクライアントのブラウザーで特定のユーザー エージェントが実行されている場合に要求を
許可するようにルールを追加できます。ユーザー エージェントの情報は、要求ヘッダーから取得されます。
このルールは次のようになります。
許可ユーザーエージェントのリストにないユーザー エージェントの認証をスキップする
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
別のルールを使用すると、特定の IP アドレスを持つ Web サーバー上のオブジェクトに対するアクセス要求を許可
できます。IP アドレスは、要求で送信された URL から取得されます。
このルールは次のようになります。
許可宛先 IP リストにある宛先 IP の認証をスキップする
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
McAfee Web Gateway 7.4.0
製品ガイド
153
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
透過型モードの認証
透過型モードの認証を設定する場合、Web Gateway に要求を送信するようにブラウザーの設定を変更する必要があ
ります。また、適切なルールを Web Gateway に実装する必要があります。
ブラウザー設定の変更
透過型ルーターまたはブリッジ モードの認証を有効にするには、要求の送信に使用する Web ブラウザーを設定を変
更し、Web Gateway を信頼する必要があります。
Web Gateway で認証方法として NTLM または Kerberos も設定されている場合、認証プロセスは内部的に処理さ
れます。ユーザーが認証を要求されることはありません。
•
Microsoft Internet Explorer を使用している場合には、次の方法でセキュリティ設定を変更する必要がありま
す。
•
セキュリティ ゾーンとしてローカル イントラネットを設定する
•
このゾーンに Web Gateway を Web サイトとして追加する
この設定を行うには、IP アドレスまたは完全修飾ドメイン名で URL を指定します。例: http://
10.10.69.73、http://*.mcafee.local。
•
ユーザー認証のセキュリティ ゾーンとしてゾーン内のすべての Web サイトに自動ログインを設定する
この設定は、[インターネット オプション] の [セキュリティ] で ローカル イントラネットを選択し、[ローカル
イントラネット] を使用します。
ブラウザーにグループ ポリシーを設定する場合には、[グループ ポリシー管理エディター]、[サイトとゾーンの
割り当て一覧]、[ログオン オプション] ウィンドウも使用できます。
•
Mozilla Firefox を使用している場合には、[about:config] で [network.automatic-ntlm-auth.trusted-uris]
パラメーターの値として、Web Gateway の IP アドレスまたは完全修飾ドメイン名を設定します。例:
10.10.69.73、mwgappl.yourdomain.local
詳細については、使用する Web ブラウザーのマニュアルを参照してください。
透過型モードのライブラリ ルール セット
透過型ルーターまたはブリッジ モードに推奨のライブラリ ルール セットは、認証サーバー (時間/IP ベースのセッ
ション) です。
次の 2 つのルール セットがネストされています。
•
有効な認証セッションの確認
•
認証サーバー
明示的プロキシ モードに実行される認証プロセスと異なり、このルール セットは、Web アクセス要求を送信したユ
ーザーが正常に認証されたときに、認証セッションを作成して認証を処理します。
このセッションが有効な間、このユーザーが送信する後続の要求はユーザー認証なしで処理されます。デフォルトの
セッション期間は 600 秒です。
Citrix がインストールされている構成またはワークステーションが共有されている構成でこのルール セットを使用
すると、次のような状況が発生します。ユーザー A が要求を送信して認証されると、認証セッションが作成されま
す。その後、ユーザー B が同じワークステーションから要求を送信しても、ユーザー A のセッションの続行が許可
されます。
154
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
「認証サーバー (時間/IP ベースのセッション)」ルール セット
このルール セットは、ネストされた 2 つのルール セットのコンテナーとして機能します。独自のルールはありませ
ん。
「有効な認証セッションの確認」ネスト ルール セット
このルール セットのルールは、クライアントから要求を送信するユーザーに有効なセッションが存在するかどうかを
確認します。セッション情報は、内部のセッション データベースに保存されます。ここには、ユーザー名、クライア
ントの IP アドレス、セッション期間が記録されます。
有効なセッションが存在すると、要求の処理が続行され、設定済みの残りのルールとルール セットが評価されます。
有効なセッションが存在しないと、要求が認証サーバーにリダイレクトされます。
「認証サーバー」ネスト ルール セット
このルール セットのルールにより、認証サーバーにリダイレクトされた要求の送信ユーザーの認証が実行されます。
認証に成功すると、このユーザーのセッションがセッション データベースに作成されます。
デフォルトでは、ユーザーの認証情報が内部ユーザー データベースの情報と比較されます。この認証方法を LDAP
や NTLM などの別の方法に変更することもできます。
透過型モードのルール セットの変更
透過型モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更して、適用
することができます。
次のような変更を行います。
•
認証サーバーの URL の変更
•
認証方法の変更
•
理想的な条件ルールの有効化
•
セッション TTL の増加
認証サーバーの URL の変更
セキュリティ ゾーンにローカル ドメインを設定して、Web Gateway への要求送信に使用するブラウザーのセキュ
リティ設定を変更した場合、IP アドレスまたは完全修飾ドメイン名で URL を指定して、このゾーンの Web サイト
として Web Gateway を追加できます。
この場合、ローカル ドメインの名前を挿入して、認証サーバーの URL も変更する必要があります。デフォルトで
は、この URL には Web Gateway の IP アドレスが含まれています。
Web Gateway が実行されているアプライアンスに、認証サーバーの URL が動的に生成されます。構成内に複数の
Web Gateway アプライアンスが存在する場合、静的な IP アドレスは使用できません。内部構成のプロパティを使
用して、動的に生成する必要があります。
この URL は、[IP 認証サーバー] で変更できます。
「有効な認証セッションの確認」ルール セットにある「有効なセ
ッションがないクライアントを認証サーバーにリダイレクトする」ルールの Authentication.Authenticate プ
ロパティの横に、この設定が表示されます。
デフォルトの URL は次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
特定の認証サーバーの URL を読みやすい形式にすると、次のようになります。
McAfee Web Gateway 7.4.0
製品ガイド
155
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
http://10.10.69.71:9090
ローカル ドメインをセキュリティ ゾーンに設定したブラウザーに URL を設定すると、次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
"com.scur.engine.system.proxy.ip"/>$ が "com.scur.engine.system"/>$.yourdomain.local に
変わっています。
分かりやすい形式に直すと、次のようになります。
http://mwgappl.yourdomain.local:9090
mwgappl は、Web Gateway が実行されているアプライアンスのホスト名です。
認証方法の変更
デフォルトでは、透過型モードで認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報
を比較します。
この認証方法 (認証バックエンド) を変更するには、認証サーバー ルール セットで「ユーザー データベースでユー
ザーを認証する」ルールの Authentication.Authenticate プロパティの横に表示される設定を行う必要があり
ます。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
理想的な条件ルールの有効化
「有効な認証セッションの確認」ルール セットの「理想的な条件でセッションを再度確認する」ルールを使用すると、
理想的な条件でユーザーの認証を行うことができます。この場合、セッションが期限切れの場合に認証が要求されま
せん。
デフォルトでは条件は次のようになります。
•
セッションの残り時間が 400 秒未満
•
ネットワーク プロトコルが HTTP
•
ユーザーが送信した要求が GET 要求
このルールを有効にすると、次のような状況を回避できます。
1
ユーザーが Web Gateway のクライアントから要求し、認証を行います。セッションの許容時間は 600 秒です。
2
ユーザーがヘルプ デスクにチケットを送信し、データ フォームの入力を開始します (300 秒)。
3
ユーザーがフォームの入力に情報が必要になり、必要な情報を Web で検索します。Web Gateway が 一部の
GET 要求を受信します (さらに 200 秒)。
4
ユーザーがデータ フォームの入力を完了して送信します。Web Gateway が POST 要求を受信します。さらに
200 秒が経過しますが、最初の 100 秒でセッションが期限切れになります。
5
セッションが期限切れになると、POST 要求が処理される前に再度ユーザー認証が必要になります。ただし、セ
ッションが期限切れになっているため、入力されたデータが消失します。
理想的な条件ルールを有効にすると、手順 3 で情報を検索するときに再認証が要求されるため、フォームの入力で時
間切れになることはありません。
156
McAfee Web Gateway 7.4.0
製品ガイド
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
7
セッション TTL の増加
認証セッションの許可時間を増やすことができます。たとえば、デフォルトの 600 秒 (10 分) を 1 時間に変更でき
ます。
「有効な認証セッションの確認」ルールの条件で時間を変更できます。たとえば、400 秒から 600 秒に増やすことが
できます。
GET 要求を受信したときに、セッションの有効期間が 10 分以内になっていると、認証が要求されます。
WCCP を使用した明示的プロキシ モードの認証
WCCP を使用した明示的プロキシ モードの認証を設定する場合、2 つのルール セットをインポートして変更しま
す。また、適切なルール セットが使用されるように、受信トラフィックのポートを指定する必要があります。
WCCP を使用した明示的プロキシ モードを設定すると、クライアントは明示的プロキシ モードで Web Gateway
に要求を送信するか、WCCP プロトコルでサービスを使用します。
明示的プロキシ モードの認証を処理する場合には、「直接プロキシ認証と許可」ルール セットを使用してください。
WCCP モード (透過型モード) の場合には、「認証サーバー (時間/IP ベースのセッション)」ルール セットを使用し
てください。
つまり、両方のルール セットをインポートして、両方のモードに必要なアクティビティを実行する必要があります。
たとえば、WCCP モードの場合には、ブラウザーの設定を変更します。
各モードのトラフィックが適切な認証ルール セットで処理するには、タイプごとに異なるトラフィック ポートを設
定し、各ルール セットの条件にそれぞれのポートを指定します。
明示的プロキシ モードと WCCP モードに異なるポートを設定する方法
明示的プロキシ モードと WCCP モードのポートに 9090 と 9091 を使用している場合について考えてみましょ
う。HTTP ポート リストに WCCP サービスと両方のポートを設定するときに、WCCP モードのポートを指定する必
要があります。
WCCP サービスを設定するには、このサービスを [WCCP サービス] リストに追加します。このリストを表示するに
は、[プロキシ (HTTP(S)、FTP、ICAP、IM)] システムの [透過型プロキシ] セクションで、[WCCP] を選択しま
す。
[ネットワーク セットアップ] で [プロキシ (オプションの WCCP)] を選択して、WCCP を使用する明示的プロキ
シ モードの設定を開始すると、このセクションが表示されます。
ポート 9091 で受信するトラフィックに使用する WCCP サービスは次のように設定します。
番号 サービ WCCP ルタ
ス ID ー...
ポー
ト...
ポート... プロキシ リスナ
ー...
プロキシ リ MD5 ... 割り当
て
スナー ポー
ト
1
80,
443
false
9091
91
10.10.69.7
10.10.69.73
コメ
ント
oooooo 1000
[透過型プロキシ] セクションの下にある [HTTP プロキシ] セクションで、[HTTP ポート定義リスト] を設定できま
す。
明示的プロキシ モードと WCCP モードは次のように設定します。
番号
リスナー アドレス
処理...
ポート...
透過...
McAfee...
コメント
1
0.0.0.0:9090
true
443
false
true
明示的プロキシ トラフィック
2
0.0.0.0:9091
true
443
false
true
WCCP トラフィック
McAfee Web Gateway 7.4.0
製品ガイド
157
7
認証
インスタント メッセージング認証
認証ルール セットの条件の適用
明示的プロキシ モードと WCCP サービスの使用時に受信するトラフィックに異なるポート (たとえば 9090 と
9091) を設定したら、2 種類のトラフィックを処理すルール セットの条件を適用する必要があります。
「直接プロキシ認証と許可」ルール セットに適用するルールの条件は次のようになります。
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
「認証サーバー (時間/IP ベースのセッション)」ルール セットの場合、適用する条件は次のようになります。
Proxy.Port equals 9091
インスタント メッセージング認証
インスタント メッセージング認証は、ネットワークのユーザーに権限がない場合は、インスタント メッセージング
サービスを通じて Web にアクセスできないようにします。認証プロセスはユーザー情報をルックアップし、未認証
のユーザーを認証するかどうかを問い合わせます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する認証ルール
•
認証モジュール。別のデータベースからユーザーに関する情報を取得します。
認証ルールは Web に対してアクセスを要求したユーザーの認証に関する情報をログするためにイベントを使用でき
ます。
この場合、ロギング モジュールもまたプロセスに含まれます。
認証ルール
アプライアンスのデフォルトでは、インスタント メッセージング認証は実装御されませんが、ライブラリから IM
認証ルール セットをインポートできます。
このルール セットには、Web アクセスを要求しているユーザーがすでに認証されているかどうかを確認するために
ユーザー情報をルックアップするルールが含まれています。情報のルックアップに使用される方式はユーザー デー
タベース方式です。
ユーザー データベースで情報が見つからない権限をもたないユーザーは、認証のために資格情報を送信するように指
示されます。
別のルールは、ユーザーが認証されるか、権限を持たないユーザーについては資格情報を求めるために、認証サーバ
ー方式を使用して情報をルックアップします。
認証モジュールはこれらのルールによりコールされ、適切なデータベースからユーザー情報を取得します。
ライブラリ ルール セットのルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
認証モジュール
認証モジュール(エンジンとも呼ばれる)は、内部または外部データベースからのユーザーを認証するために必要な
情報を取得します。このモジュールは認証ルールによりコールされます。
158
McAfee Web Gateway 7.4.0
製品ガイド
認証
インスタント メッセージング認証
7
ユーザー情報を取得するために別の方法は、モジュール設定で指定されます。適宜、2 つの設定がインスタント メッ
セージング通信のライブラリ ルール セットに表示されます。
•
IM 認証サーバーのユーザー データベース
•
認証サーバー IM
これらの設定は、ルール セット ライブラリ がライブラリからルールセットがインポートされるときに実装されま
す。
たとえば、認証サーバー方式の元でユーザー情報が取得されたサーバーを指定するためなどに、これらの設定をを行
うことができます。
ログ記録モジュール
インスタント メッセージング認証のライブラリ ルール セットには、認証関連のデータをログするルールが含まれ
る。たとえば、Web アクセスを要求したユーザーのユーザー名や要求された Web オブジェクトの URL などです。
ログ記録は FileSystemLogging モジュールにより処理され、この設定を行うこともできます。
インスタント メッセージ認証の構成
インスタント メッセージ認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから IM 認証ルール セットをインポートします。
2
ルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
3
•
ユーザー データベースまたは認証サーバー方法の認証モジュールの設定を変更します。
•
インスタント メッセージ認証についての情報のログを処理するログ モジュールの設定を変更します。
変更を保存します。
インスタント メッセージ認証の認証モジュールの構成
認証モジュールを構成し、インスタント メッセージ サービスのユーザーを認証する必要がある情報を取得する方法
を指定します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
認証モジュールを呼び出すルールを検索します。
ライブラリ ルール セットには、ユーザー データベースに対してクライアントを認証する および 証されていない
クライアントを認証サーバーにリダイレクトするがあります。
McAfee Web Gateway 7.4.0
製品ガイド
159
7
認証
インスタント メッセージング認証
5
ルール条件で、構成する設定の設定名をクリックします。
Authentication.uthenticate プロキシの隣にこの名前が表示されます。
ライブラリ ルール セットでは、これは IM 認証サーバーのユーザー データベースまたは認証サーバー IM 設定
です。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成
ファイル システム ログ記録モジュールを構成し、インスタント メッセージ認証に関連する情報をログ記録する方法
を指定できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ファイル システム ログ記録モジュールを呼び出すルールを検索します。
ライブラリ ルール セットでは、これはルール認証ページの表示です。
5
ルール イベントで、モジュールの設定名をクリックします。
ライブラリ ルール セットでは、この名前は IM ログ記録です。
[設定の編集]ウィンドウが開きます。ファイル システム ログ記録モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
IM 認証ルール セット
IM 認証ルール セットは、インスタント メッセージング認証のライブラリ ルール セットです。
ライブラリ ルール セット-IM 認証
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
160
•
IM 認証サーバー
•
IM プロキシ
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
インスタント メッセージング認証
IM 認証サーバー
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、ユーザー データベース方式を適用します。
ネストされたライブラリ ルール セット-IM 認証サーバー
条件– Authentication.IsServerRequest equals true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、インスタント メッセージング サービスのユーザーの認証がリクエストされた場合、ルー
ル セットが適用されると指定します。
このルール セットは、以下のルールを含みます。
ユーザー データベースに対してクライアントを認証する
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM 認証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証のためのユーザー データベース方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
認証ページの表示
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
このルールは、インスタント メッセージングのユーザーによってクライアントから認証サーバーに送信されたリク
エストをリダイレクトし、ユーザーにリダイレクトのことを通知するためにメッセージを表示します。
アクション設定が、IM 認証の表示のテンプレートがメッセージに使用されるように指定します。
このルールはイベントも使用し、認証リクエストのログ エントリーの値を設定します。ログ ファイルにこのエント
リーを書き込むのに 2 つめのイベントを使用します。このイベントのパラメーターがログ エントリーを指定しま
す。
イベントの設定はログ ファイル、およびそれが維持される方法を指定します。
IM プロキシ
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、認証サーバー方式を適用します。
McAfee Web Gateway 7.4.0
製品ガイド
161
7
認証
ワンタイム パスワード
ネストされたライブラリ ルール セット-IM プロキシ
条件-Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、ユーザーがインスタント メッセージング プロトコルの下での接続でチャット メッセージま
たはファイルを送信して、メッセージがアプライアンスからユーザーにすでに返信できる場合に適用されるルール セ
ットを指定します。
ルール セットには、以下のルールが含まれます。
認証されていないユーザーを認証サーバーにリダイレクトする
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM 認
証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証での認証サーバー方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
ワンタイム パスワード
Web Gateway では、ユーザー認証にワンタイム パスワード (OTP) を使用できます。クォータの期限切れで Web
セッションが終了した場合、許可オーバーラードのパスワードを使用できます。
ユーザーが Web アクセス要求を送信すると、Web Gateway で使用可能な他の認証方法で認証が実行されます。た
とえば、内部ユーザー データベースに保存された情報に基づいて認証が実行されます。
ワンタイム パスワードの使用を設定すると、2 番目の方法としてこの認証方法が実行されます。Web Gateway は、
Web アクセスにワンタイム パスワードが必要であることをユーザーに通知します。ユーザーがワンタイム パスワ
ードを要求すると、ユーザー名を McAfee OTP サーバーに送信し、パスワードを要求します。
®
要求が承認されると、McAfee OTP サーバーがワンタイム パスワードを戻します。ただし、このパスワードは Web
Gateway に公開されません。McAfee OTP サーバーは、応答のヘッダー フィールドにコンテキスト情報を追加しま
す。
このコンテキスト情報により、ユーザーに表示されるページのパスワード フィールドと送信ボタンが提供されます。
ユーザーは、このボタンをクリックしてワンタイム パスワードを送信し、要求した Web オブジェクトにアクセスで
きます。
Web Gateway でワンタイム パスワードの使用を実装するには、ルール セット ライブラリからルール セットをイ
ンポートします。ルール セットをインポートすると、デフォルトの値が設定されます。これらの設定は、ネットワー
クの要件に合わせて調整することができます。
たとえば、McAfee OTP サーバーの IP アドレスやホスト名、Web Gateway からの要求を待機するポートなどは設
定が必要です。
McAfee OTP サーバーでの認証に使用する Web Gateway のユーザー名とパスワードも必要です。
Web Gateway と McAfee OTP サーバー間の通信を SSL で保護する場合には、この通信で使用する証明書をインポ
ートする必要があります。
Web Gateway と連動して認証プロセスを処理するように McAfee OTP サーバーを設定する必要があります。
162
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
ワンタイム パスワード
許可オーバーライドのワンタイム パスワード
ネットワーク内の Web 利用にクォータ制限が設定されている場合、ワンタイム パスワードを使用して、クォータ期
限で終了する Web セッションの期限を延長することができます。
許可オーバーライドでワンタイム パスワードの使用を実装するには、ライブラリから別のルール セットをインポー
トします。これにより、認証プロセスの設定を行うことができます。
McAfee Pledge デバイスのワンタイム パスワードの使用
®
McAfee Pledge デバイスが提供するワンタイム パスワードをユーザーの認証や許可オーバーライドに使用できま
す。
この方法を認証プロセスのワンタイム パスワードとして有効にするには、適切なルール セットをルール セットライ
ブラリからインポートして実装する必要があります。インポートを行うと、認証プロセスの設定が実装されます。
McAfee Pledge デバイスの使用方法については、この製品のマニュアルを参照してください。
ユーザー認証にワンタイム パスワードを設定する
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「認証サーバー (OTP による時間/IP ベースのセッション)」ルール セットをイ
ンポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「認証サーバー (OTP と Pledge を使
用した時間/IP ベースのセッション)」をインポートします。
このルール セットは、認証 ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
許可オーバーライドにワンタイム パスワードを設定する
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「OTP を使用する許可オーバーライド」ルール セットをインポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「OTP と Pledge を使用する許可オー
バーライド」をインポートします。
このルール セットは、警告/クォータ ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
McAfee Web Gateway 7.4.0
製品ガイド
163
7
認証
ワンタイム パスワード
ワンタイム パスワードを設定する
ワンタイム パスワードを処理するルール セットをインポートすると、ワンタイム パスワードにデフォルトの値が設
定されます。ネットワーク要件に合わせて、この設定を変更します。
認証と許可オーバーライドで同じ設定のワンタイム パスワードを使用することはできません。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで、[認証] を展開します。
3
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。そうでない場合には、手
順 4 に進みます。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
b
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
c
[IP 認証サーバー] をクリックします。
設定パネルに IP 認証サーバーの設定が表示されます。
d
[IP 認証サーバー固有のパラメーター] セクションで設定を行います。必要であれば、他のセクションで共通
の認証設定を行います。
e
[認証サーバーのユーザー データベース] をクリックします。
認証サーバーにあるユーザー データベースの設定が設定パネルに表示されます。
f
[ユーザー データベース固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
手順 5 に進みます。
4
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
b
5
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
[変更を保存] をクリックします。
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット
認証サーバー (OTP による時間/IP ベースのセッション) ルール セットは、ワンタイム パスワードによるユーザー認
証を有効にするライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP による時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされています。
164
•
有効な認証セッションの確認
•
認証サーバー
McAfee Web Gateway 7.4.0
製品ガイド
認証
ワンタイム パスワード
7
有効な認証セッションの確認
このルールは、ユーザーが認証サーバーでまだ認証されていない場合に、クライアントから送信されたユーザーの要
求を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない
場合、このルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名の修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この変更が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名にワイルドカードの使用が許可されてい
ない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバーのユーザー デ
ータベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP アドレスが評価
されます。
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーは証明書の送信を要求されます。このアクションは、指定された設
定で実行されます。
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、ユーザ
ーが要求を送信した後に再度認証を要求します。
この処理は、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
ユーザーが有効なワンタイム パスワードを送信したときに、Web アクセス要求を転送します。有効なワンタイム パ
スワードが入力されなかった場合、ユーザーに認証を要求します。
McAfee Web Gateway 7.4.0
製品ガイド
165
7
認証
ワンタイム パスワード
最初の認証では、認証サーバーにあるユーザー データベースの情報が使用されます。認証に成功すると、Web アク
セスにもワンタイム パスワードが必要であることが通知されます。このパスワードは、ユーザーの要求を処理すると
きに Web Gateway に送信されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットは、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に適用されま
す。
このルール セットには、以下のルールが含まれます。
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信し
たユーザーが正常に認証されているかどうか確認します。
認証に成功すると、Web アクセスが許可され、認証サーバーから要求した Web オブジェクトにリダイレクトされ
ます。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信したユーザ
ーが認証されていないかどうか確認します。
認証できない場合、要求がブロックされ、要求がブロックされたこととその理由が通知されます。
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを送信したユーザ
ーが認証サーバーのユーザー データベースで認証されているかどうかを確認します。
認証されていない場合、ユーザーに認証を要求します。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
このルール セットの前のルールがすべて適用されなかった場合、Web アクセスを要求したユーザーは有効なワン
タイム パスワードを送信していませんが、認証サーバーのユーザー データベースで認証されています。
このルールが処理されると、Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情
報がヘッダーに存在するどうか確認します。
存在する場合、ユーザーにワンタイム パスワードを送信します。
クライアントに認証データを戻す
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報がヘッダーに存在するかど
うか確認します。
存在する場合、要求をブロックし、ワンタイム パスワードの送信要求を行ったユーザーにメッセージを送信しま
す。
166
McAfee Web Gateway 7.4.0
製品ガイド
認証
ワンタイム パスワード
7
ワンタイム パスワードの認証プロセスに関するコンテキスト情報付きのヘッダーをブロック メッセージに追加し
ます。
最初のイベント パラメーターには、追加するヘッダー情報を指定します。2 つ目のパラメーターは、ワンタイム パ
スワード認証プロセスに関する情報を値として含むプロパティです。これが追加する情報のソースになります。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
このルール セットの前のルールがすべて適用されない場合、このルールのブロック アクションが常に実行されま
す。
このアクションでは、ルールの処理を停止します。要求は転送されません。
このアクションの設定に従って、ユーザーにメッセージが送信され、Web アクセスにワンタイム パスワードが必
要であることを通知し、Web Gateway から取得するように指示します。
「OTP を使用する許可オーバーライド」ルール セット
「OTP を使用する許可オーバーライド」ルール セットは、許可オーバーライドでワンタイム パスワードの使用を有
効にするライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
McAfee Web Gateway 7.4.0
製品ガイド
167
7
認証
ワンタイム パスワード
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルー
ル セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com*
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在する場合に、ル
ール セットが適用されます。
このルール セットには、以下のルールが含まれます。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
このルールが処理されます。このルールは、Header.Exists プロパティを使用して、ワンタイム パスワードの送
信要求を含む情報が要求のヘッダーに存在するかどうか確認します。
条件を満たす場合、ユーザーにワンタイム パスワードを送信します。
クライアントに認証データを戻す
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報が要求のヘッダーに存在す
るかどうか確認します。
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
条件を満たす場合、要求は転送されず、ユーザー認証に関する情報が特定のプロパティ値に設定されます。
指定した設定でブロック アクションが実行されます。ブロックの理由を通知するメッセージがユーザーに送信さ
れます。
イベントが提供する情報は、OTP.Context イベント パラメーターで指定します。この情報を設定するプロパティ
は第 2 パラメーターに指定します。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、このルールのアクションが常に実
行されます。
ルールの処理を停止します。要求は転送されません。このアクションの設定では、ワンタイム パスワードが Web
Gateway から取得できることを通知するメッセージがユーザーに送信されます。
168
McAfee Web Gateway 7.4.0
製品ガイド
認証
ワンタイム パスワード
7
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ル
ール セット
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セットは、McAfee Pledge デバ
イスが提供するワンタイム パスワードを使用してユーザーを認証するライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされます。
•
有効な認証セッションの確認
•
認証サーバー
有効な認証セッションの確認
このネストされたルールは、ユーザーが認証サーバーで認証されていない場合に、クライアントから送信された要求
を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
このルール セットの条件では、現在処理中の要求が認証サーバーに対する接続要求ではなく、この通信で使用されて
いるプロトコルが指定された 4 つのプロトコルのいずれかに一致している場合に、ルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名を修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この値が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名でのワイルドカードの使用が許可されて
いない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバ
ーのユーザー データベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP
アドレスが評価されます。
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーに証明書の送信を要求します。このアクションは、指定した設定で
実行されます。
McAfee Web Gateway 7.4.0
製品ガイド
169
7
認証
ワンタイム パスワード
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、要求の
送信後に再認証をユーザーに要求します。
これは、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
このネストされたルールは、認証されていないユーザーに認証を要求します。まず最初に、認証サーバーのユーザー
データベースにる情報で認証が実行されます。
有効なワンタイム パスワードを送信したユーザーからの Web アクセス要求を転送します。有効なワンタイム パス
ワードを送信しなかったユーザーには認証を要求します。次に、認証サーバーにあるユーザー データベースにある情
報で認証が実行されます。
このワンタイム パスワードを使用した認証もルール セットで処理されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に、ル
ールセットが適用されます。
このルール セットには、以下のルールが含まれます。
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを
送信したユーザーが認証サーバーのユーザー データベースで正しく認証されているかどうかを確認します。
条件を満たしていない場合、ユーザーに認証を要求します。
ブロック テンプレートを表示
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
このルールは、URL.GetParameter プロパティを使用して、McAfee Pledge デバイスから取得したワンタイ
ム パスワードが要求の URL パラメーターとして送信されているかどうかを確認します。
パラメーターが空の場合、要求がブロックされます。Web アクセスに McAfee Pledge デバイスのワンタイム パス
ワードで認証を行う必要があることを通知するメッセージがユーザーに送信されます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、ワンタイム パスワード認証プロセスのコンテキスト情報を認証済みのユーザーに送信します。
McAfee OTP サーバーでワンタイム パスワードを検証するために、この情報が取得されます。
170
McAfee Web Gateway 7.4.0
製品ガイド
認証
ワンタイム パスワード
7
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
このルールは、Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パス
ワードを送信したユーザーが正常に認証されているかどうか確認します。
条件を満たすと、Web アクセスが許可され、認証サーバーからリダイレクトされ、要求した Web オブジェクトに
移動します。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
このルールは、Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを
送信したユーザーが認証されていないことを確認します。
条件を満たすと、要求がブロックされ、要求の処理状況と理由が通知されます。
「OTP と Pledge を使用する許可オーバーライド」ルール セット
「OTP と Pledge を使用する許可オーバーライド」ルール セットは、McAfee Pledge デバイスが提供するワンタイ
ム パスワードを使用して許可オーバーライドを行うライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
McAfee Web Gateway 7.4.0
製品ガイド
171
7
認証
クライアント証明書認証
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルー
ル セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在し、許可オーバ
ーライド後に継続可能な時間クォータを超えている場合にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、認証ユーザーにワンタイム パスワードを送信します。
ユーザー認証に必要なコンテキスト情報は、McAfee OTP サーバーで検証されたワンタイム パスワードを使用して
取得します。
要求をブロックして OTP を提供する
Always –> Block<OTP Required with Pledge>
Web アクセス要求をブロックします。
このアクションの設定では、McAfee Pledge デバイスから取得したワンタイム パスワードの送信後に Web アクセ
スが許可されることを通知するメッセージがユーザーに送信されます。
クライアント証明書認証
クライアント証明書の提出は、アプライアンスのユーザー インターフェースへのアクセス方法として構成できます。
この方法はクライアント証明書認証 または X.509 認証と呼ばれます。
クライアント証明書認証は、アプライアンスのプロキシ機能を構成するとき、認証手順の選択できる方法の 1 つで
す。
プロキシ構成に使用する場合、以下が方法に適用されます。
172
•
ユーザー名およびパスワードは、NTLM または LDAP など他の方法の場合と同じく、リクエストを送信するユー
ザーの認証に必要ありません。
•
方法はクライアントの Web ブラウザーから、明示的プロキシ モードで構成されたアプライアンスへ SSL セキュ
ア通信で送信するリクエストで実行可能です。
•
この通信で使用されるプロトコルは HTTPS です。
McAfee Web Gateway 7.4.0
製品ガイド
認証
クライアント証明書認証
7
SSL ハンドシェイクがアプライアンスとクライアント間の通信の最初の手順の 1 つとして実行されるとき、クライ
アント証明書が送信されます。リクエストはそれから認証サーバーへリダイレクトされ、証明書を検証します。
有効な場合、クライアントとリクエストを最終的に適切な Web サーバーへ送信するため、認証が正常に完了します。
構成のノードとして複数のアプライアンスを実行するとき、リクエストがもともと実行されたノードの認証サーバー
が存在することが重要です。
また、正常な認証の後の Web への送信は、同じモードで完了する必要があります。
クライアント証明書認証の認証サーバーの使用は、ルールによって制御されています。認証サーバー ルール セット
をインポートし、ネストされたルール セットでルールを変更でき、適切な証明書の使用を有効にします。
また、方法を実行し、クライアント証明書認証を適用する必要があります。これを行うために推奨される方法は、
cookie 認証を使用することです。
この方法が実行される場合、認証はリクエストの送信元であるクライアントに必要ですが、cookie は証明書が提出
され 1 度有効であると認識された後、このクライアントに設定されます。証明書の送信は、そのクライアントからの
後続リクエストには必要ありません。
この方法で処理されたクライアント証明書認証を持つルール セットをインポートおよび変更できます。
クライアント証明書認証のための証明書の使用
クライアント証明書認証方法の下では認証を実行するさまざまなタイプの証明書が必要です。この認証は、SSL セキ
ュア通信で実施されます。
クライアント証明書
クライアント証明書は、アプライアンスへリクエストを送信するクライアントの識別情報を認証するために必要です。
クライアントが信頼される場合のみ、それが送信されるリクエストが受け付けられます。リクエストと共に送信され
た証明書が信頼されているルート CA(証明機関)によって署名されている場合のみ、クライアントが信頼されます。
クライアント証明書認証方式では、認証にクライアント証明書も使用されます。リクエストと共に送信された証明書
が信頼されている証明機関によって署名されている場合のみ、認証が正常に完了します。
サーバー証明書
サーバー証明書は、SSL セキュア通信に含まれるサーバーの識別情報を認証するために必要です。
サーバーは通信の最初の段階で送信される証明書がクライアントによっても信頼されているルート CA(証明機関)
によって署名されている場合のみ、クライアントにより信頼されます。
クライアント証明書認証方式では、認証サーバーにサーバー証明書も使用されます。
ルート CA
ルート CA(証明書機関)は、その他の証明書に署名するインスタンスです。
SSL セキュア通信では、ルート CA は通信プロセスで表示できる証明書として表示されます。
ルート CA がクライアントまたはサーバーにより信頼される場合、それにより署名されている証明書も同様に信頼さ
れ、このことは、クライアントまたはサーバーが署名済みの証明書などを送信した場合に、それが信頼されることを
意味します。
McAfee Web Gateway 7.4.0
製品ガイド
173
7
認証
クライアント証明書認証
クライアント証明書認証のためのルール セット
クライアント証明書認証を実装するためのルール セットは、ルール セット ライブラリで利用可能です。
認証サーバー(X509 認証の場合)ルール セット
認証サーバー(X509 認証の場合)ルール セットは、クライアント証明書認証方法の下で認証サーバーの使用を扱う
ために、ネストされたいくつかのルール セットを使用します。
•
•
SSL エンドポイント終了 — SSL セキュア通信でリクエストの扱いを準備します
•
受信 HTTPS 接続を受け付ける — 認証サーバーに送信できる証明書を示します
•
コンテンツ検査 — リクエストで送信されるコンテンツの検査を有効にします
認証サーバー リクエスト — 認証サーバーが正常に完了した後で、認証後にさらに処理をするアプライアンスで
プロキシにリクエストをリダイレクトして戻します
クッキーはリクエストが送信されたクライアントに対してセットされている場合、リクエストもまた、リダイレ
クトされます。
認証は認証サーバーで正常に完了できなかった場合、ユーザーはユーザー データベースで認証の認証情報を送信
するように指示されます。
•
その他すべてをブロック — 認証が正常に完了しなかったリクエストをブロックします
Cookie 認証(X509 認証の場合)ルール セット
Cookie 認証(X509 認証の場合)ルール セットは、クライアント証明書認証方法の使用を開始し、cookie の設定
を扱うためにいくつかのネストされたルール セットを使用します。
•
HTTP(S)プロキシで Cookie 認証 — cookie でクライアント証明書認証を扱うネストされたルール セットを
含みます
•
認証されたクライアントの Cookie を設定する — クライアントに対して一度認証が正常に完了した後で
cookie 認証を設定し、さらに処理するためのアプライアンスのプロキシにクライアントが戻すリクエストを
リダイレクトします
•
認証サーバーでのクライアントの認証 — cookie が認証サーバーにセットされていないクライアントから送
信されたリクエストをリダイレクトします
認証サーバーへのリクエストのリダイレクト
クライアント認証の認証方法の下で、リクエストは送信されたクライアントの証明書を検証するための認証サーバー
にリダイレクトされます。リダイレクトはアプライアンスの特別なリスナー ポートまたは固有のホスト名を使用し
て行うことができます。
特別なリスナー ポートの使用
リクエストは、たとえばポート 444 などの特別なリスナー ポートを使用して認証サーバーにリダイレクトできます。
アプライアンスの IP アドレスが 192.168.122. 199 であることを想定すると、リクエストは以下により認証サー
バーにリダイレクトされます。
https://192.168.122.119:444/
174
McAfee Web Gateway 7.4.0
製品ガイド
認証
クライアント証明書認証
7
しかし、プロキシを使用した例外がリクエストを送信するクライアントの Web ブラウザーに対して設定されている
かどうかを考えることが重要です。
•
プロキシ例外が設定されていません — プロキシ例外が設定されていない場合、すべてのリクエストはアプライア
ンスでリスンしているプロキシ ポートに送信されます。これは、デフォルトではポート 9090 です。
ポート 9090 が設定済みのプロキシ ポートの場合、https://192.168.122.119:444/ へのリクエストさえも
ポート 9090 に到着します。
ファイアウォールがネットワーク設定の一部である場合、クライアントからポート 444 への接続がない場合、フ
ァイアウォール ルールからの例外は必要アありません。
リクエストが確実に認証サーバー 444 にリダイレクトされるようにするか、この目的で使用する別の値にリダイ
レクトされるようにするためには、認証サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロ
パティに対して設定される必要があります。
URL.Port プロパティの値は、リクエストにより指定される URL に含まれるポートです。リクエストが実際にポ
ート 9090 に到着する場合でも、これは、たとえば 444 です。
•
設定済みのプロキシ例外 — プロキシ例外は種々の理由に対して構成できます。たとえば、Web ブラウザーはロ
ーカル ホストにアクセスするためのプロキシを使用しないように設定できました。
https://192.168.122.119:444/ へのリクエストは、ポート 9090 に到着しません。
ブラウザーは宛先に直接アクセスするように設定したため、ポート 444 のアプライアンスに接続を試みます。こ
のことは、ポート番号 444 でリスナー ポートをセットアップする必要があることを意味します。
ファイアウォール ルールが所定の位置にある場合、ポート 444 にリクエストが到着することを許可するために、
例外もまた必要です。
リクエストが適切なルールにより確実に処理されるためには、444、またはこの目的で使用する別の値は、認証
サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロパティに対して設定される必要がありま
す。
Proxy.Port プロパティの値は、リクエストが実際に到着するポートです。たとえば、認証サーバーにリダイレク
トするリクエストを受け取るために、この番号をもつ@ポートをセットアップする場合、これは 444 になりま
す。
一意のホスト名の使用
一意のホスト名、たとえば authserver.local.mcafee を使用して認証サーバーにリクエストをリダイレクトするこ
とできます。この名前を使用して、リクエストは以下により認証サーバーにリダイレクトされます。
https://authserver.mcafee.local
リクエストが送信されるクライアントは、DNS を使用してホスト名をルックアップしようとはしません。URL はほ
とんどの場合解決される可能性が低く、クライアントは接続できないからです。
リクエストが適切なルールにより確実に処理されるためには、このホスト名は認証サーバー(X509 認証の場合)ル
ール セットの条件で URL.Host プロパティの値として設定されなければなりません。
McAfee Web Gateway 7.4.0
製品ガイド
175
7
認証
クライアント証明書認証
クライアント証明書の認証の実施
クライアント証明書認証方式は、認証に対するリクエストと共に送信されるクライアント証明書を使用します。アプ
ライアンスでこの方法を実装するためには、以下の高レベル手順を実行します。
タスク
1
認証サーバー(X509 認証の場合)ルール セットをインポートします。
2
ネストされたルール セットを変更して、適切な証明書の使用を構成します。
3
アプライアンスのプロキシ ポートを使用していない Web ブラウザーにより送信されたリクエストに対して、リ
スナー ポートを構成します。
4
クライアント証明書認証が適用される方法を構成します。
クライアント証明書認証が一度適用され、正常に完了した後で、認証のために Cookie を使用するために、Cookie
認証(X509 認証用)をインポートし、変更できます。
5
アプライアンスに対してリクエストを送信するために使用される Web ブラウザーで使用される
認証サーバー(X509 認証の場合)ルール セットのインポート
アプライアンスでクライアント証明書認証方式を実装するためには、この方法で認証を処理するルール セットがなけ
ればなりません。この目的のために、認証サーバー(X509 認証の場合)ルール セットをインポートできます。
ルール セット ツリーの最上部にルール セットを挿入することをお勧めします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[認証サーバー(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
5
ルール セット条件を確認し、必要に応じて変更します。
インポートした後で、条件は以下のとおりです。
URL.Port equals 444 or Proxy.Port equals 444.
これにより、ルール セットはそのポートが受け取るすべてのリクエストに適用されるようになります。別のポー
トを使用する場合は、ここでポート番号を指定してください。
サーバー証明書の使用を設定するためのルール セットの変更
認証サーバー(X509 認証の場合)ルール セットは、適切なサーバー証明書が認証サーバーに送信されるようにする
ために変更する必要があります。ネストされたルール セットで変更が行われます。
別のホスト名と IP アドレスの下で認証サーバーに到達することができるため、アプライアンスが別のサーバー証明
書を毎回、送信できるようにし、ホスト名または IP アドレスが証明書の共通名と一致するようにすることになりま
す。
176
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
クライアント証明書認証
このためには、各ホスト名または IP アドレスに対してサーバー証明書をインポートして、それをサーバー証明書の
リストに追加する必要があります。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー(X509 認証の場合)]を展開します。
2
ネストされた[SSL エンドポイント終了]ルール セットを展開し、このルール セット内で、ネストされた[受信
HTTPS 接続を受け付ける]ルール セットをクリックします。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[SSL コンテキストの定義]セクションで、サーバー証明書のリストを見直します。
5
サーバー証明書をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
[サーバー証明書のインポート]ウィンドウが開きます。
d
[参照]をクリックして、インポートする証明書を参照します。
e
このアクティビティを繰り返して、証明書と共にキーと証明書チェーンをインポートします。
f
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書情報が[証明書マッピングへのホストの追加]ウィンド
ウに表示されます。
6 (オプション) [コメント]フィールドに、サーバー証明書に関する平文コメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じて、リストにサーバー証明書が表示されます。
8
[SSL Scanner 機能はクライアント接続にのみ適用]チェックボックスが選択されていることを確認します。
これにより、アプライアンスはネットワークのその他のサーバーに照会せずに、クライアントからのリクエスト
を受け付けるようになります。これは、この通信では必要とされていません。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
証明機関の使用を設定するためのルール セットの変更
認証サーバー(X509 認証の場合)ルール セットは、適切なルート CA(証明書機関)が確実に設定されるように変
更する必要があります。ネストされたルール セットで変更が行われます。
クライアント証明書は、アプライアンスで維持されているリストからの証明書機関により署名された場合に信頼性が
あります。信頼されたクライアント証明書のインスタンスを署名するリストにすべての証明書機関をインポートする
必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
177
7
認証
クライアント証明書認証
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー(X509 認証の場合)]を展開します。
2
ネストされた[SSL 認証サーバー リクエスト]ルール セットを展開します。
3
I[クライアント証明書をユーザーに問い合わせる]ルールで、[X509 認証]モジュール設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[クライアント証明書指定パラメーター]セクションで、証明書機関のリストを見直します。
5
証明書機関をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明機関の追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
ローカル ファイル システムにアクセスするウィンドウが開きます。
d
インポートする証明書権限ファイルを参照します。
e
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書が[証明機関の追加]ウィンドウに表示されます。
6
[信頼できる]チェックボックスが選択されていることを確認します。
7 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
8
[OK]をクリックします。
ウィンドウが閉じて、リストに証明書機関が表示されます。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
アプライアンスのリクエストを受信するリスナー ポートの構成
アプライアンスへ送信されるリクエストは、プロキシ ポートまたは特別なリスナー ポートで受信できます。プロキ
シ ポートはデフォルトでポート 9090 です。
プロキシ ポートへの到着からリクエストを防ぐプロキシの例外が作成された場合、リスナー ポートを構成する必要
があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リスナー ポートを構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
プロキシ設定が設定パネルに表示されます。
178
3
[HTTP プロキシ] セクションまで下にスクロールします。
4
[HTTP プロキシを有効にする]が選択されていることを確認します。
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
クライアント証明書認証
5
[HTTP ポート定義リスト]のツールバーで、[追加]アイコンをクリックします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
6
以下のようにリスナー ポートを構成します。
a
[リスナー アドレス] フィールドで、0.0.0.0:444 を入力します。
リクエストの受信を待機している異なるポートを使用する場合、ここに入力します。
b
[SSL として扱われるポート] フィールドで、* を入力します。
c
その他すべてのチェックボックスが選択されていることを確認します。
7
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
8
[変更の保存]をクリックします。
9
アプライアンスを再起動して、リスナー ポートの構成が有効になっていることを確認します。
Cookie 認証(X509 認証の場合)ルール セットのインポート
クライアント証明書認証方式がアプライアンスで使用されるとき、Cookie 認証(X509 認証の場合)ルール セット
により、この方式の使用を開始できます。
認証を必要としない機能のルール セットの後、ただし、フィルタリング機能を処理するルール セットの前にこのル
ール セットを挿入することをお勧めします。
これにより、認証が失敗したためにリクエストがブロックされるときに、フィルタリング機能が実行されないように
なります。これにより、リソースが節約され、パフォーマンスが改善します。
ルール セット システムがデフォルト システムに類似している場合、SSL スキャナーとグローバル ホワイトリスト
ルール セットの後、ただし、コンテンツ フィルタリングと Gateway Antimalware ルール セットの前にこのルー
ル セットを挿入できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[Cookie 認証(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
受信リクエストのリスナー ポートを変更するためのルール セットの変更
ポート 444 の代わりに使用する受信リクエストのリスナー ポートを設定するための Cookie 認証 (X509 認証の場
合)を変更することができます。これは、デフォルト ポートです。ネストされたルール セットで変更が行われます。
プロキシ例外がアプライアンスのプロキシ ポートにリクエストが到着できないようにしている場合、特別なリスナ
ー ポートが受信リクエストを受け取るために使用されなければなりません。ポート 444 またはこの目的に対して設
定された別のポートで到着するリクエストが認証サーバーに転送されます。
McAfee Web Gateway 7.4.0
製品ガイド
179
7
認証
クライアント証明書認証
タスク
1
[ポリシー] 、 [ルールセット]を選択し、[Cookie 認証(X509 認証の場合)]を展開します。
2
ネストされた[HTTP(S)プロキシで Cookie 認証]ルールセットを展開し、このルール セット内で、ネストされ
た[認証サーバーでクライアントを認証する]ルール セットをクリックします。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[認証サーバー固有のパラメーター]セクションで、[認証サーバー URL]フィールドの URL を見直します。
URL はデフォルトで次のとおりです。
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
ルールが処理されると、$...$ の部分がアプライアンスの IP アドレスで置き換えられます。
5
別のリスナー ポートを設定するためには、ここにこのポートの番号を入力してください。
6
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
7
[変更の保存]をクリックします。
クライアント証明書のブラウザーへのインポート
適切なクライアント証明書は Web ブラウザーで使用でき、SSL で保護された通信でアプライアンスにリクエストと
共に送信される必要があります。
証明書のインポート手順は、ブラウザーにより異なり、変更される場合があります。ブラウザー メニューは、使用し
ているオペレーティング システムによって異なります。
以下は、クライアント証明書を Microsoft Internet Explorer と Mozilla Firefox にインポートするための 2 つの考
えられる手順です。
タスク
•
180 ページの「クライアント証明書の Microsoft Internet Explorer へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft
Internet Explorer で利用可能にできます。
•
181 ページの「クライアント証明書の Mozilla Firefox へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla
Firefox で利用可能にできます。
クライアント証明書の Microsoft Internet Explorer へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet
Explorer で利用可能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[インターネット オプション]を順にクリックします。
[インターネット オプション]ウィンドウが開きます。
2
180
[コンテンツ]タブをクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
7
認証
クライアント証明書認証
3
[証明書]セクションで、[証明書]をクリックします。
[証明書]ウィンドウが開きます。
4
[インポート]をクリックします。
[証明書のインポート ウィザード]が表示されます。
5
このウィザード ページで、次の手順に従ってください。
a
[証明書のインポート ウィザードの開始]ページで、[次へ]をクリックします。
b
[インポートする証明書ファイル]ページで、[参照]をクリックし、証明書ファイルを保存してある場所に移動
します。
c
[ファイル名] フィールドに「*.pfx」と入力し、[Enter] キーを押します。
d
証明書ファイルを選択し、[開く]をクリックし、[次へ]をクリックします。
e
[パスワード]ページで、[パスワード]フィールドにパスワードを入力します。[次へ] をクリックします。
f
[証明書ストア]ページで、[証明書をすべて次のストアに配置する]をクリックします。
g
同じページの[証明書ストア]セクションで、[個人用]を選択し、[次へ]をクリックします。
h
[証明書のインポート ウィザードの完了]ページで、[完了] をクリックします。
6
[OK]をクリックして表示されるメッセージを確認します。
7
[閉じる]をクリックしてから[OK]ををクリックして、[証明書]と[インターネット オプション]を閉じます。
クライアント証明書の Mozilla Firefox へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可
能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[オプション]を順にクリックします。
[オプション]ウィンドウが開きます。
2
[詳細設定] をクリックして、[暗号化] をクリックします。
3
[暗号化] タブの[証明書] セクションで [証明書の表示] をクリックします。
[証明書マネージャー]ウィンドウが開きます。
4
[インポート]をクリックします。
ローカルのファイル マネージャーが開きます。
5
保存した証明書ファイルに移動し、[開く]をクリックします。
6
必要に応じて、パスワードを入力し、次に[OK]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
181
7
認証
管理者アカウント
管理者アカウント
管理者アカウントは、アプライアンスまたは外部サーバーでセットアップおよび管理することができます。ロールは
管理者の異なるアクセス権限で作成できます。
管理者アカウントの追加
初期セットアップの際にアプライアンス システムで作成されたアカウントに、管理者アカウントを追加できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[追加]をクリックします。
[管理者の追加]ウィンドウが開きます。
3
アカウントのユーザー名、パスワード、および他の設定を追加します。次に、[OK]をクリックします。
ウィンドウが閉じて、アカウント リストに新しいアカウントが表示されます。
4
[変更の保存]をクリックします。
管理者アカウントの編集
初期設定時にアプライアンス システムにより作成されるものを含め、管理者アカウントを編集できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[編集]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
[管理者の編集]ウィンドウが開きます。
3
必要に応じてアカウントの設定を編集します。次に、[OK]をクリックします。
ウィンドウを閉じると、アカウントがアカウント リストに変更が表示されます。
4
[変更の保存]をクリックします。
管理者アカウントの削除
少なくとも 1 つでも残れば、管理者アカウントも削除することができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、アカウントを選択し、[削除]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
削除を確認するためのウィンドウが開きます。
3
182
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
認証
管理者アカウント
7
管理者アカウントの設定
管理者アカウント設定は、管理者の認証情報とロールを構成するために使用されます。
管理者アカウントの設定
管理者アカウントの設定
表 7-17 管理者アカウントの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
[ロール]
管理者のロールを選択するためのリストを提供します。
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
現在の設定でテスト
特定の認証情報を持つ管理者がアプライアンスで許可されるかどうかのテストの設定
表 7-18 現在の設定でテスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[テスト]
テストの実行。
テストの結果を表示するために、[認証テスト結果]ウィンドウが開きます。
管理者のロールの管理
管理者アカウントを構成するために、ロールを作成して、使用できます。
1 つの管理者ロールは初期設定時にアプライアンス システムによりすでに作成されています。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
管理者ロールを追加するには、以下の手順に従います。
a
[ロール]で、[追加]をクリックします。
[ロールの追加]ウィンドウが開きます。
b
[名前]フィールドで、ロール名を入力します。
McAfee Web Gateway 7.4.0
製品ガイド
183
7
認証
管理者アカウント
c
ダッシュボード、ルール、リスト、および他の項目でのアクセス権限を構成します。
d
[OK]をクリックします。
ウィンドウが閉じて、管理者ロールのリストに新しいロールが表示されます。
3
[編集]および[削除]オプションをロールの編集と削除と同じように使用します。
4
[変更の保存]をクリックします。
新しく追加されたり、編集されるロールは、管理者アカウントに割り当てることができます。
管理者のロールの設定
管理者のロールの設定は、管理者に割り当てられたロールの構成に使用されます。
管理者のロールの設定
管理者のロールの設定
表 7-19 管理者のロールの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
[ロール]
管理者のロールを選択するためのリストを提供します、
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
外部アカウントの管理の構成
管理者アカウントを外部認証サーバーで管理し、外部的に保存されているユーザー グループおよび個々のユーザーを
アプライアンスのロールにマッピングすることができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[管理者アカウントは外部ディレクトリ サーバーで管理する]をクリックします。
追加の設定が表示されます。
3
[認証サーバーの詳細]で、外部サーバーの設定を構成します。
これらの設定は、アプライアンスの認証モジュールがサーバーから情報を取得する方法を決定します。
184
McAfee Web Gateway 7.4.0
製品ガイド
認証
管理者アカウント
4
7
[認証グループ = ロール マッピング]の設定を使用して、外部サーバーに保存されているユーザー グループおよ
び個々のユーザーをアプライアンスのロールにマップします。
a
[追加]をクリックします。
[グループ/ユーザーのロール 名マッピングの追加] ウィンドウが開きます。
b
必要に応じてグループまたはユーザーと一致するフィールドの隣のチェックボックスを選択し、フィールド内
にグループまたはユーザーの名前を入力します。
c
[OK]をクリックします。
d
[マッピングされるロール]で、ロールを選択します。
e
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいマッピングが表示されます。
f
[変更の保存]をクリックします。
同じ方法で[編集]および[削除]オプションを使用し、マッピングを編集および削除できます。
McAfee Web Gateway 7.4.0
製品ガイド
185
7
認証
管理者アカウント
186
McAfee Web Gateway 7.4.0
製品ガイド
8
クォータの管理
クォータ管理は Web の使用状況をネットワークのユーザーに通知する手段です。このようにして、ネットワークの
リソースとパフォーマンスが過剰な影響を受けないようにすることができます。
クォータとその他の制限は次のいくつかの方法で開始されます。
•
時間クォータ — ユーザーが Web の使用に費やすことができる時間を制限します
•
ボリューム クォータ — ユーザーが Web の使用に費やすことができるボリュームを制限します
•
警告 — ユーザーが Web 使用料に費やすことができる時間を制限しますが、制限しないことにした場合、設定し
た時間制限を超えることができます
•
権限のあるオーバーライド — 警告と同じ方法で Web の使用にユーザーが費やすことができる時間を制限しま
す
しかし、時間制限は権限のあるユーザーのアクションによってのみ超えることができます。たとえば、教室の先
生などです。
•
ブロッキング セッション — Web オブジェクトのアクセスをユーザーが試みた後に指定の時間だけ Web への
アクセスをブロックします。その場合、アクセスは許可されません
クォータとその他の制限は手段を個別に、または組み合わせて課することができます。
目次
Web ページ上でクォータおよびその他の制限を課す
時間のクォータ
ボリュームのクォータ
警告
許可オーバーライド
セッションのブロック
クォータのシステム設定
Web ページ上でクォータおよびその他の制限を課す
クォータおよびその他の制限を課することにより、Web の使用を指示し、ネットワーク リソースの消費を制限でき
ます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するクォータ管理
•
URL、IP アドレス、その他など、ユーザーと特定の Web オブジェクトに関して制限を課するルールにより使用
されるクォータ管理リスト
•
時間とボリュームのクォータ、セッション時間、プロセスのその他のパラメーターを取り扱うために呼び出され
るクォータ管理モジュール
McAfee Web Gateway 7.4.0
製品ガイド
187
8
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
クォータ管理ルール
クォータとその他の制限の管理を制御するルールは、時間クォータまたはコーチング ルール セットなど、制限のタ
イプに応じて異なるルール セットに含まれています。
これらのルール セットのルールは、時間やボリュームに設定された制限を超えているかどうかをチェックし、最終的
にさらに Web アクセスが要求された場合にそれをブロックします。これらはまた、ユーザーが新しいセッションで
続行することにするときに、リクエストをリダイレクトします。
クォータ管理ルール セットはデフォルトのルール セット システムでは実装されませんが、ルール セット ライブラ
リからインポートできます。ライブラリ ルール セット名は時間のクォータ、ボリュームのクォータ。警告、許可オ
ーバーライド、セッションのブロックです。
ライブラリ ルール セットで実装されるルールを見直し、それらを変更または削除し、また固有のルールを作成する
こともできます。
クォータ管理リスト
クォータおよびその他の制限の管理のためのルール セットは、Web オブジェクトとユーザーのリストを使用して、
制限を適宜、課します。このリストには、ルール セットの条件が含まれます。
たとえば、リストは多くの URL を含み、時間のクォータ ルール セットはその条件にこのリストをもっています。
すると、このルール セットとその中のルールは、ユーザーがリスト上の URL のアクセスする場合のみ適用されま
す。IP アドレスまたはメディア タイプのリストも同じように使用できます。
このリストにエントリーを追加したり、エントリーを削除することが可能です。固有のリストも作成して、クォータ
管理ルール セットで使用することができます。
クォータ管理モジュール
クォータ管理モジュール(またはエンジンと呼ばれる)は、クォータ管理プロセスの時間とボリュームのパラメータ
ーを扱い、使った時間またはボリュームと残りの時間またはボリューム、セッション時間、およびその他の値に関し
て調べるために、プロセスのルール チェックによりチェックされます。
それぞれのタイプの制限に対してモジュールがあります。たとえば、時間のクォータまたは警告モジュールです。
これらのモジュールを設定することにより、クォータ管理プロセスに適用する時間とボリュームを指定します。たと
えば、時間のクォータ モジュールを設定するときは、ユーザーは 1 日当たり何時間何分、特定の URL または IP ア
ドレスをもつ Web オブジェクトにアクセスできるかを指定します。
セッション時間
クォータ管理モジュールに対してできる設定の中に、セッション時間もあります。これは、ユーザーが 1 回のセッシ
ョンで Web の使用にかけられる時間です。
188
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
時間のクォータ
8
セッション時間は、時間のクォータ、ボリュームのクォータ、およびクォータ管理機能のその他のパラメーター0に
対して、個別に設定され、それぞれ異なる処理が行われます。
•
時間のクォータのセッション時間-時間のクォータを構成する場合、セッション時間を構成する必要があります。
ユーザーはセッション時間を経過するたびに、セッション時間として構成されている時間の量がユーザーの時間
のクォータから差し引かれます。
時間のクォータが使い切られていない限り、ユーザーは新しいセッションを開始できます。時間のクォータを超
過した場合、ユーザーが送信するリクエストはブロックされて、ブロック メッセージが表示されます。
•
ボリュームのクォータのセッション時間-ボリュームのクォータを構成する場合、セッション時間はユーザーの
ボリュームのクォータに影響しません。
それでも、Web アクセスに使用された時間の量をユーザーに通知するために、セッション時間を構成することは
できます。セッションの時間を経過する場合、構成されたボリュームが消費されていない限り、ユーザーは新し
いセッションを開始することができます。
セッション時間を 0 に設定すると、セッション時間は構成およびユーザーに通知されなくなります。
•
他のクォータ管理機能のセッション時間-セッション時間は警告、許可オーバーライド、およびセッションのブ
ロックを含む他のクォータ管理機能に対しても構成できます。それにより、警告、許可オーバーライド、または
セッションのブロックも利用できます。
警告および許可オーバーライドでセッション時間が経過した場合、ユーザーが送信するリクエストはブロックさ
れます。
リクエストがブロックされた理由を説明するメッセージがユーザーに表示されます。時間のクォータも構成され
ていてそれが使い切られていない限り、ユーザーは新しいセッションを開始することができます。
セッションのブロックに対して設定されるセッション時間は、特定のユーザーにより送信されたリクエスト中に
ブロックされる時間を示します。この時間が経過すると、時間のクォータが構成されていてそれが使い切られて
いない限り、ユーザーからのリクエストは再び許可されるようになります。
クォータ管理機能の組み合わせ
特定のクォータ管理機能を使用して Web の使用を制限することは、他のクォータ管理機能の使用に影響を与えませ
ん。たとえば、時間のクォータとボリュームのクォータはアプライアンスで別々に実装されます。
しかし、これらの機能を意味のある方法に組み合わせることができます。
たとえば、いくつかの URL カテゴリーへのアクセスでは警告を指定すると同時に、他のカテゴリーでは許可オーバ
ーライドの認証情報をリクエストすることができます。
さらに他のカテゴリーのグループで、アクセスを試行するユーザーを構成された期間ブロックすることができます。
時間のクォータ
時間のクォータを構成することで、ネットワークのユーザーが Web の使用にかけられる時間を制限できます。
時間のクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-時間のクォータが URL カテゴリーに関連する場合、ユーザーは特定のカテゴリー、たとえば、
オンライン ショッピングなどに該当する URL にアクセスするために制限された時間のみが許可されます。
•
IP アドレス-時間のクォータが IP アドレスに関連する場合、特定の IP アドレスからリクエストを送信するユ
ーザーは Web の使用のために制限された時間のみが許可されます。
•
ユーザー名-時間のクォータがユーザー名に関連する場合、ユーザーは Web の使用のために制限された時間のみ
が許可されます。アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
McAfee Web Gateway 7.4.0
製品ガイド
189
8
クォータの管理
時間のクォータ
これらのパラメーターは、時間のクォータのためにあるライブラリ ルール セットのルールによって使用されます。
時間のクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web を使用している時間は、アプライアンスに保存されています。あるユーザーに対して構成されてい
る時間のクォータを超過した場合、このユーザーが送信するリクエストはブロックされます。ユーザーに対してリク
エストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web の使用は、1 日、1 週間、1 月あたりの時間に制限できます。
時間のクォータの構成
時間のクォータを構成し、Web の使用に費やすネットワークのユーザーの時間を制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、時間のクォータのルールを含むルール セット、たとえば、[時間のクォータ] ライブ
ラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされてるルール セットを選択します。
たとえば、URL カテゴリに関連する時間のクォータを構成するには、[URL 構成での時間のクォータ ]を選択し
ます。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、[時間のクォータの URL カテゴリ ブラックリスト]のリスト名を選択します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに URL カテゴリを追加します。次に、[OK] をクリックして、ウィンドウを閉じます。
6
1 つのルールの条件で、[URL カテゴリの構成]設定名をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間と、1 日、1 週間、および 1 月あたりの時間のクォータを構成します。次に、[OK] をクリック
して、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
時間のクォータの設定
時間のクォータ設定は、時間のクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
時間のクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
190
McAfee Web Gateway 7.4.0
製品ガイド
8
クォータの管理
時間のクォータ
表 8-1 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
の時間のクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... の時間(時間と分数) . .
選択された時間単位またはセッション時間に適用する時間のクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりの時間クォータを選択している場合、見出しは1週間当たりの時間クォータの時間と分と表
示されます。
表 8-2 ... の時間(時間と分数) . .
オプション 定義
[時間]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される時間数を設定します。
[分]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される分数を設定します。
実際の構成された時間のクォータ
構成された時間のクォータの表示
表 8-3 実際の構成された時間のクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)の時間の 許容される 1 日、1 週間、または 1 月あたりの時間を示し
クォータ]
ます。
[セッション時間]
許容されるセッション時間を示します。
時間のクォータ ルール セット
j 時間のクォータ ルール セットは、Web 使用量に時間のクォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-時間のクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成での時間のクォータ
•
IP 構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.4.0
製品ガイド
191
8
クォータの管理
時間のクォータ
URL 構成での時間のクォータ
このネストされたルール セットは、URL カテゴリーに関連する時間のクォータを処理します。
ネストされたライブラリ ルール セット-URL 構成での時間クォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連する時間クォータのブロックリストにカテゴリーが分類
される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session
Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間セッションを超過したか確認する
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
このルールは Quota.Time.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間を
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間のクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
このルールは Quota.Time.Exceeded プロパティを使用し、ユーザーが構成された時間のクォータを超過した
かどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックされます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での時間のクォータ
このネストされたルール セットは、IP アドレスに関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成での時間クォータ
条件-Client.IP is in list 時間のクォータの IP ブラックリストのリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連する時間クォータのブロックリストにある IP アドレスで、ク
ライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
時間のクォータルール セットと同じです。
192
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
ボリュームのクォータ
8
認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、ユーザー名に関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成での時間クォータ
条件-Authenticated.RawUserName is in list 時間のクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連した時間クォータのブロックリストにユーザー名があるユーザーによりリ
クエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成での時間のクォータルール セットと同じです。
ボリュームのクォータ
ボリュームのクォータを構成することで、ネットワークのユーザーが Web からダウンロードできる Web オブジェ
クトのボリューム(GB および MB で測定)を制限できます。
ボリュームのクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-ユーザーには、特定のカテゴリー、たとえば、ストリーミング メディアなどに該当する URL
を使用する場合は、制限されたボリュームのみ、Web オブジェクトのダウンロードが許可されています。
•
IP アドレス-特定の IP アドレスからダウンロードのリクエストを送信するユーザーには、制限されたボリュー
ムのみが許可されています。
•
ユーザー名-ユーザーはある制限されたボリュームまで Web オブジェクトのダウンロードが許可されています。
アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
•
メディア タイプ-ユーザーはある制限されたボリュームまで特定のメディア タイプに属する Web オブジェク
トのダウンロードが許可されています。
これらのパラメーターは、ボリュームのクォータのためにあるライブラリ ルール セットのルールによって使用され
ます。ボリュームのクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web からダウンロードするボリュームについての情報は、アプライアンスに保存されます。あるユーザ
ーに対して構成されているボリュームのクォータを超過した場合、このユーザーが送信するリクエストはブロックさ
れます。ユーザーに対してリクエストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web のダウンロードは、1 日、1 週間、1 月あたりにダウンロードされるボリュームに制限できます。
ボリュームのクォータの構成
ボリュームのクォータを構成し、Web の使用中に消費するネットワークのユーザーのボリュームを制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、ボリュームのクォータのルールを含むルール セット、たとえば、[ボリュームのクォ
ータ] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
193
8
クォータの管理
ボリュームのクォータ
3
適切なネストされたルール セット、たとえば、[IP 構成でのボリュームのクォータ]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[ボリュームのクォータの IP ブロックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
適切なパラメーター、たとえば、セッション時間と、1 日あたり、1 週間あたり、および 1 月あたりのボリュー
ムのクォータなどを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
ボリューム クォータの設定
ボリュームのクォータ設定は、ボリュームのクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
ボリュームのクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 8-4 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータが選
択した時間単位に適用されます。
のボリュームのクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... のボリューム . .
選択された時間単位またはセッション時間に適用するボリュームのクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりのボリュームのクォータを選択している場合、見出しは1週間当たりのボリュームのクォー
タの時間と分と表示されます。
たとえば、セッション時間を選択している場合、見出しは時間と分と表示されます。
表 8-5 ... のボリューム . .
194
オプション
定義
[GiB]
ボリュームに許可される GiB の数を指定します。
[MIB]
ボリュームに許可される MiB の数を指定します。
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
ボリュームのクォータ
8
実際の構成されたボリュームのクォータ
構成されたボリュームのクォータを表示する
表 8-6 実際の構成されたボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)のボリュ
ームのクォータ]
許容される 1 日、1 週間、または 1 月あたりのボリューム
を示します。
[セッション時間]
許容されるセッション時間を示します。
ボリュームのクォータ ルール セット
ボリューム クォータ ルール セットは、Web 使用量にボリューム クォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア 通信に加え、CONNECT コマンドが最初に使用され
ていない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
• URL 構成での時間のクォータ
• IP 構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
• 認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成でのボリュームのクォータ
•
IP 構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
メディア タイプの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成でのボリュームのクォータ
このネストされたルール セットは、URL カテゴリーに関連するボリュームのクォータを処理します。
McAfee Web Gateway 7.4.0
製品ガイド
195
8
クォータの管理
ボリュームのクォータ
ネストされたライブラリ ルール セット-URL 構成でのボリュームのクォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連するボリュームのクォータのブロックリストにカテゴリ
ーが分類される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリューム セッションを超過したか確認する
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間
を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロック
されます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリュームのクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.Exceeded プロパティを使用し、ユーザーが構成されたボリュームのクォータを
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成でのボリュームのクォータ
このネストされたルール セットは、IP アドレスに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成でのボリュームのクォータ
条件-Client.IP is in list ボリュームのクォータの IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連するボリュームのクォータのブロックリストにある IP アドレ
スで、クライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
ボリュームのクォータルール セットと同じです。
196
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
警告
8
認証済みユーザーの構成でのボリュームのクォータ
このネストされたルール セットは、ユーザー名に関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成でのボリュームのクォータ
条件-Authenticated.RawUserName is in list ボリュームのクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連したボリュームのクォータのブロックリストにユーザー名があるユーザー
によりリクエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成でのボリュームのクォータルール セットと同じです。
メディア タイプの構成でのボリュームのクォータ
このネストされたルール セットは、メディア タイプに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-メディア タイプの構成でのボリュームのクォータ
条件 – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがボリュームのクォータ管理のために特別に維持されているブロック リストにあ
るメディア タイプに属する Web オブジェクト リクエストを送信するときに、ルール セットが適用されることを指
定しています。
このルール セットのルールは、[メディア タイプ構成]であるルール条件に表示されるモジュール セットを除き、
URL 構成でのボリュームのクォータルール セットと同じです。
警告
警告クォータを構成することおで、ネットワークのユーザーが Web を使用する時間を制限できますが、続行を選択
する場合は許可されます。
ユーザーの Web の使用について警告を出すには、特定期間の警告セッションを構成します。ユーザーのこのセッシ
ョン時間が経過すると、ブロック メッセージが表示されます。すると、ユーザーは新しいセッションの開始を選択で
きます。
URL カテゴリ、IP アドレス、およびユーザー名などの警告ライブラリ ルール セットで使用されているパラメーター
に関連する警告を構成することができます。他のパラメーターを使用して独自のルールを作成することもできます。
警告の構成
警告を構成してネットワークのユーザーに対して Web の使用を制限できますが、構成された時間制限を過ぎた後に
Web の使用を選択したときに続行を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、警告のルールを含むルール セット、たとえば、[警告] ライブラリ ルール セットを拡
張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
197
8
クォータの管理
警告
3
適切なネストされたルール セット、たとえば、[IP 構成での警告]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[警告の IP ブラックリスト]をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
警告設定
警告設定は、警告を処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
警告セッションの期間を構成するための設定
表 8-7 セッション時間の時間と分数
オプション
定義
[日]
警告セッションの日数を設定します。
[時間]
警告セッションの時間数を設定します。
[分]
警告セッションの分数を設定します。
警告ルール セット
警告ルール セットは、実行を選択した場合ユーザーが送信できる Web の使用状況に制限が課せられるライブラリ
ルール セットです。
ライブラリ ルール セット-警告
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
198
McAfee Web Gateway 7.4.0
製品ガイド
8
クォータの管理
警告
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で警告
•
IP 構成で警告
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で警告
このルール セットは、初期状態では有効になっていません。
URL 構成で警告
このネストされたルール セットは、URL カテゴリに関連する警告を処理します。
ネストされたライブラリ ルール セット-URL 構成で警告
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する警告のブロック リストに該当するカテゴリにある
URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
新しい警告セッション開始後にリダイレクト
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching
Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
警告セッションを超過したか確認する
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
このルールは Quota.Coaching.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時
間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ
クされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、警告を処理するためのモジュールの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での警告クォータ
このネストされたルール セットは、IP アドレスに関連する警告を処理します。
ネストされたライブラリ ルール セット-IP 構成で警告
条件-Client.IP is in list 警告の IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが警告のために IP アドレスに関連するブロック リストにある IP アドレスを有す
るクライアントからリクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される IP 構成を除き、URL 構成での警告ルー
ル セットと同じです。
McAfee Web Gateway 7.4.0
製品ガイド
199
8
クォータの管理
許可オーバーライド
認証済みユーザーの構成で警告
このネストされたルール セットは、ユーザー名に関連する警告を処理します。
ネストされたライブラリ ルール セット-認証済みユーザーの構成で警告
条件-Authenticated.RawUserName is in list 警告のユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する警告のためにブロック リストにユーザー名がリストされ
ているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される 認証されたユーザー構成を除き、URL 構
成での警告ルール セットと同じです。
許可オーバーライド
許可オーバーライドを許可するセッションでは、セッション時間を構成できます。
このセッション時間が経過すると、ユーザー リクエストはブロックされ、ブロック メッセージが表示されます。こ
のメッセージでは、新しいセッションを開始するためにユーザー名とパスワードの提出も求められます。
これらの認証情報は、許可されているユーザーのものである必要があります。たとえば、教室の状況で、許可オーバ
ーライド セッションの終了後にブロックされるユーザーは生徒であり、許可されたユーザーは教師だということはあ
り得ます。
ユーザーの認証は、構成された認証方法に従って実行されます。しかし、この方法を構成するとき、統合認証モード
を含むことはできません。
ブロック メッセージは、ブロックされたユーザーの許可オーバーライド セッションの期間を指定するオプションも
提供しています。
このユーザーのために構成される期間は、許可オーバーライドのモジュール設定の一部として、すべての他のユーザ
ーのために構成されている期間を超えない必要があります。
URL カテゴリ、IP アドレス、およびユーザー名などのライブラリ ルール セットで使用されているパラメーターに関
連する許可オーバーライドを構成することができます。他のパラメーターを使用して独自のルールを作成することも
できます。
許可オーバーライドの構成
許可オーバーライドを構成し、ユーザーの Web 使用を制限できますが、許可ユーザーのアクションを通過する構成
された時間制限を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、許可オーバーライドのルールを含むルール セット、たとえば、[許可オーバーライ
ド] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での許可オーバーライド]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
200
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
許可オーバーライド
4
8
ルール セットの条件で、適切なブロック リスト名、たとえば、[許可オーバーライドの IP ブラックリスト]をク
リックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
許可オーバーライド設定
許可オーバーライド設定は、許可オーバーライドを処理するモジュールを構成するために使用されます。
最大セッション時間の時間と分数
許可オオーバーライドにおけるセッションの最大時間の長さを構成する設定
表 8-8 最大セッション時間の時間と分数
オプション
定義
[日]
許可オーバーライド セッションの日数を設定します。
[時間]
許可オーバーライド セッションの時間を設定します。
[分]
許可オーバーライド セッションの分数を設定します。
許可オーバーライド ルール セット
許可オーバーライド ルール セットは、許可ユーザーのアクションを通して通すことができる、Web の使用状況に時
間制限を課するライブラリ ルール セットです。
ライブラリ ルール セット-許可オーバーライド
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で許可オーバーライド
•
IP 構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.4.0
製品ガイド
201
8
クォータの管理
許可オーバーライド
URL 構成で許可オーバーライド
このネストされたルール セットは、URL カテゴリに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-URL 構成で許可オーバーライド
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する許可オーバーライドのブロック リストに該当するカテ
ゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
許可オーバーライドの認証の後にリダイレクトする
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true
AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After
Authorized Session Activation>
このルールは、セッション時間を超過した後に、ユーザーに再び Web オブジェクトと、新しいセッションが検証
された状態で続行するためにユーザーが提出した認証情報にアクセスできるように、リクエストをリダイレクトし
ます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
許可オーバーライド セッションを超過したか確認する
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
このルールは Quota.AuthorizedOverride.SessionExceeded プロパティを使用し、ユーザーが構成された
セッション時間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエ
ストはブロックされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、許可オーバーライドを処理するためのモジュール
の設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成で許可オーバーライド
このネストされたルール セットは、IP アドレスに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-IP 構成で許可オーバーライド
条件-Client.IP is in list IP Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが許可オーバーライドのために IP アドレスに関連するブロック リストにある IP
アドレスを有するクライアントからリクエストを送信するときに、ルール セットが適用されることを指定していま
す。
このルール セットのルールは、ルール条件のモジュール設定の IP 構成を除き、URL 構成で許可オーバーライド ル
ール セットと同じです。
認証済みユーザーの構成で許可オーバーライド
このネストされたルール セットは、ユーザー名に関連する許可オーバーライドを処理します。
202
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
セッションのブロック
8
ネストされたライブラリ ルール セット-認証済みユーザーの構成で許可オーバーライド
条件-Authenticated.RawUserName is in list User Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する認可オーバーライドのためにブロック リストにユーザー
名がリストされているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定の 認証済みユーザーの構成を除き、URL 構成で許可オ
ーバーライド ルール セットと同じです。
セッションのブロック
セッションのブロックを構成することで、構成された期間にユーザーによって送信されたリクエストをブロックでき
ます。
許可されていないカテゴリに分類した URL のリクエストなど、ユーザーが構成ルールに従ってブロックするリクエ
ストを送信した後、セッションのブロックが課せられます。
これは Web オブジェクトへの不要なアクセスをより厳格に処理する Web セキュリティ ポリシーを施行する方法
の 1 つです。
ライブラリ ルール セットに使用されているパラメーターに関連するセッションのブロックを構成できます。他のパ
ラメーターを使用して独自のルールを作成することもできます。
ブロック セクションの構成
許可されていない Web オブジェクトにアクセスを試みた後、ブロック セクションを構成し、構成された期間にわた
ってユーザーのセッションをブロックできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、セッションのブロックのルールを含むルール セット、たとえば、[セッションのブロ
ック] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成でのセッションのブロック]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[セッションのブロックの IP ブラックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
McAfee Web Gateway 7.4.0
製品ガイド
203
8
クォータの管理
セッションのブロック
7
セッションのブロック期間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを
閉じます。
8
[変更の保存]をクリックします。
ブロック セッションの設定
ブロック セッション設定は、ブロック セッションを処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
セッションのブロックの期間を構成するための設定
表 8-9 セッション時間の時間と分数
オプション
定義
[日]
セッションのブロックの日数を設定します。
[時間]
セッションのブロックの時間数を設定します。
[分]
セッションのブロックの分数を設定します。
セッションのブロック ルール セット
セッションのブロック ルール セットは、許可されていない Web オブジェクトへのアクセスを試みた後、Web セッ
ションのブロックのライブラリ ルール セットです。
ライブラリ ルール セット-セッションのブロック
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セットでネストされています。URL 構成でセッションのブロック
URL 構成でセッションのブロック
このネストされたルール セットは、URL カテゴリに関連するセッションのブロックを処理します。
ネストされたライブラリ ルール セット-URL 構成でセッションのブロック
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking
Sessions
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連するセッションのブロックのブロック リストに該当するカ
テゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
セッションのブロックがアクティブな場合、ユーザーをブロックする
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking
Session Template>
204
McAfee Web Gateway 7.4.0
製品ガイド
クォータの管理
クォータのシステム設定
8
このルールは、BlockingSession.IsBlocked プロパティを使用して、リクエストを送信するユーザーに対して
セッションのブロックがアクティブにされているかどうか確認します。アクティブな場合は、リクエストがブロッ
クされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
カテゴリがセッションのブロックのカテゴリ リストにある場合、セッションのブロックをアクティブにする
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue
— BlockingSession.Activate<Blocking Session Configuration>
このルールは、URL.Categories プロパティを使用して、ユーザーがアクセスをリクエストする URL が、セッシ
ョンのブロック用に特別に維持されているブラックリストのカテゴリに該当するかどうかを確認します。リストに
あるカテゴリに該当する場合、セッションのブロックはそのユーザーに対してアクティブにされます。
BlockingSession.Activate イベントは、セッションのブロックをアクティブにするために使用されます。イベ
ント設定は、イベントで指定されます。
クォータのシステム設定
クォータのシステム設定は、クォータ管理に関連する時間間隔の一般的な設定です。
アプライアンスが一元管理構成のノードの場合、その他ノードとのデータ同期の時間間隔も設定できます。
これらの設定は、[構成]トップレベル メニューの[アプライアンス]タブで構成されます。
[警告]の名前(クォータではなく)で表示されることもありますが、クォータ管理に提供されるすべてのオプション
にどちらの場合も適用されます。
(許可オーバーライド、セッションのブロック、警告、時間のクォータ、ボリューム
のクォータ)。
同期と保存のクォータの間隔(分)
クォータ管理に関連する時間間隔の設定
表 8-10 同期と保存のクォータの間隔(分)
オプション
定義
[保存間隔]
現在のクォータの値がアプライアンスに保存される前に経過する時間(分)を指定値に制限します。
保存されるクォータ値は、たとえば、ユーザーによって消費されたバイト数です。
[更新されたク 一元管理の構成において、現在のクォータの値がアプライアンスからすべてのノードに分配される
ォータのデー 前に経過する時間(分)を指定値に制限します。
タを送信する
分配されるデータには、最後にアプライアンスからデータが分配された後に発生したクォータの値
間隔]
への変更が含まれます。
McAfee Web Gateway 7.4.0
製品ガイド
205
8
クォータの管理
クォータのシステム設定
表 8-10 同期と保存のクォータの間隔(分) (続き)
オプション
定義
[基本同期の間 一元管理の構成において、クォータの値がすべてのノードで同期される前に経過する時間(分)を
隔]
指定値に制限します。
この同期は、すべてのアプライアンスにある現在のクォータ値のスナップショットをとります。個
々のユーザーにとって最新である値は、すべてのアプライアンスに分配されます。
値は、一時的に非アクティブであって、その間に更新を受信しなかったノードにも分配されます。
さらに、値は構成に新しく追加されたノードに分配されるため、以前の更新は受信されません。
[~ 後にデー クォータのデータベースでデータが削除されるまでの最小時間(日数)を指定値に制限します。
タベースをク
リーンアップ] データが削除される前に、データが無効であるかどうかの確認が実行されます。クォータ管理機能
のために構成された時間間隔が経過した場合、データは無効です。
たとえば、特定のバイトの量が 1 か月の間に消費されるボリュームのクォータとして構成されてい
る場合、次の月が始まると、ユーザーが実際に消費した量は無効になります。すると、[~ 後にデ
ータベースをクリーンアップ]オプションで構成されている時間も経過している場合、クリーンアッ
プはこのデータを削除します。
時間のクォータの場合、保存されているデータは 1 月で無効になります。他のクォータ管理機能で
は、他の時間間隔もクリーンアップに関連しています。たとえば、警告と許可オーバーライドでは、
許容されているセッション時間が経過する前はクリーンアップを実行することできません。
206
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ネットワークのユーザーが Web にアクセスするためのリクエストを送信すると、これらのリクエストだけではなく、
アプライアンスは Web から返された応答もフィルタリングします。リクエストまたは応答とともに送信される埋め
込みオブジェクトもフィルターされます。
Web フィルタリングはさまざまな方法で実行されます。施行し、変更が可能なルールにより制御されます。アプラ
イアンスのデフォルト フィルタリングには以下が含まれます。
•
ウイルスとマルウェア フィルタリング — 感染される Web オブジェクトへのアクセスをブロックします
•
URL フィルタリング — 特定の URL をもつ Web オブジェクトへのアクセスをブロックします
•
メディア タイプ フィルタリング — 特定のメディア タイプに属する Web オブジェクトへのアクセスをブロッ
クします
グローバル ホワイトリスト登録では、上記のフィルタリング方法のいずれかのルールを適用する前は、Web オブジ
ェクトへのアクセスを許可します。SSL スキャニングは SSL セキュア接続を使用して送信されるリクエストの最終
的なフィルタリングとブロックを有効にします。
目次
ウイルスおよびマルウェアのフィルタリング
URL フィルタリング
メディア タイプ フィルタリング
アプリケーション フィルタリング
ストリーミング メディア フィルタリング
グローバル ホワイトリスト登録
SSL スキャン
ハードウェア セキュリティ モジュール
Advanced Threat Defense
Data Loss Prevention
ウイルスおよびマルウェアのフィルタリング
ウイルスとマルウェアのフィルタリングは、ネットワークのユーザーが感染した Web オブジェクトにアクセスでき
ないことを確認します。フィルタリング プロセスは、感染を検出し、アクセスを適宜、ブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定の Web オブジェクトをさらなるフィルタリングから除外するルールに使用されるホワイトリスト
•
マルウェア対策モジュールは、適切なルールによって呼び出され、Web オブジェクトをスキャンしてウイルス感
染およびその他のマルウェア感染を検出
McAfee Web Gateway 7.4.0
製品ガイド
207
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
フィルタリング ルール
ウイルスおよびマルウェアのフィルター処理を制御するルールは通常、1 つのルール セットに含まれます。このルー
ルセットのキー ルールは、Web オブジェクトがウイルスまたはその他のマルウェアに感染している場合、Web オブ
ジェクトへのアクセスがブロックされるものです。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
ウイルスとマルウェア フィルタリングについてアプライアンスで施行されているルールを見直し、それらを変更また
は削除し、固有のルールを作成することもできます。
デフォルト ルール セット システムが施行されると、ウイルスとマルウェア フィルタリングのルール セットが含ま
れます。その名前は、Gateway Antimalware です。
ホワイトリスト
ホワイトリストは、ホワイトリスト登録ルールを使用することで、特定の Web オブジェクトにブロック ルールをス
キップさせます。このことは、これらのオブジェクトに対してスキャニングが行われないことを意味します。URL 、
メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、ホワ
イトリスト登録ルールに使用させることも可能です。
ブロッキング リストはリストのエントリーではなくマルウェア対策モジュールの検出に依存するため、ブロック リ
ストは通常ウイルスおよびマルウェアのフィルタリングでは使用されません。
マルウェア対策対策モジュール
マルウェア対策モジュールは、マルウェア対策エンジンとも呼ばれます。それはオブジェクトをスキャンし、ウイル
スやその他マルウェアによる感染を検出します。このモジュールの検出に従って、ブロック ルールが Web オブジェ
クトへのアクセスをブロックしたり、通過させたりします。
マルウェア対策モジュールがコールされて実行され、Web オブジェクトをスキャンすると、デフォルトで実行中の
2 つのモジュールを組み合わせます。これらのモジュールは、マルウェア対策モジュールのサブモジュールとして見
られる場合があります。それぞれのサブモジュールは、異なるスキャニング方法を使用します。
2 つのデフォルトのサブモジュールは McAfee Gateway Anti-Malware engine、および McAfee
Anti-Malware engine です。後者は Web オブジェクトの感染を検出するためにウイルス署名を使用します。
しかし、この方法はすでにわかっていて、署名が登録されているウイルスおよびその他のマルウェアのみを検出でき
ます。さらに上位の Web セキュリティを確保するために、McAfee Gateway Anti-Malware エンジンは新しいウイ
ルスやマルウェアを検出するために積極的な方法も使用します。
マルウェア対策モジュールの設定を構成するとき、追加または単独でサードパーティのサブモジュールが実行するよ
うにデフォルト モードを変更できます。
McAfee Gateway Anti-Malware エンジンは場合によっては、Web ページ内の URL に透かしを追加しますが、こ
のページは URL を適切な Web サーバーへ転送したいときには削除する必要があります。透かしを削除するのに適
したルールを持つルール セットは、ルール セット ライブラリで提供されています。
サブモジュールの一時的な過負荷を避けるために、リクエストがスキャニング前に移動されるマルチウェア防止キュ
ーを設定できます。
208
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
ウイルスおよびマルウェアのフィルタリングの構成
このプロセスがネットワークの要件に対応するように、ウイルスおよびマルウェアのフィルタリングを構成すること
が可能です。
以下の高レベル手順を完了します。
タスク
1
ウイルスおよびマルウェアのフィルタリングのルール セットでルールを確認します。
デフォルトでは、これは Gateway Antimalware ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
マルウェア対策モジュールが Web オブジェクトのスキャンのため呼び出されるとき、実行するサブモジュー
ルの組み合わせを変更します。
デフォルトで、この組み合わせには以下のサブモジュールが含まれています。
•
•
McAfee Gateway マルウェア対策
•
McAfee マルウェア対策
マルウェア対策モジュールのその他設定の変更
3
スキャン後に適切な Web サーバーに渡す場合、URL から透かしの削除を構成します。
4
必要に応じてマルウェア対策キューを構成し、Web オブジェクトをスキャンするモジュールの負荷を避けます。
5
変更を保存します。
マルウェア対策モジュールの構成
マルウェア対策モジュールを構成し、Web オブジェクトのウイルスおよびその他マルウェアによる感染をスキャン
する方法変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ウイルスおよびマルウェア フィルタリング用のルールを含むルール セットを選択しま
す。
デフォルトでは、これは Gateway Antimalware ルール セットです。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
McAfee Web Gateway 7.4.0
製品ガイド
209
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
5
ルール条件で、設定名をクリックします。
この名前が Antimalware.Infected プロパティの隣に表示されます。デフォルトで、これは Gateway
Antimalware です。
[設定の編集]ウィンドウが開きます。これはマルウェア対策モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
7
[変更の保存]をクリックします。
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更
マルウェア対策モジュールの設定を構成する場合、Web オブジェクトのスキャンを実行するサブモジュールの組み
合わせを変更できます。
異なるサブモジュールをマルウェア対策モジュール(またはエンジン)の名前で実行し、スキャンを実行できます。
アプライアンスで使用できるサブモジュールは、購入したライセンスによって異なります。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
マルウェア対策設定にアクセスします。
a
ルール セット ツリーで、ウイルスおよびマルウェア フィルタリング用のルールを含むルール セットを選択
します。
デフォルトでは、これは Gateway Antimalware ルール セットです。
このルール セットのルールは設定パネルに表示されます。
b
[詳細を表示]が選択されていることを確認します。
c
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
d
ルール条件で、設定名をクリックします。
この名前が Antimalware.Infected プロパティの隣に表示されます。デフォルトで、これは Gateway
Antimalware です。
[設定の編集]ウィンドウが開きます。これはマルウェア対策モジュールの設定を提供します。
3
[ スキャン エンジンおよび動作の選択] セクションで、以下のサブモジュールの組み合わせの 1 つを選択します。
•
[Full McAfee coverage:推奨される高度な構成] — 選択されると、McAfee Gateway マルウェア対策エンジ
ンおよび McAfee マルウェア対策エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ
このモジュールの組み合わせはデフォルトで有効になっています。
•
[Layered coverage:Full McAfee coverage plus specific Avira engine features – minor performance
impact] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ+ いくつかの Web オ
ブジェクトに対する他社製モジュール機能
210
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
•
[Duplicate coverage:Full McAfee coverage and Avira engine – less performance and more false
positives] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、および他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機
能
•
[Avira のみ:Avira エンジンのみの使用 — 非推奨] — 選択すると、Avira エンジンのみがアクティブになり
ます。
スキャン モードは以下のとおりです。他社製モジュール機能
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
Gateway マルウェア対策ルール セットで作業するとき Avira のみのオプションを選択する場合、設定およびルー
ル セットの名前を変更し、キー設定が変更されたことを示します。
名前の変更は、例えば、Gateway Antimalware(設定およびルール セット)から Avira Anti-Malware(設
定およびルール セット)など。
ルール セットおよび設定の名前を変更する代わりに、追加ルール セットおよび追加設定も作成し、ルールの構成を
必要とするときに利用可能になります。
マルウェア対策設定
マルウェア対策設定は、マルウェア対策モジュールがウイルスまたはその他のマルウェアの感染に対して Web オブ
ジェクトをスキャンする方法を構成するのに使用されます。
スキャン エンジンおよび動作の選択
1 つが感染を検出した場合の、スキャン エンジンと動作の組み合わせを選択する設定
スキャン エンジンは、マルウェア対策モジュールとして一緒に実行するサブモジュールで、Web オブジェクトをス
キャンします。
表 9-1 スキャン エンジンの選択
オプション
定義
[Full McAfee coverage:推
奨される高度な構成]
選択したら、McAfee Gateway マルウェア対策エンジンおよび McAfee マルウェ
ア対策エンジンがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ
このオプションはデフォルトで選択されています。
[Layered coverage:Full
McAfee coverage plus
specific Avira engine
features — minor
performance impact]
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがア
クティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ+ いくつかの Web オブジェクト
に対する他社製モジュール機能
McAfee Web Gateway 7.4.0
製品ガイド
211
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-1 スキャン エンジンの選択 (続き)
オプション
定義
[Duplicate coverage:Full
McAfee coverage and
Avira engine — less
performance and more
false positives]
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、および他社製 Avira エンジンがアクティブになります。
[Avira のみ:Avira エンジン
のみの使用 — 非推奨]
選択すると、Avira エンジンのみがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機能
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
他社製モジュール機能
[エンジンがウイルスを検出
選択されると、ウイルスおよびその他マルウェアの感染が 1 つ検出されてすぐに、
したすぐ後のウイルス スキャ エンジンが Web オブジェクトのスキャンを停止します。
ンの停止]
モバイル コードの動作
モバイル コードの分類時に、リスク レベルを設定するための設定項目
リスク レベルには 60 ~ 100 の値を入力できます。
スキャン方法が極めて厳密に適用されるため、値が小さいほどモバイル コードの振る舞いを積極的にスキャンし、そ
れがマルウェアであることを検出しないリスクが低くなることを意味します。悪質な可能性の条件がわずかしか検出
されない場合であっても、モバイル コードは、マルウェアとして分類されます。
このため、実際には悪質でないマルウェア(「誤検知」)としてモバイル コードが分類される可能性があります。
プロアクティブなセキュリティはより厳密な設定を使って達成されますが、どのモバイル コードが実際に悪質かを判
断する精度は劣ります。その結果、アプライアンスはユーザーに届けたい Web オブジェクトをブロックする場合が
あります。
大きな値ほど、悪意のあるモバイル コードを検出できないリスクが高くなりますが(「非検知」)、モバイルコードを
悪質かそうでないか(少ない「誤検知」)正しく分類することに高い精度が獲得されます。
表 9-2 モバイル コードの動作
オプション
定義
[分類しきい値]
スライダー スケールで上記で説明したようにリスク レベルを設定します。
• 最小値(最大の事前予防効果): 60
• 最大値(最大精度): 100
詳細設定
すべてのスキャン サブモジュールの詳細設定
212
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-3 詳細設定
オプション
定義
[ウイルス対策の事前スキャンを有効にする]
選択すると、スキャンに対する負荷が軽減されるので、サブ
モジュールのパフォーマンスが向上します。
[次の対象にライトウェイト パスを有効にして Web
Gateway のパフォーマンスを向上させる:]
このオプションはデフォルトで選択されています。この
設定は有効にしてください。
• [共通 Web ファイル]
• [共通 Web ファイルと他の危険度低のファイル]
このオプションを選択すると、次の 3 つのオプションが使用
できます。
• [共通 Web ファイル、他の危険度低のファイル、
いずれかのオプションを選択すると、軽量マルウェア スキャ
信頼サイトの Web コンテンツ]
ンを適用するファイルの種類を設定できます。
[選択したオプションに一致したファイルに対して標
3 つ目のオプションがデフォルトで選択されています。
準のマルウェア スキャンを続行しない]
この 3 つのオプションは相互に関連しています。最初のオ
プションを設定すると、残りの 2 つのオプションが無効にな
ります。2 つ目のオプションには最初のオプションが含まれ
ています。3 つ目のオプションは最初のオプションと 2 番
目のオプションが含まれています。
ファイルのダウンロード元が信頼できるサイトかどうか検証
するために、URL フィルター モジュールが使用されます。
ウイルスとマルウェアのフィルタリング情報を更新する
と、ファイル タイプの分類 (安全、稀に攻撃される、信
頼サイトにホスティングされている) が変更される場合
があります。
[GTI ファイル レピュテーション クエリを有効にす 選択すると、Global Threat Intelligence システムから取得
る]
したファイルのレピュテーション情報がスキャン結果に表示
されます。
[ヒューリスティック スキャンを有効にする:]
選択すると、ヒューリスティック スキャンの方法が Web オ
ブジェクトに適用されます。
McAfee Gateway Antimalware の詳細設定
McAfee Gateway マルウェア対策サブモジュールの詳細設定
次のオプションはデフォルトで選択されています。これらの設定は有効にしてください。
表 9-4 McAfee Gateway Antimalware の詳細設定
オプション
定義
[怪しいプログラムの検出を有効 選択されると、Web オブジェクトは怪しいプログラムにスキャンもします。
にする]
[モバイル コード スキャンを有
効にする]
選択されたら、モバイル コードが通常通りにスキャンされます。
個々の設定は、次のモバイル コード タイプをスキャンしますの下で構成されま
す。
[モバイル コード フィルターに 選択されたら、ここで説明されたコンテンツが削除されます。
よって HTML 文書で検出された
コンテンツの削除を有効にする]
McAfee Web Gateway 7.4.0
製品ガイド
213
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-4 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[ヒューリスティック スキャン
を有効にする]
選択すると、McAfee Gateway Anti-Malware エンジンは、Web オブジェクト
をスキャンするために、ペイロード ヒューリスティックと呼ばれる高性能なヒュ
ーリスティックを使用します。
このオプションが有効な場合、スキャン エンジンは、Web ページ内に含まれて
いるダイナミック リンク ライブラリなどの、実行可能ファイルおよび同様の
Web オブジェクトの URL に透かしを追加します。
これらの URL がアプライアンスから適切な Web サーバーに転送される場合、
これらの透かしは削除する必要があります。
ライブラリ ルール セットに含まれるルール内のイベントは、URL を書き換える
ことで、透かしを削除します。ルール セット名はペイロード ヒューリスティッ
ク - 透かしの URL の書き換えです。
このルール セットをインポートしてルール セット ツリーの上部に配置する必
要があります。
オプションを選択すると、この追加要件について通知するメッセージが表示され
ます。
次のモバイル コード タイプをス
キャンします
以下のモバイル コード タイプが選択されたときにスキャンされます。
[Windows の実行可能ファイ
ル]
Web からダウンロードで、または電子メールで受信すると、これらすべての実
行可能ファイルは、カレント ユーザーの全権限で実行するため、起動時に脅威と
なることもあります。
[JavaScript]
JavaScript コードは、Web ページから PDF ドキュメント、ビデオ、HTML フ
ァイルまで、どこにでも仮想的に埋め込むことが可能です。
[Flash ActionScript]
ActionScript コードは、Flash ビデオおよびアニメーションに埋め込まれ、
Flash Player およびそれらすべての機能を備えたブラウザーにアクセスします。
[Java アプレット]
Java アプレットは Web ページに埋め込まれます。有効化されると、デジタル
証明書およびユーザーの選択に基づき、さまざまな権限レベルで実行できます。
[Java アプリケーション]
Java アプリケーションはカレント ユーザーのすべての権限でスタンドアローン
で実行します。
[ActiveX コントロール]
ActiveX コントロールは、Web ページおよび Office 文書に埋め込まれます。有
効化されると、カレント ユーザーのすべての権限で実行します。
[Windows ライブラリ]
これらのライブラリは、通常セットアップ パッケージの実行可能ファイルを伴い
ます。または実行中の実行可能ファイルによって、または不正なコードによっ
て、 Web からダウンロードされます。
[Visual Basic スクリプト]
Visual Basic スクリプト コードは Web ページまたは電子メールに埋め込まれ
ます。
[Visual Basic for
applications]
Visual Basic マクロは Word、Excel、PowerPoint で作成されたオフィス ドキ
ュメントに埋め込まれます。
次の振る舞いをブロックする
次のタイプの振る舞いが選択されると、Web オブジェクトはこの振る舞いがブロックされていることを表示しま
す。
[データの盗難:バックドア]
214
McAfee Web Gateway 7.4.0
攻撃者のリモートからのフル アクセス、および既存の、または新しく作成された
ネットワーク チャネルによる被害者のシステムへのコントロールを許可する不
正なアプリケーション。
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-4 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[データの盗難:キーロガー]
キー操作を記録し保存するために、オペレーティング システムに接続する不正な
アプリケーション。
パスワードなどの取得した情報は、攻撃元に送られます。
[データの盗難:パスワードの盗
用]
システム設定、機密データ、認証情報、ユーザー認証のデータなどの重要な情報
を収集、保存、漏えいする不正なアプリケーション。
[システム侵害:コード実行のエ
クスプロイト]
ブラウザー、Office プログラム、またはマルチメディア プレーヤーなどのクラ
イアント アプリケーションの脆弱性を攻撃されると、攻撃対象システムで任意の
コードが実行される可能性があります。
[システム侵害:ブラウザー エク
スプロイト]
ブラウザー アプリケーションおよびプラグインの脆弱性を攻撃されると、任意の
コードが実行される、機密データが盗難される、または権限が引き上げられる可
能性があります。
[システム侵害:トロイの木馬]
無害または有益なアプリケーションを装っているが実際には破壊活動を行う、不
正なアプリケーション。
[ステルス活動:ルートキット]
オペレーティング システムを操作し、感染したシステムのマルウェアの存在を隠
す不正なアプリケーションまたはデバイス ドライバー。
乗っ取られた後は、マルウェアのプロセスに属するファイル、レジストリ キー、
ネットワーク接続が不可視化し、回復するのが困難になる可能性があります。
[ウイルス複製:ネットワーク ワ
ーム]
電子メール、インターネット、ピアツーピア ネットワークを使用するか、また
は USB ドライバーなどのリムーバブル メディアに自身をコピーすることによ
り、自己複製する不正なアプリケーションまたはデバイス ドライバー。
[ウイルス複製:ファイル感染型
ウイルス]
新しく感染したホスト ファイルを介して拡散させるウイルス コードを埋め込
む、ハードディスク上の既存のファイルに感染する自己複製アプリケーション。
[システム侵害:トロイの木馬ダ
ウンローダー]
Web から他のペイロードをダウンロードして実行する不正なアプリケーショ
ン、またはスクリプト コード。
[システム侵害:トロイの木馬ド
ロッパ]
隠れたペイロードを運び、解凍しその実行を起動する不正なアプリケーション。
[システム侵害:トロイの木馬プ
ロキシ]
侵害されたシステムを介して悪意のある可能性のある隠れたネットワーク活動
がリレーされる不正なアプリケーション。
[Web 脅威:感染サイト]
挿入された不正なスクリプト コードを含む Web サイト、または他の不正なコー
ドがブラウザーで開かれるとすぐにそれを要求する Web サイト。
最初の感染は、Web サーバーに対する SQL インジェクション攻撃により発生す
る可能性があります。
[ステルス活動:コード挿入]
コードを、他の、多くの場合正当なプロセスにコピーするアプリケーション、各
自の権限と信頼の乗っ取りを引き起こす。
侵害したシステムでその存在を隠し検出を回避しようとするマルウェアで、通常
用いられる手法です。
[検出の回避:難読化されたコー
ド]
高度にスクランブルがかけられた暗号化コードから構成されているアプリケー
ション、不正なコード部分が検出されにくい。
[検出の回避:パックされたコー
ド]
実行時のパッカーまたはプロテクターによって圧縮された内容を持つアプリケ
ーション。この変更により内容の見え方が変わるため、分類することが困難で
す。
[望ましくない可能性:アドウェ
ア/スパイウェア]
迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
McAfee Web Gateway 7.4.0
製品ガイド
215
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-4 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[望ましくない可能性:アドウェ
ア]
迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
[データの盗難:スパイウェア]
ユーザーの活動や動作を追跡して解析し、機密データを盗み、このデータを攻撃
者のサーバーに漏えいするアプリケーション。
[望ましくない可能性:ダイヤラ
ー]
費用のかかるネットワーク接続を介して、ポルノ画像などのコンテンツにアクセ
スさせるアプリケーション。
[Web 脅威:脆弱な ActiveX コ
ントロール]
脆弱性の可能性のあるブラウザー以外での利用を制限され、Web ページに表示
される ActiveX コントロール。
[望ましくない可能性:不審なア
クティビティ]
標準ではない、または完全には信頼されない動作を示す不正なコード。
[Web 脅威:クロスサイト スク
リプティング]
クッキーなどのユーザーのデータを盗むため、ブラウザーまたは Web アプリケ
ーションのアクセス制御の脆弱性を攻撃する不正なスクリプト。
[望ましくない可能性:詐欺行為]
誤解を招くメッセージ、コードの欠落トリック、および虚偽のアラート。
これらの脅威により、システムがスパイウェアに感染していることを知らされ、
駆除のために偽の AV アプリケーションが案内されます。
[望ましくない可能性:リダイレ
クター]
Web サイトから他の Web サイト (不正な場所) へアクセスを転送するリダイ
レクト コード。
この動作は、多くの場合、以前に正当な Web サイトで感染したことが原因です。
[望ましくない可能性:ダイレク
ト カーネル通信]
ルートキットをインストールしたり、システムを不安定化したりしようとする、
Windows カーネルと直接通信するアプリケーション、またはカーネル モードの
アプリケーション。
[望ましくない可能性:プライバ
シーの侵害]
クリップボードの内容の盗聴、またはレジストリ キーの読み取りが引き起こされ
る可能性がある、重要なデータ、または個人情報にアクセスする不正なコード。
ネットワーク動作および DLP
不明なブラウザー、望ましくないプログラム、およびデータ漏えいに対処する設定。
[実行可能ファイルのダウンロー これを選択すると、不明なブラウザーで送信された実行可能ファイルのダウンロ
ド時に不明なブラウザーを禁止 ード要求がブロックされます。
する]
[PUP が送信した要求をブロッ
クする]
これを選択すると、望ましくない可能性のあるプログラム (PUP) によって送信
された要求がブロックされます。
• [P 危険性が値以上の場合、怪しいプログラム (PUP) で送信された要求として
処理 ] — 望ましくない可能性のあるプログラムによって送信された要求に分
類するための危険性(パーセント単位)を設定するスライダー スケール。
[未承諾の POST の検出]
これを選択すると、データ漏洩を招く未承認 POST 要求が検出されます。
メディア ストリームのスキャン
Web Gateway ではチャンク単位でメディア ストリームがスキャンできます。これにより、ストリーミング メディ
アのダウンロードが高速になります。ストリームのスキャンが完了するまで待つ必要はありません。
このスキャンは、McAfee Gateway マルウェア対策エンジンのメディア ストリーム スキャナーが実行します。スト
リーム メディアはチャンク単位でスキャンされ、ダウンロードを要求したクライアントに配信されます。チャンク内
で感染が検出されると、ダウンロードが停止します。感染チャンクと残りのストリーミング メディアは配信されませ
ん。
216
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
このスキャンを実行するメディア ストリーム スキャナーは、McAfee Gateway マルウェア対策エンジンのプロアク
ティブ機能を使用します。McAfee マルウェア対策エンジンと Avira エンジンも Web オブジェクトのウイルスや
マルウェアを検出するように設定できますが、メディア ストリーム スキャナーがアクティブ状態の場合、これらの
エンジンは使用されません。
デフォルトのルール セットに含まれているゲートウェイ マルウェア対策ルール セットのルールに一致すると、この
スキャナーが開始します。ストリーム ディテクター モジュールが、ダウンロード要求で Web Gateway に送信され
た Web オブジェクトがストリーミング メディアであることを検出すると、このルールが適用されます。
ルール セットの処理が停止すると、Web オブジェクトの感染をスキャンする残りのルールは処理されません。
ストリーム ディテクターが Web オブジェクトをストリーミング メディアとして認識しないと、ルールは適用され
ません。残りのルールが処理され、設定に従って Web オブジェクトがスキャンされます。
マルウェア対策キュー
ウイルスやその他マルウェアによる感染に対して、Web オブジェクトをスキャンするモジュールの負荷を避けるた
めには、アクセスをリクエストして、Web オブジェクトは処理される前にキューに移動されます。
このキューはマルウェア対策キューと呼ばれています。リクエストがアプライアンスで受け取られた場合、プロキシ
モジュールのワーキング スレッドによってこのキューに移動します。これは、その他のスレッドによって取り出され
るまで残り、スキャン モジュールの 1 つのスレッドに送信されます。
同じくリクエストが送信された Web サーバーから受け取った応答に適用されます。
リクエストを配信するワーキング スレッドおよびスキャン モジュールへの応答は、スキャン アクティビティを実行
するモジュールによって使用されるものと同様に、マルウェア対策ワーキング スレッドと呼ばれています。
マルウェア対策キューを構成するとき、以下を指定できます。
•
利用可能なマルウェア対策ワーキング スレッドの数
•
マルウェア対策キューのサイズ
•
キューに存在するリクエストおよび応答の最大時間
マルウェア対策キューへのリクエストおよび応答の移動は、短時間で発生する負荷のピークを避けるための解決策にな
ります。永久的な負荷は、その他の検査によって対処される必要があります。
マルウェア対策キューの構成
マルウェア対策キューの設定を構成し、スキャン モジュールの負荷を避けることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、マルウェア対策キューをオンにするアプライアンスを選択して、[マルウェア対策]を
クリックします。
マルウェア対策キューの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
217
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
マルウェア対策システム設定
マルウェア対策システム設定は、マルウェア対策キューの構成に使用されます。
グローバル マルウェア対策設定
マルウェア対策キューの設定
表 9-5 グローバル マルウェア対策設定
オプション
定義
[AV スキャンのスレッド
数]
アプライアンスで利用可能なマルウェア対策ワーキング スレッドの数を設定します。
ここで指定する数は、リクエストを送信するスレッドの両方に適用され、スキャン モ
ジュールのスレッドおよびスキャン モジュール スレッド自体に応答します。
たとえば、25 を指定した場合、送信用の 25 のスレッドとスキャン用の 25 のスレッ
ドが存在します。
[キュー内のジョブの最大
数]
スキャン モジュールのジョブとして、マルウェア対策キューに移動できるリクエスト
数または応答数を制限します。
[削除する前に、キューに
スキャン ジョブが存在す
る秒数]
スキャンに送信しなかった場合、リクエストまたは応答がマルウェア キューから削除
する前に経過する時間(秒)を制限します。
マルウェア対策の透かしを削除する
ユーザーのリクエストを適切な Web サーバーに渡す場合、McAfee Gateway Anti-Malware(MGAM)エンジンに
よって URL に追加された透かしは削除する必要があります。Web オブジェクトのスキャンに特別な種類のヒュー
リスティックを使用するいくつかの場合に、モジュールによってこのような透かしが追加されます。
モジュールでペイロード ヒューリスティックと呼ばれるこれらのヒューリスティックを使用させるには、マルウェア
対策の設定オプションを有効にする必要があります。リンクがダイナミック リンク ライブラリなどの実行可能ファ
イルおよび同様の Web オブジェクトの URL にアクセスを提供する場合、モジュールが次の実行するアクティビテ
ィの 1 つとして、Web ページのリンクに属する URL への透かしの追加があります。
ただし、Web サーバーにオブジェクトがアクセスするには、アプライアンスがリクエストを転送する前に、追加さ
れた透かしは問題となる URL から削除する必要があります。そうしなければ、Web サーバーは URL を処理できな
い可能性があります。
URL を書き換えることによって削除を実行します。ルール内のイベントによって、透かしが検出され、その URL が
書き換えられます。透かしが検出されない場合、URL は変更されません。ルールは、ルール セット ライブラリで提
供されるルール セットに含まれます。
透かしを追加してペイロード ヒューリスティックをサポートする
McAfee Gateway Anti-Malware エンジンは、アプライアンスでオブジェクトにアクセスするリクエストが受け取
られて処理される場合に、Web ページ内の実行可能ファイルおよび同様のオブジェクトの URL に透かしを追加しま
す。Web サーバーによってオブジェクトが後でアプライアンスに送信される場合、ウイルスおよびその他マルウェ
アによる感染のために同じモジュールによってスキャンされます。
オブジェクトにアクセスするリクエストが受け取られると、オブジェクトの URL に透かしが適用されるので、スキ
ャン モジュールによって、いくつかの種類の自動プログラムではなく、ユーザーによるリクエストに応えてオブジェ
クトが送信されることが認識されます。この情報は、オブジェクトをスキャンして不正なものまたは不正でないもの
として分類するときにモジュールが使用するペイロード ヒューリスティックにとっては重要です。
218
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
透かしを削除するアクティビティ
透かしの削除を実装するには、提供されるライブラリ ルール セットをインポートして、ルール セット ツリーの上部
に配置する必要があります。これにより、URL の透かしは処理の最初に確実に削除されるので、ルール セットの停
止やサイクルの停止などのアクションを含む後のルールによって削除はスキップできません。
ユーザー インターフェースのペイロード ヒューリスティックを使用するオプションを選択すると、ルール セットに
ついてユーザーに通知するメッセージが表示されます。
マルウェア対策の透かしの削除を構成する
McAfee Gateway Anti-Malware エンジンによって URL に追加されたマルウェア対策の透かしの削除を構成でき
ます。
透かしは、[ペイロード ヒューリスティックを有効にする]オプションが有効な場合のみ、URL に追加されます。こ
のオプションを選択すると、削除についてユーザーに通知するメッセージが表示されます。
タスク
1
透かしを削除するため、ライブラリ ルール セットをインポートします。
a
[ポリシー ] 、 [ルール セット ]を選択します。
b
[追加]をクリックして、[ライブラリからのルール セット]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
c
ルール セット ライブラリ ツリーで、[Gateway Anti-Malware]を展開し、[ペイロード ヒューリスティッ
ク - 透かしの URL の書き換え]を選択して、[OK]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示
されます。
2
ルール セットをルール セット ツリーの上部に移動します。
これで、ルール セットのルールのみのイベントは、透かしを削除するために透かしを適用した URL を書き換えま
す。
ペイロード ヒューリスティック - 透かしの URL の書き換え
ペイロード ヒューリスティック - 透かしの URL の書き換えルール セットは、McAfee Gateway Anti-Malware エ
ンジンによって追加された URL から透かしを削除するためのライブラリ ルール セットです。
デフォルト ルール セット – ペイロード ヒューリスティック - 透かしの URL の書き換え
条件 — Always
サイクル - Requests(and IM)
ルール セットには、以下のルールが含まれます。
透かしの URL の書き換え
Always –> Continue – AntiMalware.MGAM.RewriteWatermarkedURL
マルウェア対策の透かしを含んでいることが検出された場合、ルールで、
AntiMalware.MGAM.RewriteWatermarkedURL イベントを使用し、URL を書き換えます。それ以外の場
合、イベントによって URL は変更されません。
透かしは、スキャンにより、ダイナミック リンク ライブラリなどの、実行可能ファイルおよび同様の Web オブジ
ェクトへのリンクになると、McAfee Gateway Anti-Malware エンジンによって URL に追加されます。
透かしは、URL が適切な Web サーバーを通過する前に削除される必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
219
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
ゲートウェイ マルウェア対策ルール セット
ゲートウェイ マルウェア対策ルール セットは、ウイルスとマルウェアのフィルタリングを行うデフォルト ルール セ
ットです。
デフォルト ルール セット - ゲートウェイ マルウェア対策
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには、以下のルールが含まれます。
User-Agent が User Agent ホワイトリストに一致する場合に許可する
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
このルールは、Header.Request.Get プロパティを使用して、要求のヘッダーと一緒に送信される User-Agent
情報を確認します。
問題のユーザー エージェントが指定したホワイトリストにある場合、ルール セットの処理が停止し、ルール セッ
トの最後にあるブロック ルールが処理されません。
プロパティのパラメーターで、ルールの処理時にユーザー エージェント情報を確認する必要があることを指定しま
す。
このルールは、デフォルトでは有効になっていません。
ホワイトリストの登録にこのルールだけを使用すると、クライアントは任意のユーザー エージェントを設定できるた
め、セキュリティ上の問題が発生します。
マルウェア対策 URL ホワイトリストで一致する URL ホストを許可する
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
このルールは、URL.Host プロパティを使用して、指定した URL が特定のホワイトリストに登録されているかど
うかを確認します。
一致する場合、ルール セットの処理が停止し、ルール セットの最後にあるブロック ルールが処理されません。
URL のホストが既知の Web サービスに関連し、ウイルスなどのマルウェアを拡散する可能性がない場合、このル
ールを使用して Web トラフィックをフィルタリングから除外できます。
ホワイトリストに登録すると、登録された Web オブジェクトのスキャンが実行されないため、パフォーマンスが
向上します。
HTTP 要求で部分的なコンテンツを削除
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR
Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”)
このルールは、Cycle.TopName プロパティと Connection.Protocol プロパティを使用し、現在の処理サイ
クルが要求サイクルかどうか、要求が HTTP または HTTPS モードで送信されているかどうかを確認します。
条件に一致する場合、Header.RemoveAll イベントが、部分的なコンテンツを要求している指定部分を削除し、
要求を変更します。コンテンツ全体に対する要求が関連する Web サーバーに転送され、このサーバーから Web オ
ブジェクトのすべてのコンテンツがアプライアンスに送信され、処理されます。
たとえば、完全なアーカイブを開いてスキャンを実行し、ウイルスなどのマルウェアを検出することができます。
ファイルを部分的にスキャンする場合、ファイル全体を複数の部分に分けて配信される悪質なコンテンツを見逃す
可能性がありますが、ファイル全体のスキャンを実行すると、このような脅威を検出することができます。
続行アクションは、次のルールの処理を開始します。
FTP 要求で部分的なコンテンツ要求をブロックする
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND
Command.Categories contains “Partial” –> Block<Partial Content Not Allowed>
220
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
このルールは、Cycle.TopName、Connection.Protocol、Command.Categories プロパティを使用して、
現在の処理サイクルが要求サイクルであり、要求が FTP モードで送信されているかどうか確認します。さらに、
FTP 転送のコマンド カテゴリに Partial という文字列が含まれているかどうか確認します。
これにより、Web Gatway は部分的なコンテンツを要求する FTP 要求を検出し、ブロックします。
HTTP または HTTPS 要求の場合と異なり、部分的なコンテンツを要求する FTP 要求は、完全なコンテンツを要求
するように変更することはできません。ただし、HTTP と HTTPS 要求をブロックするルールで説明したように、
アプライアンスで部分的なコンテンツが承諾されると、セキュリティ上の問題が発生する可能性があります。
アクションの設定で、要求を送信したユーザーへのメッセージを指定します。
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ストリーム スキャナーを開始する
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming
Detection> equals true –> Stop Rule Set – Enable Media Stream Scanner
このルール セットは、Cycle.Name プロパティを使用して、応答サイクルの処理かどうかを確認します。さらに、
StreamDetector.IsMediaStream プロパティを使用して、Web Gateway への応答で送信された Web オブ
ジェクトがストリーミング メディアかどうかを確認します。
両方の条件に一致すると、ルール セットの処理が停止します。残りのルールは処理されず、イベントによってメデ
ィア ストリーム スキャナーが開始します。
ウイルスを検出したらブロック
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、指定した Web オブジェクトがウイルスなどの
マルウェアに感染しているかどうかを確認します。
オブジェクトをスキャンするためにマルウェア対策モジュールが呼び出されると、このプロパティの指定に従い、
ゲートウェイ マルウェア対策の設定で実行されます。これらの設定により、モジュールは 3 つのサブモジュールと
そのメソッドをすべて使用し、Web オブジェクトをスキャンします。
モジュールが Web オブジェクトの感染を検出すると、すべてのルールの処理が停止し、オブジェクトはこれ以上
転送されません。アクセスはこのようにブロックされます。
要求サイクルでは、感染 Web オブジェクトが Web に転送されません。応答サイクルと埋め込みオブジェクト サ
イクルでは、要求を送信したユーザーにオブジェクトは転送されません。
アクションの設定で、このユーザーに対するメッセージを指定します。
このルールは、イベントを使用して、ウイルスなどのマルウェア感染によるブロックをカウントします。
イベント パラメーターには、インクリメントするカウンターとインクリメントを指定します。イベントの設定で
は、統計モジュールの設定を指定します。これによりカウントが実行されます。
URL フィルタリング
URL フィルタリングは、URL にネットワークのユーザーをアクセスさせたくない場合は、アクセスできないように
します。フィルタリング プロセスは、カテゴリー情報とレピュテーション スコアを使用し、適宜、アクセスをブロ
ックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
URL をフィルタリングから除外し、その他をブロックするためのルールに使用されるホワイトリストとブロック
リスト
•
URL カテゴリーに関する情報と Web レピュテーション スコアを Global Threat Intelligence システムから取
得するための適切なルールによって呼び出される URL フィルター モジュール
McAfee Web Gateway 7.4.0
製品ガイド
221
9
Web フィルタリング
URL フィルタリング
フィルタリング ルール
URL フィルター処理を制御するルールは URL フィルタリング ルール セットに含まれています。これらのうち、た
とえば、ブロック リストのエントリーに一致する場合、URL へのアクセスがブロックされる、というルールがあり
ます。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
ホワイトリスト登録ルールは、ルールが使用しているリストのエントリーに一致する URL をフィルタリングから除
外します。このルールはブロック ルールの前に配置され、処理されます。適用されると、ブロック ルールがスキッ
プされ、ホワイトリストに登録された オブジェクトに対して URL フィルタリングは行われません。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが施行されると、ウイルスとマルウェア フィルタリングのルール セットが含ま
れます。その名前は、URL フィルタリングです。
ホワイトリストとブロック リスト
ホワイトリストはホワイトリスト登録ルールによって使用され、特定の URL にブロック リストをスキップさせま
す。これは、これらのオブジェクトに対して URL フィルタリングが行われないことを意味します。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
URL フィルタリングのルール セットは URL フィルタリングのみを処理し、ホワイトリストはウイルスおよびマルウ
ェアのフィルタリングに含まれているため、一部の種類のオブジェクトには必要ありません。
ブロック リストは属するカテゴリーによって、またはリストのエントリーに一致するという理由から、URL をブロ
ックするルールに使用されます。ブロック ルールはそれぞれ固有のリストを使用します。
フィルター モジュール
URL フィルタリング用のモジュール(エンジンとも呼ばれる)は URL カテゴリーに関する情報とレピュテーショ
ン スコアを McAfee がメンテナンスしている Global Threat Intelligence システムから取得します。この情報を
もとに、ブロック ルールが URL へのアクセスをブロックします。
リンク クローラー、セキュリティ フォレンジック、ハニーポット ネットワーク、高度な自動評価ツール、カスタマ
ー ログといった様々な技術がこの情報を収集するために使用されます。McAfee の Web アナリストによる国際的
な多言語チームが情報を評価し、特定のカテゴリーのもと URL をデータベースに入力します。
URL 評価に関する情報を収集するため、その動作が世界規模でリアルタイムに分析されています(例、URL が Web
のどこに表示されるか、そのドメイン動作やその他詳細)。
たとえば、提供する拡張リストから取得したカテゴリー情報を含める、または URL の DNS 参照を行い、カテゴリ
ー情報検索の関連する IP アドレスを含めるなど、このモジュールの設定事項を設定できます。
URL フィルタリングの構成
URL フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
URL フィルタリングのルール セットでルールを確認します。
デフォルトでは、これは URL フィルタリング ルール セットです。
222
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
2
9
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ブロック ルールとホワイトリスト ルールを有効または無効にする
•
これらのルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
URL フィルター モジュールの設定を変更する
変更を保存します。
URL フィルター モジュールの設定
URL フィルター モジュールを構成し、URL カテゴリおよびレピュテーション スコアの情報を Global Threat
Intelligence システムから取得する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリングのためにルール セットを選択します。
デフォルトのルール セット システムで、URL フィルタリングのルール セットがコンテンツのフィルタリングの
ルール セットでネストされます。
設定パネルにルールが表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
カテゴリ ブロック リストを使用するルールを検索します。
デフォルトで、これはカテゴリ ブロックリストに存在するカテゴリを持つ URL をブロックするです。
5
ルール条件で、設定名をクリックします。
この名前が URL.Categories プロパティの隣に表示されます。デフォルトで、これは Default です。
[設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
URL フィルターー設定
URL フィルターー設定は URL フィルターー モジュールが Global Threat Intelligence システムから情報を取得
する方法を設定するために使用されます。
拡張リスト
拡張リストの設定
McAfee Web Gateway 7.4.0
製品ガイド
223
9
Web フィルタリング
URL フィルタリング
表 9-6 拡張リスト
オプション
定義
[拡張リストを使用]
拡張リストを選択するためのリストを提供します。
[追加]
拡張リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
[リストの編集(拡張リスト)]ウィンドウが開き、選択した拡張リストを編集します。
レーティング設定
カテゴリーとレピュテーション スコアをもとに、URL に関するレーティング情報を取得するための設定。
表 9-7 レーティング設定
オプション
定義
[レーティングの CGI パラメ
ーターを検索する]
これが選択されると、CGI パラメーターが情報の検索に含まれます。
URL がアクセスされた場合の URL トリガー スクリプトまたはプログラムの CGI
パラメーター。URL を分類する際に、CGI の情報が考慮されます。
[埋め込み URL の検索および これが選択されると、埋め込み URL は情報の検索に含まれ、評価されます。
評価]
埋め込み URL を分類する際に、埋め込み URL の情報が考慮されます。
埋め込み URL の検索はパフォーマンスを低下させる場合があります。
[URL を評価するために DNS これを選択すると、関連情報が見つからなかった URL に対して DNS 参照が実行さ
前方参照を行う]
れます。
参照された IP アドレスは別の検索で使用されます。
[未評価 IP ベース URL の逆
方向 DNS 参照を行う]
これを選択すると、関連情報が見つからなかった URL に対して、その IP アドレス
をもとに逆方向 DNS 参照が実行されます。
参照されたホスト名は別の検索で使用されます。
[組み込みキーワード リスト
を使用する]
これを選択すると、組み込みのキーワード リストが検索に含まれます。
[オンラインの GTI Web レ
ピュテーションと分類サービ
スのみを使用する]
選択すると、 Global Threat Intelligence システムから URL カテゴリーとレピュ
テーション スコアの情報のみを取得します。
[ローカルの評価に結果がない これを選択すると、内部データベースに結果がない場合、 Global Threat
場合、オンラインの GTI Web Intelligence システムから URL カテゴリーとレピュテーション スコアの情報の
レピュテーションと分類サー みを取得します。
ビスを使用する ]
[Web レピュテーションと分
類サービスにデフォルトの
GTI サーバーを使用する]
これを選択すると、アプライアンスがデフォルト サーバーに接続して、Global
Threat Intelligence システムから URL カテゴリーとレピュテーション スコアの
情報を取得します。
• [サーバーの IP ]— デフォルト サーバーを使用しない場合、Global Threat
Intelligence システムに接続するために使用するサーバーの IP アドレスを指定
します。
形式:<ドメイン名>または <IPv4 アドレス> または <IPv6 アドレスにマップ
される IPv4 アドレス>
正規の IPv6 アドレスはここでは指定できません。
• [サーバーのポート]— アプライアンスからのリクエストをリスンするこのサー
バーのポートのポート番号を指定します。
許容範囲: 1–65535
224
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
詳細設定
URL フィルター モジュールの詳細設定
表 9-8 詳細設定
オプション
定義
[クラウドへの接続問 選択すると、アプライアンスから Global Threat Intelligence サーバーへの接続で発生す
題をエラーとして処理 る問題がエラーとしてログに記録されます。
する]
エラー処理のプロパティが設定され、最終的にはエラーハンドラーのルール セットからル
ールが実行されます。
[プライベート アドレ これを選択すると、プライベート IP アドレスが DNS 逆方向参照に含まれます。
スでも逆方向 DNS 参
このアドレスを参照から除外すると、URL フィルタリングのパフォーマンスが向上します。
照を行う]
このオプションはデフォルトでは無効になっています。
参照には次のタイプのアドレスが含まれます。
• IPv4
• プライベート アドレス
• Zeroconf アドレス
• IPv6
• リンク ローカル アドレス
• サイト ローカル アドレス
• ユニーク ローカル アドレス
アプライアンスが Global Threat Intelligence™ システムに接続するために使用できるプロキシを構成するための
設定
表 9-9 プロキシ設定
オプション
定義
[アップストリーム プロ これを選択すると、アプライアンスは Global Threat Intelligence サーバーに接続する
キシを使用]
ためにプロキシを使用し、そこで「クラウド内」参照と呼ばれる URL カテゴリー情報を
参照することができます。
[プロキシの IP または
名前]
プロキシの IP アドレスまたはホスト名を指定します。
[プロキシのポート]
アプライアンスからのリクエストを参照するためにリスンするプロキシ上のポート番号
を指定します。
[ユーザー名]
プロキシにログオンするときのアプライアンスのユーザー名を指定します。
[パスワード]
アプライアンスのパスワードを設定します。
[設定]
パスワードを設定するためのウィンドウを開きます。
URL フィルタリングのアクティビティをアプライアンスにログするための設定
McAfee Web Gateway 7.4.0
製品ガイド
225
9
Web フィルタリング
URL フィルタリング
表 9-10 ログ
オプショ
ン
定義
[ロギン
グを有効
にする]
これを選択すると、URL フィルタリングのアクティビティがアプライアンスにログされます。
[ログ レ
ベル]
ログ レベルを選択するためのリストを提供します。
このオプションが選択されていない場合、次のログ オプションは灰色表示されます。
ログには次のレベルがあります。
• 00 緊急 — 緊急のエラーのみログに記録します。
• 01 エラー — すべてのエラーをログに記録します。
• 02 警告 — エラーと警告をログに記録します。
• 03 情報 — エラー、警告、追加情報をログに記録します。
• 04 デバッグ 1 ...013 デバッグ 9 — URL フィルタリング アクティビティをデバッグするのに必要
なログ情報。
ログされた情報量はレベルがデバッグ 1 から デバッグ 9 に増加します。
• 14 追跡 — URL フィルタリング アクティビティを追跡するのに必要なログ情報。
• 15 すべて — すべての URL フィルタリング アクティビティをログ
(ログ領
域)
URL フィルタリング アクティビティのさまざまな領域をログに含めるためのオプション セットを提供
します。
• [LOG_AREA_ALL] — 選択すると、すべての URL フィルタリング アクティビティがログに記録され
ます。
• [LOG_AREA_NETWORK] — 選択すると、URL フィルタリングに使用するネットワーク接続に関す
るアクティビティがログに記録されます。
• [LOG_AREA_DATABASE_SEARCH] — 選択すると、内部データベースからの URL フィルタリング
のデータ取得に関するアクティビティがログに記録されます。
• [LOG_AREA_DNS] — 選択すると、URL フィルタリングのために実行される DNS 参照に関するア
クティビティがログに記録されます。
• [LOG_AREA_URL] — 選択すると、解析など URL 処理のアクティビティがログに記録されます。
• [LOG_AREA_CLOUD] — 選択すると、 Global Threat Intelligence システムからの情報取得に関
するアクティビティがログに記録されます。
Dynamic Content Classifier を使用する URL フィルタリング
URL は Dynamic Content Classifier によりフィルタリングするためにカテゴリ化できます。
DCC(Dynamic Content Classifier)が、ローカル データベースと Global Threat Intelligence サービスに加え
て、URL に関するカテゴリ情報の別のソースとして提供されます。
ほかの 2 つのソースを含む URL カテゴリ情報を参照した時に結果が示されなかった場合に、この Dynamic
Content Classifier の使用を設定できます。
226
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
Dynamic Content Classifier の使用を構成する
その他の検出メソッドで何も見つからない場合に、URL カテゴリを検出するために Dynamic Content Classifier
の使用を構成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリングのためのルールにルール セットを選択します。
デフォルト ルール セット システムで、これは、たとえば[URL フィルタリング]ルールセットです。
設定パネルにルールが表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
Dynamic content Classifier の使用を構成する URL カテゴリを扱うためのルールを選択します。
URL フィルタリング ルール セットで、これはたとえば、[カテゴリ ブロックリストに存在するカテゴリを持つ
URL をブロックする]ルールです。
5
ルール条件の URL フィルター モジュールの設定をクリックします。
サンプル ルールで、これらは、条件[URL.Categories <Default> at least one in list Category BlockList]の
[Default]設定です。
[設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。
6
[評価設定]で、[Enable the Dynamic Content Classifier if GTI web categorization yields no results(GTI
Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする)]が選択さ
れていることを確認します。
7 [オプション]Dynamic Content Classifier が検出する URL カテゴリのリストを編集します。
a
リスト[Categories that will be dynamically detected(動的に検出されるカテゴリ)]の上で、[編集]アイ
コンをクリックします。
[編集]ウィンドウが表示されます。
b
[DCC カテゴリ]の下で、[サポートされるカテゴリ]フォルダーを展開します。
c
必要に応じて、URL カテゴリを選択および選択解除します。
d
[OK]をクリックします。
[編集]ウィンドウが閉じると、選択したカテゴリがリストに表示されます。
[削除]記号をクリックしてリストから URL カテゴリを削除し、開いたウィンドウを確認します。
8
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
9
[変更を保存]をクリックします。
Dynamic Content Classifier には、Web アクセスのリクエストで送信される URL が構成された URL カテゴリの
1 つに分類されるかどうかを検出することが含まるようになりました。
McAfee Web Gateway 7.4.0
製品ガイド
227
9
Web フィルタリング
URL フィルタリング
固有の URL フィルター データベースの使用
URL フィルタリングは、固有のデータベースから取得される情報を使用して実行されます。
Web Gateway アプライアンスの URL フィルタリングは、URL が該当するカテゴリとそれらに割り当てる Web レ
ピュテーション スコアに関する情報を使用します。この情報は URL フィルタリングのモジュールの設定が構成さ
れる方法に応じて、ローカルの URL フィルター データベース、Global Threat Intelligence システム、または
Dynamic Content Classifier から取得されます。
ローカル データベースの情報は、Global Threat Intelligence システムにより特定の URL に対してカテゴリと
Web レピュテーション スコアが判別された後で、それらを保管した結果です。ローカル データベースの参照で結果
がえられない場合、2 つの情報ソースは追加で使用できます。
ローカル データベースの代わりに、URL カテゴリと Web レピュテーション スコアの情報を含む固有のデータベー
スを使用できます。ローカル データベースを置換するためには、集中管理設定を構成するときに自分のデータベース
が常駐するサーバーの URL を指定する必要があります。
URL フィルタリング情報を取得するために最初に検索されるソースとして自分のデータベースを使用できますが、ほ
かの 2 つのソースを無効にして、データベースに保管された情報を使用するフィルタリング プロセスを制限できま
す。
固有の URL フィルター データベースの使用を構成する
固有のデータベースから URL フィルタリング情報を取得するためには、集中構成設定の一部として、このデータベ
ースの使用を構成します。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、データベース情報を使用するアプライアンスを選択して、[集中管理]をクリックしま
す。
3
[詳細な更新設定]まで下にスクロールします。
4
[アップデート サーバーの特別なカスタマー パラメーターを入力する]フィールドで、データベースが常駐するサ
ーバーの URL を入力します。
5
[変更を保存]をクリックします。
アプライアンスの URL をフィルタリングするためにデータベースが使用されるときには、ローカル データベースか
らではなく、自分のデータベースから取得されます。
フィルタリング プロセスを自分のデータベースに保管された情報に制限するために、URL フィルタリング情報のほ
かのソースを追加で無効にすることができます。
URL フィルタリングをデータベース情報に制限する
URL フィルタリングのデータベース情報のみを使用するには、Global Threat Intelligence システムと Dynamic
Content Classifier の使用を無効にします。
自分の URL フィルター データベースの使用を構成する場合、フィルタリング情報がこのデータベースからのみ取得
されます。
タスク
228
1
[ポリシー] 、 [設定]を選択します。
2
[エンジン] 、 [URL フィルター]の下で、情報ソースを無効にする URL フィルター設定を選択します。
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
3
4
[評価設定]の下で、次の 2 つのチェックボックスの選択を順に解除します。
•
[GTI Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする]
•
[ローカルの評価に結果がない場合、オンラインの GTI Web レピュテーションとカテゴライゼーション サー
ビスを使用する]
[変更を保存]をクリックします。
IFP プロキシを使用した URL フィルタリング
IFP プロトコルの下で送信される Web アクセスに対するリクエストで、URL フィルタリングを実行できます。
このようなリクエストで URL フィルタリングを実行するには、以下の手順が必要です。
•
IFP プロキシをセットアップします。
•
適したフィルタリング ルールを実装します。
IFP リクエストのフィルタリング アクティビティは、ユーザー インターフェースのダッシュボードで表示されます。
接続追跡はこれらのアクティビティにも実施できます。
IFP プロキシをセットアップする
IFP プロトコルの下でユーザーがクライアント システムから送信する Web アクセスのリクエストを処理およびフ
ィルタリングするには、アプライアンスのプロキシ機能を適切に構成する必要があります。IFP プロキシは、これら
のリクエストをインターセプトして URL フィルタリングで使用できるようにセットアップする必要があります。
プロキシをセットアップするには、[構成] 、 [プロキシ]で、ユーザー インターフェースの設定数を指定する必要が
あります。これらの設定には、以下が含まれます。
•
プロキシの有効化または無効化
•
プロキシ ポートのリスト、各プロキシの指定:
•
•
IP アドレスおよびポート番号
•
メッセージ モード(ブロック メッセージが IFP プロトコルの下で、リダイレクトとして送信されるか、通常
のメッセージとして送信されるかを示します)
同時の IFP リクエストの最大数
この設定を使用すると、IFP プロキシの過負荷を回避できます。
IFP リクエストのフィルタリングのルール
IFP リクエストのフィルタリング プロセスを制御するためのデフォルトまたはライブラリのルール セットはありま
せん。ただし、独自のルール セットを作成することはできます。また、既存のルール セットで IFP プロキシ機能を
使用できるようにすることも可能です。
IFP リクエストのルール セットを作成する場合、IFP プロトコルの使用をルール セット条件として指定し、このプ
ロトコルの下で送信されるリクエストにルール セットが確実に適用されるようにする必要があります。これは、
Connection.Protocol プロパティを条件に含めて、IFP プロトコルを演算子として構成することによって、実現
します。
IFP プロトコルはリクエストのみを取り扱うので、ルール セットを適用する必要のあるアクティビティとして、フィ
ルタリング応答および埋め込みオブジェクトを除外できます。
McAfee Web Gateway 7.4.0
製品ガイド
229
9
Web フィルタリング
URL フィルタリング
ルール セットのルールは、デフォルトの URL フィルタリングのルール セットのルールと同じである可能性がありま
す。
IFP プロトコルの下で送信されるリクエストのみで URL フィルタリングを実行する場合は、デフォルトの URL フィ
ルタリング ルール セットを削除して、ここで説明されている方法で作成した IFP フィルタリング ルール セットのみ
を使用することをお勧めします。
既存のルール セットで IFP プロキシ機能を使用することも 1 つの選択肢として可能です。たとえば、さまざまな他
のプロトコルの下で送信されるリクエスト用に実装された認証があり、IFP リクエスト用の認証を追加する場合など
です。
認証サーバー(時間/IP ベース セッション)のライブラリ ルール セットには、リクエストの送信先のクライアント
に対してすでに認証済みのセッションがあるかどうかをチェックするルールを持つ埋め込みルール セットが含まれ
ています。それ以外の場合、ルールはリクエストを認証サーバーにリダイレクトします。
埋め込みルール セットは HTTP や HTTPS などのプロトコルに対応しています。Connection.Protocol プロパ
ティを使用すると、条件を拡張し、IFP プロトコルを含めることができます。
IFP フィルタリングのリダイレクト
URL のフィルタリングのために IFP プロキシを使用する場合、次の制限に注意する必要っがあります。
•
SafeSearch Enforcer の制限使用
IFP フィルタリングを実行すると、SafeSearch Enforcer は、Google を使用して実行される検索リクエストの
フィルタリングのみで動作します。
これは、他の検索プロバイダーはすべてクッキーを使用していますが、Google のみは検索条件を送信するため
に URL を使用しているからです。ただし、アプライアンスの IFP プロキシによってクッキーは処理できません。
•
一部の機能に必要な IFP プロキシ
以下を実行する場合には、IFP プロキシだけでなく、HTTP プロキシをセットアップする必要があります。
•
フィルタリング ルールのためにブロックされた IFP リクエストをブロッキング ページにリダイレクトして、
リクエストを送信したユーザーのクライアントにブロック メッセージを表示する。
•
内部認証サーバーで検証された証明書を持つことにより、アプライアンスのユーザーを認証する。
•
時間のクォータ ライブラリ ルール セットを実装して、ユーザーの Web 利用を制限する。
ダッシュボード上の IFP フィルタリング アクティビティ
ユーザー インターフェースのダッシュボードは、いくつかの IFP フィルタリング アクティビティに関する情報を提
供します。
•
処理される IFP リクエストの数
この情報は、[Web トラフィック サマリー] 、 [プロトコル別の要求]の下に表示されます。
•
最も頻繁にリクエストされるアクセス先のドメイン(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別のトップレベル ドメイン]の下に表示されます。
•
最も頻繁にリクエストの宛先となる Web サイト(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別の宛先]の下に表示されます。
230
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
IFP フィルタリング アクティビティの追跡接続
IFP リクエストのフィルタリングでは、追跡接続を実行できます。
接続追跡を有効にすると、接続追跡ファイルが作成され、格納されます。[トラブルシューティング]のトップレベル
メニューの下にあるユーザー インターフェースからアクセスできます。
IFP プロキシ設定を構成する
IFP プロキシ設定を構成し、このプロトコルで送信された Web アクセスに対するリクエストの処理を有効にするプ
ロキシを設定できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、IFP プロキシ設定を構成するアプライアンスを展開し、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
設定パネルで、[IFP プロキシ]セクションまで下にスクロールします。
4
必要に応じてこのセクションの設定を構成します。
5
[変更を保存]をクリックします。
IFP プロキシ設定
IFP プロキシ設定は、IFP プロトコルで送信された Web アクセスのリクエストをインターセプトして、URL フィル
タリングで使用できるようにするプロキシを構成するために使用されます。
IFP プロキシ
IFP プロキシを構成するための設定
表 9-11 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロキシがアプライアンス上で有効になります。
[IFP ポート定義リスト]
IFP リクエストをリスンするポートのリストを作成できます。
[同時に許可される IFP リクエストの最大数]
同時に処理される IFP リクエストの数を指定値に制限します。
この設定を使用すると、IFP プロキシの過負荷を回避できます。
次の表では、IFP ポート定義リストのエントリについて説明しています。
表 9-12 IFP ポート定義
オプション
定義
[リスナー アドレス]
IFP リクエストをリスンするポートの IP アドレスおよびポート番号を指定します。
[リダイレクトとしてエ
ラー メッセージを送信
する]
true に設定する場合、リクエストを送信したユーザは、たとえば、リクエストがブロッ
クされたことなどを、エラー メッセージ ページにリクエストをリダイレクトすることに
よって通知されます。
そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されます。
[コメント]
McAfee Web Gateway 7.4.0
IFP リクエストにリスンするポートの平文コメントを提供します。
製品ガイド
231
9
Web フィルタリング
URL フィルタリング
IFP リクエストをフィルタリングするルール セットを作成する
IFP プロトコルで送信された Web アクセスのリクエストをフィルタリングするルールを使用して、ルール セットを
作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[名前]フィールドで、Filter IFP Requests などのルール セットに適した名前を入力します。
3
[適用先]で、[応答]および[埋め込みオブジェクト]を選択解除します。
4
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。
5
ルール セット条件を設定します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
[条件の追加]ウィンドウが開きます。
b
プロパティ リストから、[Connection.Protocol]を選択します。
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
e
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
6
[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
ルール セットが作成された場合、URL フィルタリング ルールを挿入する必要があります。たとえば、デフォルト
の URL フィルタリング ルール セットからルールをコピーし、必要に応じてルールを微調整することができます。
認証ルール セットを修正して IFP プロトコルを含める
認証ルール セットの条件に IFP プロトコルを含めると、そのプロトコルで送信されるリクエストの認証を有効にす
ることができます。
タスク
1
ライブラリから認証ルール セットをインポートします。
a
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[最上位レベル ルール セット]を選択しま
す。
[最上位レベル ルール セットの追加]ウィンドウが開きます。
b
[ライブラリ ルール セットからのルール セットのインポート]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが開きます。
c
232
[ルール セット ライブラリ]リストから、[認証(時間/IP ベース セッション)]ルール セットを選択します。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
d
[競合のインポート]領域で、リストに表示されている競合を選択し、[競合の解決]で競合解決方法を選択しま
す。
e
[OK]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが閉じ、ルール セットがルール セット ツリーに表示されま
す。
2
ルール セットを展開し、埋め込まれた[有効な認証セッションのチェック]ルール セットを選択します。
埋め込まれたルール セットの条件およびルールは設定ペインに表示されます。
3
[編集]をクリックします。[ルール セットの編集]ウィンドウが開きます。
4
ルール セット条件を修正します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
b
プロパティ リストから、[Connection.Protocol]を選択します。
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
e
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
f
5
[条件の組み合わせ]で、文字 e の後の閉じ括弧を削除し、d の後に挿入します。
[OK]をクリックします。
[ルール セットの編集]ウィンドウが閉じます。
6
[変更を保存]をクリックします。
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワ
イトリストに追加する
ルールの条件に URL プロパティ (URL、URL.Host、URL.Host.BelongsToDomains など) を使用して、Web
オブジェクトをホワイトリストに追加することができます。
Web オブジェクトをホワイトリストに追加すると、このオブジェクトにアクセスして、ページの表示やファイルの
ダウンロードを行うことができます。ホワイトリスト ルールは、Web Gateway のルール セット システム内の適切
なルール セットに挿入します。他のルールがアクセスをブロックしないように、このルールが適用されると、この
Web オブジェクトの要求に対して残りのルール処理は実行されません。
異なる URL プロパティを使用して、異なるホワイトリストを作成することもできます。個々の Web オブジェクト
に対するアクセスを許可するには (たとえば、特定のファイルのダウンロードなど)、このファイルの完全な URL を
含むリストに URL プロパティを使用します。
以下の例では、ホワイトリストに最適な URL プロパティを選択して使用する方法について説明します。
この他に、ヒントや次の情報も提供します。
•
URL に設定される値 (サンプルの URL が処理されたときに、Web アクセス要求で Web Gateway に送信され
る値)
•
ルールの条件で is in list と matches in list の 2 つの演算子を使用する方法
•
URL プロパティと一緒に使用するリストで適切な項目と不適切な項目
McAfee Web Gateway 7.4.0
製品ガイド
233
9
Web フィルタリング
URL フィルタリング
個々の Web オブジェクトをホワイトリストに追加する - URL
目的 個々の Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/
Stinger.exe から Stinger.exe をダウンロードします。
手順 ルールの条件で、完全な URL のリストと一緒に URL 文字列プロパティを使用します。
たとえば、次のようにルールを設定します。
URL is in list URLWhiteList –> Stop Rule Set
URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe をリスト
URLWhiteList に追加すると、このルールが処理されたときにファイル Stinger.exe がホワイト リストに追加さ
れます。
同様に、デフォルトの URL フィルタリング ルール セットの次のルールを使用すると、ファイルに対す
るアクセスをブロックできます。
URL matches in list URLBlockList –> Block
問題の URL をリスト URLBlockList に追加すると、ルールが処理されたときにファイルがブロックさ
れます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数の Web オブジェクトをホワイトリストに追加することができ
ます。
ただし、特定のホストが提供するすべての Web オブジェクトをホワイトリストに追加する必要がある場合、
URL.Host プロパティを使用すると、この操作を簡単に行うことができます。
ホストをホワイトリストに追加する - URL.Host
目的 特定のホストが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com にある Stinger.exe や他のファイルをダウンロードします。
手順 ルールの条件で、ホスト名のリストと一緒に URL.Host 文字列プロパティを使用します。
たとえば、クラウドで URL.Host プロパティを使用するルールを次のように設定します。
URL.Host is in list HostWhiteList –> Stop Rule Set
ホスト download.mcafee.com をリスト HostWhiteList に追加すると、ルールが処理されたときに、このホ
ストが提供するすべてのオブジェクトがホワイトリストに追加されます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数のホストをホワイトリストに追加することができます。
ただし、特定のドメイン内のすべてのホストをホワイトリストに追加する必要がある場合、
URL.Host.BelongsToDomains プロパティを使用すると、この操作を簡単に行うことができます。
234
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
ドメインをホワイトリストに追加する - URL.Host.BelongsToDomains
目的 特定のドメインが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com が提供する Stinger.exe と他のファイルをダウンロードし、
ドメイン mcafee.com 内の他のホストが提供するダウンロード可能なファイルをダウンロードします。
手順 ルールの条件で、ドメイン名のリストと一緒に URL.Host:BelongsToDomains ブール型プロパティを使
用します。
たとえば、次のようにルールを設定します。
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
ドメイン mcafee.com をリスト Domain List に追加すると、ルールが処理されたときに、このドメイン内のす
べての Web オブジェクトがホワイトリストに追加されます。
リスト Domain List は、URL.Host:BelongsToDomains プロパティのパラメーターで設定します。このプロ
パティはブール型です。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe が処
理されると、ドメイン mcafee.com がリストに Domain List に入力されているかどうかによってプロパティの
値 (true または false) が変わります。
以下の例では、ホワイトリストの設定にプロパティが使用されるときに、比較に使用される Domain List リストの
項目を表します。
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
条件:
URL.Host.BelongsToDomains("Domain List") equals true
比較される URL:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
比較されない URL:
https://www.mymcafee.com
http://www.treasury.ga.us
http://malicioustwitter.com
McAfee Web Gateway 7.4.0
製品ガイド
235
9
Web フィルタリング
URL フィルタリング
URL.Host.BelongsToDomains プロパティを使用すると、複雑な条件を作成しなくても同じ結果を得ることが
できます。例:
•
ワイルカードを含む式のリストに 2 つの項目を使用する場合:
twitter.com
*twitter.com
•
ワイルドカードを含む式に複雑な項目を使用する場合:
regex((.*\.|.?)twitter\.com)
サンプル URL のプロパティ値
サンプル URL http://www.mcafee.com/us/products/web-gateway.aspx が処理されると、以下の
URL プロパティに異なる値が設定されます。
プロパティ
サンプル URL の値
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true または false
このプロパティのパラメーターとして設定されたリストで、ドメインに次の値
を入力する必要があります。mcafee.com
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
比較で使用する演算子
ルールの条件で使用する演算子 (is in list または matches in list) で処理の結果が異なります。
演算子
説明
is in list
文字列に完全に一致する必要があります。
リスト項目にワイルドカード文字がある場合、この文字はリテラル文字として解釈されます。
matches in list リスト項目でワイルドカードを使用し、評価できます。
URL プロパティに適切な項目と不適切な項目
URL プロパティで使用するリストの項目は、プロパティの使用目的によって適切になる場合も、不適切になる場合も
あります。以下では、適切な項目と不適切な項目の例について説明します。
236
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL で is in list 演算子を使用す
る場合
適切
http://www.mcafee.com/us/products/web-gateway.aspx
このプロパティでは完全な URL が必要です。ワイルドカードは指定されて
いません。is in list 演算子を使用した場合、ワイルドカードは評価されま
せん。
不適切
www.mcafee.com/us/products/web-gateway.aspx
この項目には完全な URL が指定されていません。プロトコル情報
http:// が含まれていません。
URL で matches in list 演算子を 適切
使用する場合
http://www.mcafee.com/*
この項目にはワイルドカードが含まれています。matches in list 演算子
を使用する場合、ホスト www.mcafee.com が提供する Web オブジェ
クトにアクセスが許可されます。
この項目は http://mcafee.com/ に一致しません。
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
この項目には複雑な正規表現が含まれています。一致すると、HTTP または
HTTPS プロトコルでドメイン mcafee.com とそのサブドメイン内のす
べての Web オブジェクトに対するアクセスが許可されます。
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|
\/?))
この項目は前の例と同じですが、.com や .co.us などのトップレベル ドメ
インもホワイトリストに追加しています。
不適切
*.mcafee.com*
この項目は不要な一致を除外していません。例: URL http://
malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com
McAfee Web Gateway 7.4.0
製品ガイド
237
9
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL.Host で is in list 演算子を
使用する場合
適切
www.mcafee.com
ホスト名が入力されています。これは、このプロパティの使用目的に一致し
ています。ワイルドカードは指定されていません。is in list 演算子を使用
する場合、ワイルドカードは評価されません。
不適切
mcafee.com
この項目では、ドメイン名 (mcafee.com) が指定されています。プロパテ
ィの値はホスト名です (URL http://www.mcafee.com/us/
products/web-gateway.aspx が処理される場合、
www.mcafee.com になります)。
一致する項目はありません。
*.mcafee.com
ワイルドカードが含まれていますが、is in list 演算子を使用した場合、ワ
イルドカードは評価されません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用
目的には不適切です。
さらに、ワイルドカードが含まれています。is in list 演算子を使用した場
合、ワイルドカードは評価されません。
238
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
URL フィルタリング
URL プロパティ
9
適切または不適切なリスト項目
URL.Host で matches in list 演 適切
算子を使用する場合
*.mcafee.com
この項目は、ドメイン mcafee.com ないの任意のホストに一致しますが、
mcafee.com 自体には一致しません。
regex((.*\.|\.?)mcafee.com)
ドメイン mcafee.com とそのホストをホワイトリストに追加する正規表
現が記述されています。
不適切
*.mcafee.com*
http://www.mcafee.com .malicious-download-site.cc/ など、
不要な一致が除外されていません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用
目的には不適切です。
URL.HostBelongsToDomains
適切
リスト Domain List に入力された mcafee.com。プロパティのパラメ
ーターとして設定されています。
この項目は、mcafee.com ドメインとそのすべてのホストに一致します。
例: www.mcafee.com、secure.mcafee.com
www.mcafee.com
ドメイン名が指定されていませんが、有効です。ホスト
www.mcafee.com だけがホワイトリストに追加されます。
URL.Host プロパティを is in list 演算子と一緒に使用する場
合、リストに項目を追加しても同じ結果になります。
不適切
*.mcafee.com
この項目にはワイルドカードが含まれていますが、このプロパティの使用目
的には不適切です。
このプロパティは、リスト項目でのワイルドカードの使用を避けるために作
成されました。たとえば、mcafee.com に完全に一致する必要がありま
す。
URL フィルタリング ルール セット
URL フィルタリング ルール セットは、URL フィルタリングのデフォルト ルール セットです。
デフォルト ルール セット— URL フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
URL ホワイトリストに一致する URL を許可する
URL matches in list URLWhiteList –> Stop Rule Set
McAfee Web Gateway 7.4.0
製品ガイド
239
9
Web フィルタリング
URL フィルタリング
このルールは URL プロパティを使用し、特定の URL が指定されたホワイトリストに存在するかどうかを確認しま
す。存在する場合、ルール セットのプロセスが停止し、ホワイトリスト登録ルールに従うブロック ルールは処理さ
れません。
このルールを使用して、フィルタリングから URL を除外し、ネットワークのユーザーが使用できるようにし、次の
ブロック ルールによってブロックされないようにします。ホワイトリスト登録はまた、それぞれの URL について
の情報を取得する手間を省くため、パフォーマンスを向上させます。
URL ブラックリストに一致する URL をブロックする
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<Default>
ルールは URL プロパティを使用し、特定の URL が指定されたブロック リストに存在するかどうか確認します。
存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通
過しません。アクセスはこのようにブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。イベ
ント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュ
ールの設定を指定します。これによりカウントが実行されます。
SafeSearchEnforcer を有効にする
Always –> Continue — Enable SafeSearchEnforcer<Default>
このルールは成人向けコンテンツを含む Web サイトへのアクセスにフィルターをかける追加モジュールである
SafeSearchEnforcer を有効にします。
有効化はイベントを実行することで行えます。モジュールの設定はイベントで指定されます。
処理は次のルールで続行します。
未分類の URL を許可する
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
このルールはパラメーターとして URL.Categories プロパティをもつ List.OfCategory.IsEmpty を使用し、
URL を分類するためのカテゴリーが空であるかどうかをチェックします。これは、URL が未分類であり、既存カテ
ゴリーに割り当てられないことを意味します。URL.Categories プロパティをパラメーターとして指定すること
で、特定のカテゴリー リストが確認されるようにします。これはこのプロパティの値となるリストです。
URL.Categories プロパティの値としてカテゴリー リストを提供するために、URL フィルター モジュールが呼び
出されます。このモジュールはこのリストを Global Threat Intelligence システムから取得します。このモジュ
ールは指定されたデフォルト設定で実行されます。
URL が未分類である場合、ルール セットのプロセスが停止し、このルールに従ったブロック ルールは処理されま
せん。URL へのリクエストは適切な Web サーバーへ転送され、URL へのアクセスが応答または埋め込みオブジェ
クト サイクルでブロックされない限り、ユーザーは、URL の送信によってリクエストされた Web オブジェクトへ
のアクセスを許可されます。
URL カテゴリー ブラックリストにカテゴリーがある URL をブロックする
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
このルールは URL.Categories プロパティを使用し、特定の URL が属するカテゴリーのどれかが指定したブロ
ック リストに存在するかどうかを確認します。これらのカテゴリーに関する情報を取得するために呼び出される
URL フィルター モジュールが、プロパティで指定されるとおり、デフォルト設定で実行されます。
URL のカテゴリーのいずれかがリストに存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リ
クエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
240
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
メディア タイプ フィルタリング
悪い評価を持つ URL をブロックする
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<default>
このルールは URL.IsHighRisk プロパティを使用し、URL が、アクセスを許可するとリスクが高くなるという評
価を持つかどうかを調べます。このプロパティの値が True である場合、すべてのルール プロセスが停止し、URL
へのアクセス リクエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
レピュテーション スコアは URL フィルターー モジュールによって取得されます。このモジュールはプロパティ
の後で指定する設定で実行されます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
メディア タイプ フィルタリング
メディア タイプ フィルタリングは、イメージ、オーディオまたはストリーミング メディアなどの特定のタイプをブ
ロックしている場合、それらに属するメディアにネットワークのユーザーがアクセスできないようにします。
このようにして、ユーザーが多くのリソースを消費しないようにできます。
フィルタリング プロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定のタイプに属するメディアへのアクセスをブロックするためのルールにより使用されるブロッキング リスト
メディア タイプ フィルタリングの構成
メディア タイプ フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
メディア タイプ フィルタリングのルール セットでルールを確認します。
デフォルトでは、これはメディア タイプ フィルタリング ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
ブロック ルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
独自のブロック リストを作成し、ブロック ルールで使用する
変更を保存します。
McAfee Web Gateway 7.4.0
製品ガイド
241
9
Web フィルタリング
メディア タイプ フィルタリング
メディア タイプ フィルタリングのプロパティ
デフォルト ルール セットのメディア タイプ フィルタリング ルールの多くは、条件に
MediaType.EnsuredTypes プロパティを使用しています。その他のプロパティを使用すると、メディア タイプ
フィルタリングが別の方法で実行されるようにします。
たとえば、 MediaType.NotEnsuredTypes プロパティがあります。ブロック ルールの条件でこのプロパティを
使用する場合、ルールは、実際にこのタイプである可能性が 50% 未満であっても、メディア タイプがブロック リ
ストに存在するメディアをブロックします。
メディア タイプがすべての状況で確実にブロックしたい場合これを行うことができます。
次の表に、メディア タイプ フィルタリングのルールにあるルールのプロパティを示します。
表 9-13 メディア タイプ フィルタリング プロパティ
プロパティ
説明
MediaType.EnsuredTypes
50% 以上の可能性で確認されるメディア タイプを持つメディアのプロパ
ティ
アプライアンスの内部リストからのメディア タイプ シグネチャがメディア
のオブジェクト コードに存在する場合、このレベルの可能性が想定されま
す。
MediaType.NotEnsuredTypes
実際にメディアの各タイプである可能性が 50% 未満であるメディアのプ
ロパティ
MediaType.FromFileExtension メディア タイプがメディア タイプ ファイル名の拡張子に基づいて推測さ
れるメディアのプロパティ
拡張子およびそれに関連するメディア タイプは、アプライアンスの内部カタ
ログで検索されます。ただし、複数のメディア タイプによって使用される拡
張子があります。
MediaType.FromHeader
メディアと共に送信されるヘッダーのコンテンツ タイプ フィールドによっ
て推測されるタイプのメディアのプロパティ
ヘッダーは標準形式で読み込み、評価します。元の形式でヘッダーをフィル
タリングするには、Header.Get プロパティを使用できます。
MediaType.IsSupported
アプライアンスのオープナー モジュールによって展開できる埋め込みメデ
ィアまたはアーカイブ メディアのプロパティ
List.OfMediaType.IsEmpty
内部リストにないタイプを持つメディアのプロパティ
メディア タイプ フィルタリング ルールの変更
ルールの条件のプロパティを変更することで、メディア タイプ フィルタリング ルールを別の種類のメディア タイプ
をフィルターするように変更できます。変更したルールで使用できるよう新しいフィルター リストを作成すること
も必要です。
タスク
242
•
243 ページの「変更したルールにフィルター リストを作成」
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成で
きます。
•
243 ページの「メディア タイプ フィルタリングのルールでプロパティを置換する」
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディ
ア タイプ フィルタリング ルールの条件のプロパティを置換できます。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
メディア タイプ フィルタリング
9
変更したルールにフィルター リストを作成
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの[リストのカスタマイズ] ブランチで、[メディア タイプ]を選択し、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
[名前]フィールドに新しいリストの名前(Not Ensured Download Media Type Blocklist など)を入力し
ます。
4 [オプション][コメント] フィールドで、新しいリストの平文コメントを入力します。
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストが[メディア タイプ]の下のリスト ツリーに表示されます。
新しいリストのエントリを記入して、メディア フィルタリング ルールにブロックするものと許可するものを設定で
きます。
メディア タイプ フィルタリングのルールでプロパティを置換する
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディア タイプ フ
ィルタリング ルールの条件のプロパティを置換できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2 [ルール セット]ツリーで、メディア タイプ フィルタリングのルール セット(たとえば、[メディア タイプ フ
ィルタリング] ルール セットでネストされた[ダウンロード メディア タイプ]など)を選択します。
3
ルール([ダウンロード メディア タイプのブラックリストからタイプをブロック]など)を選択し、[編集]をクリ
ックします。
[ルールの編集]ウィンドウが選択した[名前]ステップとともに開きます。
4
[ルールの条件]をクリックし、[条件]下でルールを選択します。そこで[編集]をクリックします。
[条件の編集]ウィンドウが開きます。
5
6
以下のとおり、ルール条件を構成します。
a
左の列のプロパティのリストから、たとえば、MediaType.EnsuredTypes の代わりに
[MediaType.NotEnsuredTypes ]などの新しいプロパティを選択します。
b
右側の列のオペランドのリストから、[確認されていないダウンロード メディア タイプのブラックリスト]を
選択します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
243
9
Web フィルタリング
メディア タイプ フィルタリング
7
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、変更したルールが選択したネスト済みのルール セット内に表示されます。
8
[変更の保存]をクリックします。
メディア タイプ フィルタリングのルール セット
メディア タイプ フィルタリング ルール セットは、メディア タイプ フィルタリングのデフォルト ルール セットで
す。
ライブラリ ルール セット — メディア タイプ フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
• アップロード メディア タイプ
このルール セットは、デフォルトでは有効になっていません。
• ダウンロード メディア タイプ
アップロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのアップロードをブロックします。こ
れは、ユーザーが Web にメディアのアップロードをリクエストした際にリクエスト サイクルで、また、オブジェ
クトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — メディア タイプ アップロード
条件 — Always
サイクル — Requests (and IM) and embedded objects
ルール セットは、以下のルールを含みます。
アップロード メディア タイプ ブラックリストからタイプをブロック
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
ダウンロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのダウンロードをブロックします。こ
れは、Web サーバーがユーザーのダウンロード リクエストに応答してメディアを送信する際に応答サイクルで、
また、オブジェクトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — ダウンロード メディア タイプ
条件 — Always
サイクル — Responses and embedded objects
ルール セットには、以下のルールが含まれます。
244
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
9
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
アプリケーション フィルタリング
アプリケーション フィルタリングは、ネットワークを使用して不審なアプリケーションにアクセスできないことを保
証します。たとえば、Facebook、Xing、その他などが該当する可能性があります。フィルタリング プロセスのアプ
リケーション名とレピュテーション スコアを確認し、それにしたがってアクセスをブロックします。フィルタリング
はアプリケーションの各機能にも適用できます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
アプリケーションをブロックするルールで使用するアプリケーション リスト
•
間隔に更新するアプリケーション システム リスト
フィルタリング プロセスの状態および統計の更新は、ダッシュボードに表示されます。
アプリケーション フィルタリングのルール
アプリケーション フィルタリングをコントロールするルールは、通常 1 つのルール セットに含まれます。これら
は、次の 2 つの方法を使用して、アプリケーションおよびアプリケーションの各機能へのアクセスをブロックしま
す。
•
リストにあるアプリケーションおよび各機能をブロックする
•
特定のリスクの重大度に割り当てられたアプリケーションをブロックする
リストに従ってアプリケーションおよび各機能をブロックするには、Application.Name プロパティが使用されま
す。
このプロパティの値は、アプリケーションおよび各機能にアクセスするユーザーによって送信された、リクエストに
表示されるアプリケーションおよび各機能の名前です。この名前がブラックリストにある場合、アクセスがブロック
されます。例として、以下のルールが該当します。
名前
リストに従ってアプリケーションをブロックする
条件
Application.Name is in list Unwanted Applications
アクション
–> Block<Application Blocked>
リスクの重大度にしたがってアプリケーションをブロックするには、Application.IsMediumRisk または
Application.IsHighRisk などが使用され、これには値として true または false があります。
McAfee Web Gateway 7.4.0
製品ガイド
245
9
Web フィルタリング
アプリケーション フィルタリング
リスク評価は、Global Threat Intelligence システムによって割り当てられた、アプリケーションのレピュテーショ
ン スコアに基づいています。アプリケーションへのアクセスを許容するリスクが高いと考えられる場合、これは悪い
評価になります。
アプリケーションがこのレベルに達する、または超える場合、以下のルールのようにアクセスがブロックされます。
名前
高リスク アプリケーションをブロックする
条件
アクション
Application.IsMediumRisk equals true OR
Application.isHighRisk equals true
–> Block<Application Blocked>
両方の方法はアプリケーション システム リストを使用します。これらのリストにあるアプリケーションおよびアプ
リケーション機能のみ、アプリケーションのフィルタリング ルールに使用されるリストにも表示できます。
アプリケーションおよびアプリケーション機能のリスクの重大度も、アプリケーション システム リストに表示され
ます。
ログ用に、Application.To String および Application.Reputation があります。これは、それぞれレピュテ
ーション スコアのため文字列と数値に変換された、リクエストされたアプリケーション名です。
ログ ファイル エントリで情報を記録するルールで、これらのプロパティを使用できます。
アプリケーション フィルタリングは、アプライアンスのデフォルトで実行されません。しかし、ライブラリから
Application Control ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
ブロッキング リスト
ブラックリストはルールによって使用され、ユーザーによってリクエストされたアプリケーションへのアクセスをブ
ロックします。ライブラリ ルール セットは、すでにいくつかのアプリケーション名があるリストが含まれています。
ライブラリ ルール セットからアプリケーション名をリストに追加するか、削除するか、独自のリストを作成できま
す。アプリケーション名を追加する場合、アプリケーション システム リストから取得する必要があります。
同じ方法で、アプリケーション機能名を使用してリストを作成および編集できます。
アプリケーション システム リスト
リストに表示されるアプリケーション フィルタリング ルールによって、ブロックできるアプリケーションおよびア
プリケーション機能です。これは、アプライアンス システムおよび間隔で更新されたことで提供されます。
[リスト]タブのリスト ツリーにあるシステム リストのアプリケーション名フォルダーを展開してこれらのリストを
表示できます。このフォルダーには、ファイル共有またはインスタント メッセージングなどの、異なるタイプのアプ
リケーションのたくさんのサブフォルダーが含まれています。
サブフォルダーにはアプリケーションのリストが含まれており、各々について次の情報が提供されます。
246
•
アプリケーション名(またはアプリケーション機能を持つアプリケーション名)
•
コメント
•
リスク レベル
•
アプリケーションの説明(またはアプリケーション機能)
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
9
アプリケーションの機能は、Orkut(Orkut Chat)のように、アプリケーション名の後の括弧内に表示されます。ブ
ロック ルールのリスト内にアプリケーション機能が含まれている場合、この機能はブロックされるだけで、アプリケ
ーションを終了するわけではありません。
以下は、システム リスト内にあるアプリケーションのエントリーの一例です。
MessengerFX | Risk:Minimal:A web-based instant messaging service
次の例は、アプリケーション機能のエントリを示します。
Orkut(Orkut Chat) | Risk:High:Allows users to send instant messages.
ダッシュボードのアプリケーション フィルタリング情報
ダッシュボードは、アプリケーション フィルタリングの以下の情報を提供します。
•
アプリケーション リストの状態を更新する
•
実際はブロックされたアプリケーションおよびアプリケーション機能の統計
アプリケーション フィルタリングの構成
アプリケーション フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
Application Control ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
アプリケーションを追加または削除して、ルールで使用されたリストを編集します。
•
独自のリストを作成し、既存のリストの代わりで使用するか、既存のリストに追加して使用する
•
Application.IsMediumRisk の Application.IsHighRisk に置き換えるなど、関連プロパティに置き
換えることで、ルールで使用されるレピュテーション レベルを変更します。
独自のブロック ルールを作成することも可能です。
3
変更を保存します。
アプリケーション フィルタリングのリストを作成する
アプリケーション フィルタリング ルールで使用するためのリストを作成し、ブロックする必要のあるアプリケーシ
ョンまたはアプリケーションの各機能のエントリを入力します。
タスク
1
[ポリシー] 、 [リスト]を選択し、[Add]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
2
一般リスト設定を構成します。
a
[名前]フィールドで、Unwanted Applications のようなリストの名前を入力します。
b
[タイプ] リストで、[アプリケーション名]を選択します。
McAfee Web Gateway 7.4.0
製品ガイド
247
9
Web フィルタリング
アプリケーション フィルタリング
c [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
3
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの [カスタム リスト] 、 [アプリケーション名] の下にあるリ
スト ツリーにリストが表示されます。
4
設定ペインの上のリストを選択し、[編集]アイコンをクリックします。
[編集]ウィンドウは、アプリケーション名を含むフォルダーのコレクションと一緒に開きます。
5
アプリケーションまたはアプリケーションの各機能のエントリを入力します。
a
ユーザーに名前を付けるアプリケーションまたはアプリケーションの各機能を含むフォルダーを展開し、
[Instant Messaging Web Applications] などをリストを追加します。
b
[MessengerFX] または [Orkut(Orkut Chat)]のように、アプリケーションまたはアプリケーション機能を
設定します。
複数のアプリケーションまたはアプリケーション機能を同時に選択したり、複数のフォルダーから同時にアイ
テムを選択したり、完全なフォルダーを選択したりすることができます。
[OK]をクリックします。
c
[編集]ウィンドウが閉じると、選択したアプリケーションおよびアプリケーション機能はリストに表示されま
す。
また、完全なフォルダーを追加して、含めたくないプリケーションおよびアプリケーション機能のエントリを
後で削除することもできます。
6
[変更を保存]をクリックします。
アプリケーション フィルタリング ルールの条件で作成したリストを使用できます。たとえば、アクセスするアプリ
ケーションまたはアプリケーション機能の名前がリストに表示されるように要求される場合に条件を満たします。
アプリケーション フィルタリング ルールのリスク レベルを修正する
高から中など、Web セキュリティに示すリスクに従って、アプリケーションをフィルタリングするルール内のリス
ク レベルを修正できます。これにより、アプリケーションが中程度のリスクであっても、ブロック アクションをト
リガーできるため、Web セキュリティが向上します。
開始する前に
次の手順は、ライブラリからアプリケーション コントロール ルール セットをインポートしていること
を前提としています。
タスク
1
[ポリシー ] 、 [ルール セット ]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[アプリケーション コントロール]ルール セットを展開し、[リクエスト サイクルのアプリケーションをブロック
する]ルール セットを展開します。
一般的な設定とネストされているルール セットのルールは、設定パネルで表示されます。
3
248
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
4
9
[危険度高で Web アプリケーションをブロックする]ルールを選択し、[編集]をクリックします。
[ルールの編集]ウィンドウが開きます。
5
[Steps]で、[Rule Criteria]を選択し、[Criteria]セクションで、複雑な条件(いずれかは
[Application.IsHighRisk] プロパティを使用します)の上部分を選択して、[編集]をクリックします。
[条件の編集]ウィンドウ、およびプロパティ リストで選択した [Application.IsHighRisk] プロパティが開かれ
ます。
6
プロパティ リストから、[Application.IsMediumRisk] を選択します。
7
[OK]をクリックします。
[条件の編集]ウィンドウが閉じると、修正された条件が[条件]セクションに条件が表示されます。
8
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、設定ペインには修正された条件と一緒にルールが表示されます。
9
[変更を保存]をクリックします。
アプリケーション コントロール ルール セット
アプリケーション コントロール ルール セットは、アプリケーション フィルタリングのライブラリ ルール セットで
す。
ライブラリ ルール セット – アプリケーション コントロール
条件 — Always
サイクル - リクエスト(および IM)、応答
以下のルール セットは、このルール セット内にネストされています。
•
リクエスト サイクルのアプリケーションをブロックする
•
応答サイクルのアプリケーションをブロックする
リクエスト サイクルのアプリケーションをブロックする
このネストされたルール セットは、リクエスト サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – リクエスト サイクルのアプリケーションをブロックする
条件 — Always
サイクル - Requests(and IM)
ルール セットは、以下のルールを含みます。
インスタント メッセージング アプリケーションをブロックする
Application.Name is in list Instant Messaging –> Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.4.0
製品ガイド
249
9
Web フィルタリング
アプリケーション フィルタリング
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションのリクエストがブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
応答サイクルのアプリケーションをブロックする
このネストされたルール セットは、応答サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – 応答サイクルでアプリケーションをブロックする
条件 — Always
サイクル – 応答
ルール セットは、以下のルールを含みます。
応答サイクルで検索するアプリケーション
Application.Name is in listt of Applications to Search for in Response Cycle –>
Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションのリクエストがブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
250
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ストリーミング メディア フィルタリング
このルールは、デフォルトでは有効になっていません。
ストリーミング メディア フィルタリング
Web Gateway が Web オブジェクを受信したときに、ストリーミング メディア フィルタリングがこのタイプのオ
ブジェクトを検出し、設定済みのルールに従ってオブジェクトを処理します。
Web Gateway でウイルスとマルウェアのフィルタリングが実装されていると、受信した Web オブジェクトがスキ
ャンされ、感染の有無が確認されます。総合的なスキャン結果を得るには、完全な Web オブジェクトをスキャンす
る必要があります。
ただし、ストリーミング メディアの場合、完全な状態でスキャンすることはできません。ストリーミング メディア
以外を扱う通常のスキャンでは正確な結果を得ることはできません。
ストリーミング メディアを処理すると、スキャン プロセスが完了しないため、処理の遅延が延々と続くことになり
ます。
Web オブジェクトがストリーミング メディアであることが判明した場合にオブジェクトをブロックすると、スキャ
ンが完了していない Web オブジェクトに対するアクセスを禁止できます。
あるいは、ストリーミング メディアをウイルス/マルウェア スキャンの対象外にし、スキャンが完了していないメデ
ィアに対するアクセスをユーザーに許可することもできます。
Web Gateway では、フィルタリング プロセスで次の要素を使用します。
•
プロセスを制御するフィルタリング ルール
•
Web オブジェクトがストリーミング メディアである可能性を計算するモジュール
Web オブジェクトがストリーミング メディアである可能性が設定値に達するか、設定値を超えた場合、このモジ
ュールが該当するプロパティの値を true に設定します。
ストリーミング メディア フィルタリングは、フィルタリング プロセスの応答サイクルに適用され、ユーザーの要求
に応答して Web サーバーが送信したストリーミング メディアを処理します。
ストリーミング メディア検出のルール
ストリーミング メディアの可能性が特定の値に一致する Web オブジェクトをブロックまたは許可するには、
StreamDetector.IsMediaStream プロパティを使用するルールを設定します。
このプロパティの値が true になると、Web オブジェクトに対するアクセスが次のルールによってブロックされま
す。
名前
ストリーミング メディアへのアクセスをブロックする
条件
StreamDetector.IsMediaStream<Streaming Detection> equals
true
アクション
–> Block<Streaming Media
Blocked>
次のルールによって許可されます。
名前
ストリーミング メディアに対するアクセスを許可する
条件
McAfee Web Gateway 7.4.0
アクション
製品ガイド
251
9
Web フィルタリング
ストリーミング メディア フィルタリング
StreamDetector.IsMediaStream<Streaming Detection> equals true
–> Continue
StreamDetector.IsMediaStream プロパティの値はストリーム ディテクター モジュールにより指定されま
す。
Web Gateway のデフォルトでは、ストリーミング メディア フィルタリングは実行されません。使用する場合には、
前述のようなルールを作成する必要があります。
このルールをそれ自身のルール セットで使用せずに、メディア タイプ フィルタリング ルール セットなど、別の適
切なルール セットに挿入することをお勧めします。
デフォルトの「ゲートウェイ マルウェア対策」ルール セットには、ウイルスとマルウェアのフィルタリングからス
トリーミング メディアを除外するルールが含まれています。このルール セットでは、マルウェア対策スキャン モジ
ュールで Web オブジェクトをスキャンするルールの前に、スキップ ルールが配置されています。
ストリーミング メディア フィルタリングの他のプロパティ
StreamDetector.IsMediaStream プロパティが true に設定されると、関連する値が他の 2 つのプロパティも
設定されます。StreamDetector.Probability プロパティには、Web オブジェクトに対して実際に計算された可
能性 (パーセント) が設定されます。たとえば、60、70 などの値が設定されます。
StreamDetector.IMatchedRule プロパティの値は一致するルールの名前です。
これらの追加プロパティは、ログ ファイル エントリーの情報を記録するルールで使用できます。
ストリーミング メディア検出のモジュール
Web オブジェクトがストリーミング メディアである可能性は、ストリーム ディテクター モジュール (フィルター、
エンジンともいいます) が計算します。このモジュールは、URL カテゴリ、content-type ヘッダー、送信元 IP ア
ドレスなどの項目を使用して可能性を計算します。計算の結果はパーセントで表されます。
このように検出できるストリーミング メディアの種類には、次のものがあります。
•
Flash ベースのビデオ
•
RealMedia
•
IC9 ストリーム
•
MP3 ストリーム
•
MS-WMSP
このモジュールの設定を行い、Streaming Media Detection などの名前を付けることができます。また、Web
オブジェクトがストリーミング メディアとして見なされる最小の可能性も設定します。
ストリーミング メディア フィルタリングの構成
ストリーミング メディア フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
ストリーミング メディアが構成されたレベルに届くまたは超える可能性がある場合、Web オブジェクトをブロッ
クするストリーミング メディア フィルタリング ルールを作成します。
2
たとえば、メディア タイプ ルール セットで、適合するルール セットにこのルールを挿入します。
可能性のレベルを上げるまたは下げることで、ルールを後で変更できます。これは、ストリーム検出モジュール
の設定を構成することで完了します。
3
252
変更を保存します。
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ストリーミング メディア フィルタリング
ストリーミング メディア検出モジュールを設定する
ネットワーク要件に応じて、Web オブジェクトのストリーミング メディアの可能性を計算するモジュールを設定す
ることができます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[ストリーム ディテクター] を選択して [追加] をクリックします。
[設定の追加] ウィンドウが開きます。
3
[名前] フィールドに設定名を入力します。
4
(オプション) [コメント] 入力フィールドに、設定のコメントを入力します。
5
(オプション) [権限] タブをクリックして、設定へのアクセスを許可するユーザーを設定します。
6
必要に応じて、[ストリーム ディテクター] でモジュールの設定を行います。
7
[変更を保存] をクリックします。
ベスト プラクティス - ストリーム ディテクターの設定
ストリーム ディテクターを設定すると、ストリーム メディアの処理方法を設定できます。ストリーム ディテクター
がストリーム メディアの Web オブジェクトを検出したときに、特別なスキャンを実行するようにしてください。
通常、Web Gateway でウイルスとマルウェアのフィルタリングを行うには、Web オブジェクトが完全にダウンロ
ードされ、マルウェア対策モジュール (エンジンまたはフィルターともいいます) がスキャンする必要があります。
ストリーミング メディアの場合、メディアのダウンロードが完了するのを待ってスキャンを行うことはできません。
通常のスキャン方法では、処理の遅延が延々と続くことになります。
ストリーミング メディアの場合には、特別な処理が必要になります。このため、Web Gateway には次の 2 つのコ
ンポーネントが用意されています。
•
ストリーム ディテクター - Web オブジェクトがストリーミング メディアかどうかを判断します。
•
メディア ストリーム スキャナー - ストリーミング メディアをチャンク単位でスキャンします。
通常の方法と比べても、メディア ストリーム スキャナーは負荷のかからない方法でスキャンを実行します。
メディア ストリーム スキャナーの処理状況に合わせて、ダウンロード要求を送信したクライアントにストリーミン
グ メディアがチャンク単位で配信されます。チャンク内で感染が検出されると、ダウンロードが停止します。感染チ
ャンクと残りのストリーミング メディアは配信されません。
ストリーム ディテクターは Web Gateway の独立したモジュールです。メディア ストリーム スキャナーのよう
に、マルウェア対策モジュールの一部ではありません。
該当するルールが両方のコンポーネントを呼び出し、処理を実行します。デフォルトでは、このルールはゲートウェ
イ マルウェア対策ルール セットに含まれています。
ただし、McAfee Web Gateway の古いバージョンでは、このルールが使用できません。次の操作を行ってくださ
い。
•
ルール セット システムを検査します。
•
デフォルトのゲートウェイ マルウェア対策ルール セットあるいはウイルスとマルウェアのフィルタリングに使
用しているルール セットにルールが含まれていない場合には、このいずれかのルール セットにルールを設定しま
す。
このルールは、通常のマルウェア対策スキャンを開始するルールの直前に配置する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
253
9
Web フィルタリング
ストリーミング メディア フィルタリング
ストリーミング メディア フィルタリングのルール
ストリーミング メディア フィルタリングのデフォルトのルールは次のようになります。
名前
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ス
トリーム スキャナーを開始する
条件
アクショ
ン
イベント
Cycle.Name equals "Response" AND
StreamDetector.IsMediaStream<Default Streaming Detection>
equals true
–> ルール セ – メディア ス
ットの停
トリーム ス
止
キャナーを有
効にする
デフォルトの「ゲートウェイ マルウェア対策」ルール セットで、このルールは、通常のマルウェア対策スキャンを
開始するルールの直前にあります。
Web オブジェクトがストリーミング メディアであることをストリーム ディテクターが確認すると、このルール セ
ットの処理を停止してメディア ストリーム スキャナーを開始します。ストリーミング メディアのスキャンを実行
して、通常のスキャンを実行するルールをスキップします。
Cycle.Name プロパティの条件部分により、転送された要求に応答して Web Gateway が Web から Web オブジ
ェクトを受信したときにのみ、このルールが適用されます。
ストリーム ディテクターの設定
ストリーム ディテクター モジュールの設定は、設定ツリーの [ストリーム ディテクター] で行います。デフォルト
の設定名は [デフォルトのストリーミング検出] です。
デフォルトでは、次のオプションだけが設定されています。
[最小の可能性] - ストリーミング メディアの可能性が設定されています。この可能性を満たすと、Web オブジェク
トがストリーミング メディアとして処理されます。
•
可能性はパーセントで表され、1 から 100 までの数字で設定されます。
•
この可能性はストリーム ディテクターが使用します。最小の可能性に達すると、
StreamDetector.IsMediaStream プロパティが true に設定されます。このプロパティは、ストリーミン
グ メディア フィルタリングのデフォルトのルールで使用されています。
•
最小の可能性のデフォルト値は 60 です。この値は変更しないようにしてください。
ストリーム ディテクターの設定
ストリーム ディテクターの設定は、ストリーミング メディアである Web オブジェクトの確率を計算するモジュー
ルを設定するために使用されます。
ストリーミング ディテクター
ストリーミング メディアの確率を計算するモジュールの設定
表 9-14 ストリーミング ディテクター
オプション
定義
[最小の可能性] Web オブジェクトがストリーミング メディアとして処理される可能性がパーセントで表示され
ます。この値は 0 から 100 の数字で設定します。
254
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
グローバル ホワイトリスト登録
9
グローバル ホワイトリスト登録
グローバル ホワイトリストに登録すると、今後すべてのフィルタリングがホワイトリストに登録されたオブジェクト
をスキップするので、それらへのアクセスをブロックできません。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定の Web オブジェクトをさらなるフィルタリングから除外するルールに使用されるホワイトリスト
フィルタリング ルール
グローバル ホワイトリスト登録を管理するルールは、1 つのルール セットに含まれます。
ホワイトリスト ルールは、このルールセットに配置され実行されます。これらのいずれかが適用されると、以下のル
ール セットがスキップされ、ホワイトリストに登録された オブジェクトに対してさらにフィルタリングは行われま
せん。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが実施されると、グローバル ホワイトリスト登録のルール セットが含まれます。
その名前は、グローバル ホワイトリストです。
ホワイトリスト
特定の Web オブジェクトをさらなるフィルタリングから除外するホワイトリスト登録ルールに使用されるホワイト
リスト URL 、メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、ホワ
イトリスト登録ルールに使用させることも可能です。
グローバル ホワイトリストの構成
グローバル ホワイトリストを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
グローバル ホワイトリストのためルール セットのルールを確認します。
デフォルトでは、これはグローバル ホワイトリスト ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
変更を保存します。
McAfee Web Gateway 7.4.0
製品ガイド
255
9
Web フィルタリング
SSL スキャン
グローバル ホワイトリストのルール セット
グローバル ホワイトリスト ルール セットは、グローバル ホワイトリスト登録のためのデフォルト ルール セットで
す。
デフォルト ルール セット — グローバル ホワイトリスト
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
許可されたクライアントのリストにあるクライアント IP
Client.IP is in list Allowed Clients –> Stop Cycle
ルールは Client.IP プロパティを使用し、リクエストを送信したクライアントの IP アドレスが指定のホワイトリ
ストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。そこでリクエストが適切
な Web サーバーに転送されます。
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
ルールは URL.Host プロパティを使用して、リクエストで送信された URL がアクセスを与えるホストが指定のホ
ワイトリストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。リクエストはそこで、リ
クエストされたホストである Web サーバーに転送されます。
SSL スキャン
SSL スキャンは SSL セキュア Web トラフィックが処理でき、その他のフィルタリング機能で使用できるようにな
っていることを確認します。
SSL スキャニング プロセスには、以下の要素が含まれています。
•
プロセスを制御する SSL スキャニング ルール
•
SSL スキャニングから Web オブジェクトを除外しようし、プロセス内の他のオプションを実行するルールによ
り使用されるホワイトリストとその他のリスト
•
証明書の検証とプロセス内のその他の機能を実行 s うるためのルールにより呼び出されるモジュール
SSL スキャン ルール
SSL スキャニングを制御するルールは、いくつかのネストされたルール セットをもつ 1 つのルール セットに通常含
まれます。ネストされた ルール セットのそれぞれは、SSL スキャニング プロセスの特定の機能を制御します。
•
CONNECT 呼び出しの処理 ― CONNECT 呼び出しを処理するためのルールをもつルールセットがあります。
これは SSL セキュア通信の先頭で HTTPS プロトコルの下で送信されます。
•
証明書の検証 ― たとえば、これらの証明書の共通名を検証するなど、SSL セキュア通信でクライアントとサー
バーにより送信された証明書を検証するためのルール セットがあります。
プロセスのこの部分は、明示的なプロキシと透過型のセットアップの両方に対する検証を許可します。
•
256
コンテンツの検査の有効化 ― 別のルール セットには、SSL セキュア通信で転送されたコンテンツの検査を有効
にするためのルールが含まれます。
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
SSL スキャン
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
SSL スキャニングについてアプライアンスで施行されているルールを見直し、それらを変更または削除し、固有のル
ールを作成することもできます。
デフォルト ルール セット システムが実施されると、SSL スキャニングのルール セットが含まれます。その名前は、
SSL スキャナーです。ただし、このルール セットは、初期状態では有効になっていません。
SSL スキャニングのためのホワイトリストとその他のリスト
ホワイトリストは、Web オブジェクトにプロセスの一部を除外させるための SSL スキャニング ルールにより使用さ
れます。たとえば、証明書のホワイトリストは、証明書の検査の実行を免除します。
SSL スキャニングで使用されるその他のリストには、受け付けられる場合は CONNECT 呼び出しで許可されるポー
ト番号と特定の交換キーを適用できないために証明書の特別な種類の検証を必要とするサーバーを含みます。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、SSL
スキャニング ルールに使用させることも可能です。
SSL スキャン モジュール
以下のモジュール(エンジンとも呼ばれます)は、SSL スキャニング プロセスの異なる部分を実行するために、SSL
スキャニング ルールにより呼び出されます。
•
SSL スキャナー — 実行する際の設定に応じて、明書の検証を扱うか、コンテンツ検査を有効化します。
適宜、モジュールは異なる設定での証明書検証とコンテンツの検査のためのルールにより呼び出されます。
•
クライアント コンテキスト設定のためのモジュール ― SSL セキュア通信でリクエストを送信するクライアント
へのアプライアンスの証明書の送信を処理します。
この証明書が送信されると、証明書を発行する証明書機関(CA)はそれと共に、またはそれなしで送信できます。
適宜、証明書機関と共に証明書を送信するモジュールと、証明書機関なしで証明書を送信する別のモジュールが
あります。
デフォルト システムの SSL スキャナー ルール セットは、証明書機関と共に証明書を送信する方法を使用しま
す。
デフォルトの証明書機関は、初期セットアップの後で使用できます。しかし、さらに使用するために固有の証明
書権限を提供することをお勧めします。
•
証明書チェーン — 証明書の追加元のリストを使用して、チェーンを形成する証明機関の追加を処理します。
チェーンを形成する際、モジュールはチェーンに含まれる証明書に証明機関のリストを使用します。既存のリス
トに証明機関および新しいリストを追加することができます。
SSL スキャンの構成
SSL スキャンを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
SSL スキャンのルール セットを有効にし、このルール セット内のルールを確認します。
デフォルトでは、これは SSL スキャナー ルール セットです。
McAfee Web Gateway 7.4.0
製品ガイド
257
9
Web フィルタリング
SSL スキャン
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
独自の証明書によってアプライアンスがクライアントに送信した証明書に証明するため、デフォルトの ルー
トの証明機関(CA)に置き換えます。
これは、ユーザー インターフェースで作成する、またはファイル システムからインポートする証明機関によ
って可能です。
•
•
ホワイトリスト ルールの有効化または無効化。例:
•
クライアントによって提出された証明書がホワイトリストにある場合、証明書の検証をスキップするデフ
ォルトのルールです。
•
リクエストされた URL のホストがホワイトリストにある場合、コンテンツの検査をスキップするデフォル
トです。
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
3
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
SSL スキャンに関連するモジュールの設定を変更します。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
変更を保存します。
SSL スキャン モジュールの構成
SSL スキャン モジュールを構成し、SSL セキュア Web トラフィックが処理される方法を変更できます。
以下のモジュールは SSL スキャンに関連し、構成可能です。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、SSL スキャンのためにルール セットを検索します。
デフォルトでは、これは SSL スキャナー ルール セットです。
3
ルール セットを展開し、構成するモジュールの設定があるルールを含むネストされたルール セットを選択しま
す。
たとえば、SSL スキャナー モジュールを構成するには、ネストされた接続呼び出しの処理ルール セットを展開
します。これは、SSL スキャナー モジュールのデフォルトの証明書の検証設定を持つデフォルトのルール証明書
の検証を有効にするによって含まれます。
ネストされたルール セットのルールが設定パネルに表示されます。
4
258
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
SSL スキャン
5
9
構成するモジュールの設定を持つルールを検索します。
これは、例えば上記の証明書の検証を有効にするルールである可能性があります。
6
ルール内で、設定名をクリックします。
たとえば、証明書の検証を有効にするルール イベントで、デフォルトの証明書の検証をクリックします。
[設定の編集]ウィンドウが開きます。SSL スキャナー モジュールなどモジュールの設定を提供します。
7
必要に応じて、これらの設定を構成します。
8
[OK]をクリックしてウィンドウを閉じます。
9
[変更の保存]をクリックします。
デフォルトのルート証明書権限の置換
クライアントにアプライアンスが送信する証明書に署名するための初期設定後に示されるデフォルトの証明書権限を
固有の証明書権限で置換できます。
ユーザー インターフェースで新しいルート証明書権限を作成するか、ファイル システムからのものをインポートで
きます。
タスク
•
259 ページの「ルートの証明機関の作成」
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、
デフォルトの証明機関の代わりに使用できます。
•
260 ページの「ルート証明機関のインポート」
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名する
ために、ルート証明機関(CA)をインポートできます。
ルートの証明機関の作成
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、デフォルトの
証明機関の代わりに使用できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーの[エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト]に進み、
3
[新しく作成]をクリックします。
[新しい証明機関の作成]ウィンドウが開きます。
4
[組織]および[ローカリティ] フィールドに、独自の証明機関に関する適切な情報を入力します。
5 [オプション][組織ユニット]および[ステート] フィールドに適切な情報を入力します。[国]リストから、国を選
択します。
6
[共通名]フィールドに、独自の証明機関の共通名を入力します。
7 [オプション][電子メール] フィールドに、組織で使用している電子メール アドレスを入力します。
8
[有効]リストから、証明機関が有効になる時間を選択します。
9 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
McAfee Web Gateway 7.4.0
製品ガイド
259
9
Web フィルタリング
SSL スキャン
10 [OK]をクリックします。
新しい証明機関が作成されます。
11 [変更の保存]をクリックします。
ルート証明機関のインポート
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名するために、ルー
ト証明機関(CA)をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA を持つ SSL クライアント コンテキスト] を選択し、インポートされた証明書を使用する設
定をクリックします。
3
[インポート]をクリックします。
[証明機関のインポート]ウィンドウが開きます。
4
[参照]をクリックして適切なファイルを参照することにより、[証明書]フィールドに証明認証ファイルの名前を入
力します。
ファイルは PEM (Privacy-enhanced mail) 形式でエンコードされている必要があります。
5
[参照]をクリックして適切なファイルを参照することにより、[秘密鍵]鍵フィールドに証明書の鍵ファイルの名前
を入力します。
ファイルは PEM 形式でエンコードされている必要があります。キーは少なくとも 2048 ビットの長さである必
要があります。
6
[条件付き] 秘密鍵がパスワードで保護されている場合、[パスワード]フィールドにパスワードを入力します。
ここでは、暗号化されていない鍵と AES 128 ビットの暗号化鍵のみを使用できます。
7
[条件付き] 証明機関が証明書チェーンに関連し、アプライアンスがクライアントに証明書を送信するよう、この
チェーンの情報を取得したい場合、[参照]をクリックし、適切なファイルを参照することにより、[証明書チェー
ン]フィールドの情報を含むファイル名を入力します。
ファイルは PEM 形式でエンコードされている必要があります。
8
[OK]をクリックします。
証明機関がインポートされます。
9
[変更の保存]をクリックします。
クライアント証明書リスト
クライアント証明書リストは、SSL セキュア通信でクライアント リクエストをアプライアンスで受信し、適切な
Web サーバーでパスする場合の、Web サーバーの送信される証明書のリストです。
SSL 再交渉が行なわれるため、Web サーバーが最初と後の握手で求める場合、証明書が送信されます。
ルール イベントはアプライアンスに伝達され、Web サーバーの通信にクライアント証明書を使用します。証明書は
クライアント証明書リストから選択できます。
この場合、証明書のプライベート キーは、リクエストに送信されるクライアントによって提供されることが必要で
す。
代わりに、常に Web サーバーに送信される事前設定された証明書を使用することもできます。
260
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
SSL スキャン
9
クライアント証明書リストから証明書の使用をトリガーするルール イベントは、CONNECT 要求に適用するルール、
または条件の Command.Name プロパティの値として CERTVERIFY を持つ証明書の検証に対するルール セッ
トのルールに属することができます。
クライアント証明書リストおよび手順を含むルール イベントの設定を構成し、使用できます。また設定は、アプライ
アンスが提供するクライアントの証明書のプライベート キーが、暗号化されていない状態で保管されるように指定で
きます。
クライアント証明書リストの作成
SSL セキュア通信で Web サーバーに送信可能なクライアント証明書のリストを作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[SSL クライアント証明書の取り扱い]を選択し、[追加]をクリックします。
[設定の追加]タブが選択されている状態で、[設定の追加]ウィンドウが開きます。
3
全般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[クライアント証明書の取り扱い]で、オプション[クライアントの所有権が証明された場合、既知のクライアント
証明書リストからクライアント証明書を使用する]が選択されていることを確認します。
5
[既知のクライアント証明書]リストのツールバーで、[追加]をクリックします。
[クライアント証明書の追加]ウィンドウが開きます。
6
[インポート]をクリックして、クライアント証明書をインポートします。
[クライアント証明書のインポート] ウィンドウが開きます。
7
クライアント証明書をインポートする
a
[証明書]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
ファイルを参照して選択します。
ファイル マネージャーが閉じ、証明書ファイルの名前がフィールドに表示されます。
b
[秘密鍵]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
鍵ファイルを参照して選択します。
ファイル マネージャーが閉じ、鍵のファイル名とパスワードが[秘密鍵]および[パスワード]に表示されます。
c
[OK]をクリックします。
ウィンドウが閉じ、証明書ファイルの情報が[クライアント証明書のインポート]ウィンドウに表示されます。
d [オプション][コメント] フィールドで、証明書の平文コメントを入力します。
8
[OK]をクリックします。
[クライアント証明書の追加]ウィンドウが閉じ、証明書ファイル名とコメント(提供された場合)が[既知のクラ
イアント証明書]リストに表示されます。
リストに追加する他の証明書に対してステップ 5 から 6 を繰り返します。
McAfee Web Gateway 7.4.0
製品ガイド
261
9
Web フィルタリング
SSL スキャン
9
[設定の追加]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
SSL クライアント証明書処理の設定
SSL クライアント証明書処理の設定は、SSL セキュア通信で Web サーバーに送信されるクライアント証明書を設定
するために使用されます。
SSL クライアント証明書処理
SSL クライアント証明書の設定
表 9-15 SSL クライアント証明書処理
オプション
定義
[クライアントが所有権を証明 これが選択されると、SSL セキュア通信で Web サーバーに送信されるクライアン
した場合、既知のクライアント ト証明書は、既知のクライアント証明書のリストから取り出されます。
証明書リストのクライアント
しかし、サーバーへのアプライアンスの転送をリクエストをもつクライアントがこ
証明書を使用する]
の証明書の所有者である場合に、証明書はこのリストからのみ取り出されます。
このラジオ ボタンを選択した後で、[既知のクライアント証明書]セクションが表示
され、証明書のリストを構成するための設定を示します。
[常に事前定義されたクライア
ント証明書を使用する]
これを選択すると、同じクライアント証明書が常に SSL セキュア通信で Web サ
ーバーに送信されます。
このラジオ ボタンを選択した後で、[事前定義されたクライアント証明書]セクショ
ンが表示され、1 つの証明書のリストを構成するための設定を示します。
既知のクライアント証明書
Web サーバーに送信できる既知のクライアント証明書のリストの構成の設定
表 9-16 既知のクライアント証明書
オプション
定義
既知のクライアント証明書リスト SSL セキュア通信で Web サーバーに送信できるクライアント証明書のリスト
を提供します。
次の表は既知のクライアント証明書のリストのエントリーの要素を説明しています。
表 9-17 既知のクライアント証明書 - リスト入力
オプション
定義
[証明書]
クライアント証明書の名前を指定します。
[コメント]
証明書の平文テキストのコメントを提供します。
事前定義されたクライアント証明書
Web サーバーに常に送信されるクライアント証明書の構成の設定
262
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
SSL スキャン
表 9-18 事前定義されたクライアント証明書
オプション
定義
[件名]、[発行者]、[有効 Web サーバーに送信するために現在使用されているクライアント証明書の情報を提供し
性]、[延長]
ます。
[インポート]
クライアント証明書をインポートするために、[クライアント証明書のインポート]ウィン
ドウを開きます。
インポート後に、クライアント証明書の情報が、[件名]、[発行者]の下、およびその他の
情報フィールドに表示されます。
[エクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書を保管しま
す。
[キーをエクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書のプライベー
ト キーを保管します。
[証明書チェーン]
クライアント証明書とともにインポートされる証明書チェーンを表示します。
SSL スキャナー設定
SSL スキャナー設定は証明書が検証されコンテンツの検査が SSL セキュア Web トラフィックに対して有効に設定
される方法を構成するために使用されます。
SSL スキャナーを有効にする
証明書の検証の構成やコンテンツ検査の有効化のための設定
表 9-19 SSL スキャナーを有効にする
オプション
定義
[SSL スキャナー モ
ジュール]
SSL スキャナー モジュールによって実行される機能を選択します。
• [証明書の検証] — 選択すると、モジュールは、SSL セキュア通信で送信される証明書を
検証します。
• [SSL 検査] — 選択すると、モジュールは SSL セキュア通信で送信される Web オブジ
ェクトのコンテンツを検査します。
[SSL プロトコル バ
ージョン]
選択すると、モジュールは SSL セキュア通信で送信される Web オブジェクトのコンテン
ツを検査します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用さ
れます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リス
ト]
サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
[SSL セッション キ
ャッシュ TTL]
キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を
保持する時間 (秒)を指定値に制限します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証およ
び EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の検
証を行います。
[RFC 5746 を実装し 選択すると、SSL スキャナー モジュールは、指定された基準への準拠に失敗した Web サ
ないサーバーとのハ
ーバーとの通信においても、これらのアクティビティを実行します。
ンドシェイクと再ネ
ゴシエーションを許
可する]
McAfee Web Gateway 7.4.0
製品ガイド
263
9
Web フィルタリング
SSL スキャン
代わりのハンドシェイクを許可する
代わりのパラメーター値を使う SSL で保護された通信のハンドシェイク設定
表 9-20 代わりのハンドシェイクを許可する
オプション
定義
[ハンドシェイクの失敗 選択すると、SSL で保護された通信で最初のハンドシェイク試行が失敗した後、SSL ス
後、代わりのハンドシェ キャナー モジュールは代わりのパラメーター値を使用します。
イク設定を使用する]
[SSL プロトコル バー
ジョン]
SSL スキャナー モジュールが代替のハンドシェイクを実行する際に従うプロトコルのバ
ージョンを選択します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用
されます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リスト] サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証お
よび EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書
の検証を行います。
SSL クライアント コンテキストの設定
SSL クライアント コンテキスト設定は、アプライアンスがクライアントに送信する証明書を処理するモジュールに
使用されます。
SSL クライアント コンテキストを定義する
アプライアンスがクライアントに送信する証明書の設定
表 9-21 SSL スキャナーを有効にする
オプション
定義
(現在のルート証明 アプライアンスで現在使用されているルート証明書権限(ルート CA)の情報を提供します。
書の権限)
初期設定後に、デフォルトのルート CA がアプライアンスに実装されています。しっかり管理
するために、独自のルート CA を作成することをお奨めします。[新しく作成]ボタンを使用し
て、この証明機関を作成します。
[証明書チェーンの これを選択すると、アプライアンスは、アプライアンスがクライアントへ送信する証明書の検
送信]
証プロセスに関わる証明書チェーンの情報を送信します。
アプライアンスがサーバーとしてクライアントに送信する証明書はレベル 0 に存在すると考
えられます。証明機関(CA)がこのサーバー証明書に署名をして検証する際、これはレベル 1
で行われます。
追加の証明機関が最初の証明機関を検証する際、これはレベル 2 で行われます。それぞれ関わ
る証明機関が追加されるごとに、レベルは 1 つずつ増えていきます。
[証明書チェーン]
証明書チェーンの情報を提供します。
証明書チェーンに関わる既存の証明機関(CA)をインポートした後、この証明書チェーンの情
報がフィールドに表示されます。
[安全でないネゴシ これを選択すると、モジュールは、SSL で保護された通信のパラメーターを、これが安全でな
エーションを実行 い場合でもネゴシエートします。
する]
[クライアント暗号 クライアント データの復号化に使用される Open SSL 記号の文字列を指定します。
リスト]
264
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
SSL スキャン
9
表 9-21 SSL スキャナーを有効にする (続き)
オプション
定義
[SSL セッション
キャッシュ TTL]
キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を保持
する時間 (秒)を指定値に制限します。
[SSL プロトコル
バージョン]
SSL スキャナー モジュールがハンドシェイクを実行する際に従うプロトコルのバージョンを
選択します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用され
ます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
証明書チェーン設定
証明書チェーン設定は、証明書チェーンの構築を処理するモジュールの構成に使用されます。
証明書の検証
証明書チェーンの構築の設定
表 9-22 証明書の検証
オプション
定義
[証明機関のリスト] 証明書チェーンの証明書に署名する証明機関(CAs)のリストを選択するためのリストを提供
します。
以下の表はリスト エントリの要素を説明しています
表 9-23 証明機関のリスト
オプション
定義
[証明機関]
証明機関名を指定します。
[証明書失効リスト] この証明機関に署名された証明書が無効になる際の情報、およびリストにアクセスするために
使用される URL の情報のリストを指定します。
[信用]
選択されている場合、証明機関がアプライアンスで信頼済みです。
[コメント]
証明機関の標準テキスト形式のコメント
SSL スキャナー ルール セット
SSL スキャナー ルール セットは、SSL すきゃ人のためのデフォルト ルール セットです。
デフォルト ルール セット — SSL スキャナー
条件 — Always
サイクル - リクエスト(および IM)
以下のルール セットは、このルール セット内にネストされています。
• 接続呼び出しの処理
• 証明書の検証
• 共通名検証(プロキシ設定)
• コンテンツの検査
• 共通名検証(透過型設定)
McAfee Web Gateway 7.4.0
製品ガイド
265
9
Web フィルタリング
SSL スキャン
接続呼び出しの処理
このネストされたルール セットは、SSL セキュア通信の CONNECT 呼び出しを処理し、証明書の検証を有効にしま
す。
ネストされたライブラリ ルール セット — CONNECT 呼び出し処理
条件 — Command.Name equals “CONNECT”
サイクル - リクエスト(および IM)
このルールの条件は、リクエストが接続コマンドを含むアプライアンスで受信された場合、ルールが適用されるよう
指定します。CONNECT コマンドは、SSL で保護された接続のオープニング フェーズで送信されます。
ルール セットは、以下のルールを含みます。
クライアント コンテキストの設定
Always –> Continue – Enable SSL Client Context with CA <Default CA>
このルールは、クライアントに送信されたサーバー証明書の使用を有効にします。
イベント設定は、この証明書のデフォルトの発行者として、初期設定後、アプライアンスに実装される McAfee Web
Gateway ルートの証明機関(CA)を指定します。
Continue アクションは次のルールで処理を続行します。
トンネリング ホスト
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
このルールは、指定されたホワイトリストにある URL を持つホストへのアクセスのリクエストで SSL スキャンを
スキップさせます。
送信先ポートを許可された CONNECT ポートに限定する
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
このルールは、許可された CONNECT ポートのリストにない送信先ポートを使ったリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
EDH 以外のサーバー リストにあるホストの場合、EDH がなくても証明書の検証を有効にする
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
このルールは、EDH(Ephemeral Diffie-Hellman)以外のサーバー リストにあるホストから送信されたリクエス
トで証明書の検証を有効にします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
イベント設定は、SSL スキャン モジュールの検証モードで実行、および EDH 以外のホストでデータ暗号化の特定
の暗号文字列を指定しています。
証明書の検証を有効にする
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
このルールは証明書の検証を有効にします。
イベント設定は、SSL スキャン モジュールが検証モードで実行することを指定します。
証明書の検証
このネストされたルール セットは、SSL セキュア通信で CERTVERIFY 呼び出しを処理します。ホワイトリストに
登録された証明書に検証をスキップさせ、特定の条件に従って、それ以外をブロックします。
266
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
SSL スキャン
ネストされたライブラリ ルール セット — 証明書の検証
条件 – Command.Name equals “CERTVERIFY*
サイクル - リクエスト(および IM)
このルールの条件は、リクエストが CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用
されるよう指定します。CERTVERIFY コマンドは、証明書の検証をリクエストするために送信されます。
以下のルール セットは、このルール セットでネストされています。
•
共通名検証(プロキシ設定)
ルール セットは、以下のルールを含みます。
証明書ホワイトリストで見つかった証明書の検証をスキップする
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録された証明書の検証をスキップさせます。
自己署名証明書をブロックする
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
このルールは、自己署名証明書を持つリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
期限切れのサーバー(7 日間許容)および期限切れ CA 証明書をブロックする
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate
incident>
このルールは、期限切れのサーバーと CA 証明書を使ったリクエストをブロックします
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
長すぎる証明書チェーンをブロックする
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
このルールは、証明書チェーンがパスの長さを超えた場合にブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
破棄された証明書をブロックする
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate
incident>
このルールは、含まれている証明書のうちいずれかが失効した場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
未知の証明機関をブロックする
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate
incident>
このルールは、含まれている証明書を発行する証明機関(CA)がいずれも既知の CA ではない場合、証明書チェー
ンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
McAfee Web Gateway 7.4.0
製品ガイド
267
9
Web フィルタリング
SSL スキャン
信頼しない証明機関をブロックする
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
このルールは、最初に見つかった既知の CA が信用されない場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
共通名検証(プロキシ設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信されたリクエストに
適用されます。
ネストされたライブラリ ルール セット — 共通名検証(プロキシ設定)
条件 – Connection.SSL.TransparentCNHandling equals false
サイクル - リクエスト(および IM)
このルールの条件は、リクエストが SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透
過型モードで実行されない場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、リクエストされたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへのリクエスト
を許可します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書に替わりの共通名を持つホスト、およびそれらの少なくとも 1 つが一致するホストへのリク
エストを許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、リクエストは、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
コンテンツの検査
このネストされたルール セットは CERTVERIFY 呼び出しの処理を実行します。特定の条件に従って、一部のリクエ
ストでコンテンツの検証をスキップさせ、その他すべての検査を有効にします。
ネストされたライブラリ ルール セット — コンテンツ検査
条件 – Command.Name equals “CERTVERIFY*
サイクル - リクエスト(および IM)
268
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
SSL スキャン
このルールの条件は、リクエストが CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用
されるよう指定します。CERTVERIFY コマンドは、証明書の検証をリクエストするために送信されます。
ルール セットは、以下のルールを含みます。
SSL 検査ホワイトリストで見つかったホストのコンテンツ検査をスキップする
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection
Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録されたホストに送信されたリクエストでコンテンツの検査をスキップさせま
す。透過型モード以外でのみ適用されます。
SSL 検査ホワイトリストで見つかった共通名のコンテンツをスキップする
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL
Inspection Whitelist –> Stop Rule Set
このルールは、証明書にホワイトリストに登録された共通名を持つリクエストで、コンテンツの検査をスキップさ
せます。透過型モードでのみ適用されます。
このルールは、初期状態では有効になっていません。
クライアント証明書を持つ接続を検査しない
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
このルールは、クライアント証明書の使用が必要な場合、リクエストに検査をスキップさせます。
このルールは、初期状態では有効になっていません。
コンテンツ検査を有効にする
Always –> Continue – Enable SSL Scanner<Enable content inspection>
このルールはコンテンツ検査を有効にします。
イベント設定は、SSL スキャン モジュールが検査モードで実行することを指定します。
コンテンツの検査をスキップするルールのうちいずれかが適用される場合、ルール セットの処理は停止し、この最
後のルール(検査を有効にする)は処理されません。そうでない場合、コンテンツの検査はこのルールによって有
効になります。
共通名検証(透過型設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信されたリクエストに
適用されます。透過型モードで送信されたリクエストにのみ適用されています。
明示的プロキシ¥ モードでリクエストが送信されると、共通名と比較されたホスト名がクライアントが送信した
CONNECT リクエストから取り出されます。
CONNECT リクエストが送信されない透過型モードとして、干すつ名はクライアントが送信する Web アクセスのリ
クエストから取り出されます。
ネストされたライブラリ ルール セット — 共通名検証(透過型セットアップ)
条件 – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not
equal “CONNECT” AND Command.Name does not equal “CERTVERIFY”
サイクル - リクエスト(および IM)
このルールの条件は、リクエストが SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透
過型モードで実行される場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
McAfee Web Gateway 7.4.0
製品ガイド
269
9
Web フィルタリング
ハードウェア セキュリティ モジュール
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、リクエストされたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへのリクエスト
を許可します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書に替わりの共通名を持つホスト、およびそれらの少なくとも 1 つが一致するホストへのリク
エストを許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、リクエストは、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ハードウェア セキュリティ モジュール
ハードウェア セキュリティ モジュール (HSM) は、秘密鍵を SSL セキュア通信でサーバーとクライアントに送信
し、セキュリティを強化します。
目次
ハードウェア セキュリティ モジュールへの秘密鍵の保存
キー処理にハードウェア セキュリティ モジュールを使用する
ハードウェア セキュリティ モジュールのドライバーをインストールする
HSM エージェントの使用を有効にする
ハードウェア セキュリティ モジュールの設定
秘密鍵 ID を追加する
秘密鍵のロックを解除する
秘密鍵を使用して証明書を設定する
ハードウェア セキュリティ モジュールへの秘密鍵の保存
SSL セキュア接続で証明書を使用するときに、秘密鍵が必要になります。これらのキーをハードウェア セキュリテ
ィ モジュール (HSM) という別のハードウェア コンポーネントに保存すると、キー処理のセキュリティを強化する
ことができます。
秘密鍵を別のハードウェア コンポーネントに保存すると、操作中のキー情報の漏えいを防ぐことができます。証明書
を設定して有効にするときに秘密鍵が必要になると、これらのキーは ID (キー名) で参照されます。キー自体はハー
ドウェア コンポーネントで保護されています。
秘密鍵で証明書を有効にするときに必要になるすべての暗号操作はハードウェア コンポーネントで実行されます。
秘密鍵をファイルからインポートする場合、ファイルを開いて読み込む必要がありますが、このような方法と比べる
と、別のハードウェア コンポーネントを使用する処理方法は安全性が高くなります。
270
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
ハードウェア セキュリティ モジュール
秘密鍵は、ハードウェア コンポーネントで生成されるか、コンポーネントにインポートされます。証明書を設定して
使用するときに、Web Gateway の一部である HSM エージェントが秘密鍵を読み込みます。
秘密鍵を生成する場合、通常、パスワードまたはオペレーター カード システム (OCS) を使用してキーのセキュリテ
ィを追加します。ただし、このようなオプションを使用しなくても秘密鍵を生成できます。
HSM エージェントが秘密鍵を読み込む前に、Web Gateway のユーザー インターフェースのリストにキー ID を入
力し、エージェントに ID を通知する必要があります。キーがパスワードまたは OCS で保護されている場合には、
ハードウェア コンポーネントでキーのロックを解除する必要があります。
証明書のインポートを設定するときに、ユーザー インターフェースのインポート ウィンドウに、証明書の秘密鍵を
入力するオプションが表示されます。
ファイルに保存されたキーをインポートすることも、キー ID を使用してハードウェア コンポーネント上のキーを参
照することもできます。キーを参照する場合には、設定したリストからキー ID を選択します。
ハードウェア セキュリティ モジュールのインストールとアクセス
ハードウェア セキュリティ モジュールは PCI カードで提供されます。このカードを Web Gateway が実行されて
いるアプライアンスに取り付け、必要なドライバーをインストールします。
モジュール カードをインストールしたら、システム コンソールから SSH でアプライアンスにログオンすると、モ
ジュールにアクセスすることができます。秘密鍵の生成やロックの解除など、モジュール上で操作を行うには、コマ
ンドラインからコマンドを入力します。
ハードウェア セキュリティ モジュールの取り付け方法と操作方法については、モジュール提供元の McAfee パート
ナー (Thales) のマニュアルを参照してください。
キー処理における管理者の責任
キー処理のセキュリティを強化するため、管理者で責任を分担することができます。
たとえば、1 人の管理者がハードウェア セキュリティ モジュールでの秘密鍵の生成を担当し、Web Gateway の管
理者が Web Gateway のユーザー インターフェースでキーを使用して証明書を設定します。
Web Gateway の管理者は生成されたキー ID を知っている必要があります。また、追加の保護機能が使用されてい
る場合には、キーのパスワードも確認しておく必要があります。
秘密鍵に関する操作の記録
ハードウェア セキュリティ モジュールに関連する秘密鍵の操作は Web Gateway で記録され、ユーザー インター
フェースのダッシュボードに表示されます ([SSL スキャナー統計] の下の [リモートからの秘密鍵の操作]) に表示
されます。
キー処理にハードウェア セキュリティ モジュールを使用する
秘密鍵の処理にハードウェア セキュリティ モジュールを使用するには、次の手順に従います。
これらの操作は、別々の管理者が行うこともできます。
タスク
1
2
Web Gateway が稼働し、ハードウェア セキュリティ モジュールを使用するアプライアンスを準備します。
a
ハードウェア セキュリティ モジュール カードをインストールします。
b
ハードウェア セキュリティ モジュールのドライバーをインストールします。
秘密鍵を生成するか、ハードウェア セキュリティ モジュールにインポートします。キーの ID を覚えておいてく
ださい。
McAfee Web Gateway 7.4.0
製品ガイド
271
9
Web フィルタリング
ハードウェア セキュリティ モジュール
3
Web Gateway のユーザー インターフェースでハードウェア セキュリティ モジュールの使用を設定します。
a
HSM エージェントを有効にします。
b
秘密鍵の ID をキー ID リストに追加します。
4
ハードウェア セキュリティ モジュールで証明書に使用する秘密鍵のロックを解除します (パスワードまたは
OCS で保護されている場合)。
5
証明書の設定時に、Web ゲートウェイのユーザー インターフェースで秘密鍵を確認します。
ハードウェア セキュリティ モジュールのドライバーをインストールする
システム コンソールを使用して、ハードウェア セキュリティ モジュールのドライバーをインストールします。
ドライバーは、nfast と nfast-python の 2 つのパッケージに含まれています。
タスク
1
SSH を使用してシステム コンソールからアプライアンスにログオンします。
2
以下のコマンドを実行します。
yum install nfast nfast-python
モジュールのドライバーがアプライアンスにインストールされます。HSM エージェントの使用を有効にできます。
HSM エージェントの使用を有効にする
Web Gateway のユーザー インターフェースでの HSM エージェントの使用を有効にすると、証明書の設定や操作
で秘密鍵を使用することができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、HSM エージェントを有効にするアプライアンスを選択し、[ハードウェア セキュリテ
ィ モジュール] をクリックします。
3
[HSM エージェント] を選択します。
秘密鍵の ID リストにアクセスできます。キーの ID をリストに追加したり、名前の編集や削除を行うことができ
ます。
4
[変更を保存] をクリックします。
ハードウェア セキュリティ モジュールの設定
ハードウェア セキュリティ モジュール (HSM) の設定は、モジュールから秘密鍵を取得し、Web アプライアンスに
読み込む HSM エージェントを設定する場合に使用します。
HSM エージェント
HSM エージェントとプライベート キーの設定
表 9-24 HSM エージェント
272
オプション
定義
[HSM エージェント]
選択すると、HSM エージェントが有効になり、秘密鍵の読み込みが可能になります。
[読み込まれるキー]
読み込まれる秘密鍵をリストから選択します。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
ハードウェア セキュリティ モジュール
9
以下の表では、読み込まれるキーのリストについて説明します。
表 9-25 読み込まれるキー - リスト項目
オプション
定義
[文字列]
秘密鍵が表示されます。
[コメント]
秘密鍵のコメントがテキスト形式で表示されます。
秘密鍵 ID を追加する
Web Gateway ユーザー インターフェースのリストに 秘密鍵の ID を追加すると、この ID で証明書を設定し、使
用することができます。
タスク
1
[構成 ] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、秘密鍵 ID を追加するアプライアンスを選択し、[ハードウェア セキュリティ モジュ
ール] をクリックします。
3
[HSM エージェント] を選択します。
4
[読み込まれるキー] リストの先頭にある [追加] アイコンをクリックします。
[文字列の追加] ウィンドウが開きます。
5
リストにエントリを追加します。
a
[文字列] フィールドに秘密鍵 ID を入力します (例: rsa-customerkeyID3)。
b
(オプション) [コメント]フィールドに、キー ID のコメントをテキスト形式で入力します。
c
[OK] をクリックします。
ウィンドウが閉じて、リストにキー ID が表示されます。
6
[変更を保存] をクリックします。
秘密鍵のロックを解除する
パスワードまたはハードウェア セキュリティ モジュールで保護されている秘密鍵のロックを解除すると、秘密鍵を
証明書の設定や操作で使用することができます。
開始する前に
キーの解除に必要になる追加情報 (パスワードなど) を用意してください。
タスク
1
SSH でシステム コンソールに接続し、ハードウェア セキュリティ モジュールに該当する秘密鍵が保存されてい
るアプライアンスにログインします。
2
コマンドラインで、/opt/mwg/bin/hsmagent -c と入力します。
3
表示されたウィンドウで、秘密鍵のロック解除を行います。
機密鍵が証明書の設定や操作で使用できるようになります。
McAfee Web Gateway 7.4.0
製品ガイド
273
9
Web フィルタリング
Advanced Threat Defense
秘密鍵を使用して証明書を設定する
証明書のインポートを設定するときに、ハードウェア サービス モジュールの秘密鍵を指定すると、証明書の操作で
秘密鍵の使用が可能になります。
開始する前に
次のことを確認してください。
•
Web Gateway のユーザー インターフェースでキーの ID がリストに追加されている。
•
ハードウェア セキュリティ モジュールでキーのロックが解除されている (パスワードまたは OCS
で保護されている場合)。
証明書のインポートは、Web Gateway ユーザー インターフェースのインポート ウィンドウで設定します。
インポート ウィンドウの名前は、インポートする証明書の種類によって異なります。
タスク
1
インポート ウィンドウの [証明書] フィールドの横にある [参照] をクリックし、証明書を検索して選択します。
フィールドに証明書の名前が表示され、[秘密鍵のソース] フィールドが使用可能になります。
2
[HSM] を選択します。
秘密鍵の ID リストが表示されます。
リストを更新するには、[更新] をクリックします。このリストは 5 分間隔で自動的に更新されます。
3
リストからキーの ID を選択します。
リストが消えて、[秘密鍵のソース] フィールドにキーの ID が表示されます。
4
証明書のインポートに必要な他の設定を行います。
5
[OK] をクリックします。
証明書がインポートされ、設定した秘密鍵で有効にすることができます。
Advanced Threat Defense
®
McAfee Advanced Threat Defense Web セキュリティ製品を使用すると、要求の応答で Web Gateway が特定
の Web サーバーから受信した Web オブジェクトをスキャンできます。
McAfee Advanced Threat Defense はサンドボックス方式でスキャンを行います。特定の Web オブジェクトを
サンドボックス環境で実行し、その振る舞いを分析します。Web Gateway との内部通信は REST インターフェー
スが処理します。
274
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
McAfee Advanced Threat Defense が Web Gateway に送信したスキャン結果に応じて、要求側のクライアント
に Web オブジェクトが転送されます。
図 9-1 Advanced Threat Defense によるスキャン
ワークフローは次のようになります。
1
ネットワーク内のユーザーが Web Gateway のクライアントから Web オブジェクト (ファイルなど) に対する
アクセス要求を送信します。
2
設定したルールに従って要求がフィルタリングされます。処理を通過すると、Web Gateway が要求を Web サ
ーバーに転送します。
進行状況ページがクライアントに送信されます。ユーザーに進行状況バーを表示し、要求の処理中であることを
通知します。
3
Web サーバーが Web Gateway にオブジェクトを送信します。
4
McAfee Advanced Threat Defense の使用条件を満たすと、Web Gateway がスキャン対象のオブジェクトを
転送します。
スキャン状況に関する情報を取得するため、Web Gateway が McAfee Advanced Threat Defense に状況を定
期的に照会します。
5
McAfee Advanced Threat Defense がスキャンを完了すると、Web Gateway にオブジェクトのスキャン結果
が通知されます。
6
この情報に従って、Web Gateway は、要求されたオブジェクトに対するアクセスをユーザーに許可したり、ブ
ロック ページを送信します。ブロック ページでは、アクセスがブロックされた理由も通知されます。
このワークフローを有効にするには、Web Gateway で適切なルールを実装する必要があります。このようなルール
を含むルール セットをルール セット ライブラリからインポートできます。
McAfee Web Gateway 7.4.0
製品ガイド
275
9
Web フィルタリング
Advanced Threat Defense
McAfee Advanced Threat Defense を使用する場合のルール セット、リスト、設定
Advanced Threat Defense ライブラリ ルール セットのルールを使用すると、Web Gateway で McAfee
Advanced Threat Defense の使用を有効にできます。このルール セットをインポートすると、リストと設定も実
装されます。
•
Advanced Threat Defense ライブラリ ルール セット - このルール セットをインポートすると、インポー
トしたルール セットをそのまま使用することも、ネットワークの要件に合わせて変更することもできます。
•
Advanced Threat Defense サポート タイプ リスト - このリストは、ライブラリ ルール セットの条件で使
用されます。このリストにあるメディア タイプの Web オブジェクトだけが McAfee Advanced Threat
Defense に渡され、スキャンされます。
デフォルトでは、複数のメディア タイプがリストに記述されています。リストにメディア タイプを追加したり、
リストから削除することもできます。
•
ゲートウェイ ATD の設定 - Web Gateway のマルウェア対策モジュール (またはエンジン) の設定です。ウ
イルスとマルウェアのフィルタリングや McAfee Advanced Threat Defense の実行時に使用されます。
この設定には、次の設定を行うオプションが含まれています。
•
McAfee Advanced Threat Defense が実行されているサーバーと Web Gateway との通信
•
ファイルなどの Web オブジェクトを不正なオブジェクトと分類する重大度
McAfee Advanced Threat Defense がオブジェクトをスキャンすると、スキャン結果に 0 から 5 (最大) の
重大度が設定されます。
たとえば、重大度の値を 3 に設定すると、スキャン結果が 3 以上のオブジェクトが不正なオブジェクトと見
なされます。
オブジェクトが不正と見なされると、Antimalware.Infected プロパティが true に設定されます。このプロ
パティを条件で使用するルールはこの Web オブジェクトをブロックし、アクセスを要求したユーザーに送信
しません。
Web Gateway と McAfee Advanced Threat Defense によるスキャン
Web Gateway は、Web Gateway のマルウェア対策エンジンでスキャンを実行した後に、McAfee Advanced
Threat Defense の機能を使用して Web オブジェクトをスキャンします。このスキャン プロセスの結果に従って、
マルウェアの可能性がパーセントで表されます。
Advanced Threat Defense ライブラリ ルール セットは、この可能性を条件として使用します。条件のデフォルト
値は 60 です。Web Gateway で Web オブジェクトをスキャンし、マルウェアの可能性が 60% 以上になったとき
に、オブジェクトが McAfee Advanced Threat Defense に渡されます。
McAfee Advanced Threat Defense の使用を設定するときに、この値を変更できます。これにより、この製品が
Web Gateway をサポートする頻度を調整することができます。
ルール セット ツリーで、McAfee Advanced Threat Defense のルールセットは、Web Gateway の通常のマルウ
ェア対策機能のルール セット (通常はゲートウェイ マルウェア対策のデフォルトのルール セット) の後に配置して
ください。
Web Gateway と McAfee Advanced Threat Defense を併用すると、マルウェア対策モジュール (またはエンジ
ン) は 2 つの異なる設定で実行されます。1 つは Web Gateway の設定で、もう 1 つはサポート製品の設定です。
この 2 つの設定のデフォルト名は、ゲートウェイ マルウェア対策とゲートウェイ ATD です。
この設定の違いで重要なポイントは、ゲートウェイ ATD の設定では McAfee Advanced Threat Defense を使用す
るオプションが選択されていますが、他の設定ではオプションが選択されていない点です。
276
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
McAfee Advanced Threat Defense のモニタリング
Web Gateway と一緒に使用する McAfee Advanced Threat Defense のスキャン活動は、いくつかの方法でモニ
タリングすることができます。
•
ログ ハンドラー - ルール セット ライブラリのログ グループから「ATD スキャン ログ」ルール セットをイン
ポートします。
このルール セットに含まれるログ ルールは、Web Gateway から渡された Web オブジェクトに McAfee
Advanced Threat Defense が実行したスキャン ジョブに関する情報を記録します。
次のような情報を記録します。
•
スキャン結果の重大度
•
McAfee Advanced Threat Defense が実行されているサーバー
•
スキャン ジョブのタスク ID
•
スキャン ジョブのハッシュ値
このルール セットは、適切なプロパティを使用して、この情報を提供するログ エントリを作成します。
•
エラー ハンドラー - ルール セット ライブラリのエラー処理グループから「ATD エラー時にブロック」ルール
セットをインポートします。
このセットのブロック ルールは、McAfee Advanced Threat Defense がスキャン ジョブを実行しているときに
発生したエラーを処理します。
このルールは、適切なエラー ID を条件として使用します。エラー ID の範囲は 14010 から 14012 までです。
「マルウェア対策エンジン エラーでのブロック」ルール セットのルールは、14002 から 14050 までのエラーに
対応します。したがって、
「ATD エラー時のブロック」ルール セットは、このマルウェア対策ルール セットの前
に配置する必要があります。
それ以外の場合に、
「ATD エラー時のブロック」ルール セットのブロック ルールは処理されません。マルウェア
対策エラーに関連するテキストを含む一般的なブロック メッセージがユーザーに送信されます。
•
マルウェア対策プロパティ - McAfee Advanced Threat Defense のアクティビティを監視するために、いくつ
かのプロパティを使用できます。プロパティの名前は Antimalware.MATD で始まります。例:
Antimalware.MATD.Server、Antimalware.MATD.Report
これらのプロパティは、「ATD スキャン ログ」ルール セットのログ ルールで使用されます。
McAfee Advanced Threat Defense がスキャン ジョブを実行すると、ジョブの結果が
Antimalware.MATD.Report プロパティの値に保存されます。このレポートは、JavaScript Object
Notation (JSON) オブジェクトのデータ構造を表す文字列として提供されます。
Antimalware.MATD.Report プロパティと一緒に JSON プロパティを使用すると、レポート情報を抽出でき
ます。
•
ダッシュボード - ダッシュボードのグラフと表に、特定の期間中に生成されたデータが表示されます。
•
[エグゼクティブ サマリー]:McAfee Advanced Threat Defense のスキャン結果によってブロックされた
Web オブジェクトの要求数
•
[マルウェア統計]:スキャンを実行するために McAfee Advanced Threat Defense に渡された Web オブジ
ェクトの数、スキャン結果によってブロックされた要求の数、スキャン時間
McAfee Web Gateway 7.4.0
製品ガイド
277
9
Web フィルタリング
Advanced Threat Defense
McAfee Advanced Threat Defense の可用性
Web Gateway と一緒に使用するために、McAfee Advanced Threat Defense Web セキュリティ ソフトウェアが
同じハードウェア プラットフォームにプリインストールされています。このソフトウェアは、別のサーバー上のアプ
ライアンスとして実行されます。
製品の複数のインスタンスを異なるサーバーで実行し、Web Gateway をサポートすることができます。製品のイン
スタンスは、固有のハードウェア プラットフォームにインストールする必要があります。
McAfee Advanced Threat Defense の使用を設定する
Web Gateway で Web オブジェクトのスキャンに McAfee Advanced Threat Defense を使用するには、次の操
作を行う必要があります。
タスク
1
McAfee Advanced Threat Defense を設定して、ネットワークに統合します。
詳細については、『McAfee Advanced Threat Defense 製品ガイド』を参照してください。
2
Web Gateway のユーザー インターフェースで、次の操作を行います。
a
ルール セット ライブラリから「Advanced Threat Defense」ルール セットをインポートします。
ルール セット ツリーで、このルール セットを通常のマルウェア対策機能のルール セット (デフォルトで使用
されるゲートウェイ マルウェア対策ルール セット) の後に配置します。
b
ルール セット ライブラリーから「ADT スキャン ログ」ルール セットと「ATD エラー時のブロック」ルー
ル セットをインポートし、既存の「ログ ハンドラー」ルール セットと「エラー ハンドラー」ルール セット
にそれぞれ追加します。
c
(オプション) 必要に応じて、Advanced Threat Defense サポート タイプ リストにメディア タイプを追加
したり、リストからメディア タイプを削除します。
d
McAfee Advanced Threat Defense の使用に必要な設定を行います。
ライブラリ ルール セットをインポートすると、これらの設定の名前が「ゲートウェイ ATD」になります。
e
変更を保存します。
マルウェア対策モジュールを設定して McAfee Advanced Threat
Defense を使用する
Web オブジェクトのスキャンに McAfee Advanced Threat Defense を使用するように、Web Gateway のマルウ
ェア対策モジュール (またはエンジン) を設定できます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [マルウェア対策] を展開し、McAfee Advanced Threat Defense の使用
を設定する項目を選択します。
Advanced Threat Defense ライブラリ ルール セットをインポートすると、これらの設定の名前が「ゲートウ
ェイ ATD」になります。
278
3
必要に応じて、これらの項目を設定します。
4
[変更を保存] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
Advanced Threat Defense
ゲートウェイ ATD の設定
ゲートウェイ ATD の設定は、Web Gateway が受信した Web オブジェクトを McAfee Advanced Threat
Defense でスキャンする場合に使用します。
スキャン エンジンと動作を選択する
スキャン エンジンと感染を検出した場合の動作を選択します。
表 9-26 スキャン エンジンを選択する
オプション
定義
[両方の McAfee エンジン: 高性能 選択すると、McAfee ゲートウェイ マルウェア対策エンジンと McAfee マル
な構成に推奨]
ウェア対策エンジンがアクティブになります。
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ
このオプションはデフォルトで選択されています。
[段階的な対応: McAfee の両方の 選択すると、McAfee ゲートウェイ マルウェア対策エンジンと McAfee マル
エンジンと特定の Avira エンジン ウェア対策エンジンがアクティブになります。また、一部の Web オブジェク
機能 (パフォーマンスに対する影響 トでは、サードパーティの Avira エンジンもアクティブになります。
を最小にする)]
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュール
の機能 (一部の Web オブジェクト)
[重複対応: McAfee の両方のエン
ジンと Avira エンジン (パフォー
マンスに対する影響は最も少ない
が、誤検知が多くなる)]
選択すると、McAfee ゲートウェイ マルウェア対策エンジン、McAfee マルウ
ェア対策エンジン、サードパーティの Avira エンジンがアクティブになりま
す。
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュール
機能
[Avira のみ: Avira エンジンのみ
を使用 (非推奨) ]
選択すると、Avira エンジンのみがアクティブになります。
Web オブジェクトは次の組み合せでスキャンされます。
サードパーティ モジュールの機能
[McAfee Advanced Threat
選択すると、McAfee Advanced Threat Defense によるスキャンのみがアク
Defense のみ: サンドボックスで ティブになります。
詳細な解析を行うために MATD ア
Web オブジェクトは次の組み合せでスキャンされます。
プライアンスにファイルを送信]
McAfee Advanced Threat Defense 機能
このオプションはデフォルトで選択されています。
[エンジンがウイルスを検出した直 選択すると、ウイルスまたはマルウェアに感染した項目を検出するとすぐに
後にウイルス スキャンを停止する] Web オブジェクトのスキャンを停止します。
MATD のセットアップ
McAfee Advanced Threat Defense の使用を構成する共通設定
McAfee Web Gateway 7.4.0
製品ガイド
279
9
Web フィルタリング
Advanced Threat Defense
表 9-27 MATD のセットアップ
オプション
定義
[ユーザー名]
McAfee Advanced Threat Defense との接続時に Web Gateway が送信するユーザー
名です。
[パスワード]
McAfee Advanced Threat Defense との接続時に Web Gateway が送信するパスワー
ドです。
[設定] をクリックすると、パスワードの設定ウィンドウが開きます。
[サーバー リスト]
McAfee Advanced Threat Defense が実行されているサーバーのリストが表示されま
す。
[証明機関のリスト]
ドロップダウン リストから既知の証明機関のリストを選択できます。
Web Gateway と McAfee Advanced Threat Defense との通信が HTTPS プロトコル
の SSL セキュア モードで行われる場合に、この証明機関が参照されます。
[不正なファイルを表す McAfee Advanced Threat Defense によるスキャン時に Web オブジェクト (ファイル
重大度のしきい値]
など) で検出された不正な特徴を示す重大度のしきい値が表示されます。
このしきい値に達すると、オブジェクトは不正として分類され、Antimalware.Infected
プロパティの値が true に設定されます。
スライダーを動かすと、しきい値を 0 から 5 (最大) までの間で設定できます。
[前の検出結果を再利用 選択すると、McAfee Advanced Threat Defense による前回のスキャン時に設定された
し、McAfee Web
重大度によって、Web オブジェクトが不正なオブジェクトかどうか判断されます。
Gateway がファイル
のハッシュで MATD か このオプションを選択すると、次のオプションが使用可能になります。
ら最新のレポートを取
得する]
[最大検出期間]
Web オブジェクトの重大度が設定されてからの最大経過時間 (分) が設定されます。こ
の時間が経過すると、この値が不正オブジェクトの評価に使用されません。
デフォルトの最大時間は 30 分です。
以下の表では、サーバー リストの項目について説明します。
表 9-28 サーバー リスト - リスト項目
オプション
定義
[文字列]
McAfee Advanced Threat Defense が実行されているサーバー名が表示されます。
[コメント]
サーバーのコメントがテキスト形式で表示されます。
ネットワーク設定
McAfee Advanced Threat Defense が実行されているサーバーとの接続を構成する場合の設定
280
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
Advanced Threat Defense
表 9-29 ネットワーク設定
オプション
定義
[接続タイムアウト] 接続の待機時間 (秒) が表示されます。この時間が経過すると、サーバーとの接続が終了しま
す。
デフォルトの時間は 5 秒です。
[スキャン タイムア McAfee Advanced Threat Defense が Web オブジェクトをスキャンできる時間 (秒) が
ウト]
表示されます。
この時間が経過すると、Web Gateway は許可時間内にスキャンが完了できなかったと判断
し、エラーを記録します。
デフォルトは 10 分です。
[ポーリング間隔]
Web オブジェクトのスキャン状況に関する情報を McAfee Advanced Threat Defense か
ら取得する間隔 (秒) が表示されます。
デフォルトの時間は 20 秒です。
「Advanced Threat Defense」ルール セット
「Advanced Threat Defense」ルール セットは、Web オブジェクトのフィルタリング時に Web Gateway と
McAfee Advanced Threat Defense の併用を有効にするライブラリ ルール セットです。
ルール セット - Advanced Threat Defense
条件 - Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals
60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported
Types
サイクル - 応答、埋め込みオブジェクト
ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。
•
Web Gateway のマルウェア対策エンジンの前のスキャン結果で、不正な Web オブジェクトの可能性が 60%
以上になっている場合。
•
オブジェクトのメディア タイプが McAfee Advanced Threat Defense のスキャンに対応しているタイプの場
合
このルール セットには、以下のルールが含まれます。
進行状況ページを有効にする
Always –> Continue – Enable Progress Page<Default>
このルールは、Web オブジェクトがクライアントにダウンロードされるときに進行状況をページに表示するイベン
トを有効にします。
ファイルを ATD にアップロードしてスキャン結果を待機する
Antimalware.Infected<Gateway ATD> –> Block<Virus Found> –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス
やマルウェアに感染しているかどうかを確認します。
この検査で必要なスキャンがゲートウェイ ATD の設定で実行されます。このスキャンは McAfee Advanced
Threat Defense によって実行されます。
オブジェクトで感染が見つかると、要求側のクライアントへのオブジェクトの転送を中止し、オブジェクトへのア
クセスを要求したユーザーにブロック メッセージを表示します。
このブロック アクションは統計カウンターで記録されます。
McAfee Web Gateway 7.4.0
製品ガイド
281
9
Web フィルタリング
Data Loss Prevention
Data Loss Prevention
Data loss prevention(DLP)は、機密情報がネットワークから流出しないようにします。防御のプロセスでは、こ
のコンテンツを検出し、Web へ流出するトラフィックを適宜にブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する Data loss prevention ルール
•
data loss prevention のエントリを記入したデフォルトの分類およびディクショナリ
•
機密情報の検索を処理するルールによって呼び出される Data loss prevention モジュール
また、data loss prevention ルールを使用して、ネットワークへ流入しないように不適切なコンテンツを保持でき
ます。しかし、これはパフォーマンスへ影響を与える可能性があります。
data loss prevention プロセスは、リクエストまたは応答とともに送信される本文に含まれるテキスト、または、
URL パラメーターまたはヘッダーなど、リクエストまたは応答に含まれるその他テキストにも適用できます。
フィルタリング プロセスに対して、ICAP サーバーを使用する DLP ソリューションと共にアプライアンスを実行中
の場合、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確認するためにルール セットを施行で
きます。
Data loss prevention ルール
Data loss prevention は、アプライアンスのデフォルトによって実行されませんが、ライブラリから Data Loss
Prevention ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
data loss prevention ルールは、たとえばテキストが機密コンテンツを含む本文として送信されるリクエストなど
をブロックします。リクエスト本文を提供するのが「true」かどうか検索するため、ルールは本文を検査するモジュ
ールを呼び出します。何が機密と見なされるか知るには、構成されたものに従って、システム リストのモジュールが
デフォルトの分類、またはディクショナリ エントリを参照します。
リクエストまたは応答が処理されたとき、本文が Body.Text プロパティの値として保管されます。本文が保管さ
れ、検査される前に、抽出する必要があります。コンポジット オープナー モジュールはオープニング ジョブを実行
します。共通ルール ルール セットのルール セットにおけるルールは、デフォルトでオープナーを有効にします。
リクエスト本文は、たとえば、Web へのアップロードがリクエストされるテキスト ファイルに存在する可能性があ
ります。ルール条件の適合した本文関連プロパティの値は、適用するルールおよびブロックの実行に「true」になり
ます。
以下のルールは、この方法で DLP.Classification.BodyText.Matched を使用します。リクエストが本文に機密
コンテンツを含む場合、これは、これは data loss prevention モジュールによって検出されます。プロパティの値
は true に設定され、リクエストがブロックされます。
名前
SOX 情報でファイルをブロックする
条件
DLP.Classification.BodyText.Matched<SOX> equals true
アクション
–> Block<DLP.Classification.Block>
このルールが処理されるとき、data loss protection モジュールはその設定によって、企業の責任に対応する SOX
(サーベンス オクスリー法)規制に関して機密コンテンツを検索する必要があることを知っています。
イベントをルールに追加し、data loss prevention の情報をログ記録するか、このルールによってブロックされた
リクエストが発生する頻度をカウントするカウンターをインクリメントできます。
282
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
デフォルトの分類およびディクショナリ エントリ
デフォルトの分類およびディクショナリ エントリは、data loss prevention で使用され、ネットワークからの流出
を防ぐ必要がある機密コンテンツを指定します。
しかし、システム リストおよびディクショナリ エントリで、ネットワークに流入を許可しない差別的または攻撃的
な言葉など、不適切なコンテンツも指定できます。たとえば、ルールでリクエストに応じて Web サーバーから送信
されたコンテンツをブロックさせるこの方法などで、不適切なコンテンツを指定できる可能性があります。
data loss prevention のライブラリ ルール セットは、応答サイクルの本文を処理するためにネストされたルール
セットを含みます。
デフォルトの分類およびディクショナリ エントリは以下の方法で異なります。
•
デフォルトの分類 — たとえば、クレジット カード番号、社会保険番号、医療診断データなど、異なる種類の機
密または不適切なコンテンツを検出するための情報を提供します。
デフォルトの分類は、システム リストのフォルダーおよびサブフォルダーに含まれており、アプライアンス シス
テムによって更新されます。リスト ツリーの [システム リスト] ブランチの [DLP 分類]の下で、システム リス
トを表示できますが、編集または削除はできません。
分類を処理するモジュールの設定を編集する場合、これらのリストのフォルダーから適合したサブフォルダーを
選択し、ネットワーク内の data loss prevention の分類とともにリストを作成できます。
•
ディクショナリ エントリ — たとえば、ネットワークから流出させるべきではないコンテンツを示唆する人物の
名前やキーワードなど、機密または不適切なコンテンツを指定します。
ディクショナリは、このリストを処理するモジュールの設定の一部として作成されます。
ディクショナリを作成し、機密または不適切なコンテンツに対してエントリを記入することは、システム リスト
のデフォルト分類を使用して何が可能かを超えて、data loss prevention プロセスの構成を意味します。この方
法でネットワークの要件に対してプロセスを合わせることができます。
Data Loss Prevention モジュール
data loss prevention モジュールのジョブ(エンジンとも呼ばれる)は、リクエストおよび応答の本文、およびリ
クエストおよび応答とともに送信される他のテキストで、機密または不適切なコンテンツを検出するためのものです。
アーカイブ ドキュメント、POST リクエストの本文、およびその他など、複合オブジェクトがリクエストまたは応答
とともに送信される場合、data loss prevention プロセスにも含まれます。このようなオブジェクトを分析するた
め、data loss prevention ルールは、埋め込みオブジェクト サイクルでも処理されます。
検出された data loss prevention モジュールによって、ルール条件の本文関連プロパティは、true または false
に設定されます。そのため、Web トラフィックは最終的にブロックまたは許可されます。
関連コンテンツを検出するためのリストの使用で異なる、2 つのモジュールがあります。
•
Data Loss Prevention(分類) — data loss prevention のためにシステム リストのデフォルトの分類を使
用します。
•
Data Loss Prevention(ディクショナリ) — data loss prevention に対して提供する機密および不適切な
コンテンツに、エントリとともにディクショナリを使用します。
モジュールの設定を構成するとき、検索するべきコンテンツを指定します。コンテンツを指定するデフォルトの分類
およびディクショナリは、設定パラメーターの間にあります。
McAfee Web Gateway 7.4.0
製品ガイド
283
9
Web フィルタリング
Data Loss Prevention
data loss prevention の検索方法
ネットワークからの流出や流入をふせぐべきコンテンツの検索には異なる方法があります。
•
検索は、機密又は不適切として指定されるコンテンツの一部を含む、リクエストまたは応答本文を提供するか否
かの検索を目的にできます。
•
検索は URL パラメーターまたはヘッダーコンテンツの一部で開始し、構成されたものに従って、機密または不適
切かどうかを検索できます。
最初の方法として、サンプル ルールで既に表示された DLP.Classification.BodyText.Matched プロパティを
使用できます。
2 つ目に、DLP.Classification.AnyText.Matched プロパティを使用できます。このプロパティは、システム
リストまたはディクショナリにあるため確認されるコンテンツの一部のため、文字列のパラメーターを取得します。
作業しているものによって、システムリストと DLP.Dictionaries.BodyText.Matched、ディクショナリを備え
た DLP.Dictionaries.AnyText.Matched とともに、すでに述べた 2 つを使用できます。
Data Loss Prevention のログ記録
追加プロパティが、data loss prevention プロセスの結果をログ記録するために提供されます。ルールのイベント
を使用するなど、このデータをログ記録できます。
DLP.Classification.BodyText.Matched の値が、処理されたリクエストまたは応答の本文に対して true の場
合、以下が関連ログ記録プロパティに適用されます。
•
DLP.Classification.BodyText.MatchedTerms は、本文から一致する用語のリストを含みます。
•
DLP.Classification.BodyText.MatchedClassifications は、一致する分類のリストを含みます。
DLP.Dictionary.BodyText.Matched の値が true の場合、DLP.Dictionary.BodyText.MatchedTerms
は一致するすべての用語のリストを含みます。
同じく、一致する用語と分類は、提供されたテキスト文字列の一致を検索する検索方法のため、ログ記録できます。
DLP.Classification.AnyText.Matched の値が true の場合:
•
DLP.Classification.AnyText.MatchedTerms は、本文以外のテキストで見つかった一致する用語のリス
トを含みます。
•
DLP.Classification.AnyText.MatchedClassifications は、本文以外のテキストで見つかった一致する分
類のリストを含みます。
一致がディクショナリにある場合、DLP.Dictionary.AnyText.Matched が true であり、
DLP.Dictionary.AnyText.MatchedTerms は一致する用語のリストを含みます。
data loss prevention 結果の情報は、ダッシュボードにも表示されます。
医療データの消失の防止
以下は、米国病院のネットワークから医療データの流出を防ぐことを保証する、data loss prevention の一例です。
医療データの消失を防ぐデフォルトの分類は、HIPAA(医療保険の携行性と責任に関する法律)フォルダーに含まれ
ています。このデフォルト情報に加えて、病院に勤務する医師の名前がディクショナリに入力され、ネットワークか
らデータが流出しないことを保証します。
284
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
この例で、data loss prevention を構成するために完了する必要があるアクティビティは以下です。
•
デフォルトの HIPAA 分類を含む Data Loss Prevention(分類)モジュールの設定を構成する
•
ディクショナリのエントリとして医師の名前を含む、Data Loss Prevention(ディクショナリ)モジュールの設
定を構成する
•
コンポジット オープナーを有効にするルールが有効になっていることを確認する
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
•
構成された設定に従って、コンテンツを確認するルールを作成する
ルールは、病院ネットワークから Web までデータをアップロードするリクエストのための、リクエスト サイク
ルで適用されるルール セットに含まれる必要があります。
ルール セットは、data loss prevention または自身で作成するルール セットの、デフォルトのルール セットの
ネストされたルール セットになる可能性があります。
この例として、ルールはリクエスト本文に含まれたテキストのみを確認します。以下のようになります。
名前
HIPAA データと医師の名前の Prevent loss
条件
アクション
DLP.Classification.BodyText.Matched<HIPAA> equals
true AND
DLP.Dictionary.BodyText.Matched<Doctors'Names>
equals true
–
>
Block<DLP.Classification.Block>
Data Loss Prevention の構成
data loss prevention を構成して、ネットワークから流出しないように機密コンテンツを保持できます。不適切な
コンテンツが流入しないようにするためにも使用できます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから Data Loss Prevention ルール セットをインポートします。
2
ルールを確認し、必要に応じて変更します。
たとえば、以下のことが実行可能です。
•
デフォルトの分類を使用して data loss prevention の設定を構成する。
•
ディクショナリ エントリを使用して data loss prevention の設定を構成する。
•
その他の設定パラメーターを変更する。
•
独自のルールを作成する。
ライブラリ ルール セットを使用する代わりに、data loss prevention の独自のルール セットも作成できます。
3
Composite Opener が有効になっていることを確認したため、リクエストおよび応答を送信した本文を検査でき
ます。
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
McAfee Web Gateway 7.4.0
製品ガイド
285
9
Web フィルタリング
Data Loss Prevention
4
ICAP で data loss prevention を実行する場合、ライブラリから他のルール セットをインポートし、必要に応
じてルールを変更できます。
5
変更を保存します。
デフォルトの分類を使用して Data Loss Prevention を構成する
システム リストからデフォルトの分類選択することで、data loss prevention を構成し、分類処理のための data
loss prevention モジュールの設定に含まれているリストに入力できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(分類)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント]フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[DLP 分類]のツールバーで、[編集]アイコンをクリックします。
[編集]ウィンドウが、デフォルト分類のサブフォルダーを含むフォルダーのツリー構造とともに開きます。
5
たとえば [SOX コンプライアンス]などのフォルダーを展開し、[コンプライアンス レポート]などのサブフォル
ダーを選択します。次に、[OK]をクリックします。
また、フォルダーのいくつかのサブフォルダーを一度に選択、異なるサブフォルダーからフォルダーを選択、ま
たは個別サブフォルダーすべてとともに完全なフォルダーを選択できます。
[編集]ウィンドウが閉じ、サブフォルダーが[DLP 分類]インライン リストに表示されます。
6
[変更の保存]をクリックします。
ディクショナリ エントリを使用して data loss prevention を構成する
data loss prevention のディクショナリにエントリとして、機密または不適切なコンテンツを指定するテキストと
ワイルドカード式を入力できます。
ライブラリ Data Loss Prevention ルール セットをインポートした後、機密または不適切なコンテンツを指定した
エントリが入力されたディクショナリの使用は、まだ実行されません。適切な設定を作成し、実行して、ディクショ
ナリにエントリを入力する必要があります。
タスク
286
•
287 ページの「ディクショナリの設定の作成」
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作
成する必要があります。
•
287 ページの「辞書のエントリーの入力」
辞書の設定を作成した後で、辞書のエントリーを入力できます。
McAfee Web Gateway 7.4.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
ディクショナリの設定の作成
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作成する必要が
あります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(ディクショナリ)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
これで、ディクショナリにエントリを入力できます。
辞書のエントリーの入力
辞書の設定を作成した後で、辞書のエントリーを入力できます。
タスク
1
辞書エントリーを使用してデータ喪失防止のために作成した設定の中で、[辞書]インライン リストのツールバー
の[追加]アイコンをクリックします。
[DLP 辞書エントリーの追加]ウィンドウが開きます。
2
[検索するデータのタイプ]の下で、[テキスト]または[ワイルドカード式]を選択します。
3
[テキストまたはワイルドカード式]フィールドにテキスト文字列またはワイルドカード式を入力します。
4
[オプション] エントリーの追加情報を指定:
•
•
テキスト文字列を入力している場合、以下のオプションの 1 つまたはそれらの組み合わせを選択してくださ
い。
•
[大文字と小文字を区別]
•
[単語の先頭]
•
[単語の末尾]
ワイルドカード式を入力している場合は、[大文字小文字を区別]を選択するか、必要に応じてその選択を解除
します。
5 [オプション][コメント]フィールドで、エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[DLP 辞書エントリーの追加]ウィンドウが閉じて、辞書に新しいエントリーが表示されます。
エントリーを追加するには、ステップ 1 から 6 を繰り返します。
7
[設定の追加]で[OK]をクリックします。
このウィンドウは閉じ、新しい設定が[データ喪失防止(辞書)]の下の設定ツリーに表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
287
9
Web フィルタリング
Data Loss Prevention
Data Loss Prevention(分類)の設定
Data Loss Prevention(分類)設定は、機密またじゃ不適切なコンテンツを指定する分類 リストのエントリの構成
に使用されます。
DLP 分類パラメーター
機密または不適切なコンテンツを検索する場合、分類リストの使用を構成する設定
表 9-30 DLP 分類パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は選択したすべての分類に対して実行されます。ただし、以下の方法で構成することができ
ます。
• 最小 — 特定の分類で機密または不適切なコンテンツのインスタンスが検出された場合、または
インスタンスを検出できなかった場合に、検索を停止します。検索は次の分類に対して続行さ
れます。
これは、分類がすべて処理されるまで続行されます。
• 最大 — 検索では、特定の分類に対して機密または不適切なコンテンツのインスタンスをすべて
検索しようとします。1 つの分類に対して検索が完了したら、次で続行されます。
これは、分類がすべて処理されるまで続行されます。
[DLP 分類]
リスト ツリーの[DLP 分類]で提供されるシステム リストの分類リストでエントリを選択するた
めのリストを提供します。
次の表では、DLP 分類リストのエントリを説明しています。
表 9-31 DLP 分類パラメーター – リスト エントリ
オプション
定義
[DLP 分類]
機密または不適切なコンテンツの検出についての情報を提供するエントリを提供します。
[コメント]
エントリの平文テキストのコメントを提供します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 9-32 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention(ディクショナリ)の設定
Data Loss Prevention(ディクショナリ)設定は、機密または不適切なコンテンツを指定するテキストおよびワイ
ルドカード式の構成に使用されます。
DLP ディクショナリ パラメーター
密または不適切なコンテンツを指定するテキストおよびワイルドカード式の構成の設定
288
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
Data Loss Prevention
表 9-33 DLP ディクショナリ パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は作成したすべてのディクショナリのエントリに対して実行されます。ただし、以下の方法
で構成することができます。
• 最小 — 特定のディクショナリのエントリで機密または不適切なコンテンツのインスタンスが
検出された場合、またはインスタンスを検出できなかった場合に、検索を停止します。検索は
次のエントリに対して続行されます。
これは、エントリがすべて処理されるまで続行されます。
• 最大 — 検索では、特定のディクショナリのエントリに対して機密または不適切なコンテンツ
のインスタンスをすべて検索しようとします。1 つのエントリに対して検索が完了したら、次
で続行されます。
これは、エントリがすべて処理されるまで続行されます。
[ディクショナ
リ]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列およびワイルドカード式
のリストを提供します。
次の表では、[ディクショナリ] リストのエントリを説明しています。
表 9-34 ディクショナリ – リスト エントリ
オプション
定義
[テキストまたはワイルドカード
式]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列および
ワイルドカード式を指定します。
[コメント]
テキスト文字列またはワイルドカード式の平文テキスト形式のコメントを提供
します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 9-35 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Dictionary.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention ルール セット
Data Loss Prevention(DLP)ルール セットは、ネットワークからの機密コンテンツの流出や不適切なコンテンツ
の流入を防ぐライブラリ ルール セットです。
デフォルト ルール セット – Data Loss Prevention(DLP)
条件 — Always
サイクル – Requests (and IM), responses, embedded objects
McAfee Web Gateway 7.4.0
製品ガイド
289
9
Web フィルタリング
Data Loss Prevention
以下のルール セットは、このルール セット内にネストされています。
•
リクエスト サイクルの DLP
•
応答サイクルの DLP
このルール セットは、デフォルトでは有効になっていません。
リクエスト サイクルの DLP
このネストされたルール セットは、機密情報が含まれていることが確認された場合、ネットワークのクライアントか
ら Web サーバーへ送信されるリクエストをブロックします。たとえば、機密コンテンツを含むファイルの Web へ
のアップロード リクエストをブロックします。
ネストされたライブラリ ルール セット – リクエスト サイクルの DLP
条件 – Cycle.TopName equals "Request"
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、リクエストがアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
HIPAA 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <HIPAA> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
テキストは、、HIPAA ヘルスケア規制に従って、機密コンテンツであるとみなされます。関連情報の死湯は、モジ
ュール設定の一部として構成され、プロパティ名の後に指定されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
Payment Card Industry 情報によるファイルのブロック
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
テキストは、、ペイメント カードへ適用される規制に従って、機密コンテンツであるとみなされます。クレジット
カード番号は、たとえば、これらの規制のもとでコンテンツとなる可能性があります。テキスト内に機密コンテン
ツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
SOX 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
290
McAfee Web Gateway 7.4.0
製品ガイド
9
Web フィルタリング
Data Loss Prevention
テキストは、企業の説明責任におけるサーベンス オクスリー法(SOX)の規制に従って、機密コンテンツとみなさ
れます。たとえば、重役会議議事録はこの法の下で機密コンテンツになる可能性があります。テキスト内に機密コ
ンテンツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
DLP 応答サイクル
このネストされたルール セットは、差別的または攻撃的な言葉など、不適切なコンテンツを含んでいることがわかっ
た場合、Web サーバーからアプライアンスで受け取った応答をブロックします。
ネストされたライブラリ ルール セット – DLP 応答サイクル
条件 – Cycle.TopName equals "Response"
サイクル – 応答と埋め込みオブジェクト
ルール セット条件は、応答がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
有効な使用
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されている応答の本文を確認します。このテキストは、たとえば、ダウンロード リクエスト
に応答するファイルに存在する可能性があります。
応答本文に不適切なコンテンツが含まれているか否か検索するためのルールによって呼び出されるモジュールは、
分類リストから適切な情報を使用します。これらのリストの使用は、モジュール設定の一部として構成され、プロ
パティ名の後に指定されます。
応答本文のテキストに不適切なコンテンツが含まれている場合、応答はブロックされます。ブロック アクションの
設定は、応答が転送されるユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
ICAP サーバーを使用した Data Loss Prevention
フィルタリング プロセスを処理する ICAP サーバーで Data Loss Prevention を実施すると、アプライアンスと
ICAP サーバーの間のデータのスムーズなフローを確保するために、設定を構成し、ルール セットを施行することが
できます。
Data Loss Prevention のために、nDLP と呼ばれるソリューションを使用できます。このソリューションの中で、
ユーザーがネットワークから Web にアップロードするデータは、Data Loss Prevention のためにフィルタリング
されます。フィルタリングは ICAP サーバーで実行されます。データ フローは、以下のとおりです。
•
ユーザーのクライアント システムから送信されたデータは、アプライアンスに転送されます。
•
アプライアンスは、ユーザー データで REQMOD リクエストを ICAP サーバーに送信する ICAP クライアントを
備えています。
•
リクエストは ICAP プロトコルに従ってそれらを変換することでサーバーでフィルタリングされ、リクエストの
宛先となる Web サーバーに渡されます。
ライブラリから ICAP による Data Loss Prevention ルール セットをインポートした後で、アプライアンス上で
施行されるルールは ICAP サーバーへのリクエストの送信を制御します。
McAfee Web Gateway 7.4.0
製品ガイド
291
9
Web フィルタリング
Data Loss Prevention
これらのルールに従って、リクエストは以下のような場合は転送されません。
•
リクエストの本文にデータがなく、リクエストに URL パラメーターが含まれない。
•
リクエストの本文が指定されたサイズ(デフォルト: 50 MB)を超えている。
ルール セットと共に、構成する必要がある設定がインポートされます。これらには、アプライアンスがリクエストを
転送できる ICAP サーバーのリストが含まれます。
また、特定の ICAP サーバーが同時に処理できるよりも多くの接続をリクエスト送信のために開かないように、アプ
ライアンスの ICAP クライアントを構成することもできます。
data loss prevention の ICAP サーバー リストの作成
フィルタリング データの ICAP サーバーを使用する、data loss prevention の nDLP を実行する場合、これらの設
定のリストを構成する必要があります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ICAP クライアント]を選択し、[ReqMod] 設定をクリックします。
3
必要に応じて、これらの設定で指定された ICAP サーバー リストを構成します。
4
[変更の保存]をクリックします。
ICAP クライアントの設定
ICAP クライアントの設定は、アプライアンスの ICAP クライアントと ICAP サーバーの間で REQMOD モードの通
信を構成するために使用されます。
ICAP サービス
アプライアンスの ICAP クライアントがリクエストを送信する ICAP サーバーの設定
表 9-36 スキャン エンジンの選択
オプション
定義
[ICAP サーバーのリスト]
ICAP 通信に使用するサーバーのリストを選択するためのリストを提供します。
次の表では、サーバー リストの ICAP サーバーのエントリーを説明しています。
表 9-37 ICAP サーバーのリストのエントリー
オプション
定義
[URI]
ICAP サーバーの URI を指定します。
形式:ICAP://<IP アドレス>:<ポート番号>
[最大同時接続数制限を保持] これが選択されると、アプライアンスの ICAP クライアントは、リクエスト送信と同
時に、ICAP サーバーが処理できる数以上の接続を開かないようになります。
[コメント]
292
McAfee Web Gateway 7.4.0
ICAP サーバーの平文コメントを提供します。
製品ガイド
Web フィルタリング
Data Loss Prevention
9
ICAP ルール セットの Data Loss Prevention
ICAP ルール セットの Data Loss Prevention は、data loss prevention のソリューションで、アプライアンスと
ICAP サーバー間のデータ フローを構成するライブラリ ルール セットです。
ライブラリ ルール セット – ICAP の Data Loss Prevention
条件 — 条件 — URL.Host は “ ”と等しくありません
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、アプライアンスにリクエストで送信される URL のホスト名を見つけることができるときにル
ール セットが適用されることを指定します。
このルール セットは、以下のルールを含みます。
情報をもたないリクエストをスキップする
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule
Set
このルールは、リクエストに空の本文があるかどうかをチェックする Body.Size プロパティを使用します。また、
ListOfString.IsEmpty プロパティを使用して、リクエストが URL パラメーターをもつかどうかチェックしま
す。
この条件の 2 つの部分の 1 つが一致する場合、ルール セットの処理が停止し、リクエストが ICAP サーバーに転
送されません。
50 MB を超える本文をスキップする
Body.Size greater than 52428800 –> Stop Rule Set
ルールは Body.Size プロパティを使用して、リクエストの本文が 50 MB を超えないかどうかを確認します。50
MB を超える場合、ルール セットの処理が停止し、リクエストは ICAP サーバー転送されません。
ルール セットの条件で、要求本文の上限サイズがバイト数で指定されています。
ReqMod サーバーのコール
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
ルール セットの最初の 2 つのルールに従ってリクエストがフィルタリングを通過するときに、ICAP サーバーに転
送されます。それが行われると、ICAP.ReqMod.Satisfaction プロパティが true になります。
ルールはこれがリクエストであるかどうか、現在のサイクルの処理を最終的に停止するかどうかをチェックします。
McAfee Web Gateway 7.4.0
製品ガイド
293
9
Web フィルタリング
Data Loss Prevention
294
McAfee Web Gateway 7.4.0
製品ガイド
10
サポート機能
アプライアンスの一部の機能は、Web オブジェクトをフィルタリングせずに、さまざまな方法でフィルター処理を
サポートします。
サポート機能を使用して、以下を実行することができます。
•
ダウンロード進行状況の表示 — Web オブジェクトのダウンロード中の進行状況をユーザーに表示する方法を設
定できます。
•
アップロードおよびダウンロードの帯域の制限 — クライアントからアプライアンスへのデータのアップロード
と Web サーバーからアプライアンスへのデータのダウンロードの速度を制限できます。
•
Web オブジェクトを保管し、提供するために Web キャッシュを使用 — アプライアンスの Web キャッシュか
らオブジェクトを配布することにより、クライアント リクエストへの応答をスピードアップできます。
•
ネクスト ホップ プロキシによるルーティング リクエスト — これらのプロキシを使用してリクエストを送信先
までルーティングできます。
目次
進行状況の表示
帯域幅スロットル
Web キャッシング
ネクスト ホップ プロキシ
進行状況の表示
オブジェクトのダウンロードの進行状況を Web オブジェクトのダウンロードを開始したユーザーに示すプロセスで
す。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する進行状況表示ルール
•
進行状況の表示の様々な方法を扱うために、ルールによりコールされる進行状況表示モジュール
進行状況表示ルール
進行状況表示を制御するルールは、1 つのルール セットに含まれます。さまざまなルールが、進行状況表示のさまざ
まな方法の使用を制御します。適宜、これらの方法を扱うためのさまざまなモジュールをコールします。
McAfee Web Gateway 7.4.0
製品ガイド
295
10
サポート機能
進行状況の表示
アプライアンスでは、進行状況表示に 2 つの方法が利用可能です。ダウンロードに適した方法がどちらであるかは、
ユーザーがダウンロード リクエストを送信するブラウザーによります。
•
進行状況ページ — Mozilla ブラウザー。
この方法の下で、進行状況バーのある 1 つのページがダウンロードを開始するユーザーに示され、ダウンロード
の完了に対して別のページが示されます。
•
データ トリックル — ほかのすべてのブラウザーの場合
この方法の下で、Web オブジェクトがチャンクで、特定の転送率でユーザーに送信されます。
進行状況表示は、デフォルトのルール セット システムでは実施されません。ライブラリ ルール セットは、これらの
機能を提供します。その名前は、進行状況の表示です。
このルール セットを施行し、ルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
進行状況表示モジュール
2 つの進行状況表示モジュール(エンジンとも呼ばれる)は、以下のようなさまざまな方法の進行状況表示を扱うた
めに使用できます。
•
進行状況ページ モジュール — 進行状況ページ方法の場合
•
データ トリックル モジュール — データ トリックル方法の場合
これらの方法を扱う方法を変更するために、これらのモジュールの設定を構成できます。
進行状況ページ方法に使用される 2 ページを構成するためのテンプレートが提供されます。ユーザー メッセージの
テンプレートと同じ方法で設定できます。
進行状況の表示の構成
進行状況の表示を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから進行状況の表示ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
•
3
296
進行状況ページ モジュールの設定を構成します:
•
進行状況ページに特定の言語を選択します
•
進行状況ページのテキストを変更します
•
ダウンロード後にページが利用可能な時間のタイムアウトなど、ダウンロード ページのタイムアウトを指
定します。
データ トリックル モジュールの設定を構成します:
•
トリックル プロセスにおける最初のチャンクのサイズ
•
転送レート
変更を保存します。
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
進行状況の表示
10
進行状況の表示モジュールの構成
進行状況の表示モジュールを構成し、Web オブジェクトをダウンロードする進行情報がユーザーに表示される方法
を変更できます。
進行状況の表示に 2 つの異なるモジュールがあります。進行状況ページおよびデータ トリックル モジュール。
タスク
1
[ポリシー][ルール セット]を選択します。
2
ルール セット ツリーで、進行状況の表示のためにルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これは進行状況の表示です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
構成するものにしたがって、進行状況ページ モジュールを呼び出す、またはデータ トリックル モジュールを呼
び出すルールを検索します。
ライブラリ ルール セットで、ルール進行状況ページを有効にする および データ トリックルを有効にするがあり
ます。
5
適切なルールのルール イベントで、設定名をクリックします。
[設定の編集]ウィンドウが開きます。進行状況ページまたはデータ トリックル モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
進行状況ページ設定
進行状況ページ設定は、Web オブジェクトをダウンロードしているときに、ユーザーに示される進行状況ページを
設定するために使用されます。
進行状況ページ パラメーター
進行状況ページの設定
表 10-1 進行状況ページ パラメーター
オプション
定義
[テンプレート]
進行状況ページで使用されるテンプレートの設定を提供します。
[タイムアウト]
進行状況ページに関連するタイムアウトの設定を提供します。
テンプレート
進行状況ページで使用されるテンプレートの設定
McAfee Web Gateway 7.4.0
製品ガイド
297
10
サポート機能
進行状況の表示
表 10-2 テンプレート
オプション
定義
[言語]
進行状況ページの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウザーの言
語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示されます。
• [‘Message.Language’ プロパティの値] — 選択すると、 Message.Language プロパティの値
である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[コレクショ
ン]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの追加]ウ
インドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集します。
[進行状況バ
テンプレートを選択するリストを提供します。
ー ページのテ
• [追加]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
ンプレート
名]
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[ダウンロー
ド終了ページ
のテンプレー
ト名]
テンプレートを選択するリストを提供します。
[ダウンロー
ド取り消しペ
ージのテンプ
レート名]
テンプレートを選択するリストを提供します。
• [追加]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
• [追加]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
タイムアウト
進行状況ページに関連するタイムアウトの設定
表 10-3 テンプレート
オプション
定義
[進行状況ページへのリダイレクト遅
延]
進行状況ページが表示されるまでの経過時間(秒単位)を指定値に制限し
ます。
[ダウンロード前にファイルが使用可能 ダウンロードの前にユーザーがファイルを使用できなくなるまでの経過
時間(分単位)を指定値に制限します。
な時間]
[ダウンロード後にファイルが使用可能 ダウンロードの後にユーザーがファイルを使用できなくなるまでの経過
時間(分単位)を指定値に制限します。
な時間]
データ トリックル設定
データ トリックル設定は、ユーザーが Web オブジェクトのダウンロードを開始したときに、適用されるデータ ト
リックル プロセスの構成に使用されます。
データ トリックル パラメーター
データ トリックル モードで転送される Web オブジェクトの一部の設定
298
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
進行状況の表示
10
表 10-4 データ トリックル パラメーター
オプション
定義
[最初のチャンクのサイ
ズ]
データ トリックル方法を使用して転送される Web オブジェクトの最初のチャンクの
サイズ(バイト単位)を指定します。
[転送レート]
5 秒ごとに転送される Web オブジェクト部分を指定します。
転送レートは、転送されるすべてのボリュームの 1000 分の 1 にここで設定した値を
掛けたものになります。
進行状況の表示(ルール セット)
進行状況の表示ルール セットは、ユーザーの Web オブジェクトのダウンロードの進行状況を示すライブラリ ルー
ル セットです。
ライブラリ ルール セット — 進行状況の表示
条件 - MediaType.FromHeader does not equal text/html
サイクル — Requests (and IM), responses, embedded objects
ユーザーが送信した要求に対する応答で Web から戻されたメディアがテキスト形式または HTML 形式でない場合
に、このルール セットが適用されます。
このルール セットは、以下のルールを含みます。
進行状況ページを有効にする
Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable
Progress Page <Default>
このルールは、Mozilla ブラウザーの進行状況ページを有効にします。イベント設定は、進行状況ページの外観(た
とえば、使用する言語など)を指定します。
FTP アップロードのタイムアウト防止
URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable
FTP Upload Progress Indication
FTP プロトコルで Web にアップロードするファイルがクライアントから送信されると、このルールにより、FTP
アップロードの進行状況表示機能が有効になります。
アップロードの実行中、アップロードの進行状況を表すメッセージがクライアントに送信されます。これにより、
アップロードに時間がかかる場合にクライアントでのタイムアウトの発生を防ぎます。
アップロードするファイルに対してウイルスやマルウェアのスキャンが実行されると、この問題が発生する可能性
があります。
データ トリックルを有効にする
Always –> Stop Rule Set – Enable Data Trickling<Default>
このルールは、Mozilla 以外のすべてのブラウザーのデータ トリックルを有効にします。イベント設定は、トリッ
クルに使用されるチャンクおよびブロックサイズを指定します。
McAfee Web Gateway 7.4.0
製品ガイド
299
10
サポート機能
帯域幅スロットル
帯域幅スロットル
bandwidth throttling と呼ばれるプロセスのアプライアンスに対するデータのアップロードおよびダウンロード
速度を制限できます。
特定のタスクが個別にオブジェクトを Web にアップロードするか、Web から大きいダウンロードをリクエストす
る、その他のユーザーによる影響の完了が必要なネットワーク パフォーマンス状況を避けるなど、帯域幅スロットル
を使用できます。
帯域幅スロットル ルール
帯域幅スロットル ルールは、ユーザーがオブジェクトを Web にアップロードする、またはオブジェクトをダウンロ
ードする際に、転送速度を制限します。
帯域幅スロットル ルールのイベント
帯域幅スロットルを制御するルールでは、2 つのイベントが利用可能です。
•
Throttle.Client — クライアントからアプライアンスへのデータ転送速度を制限します
これは、クライアントが Web サーバーへオブジェクトをアップロードするリクエストを送信し、リクエストがオ
ブジェクトともにアプライアンスでインターセプトされた場合です。
•
Throttle.Server — Web サーバーからアプライアンスへのデータ転送速度を制限します
この場合、Web サーバーからオブジェクトをダウンロードするようにクライアント リクエストがあり、このリク
エストがアプライアンスでフィルターされ送信された後に、Web サーバーは応答でオブジェクトを送信します。
アップロードの帯域幅スロットル ルール
次のものは、アップロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのホストに対するアップロード速度の制限
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
データがアップロードされる Web サーバーが特定のリストにある場合、ルールは Throttle.Client イベントを使
用して、10 Kbps で実行されるアップロードで速度を制限します。
ルールの条件で、URL.Host プロパティは、リクエストのアップロードで指定される Web サーバーのホスト名を取
得するために使用されます。
アップロード スロットル リストにこの名前が含まれている場合、条件が一致し、ルールが適用されます。それから、
スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
ダウンロードの帯域幅スロットル ルール
次のものは、ダウンロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのメディア タイプに対するダウンロード速度の制限
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue –
Throttle.Server (1000)
ダウンロードする Web オブジェクトが特定のリストのメディア タイプに属する場合、、ルールは
Throttle.Server イベントを使用して、1000 Kbps で実行されるダウンロードで速度を制限します。
300
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
帯域幅スロットル
10
ルールの条件で、MediaType.EnsuredTypes プロパティは、Web サーバーが送信した Web オブジェクトのメディ
ア タイプを検出するために使用されます。オブジェクトは、1 つ以上のタイプに属することもわかります。
これらのタイプのいずれかがメディア タイプ スロットル リストにある場合、条件が一致し、ルールが適用されま
す。それから、スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
帯域幅スロットル ルールおよびルール セット
帯域幅スロットル ルールのすべてのルール セットを作成し、1 つはスロットルのアップロードに、もう 1 つはスロ
ットルのダウンロードに、2 つのルール セットを埋め込むことをお勧めします。埋め込みアップロード ルール セッ
トを、リクエスト サイクルに、埋め込みダウンロード ルール セットを応答サイクルに適用できます。
各埋め込みルール セット内で、異なる種類の Web オブジェクトに適用する複数のスロットル ルールを持つことが
できます。
帯域幅スロットルのすべてのルール セットは、ルール セット システムの最初に置く必要があります。これが完了し
ない場合、その他のルール セットのルールは、スロットル ルールが実行される前に、Web オブジェクトのスロット
ル化されていないダウンロードを開始する可能性があります。
たとえば、ウイルスおよびマルウェア フィルタリングのルールは、応答で Web サーバーによってユーザー リクエ
ストに送信された Web オブジェクトのダウンロードをトリガーする可能性があります。Web オブジェクトはそれ
から、アプライアンスへの完全なダウンロードが必要になり、感染しているかどうか確認します。
ウイルスおよびマルウェア フィルタリング ルールのルール セットの後に、帯域幅スロットル ルール セットが置か
れ処理されている場合、帯域幅スロットルは、ダウンロードに適用されません。
帯域幅スロットルの構成
帯域幅スロットルを実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
帯域幅スロットル ルールで使用することで、Web オブジェクトのリストを作成します。
たとえば、以下を作成できます。
•
転送速度はホストのリストは、オブジェクトがアップロードされるときに制限されます。
•
これらの 1 つに属するオブジェクトがダウンロードされるとき、転送速度が制限されるメディア タイプのリ
スト
2
帯域幅スロットルのルール セットを作成します。
3
このルール セット内で、帯域幅スロットルのルールを作成します。
たとえば、以下を作成できます。
4
•
オブジェクトが特定のホストにアップロードされるとき、転送速度の制限のルール。
•
特定のメディア タイプに属するオブジェクトがダウンロードされるときの転送速度を制限するルール。
必要に応じて、これらのルールを設計します。
McAfee Web Gateway 7.4.0
製品ガイド
301
10
サポート機能
Web キャッシング
たとえば、以下の操作を実行できます。
5
•
Web へのオブジェクトのアップロードのために帯域幅スロットルを有効にする Throttle.Client イベント
の特定の転送速度を構成します。
•
Web からのオブジェクトのダウンロードのために帯域幅スロットルを有効にする Throttle.Server イベン
トの特定の転送速度を構成します。
変更を保存します。
Web キャッシング
Web キャッシュは、アプライアンスに置かれ、クライアント リクエストへの応答をスピードアップするために、Web
オブジェクトを保管するためのものです。
アプライアンスの Web キャッシュの使用は、ルール セット内のルールで管理されます。
Web キャッシュ ルール セットがアプライアンスで実装されているかどうかを確認するには、[ポリシー]トップレベ
ル メニューの[ルール セット]タブのルール セットのシステムを見直してください。
何も実装されていない場合、Web キャッシュ ライブラリ ルール セットをインポートできます。このルール セット
をインポートした後で、ネットワークに合わせて[ルール セット]タブでそれを見直し、変更することができます。代
わりに、固有のルールでルール セットを作成することもできます。
Web キャッシュ ルール セットは、一般的に、キャッシュからオブジェクトを読み取ったり、それに書き込むルール
を含みます。
さらに、読み取りまたは書き込みからオブジェクトを除外するバイパス ルールも設定できます。
Web キャッシュの有効化の検証
Web キャッシュが有効化されているかどうかを検証することができます。
タスク
1
[構成][アプライアンス]を選択します。
2
アプライアンス ツリーで、Web キャッシュの有効化を検証するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[Web キャッシュ]セクションにスクロール ダウンして、[キャッシュを有効にする]が選択されているかどうかを
確認します。必要な場合、このオプションを有効にします。
4
必要な場合、[変更を保存]をクリックします。
Web キャッシュ ルール セット
Web キャッシュ ルール セットは、Web キャッシュのためのライブラリ ルール セットです。
ライブラリ ルール セット - Web キャッシュ
条件 — Always
サイクル — Requests (and IM) and responses
以下のルール セットは、このルール セット内にネストされています。
302
•
キャッシュからの読み取り
•
キャッシュへの書き込み
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
Web キャッシング
10
キャッシュからの読み取り
このネストされたルール セットは、キャッシュからの Web オブジェクトの読み取りを有効にし、バイパス リスト
の URL についてはそれを禁じます。
ネストされたライブラリ ルール セット - キャッシュからの読み取り
条件 — Always
サイクル - リクエスト(および IM)
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
キャッシュへの書き込み
このネストされたルール セットは、キャッシュへの Web オブジェクトの書き込みを有効にし、大きなオブジェクト
のみならず、特定のバイパス リストの URL とメディア タイプに対して禁じられます。
ネストされたライブラリ ルール セット - キャッシュへの書き込み
条件 — Always
サイクル — Responses
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
McAfee Web Gateway 7.4.0
製品ガイド
303
10
サポート機能
ネクスト ホップ プロキシ
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
ネクスト ホップ プロキシ
アプライアンスのクライアントから受信した要求を宛先に転送する場合に、ネクスト ホップ プロキシを使用するこ
ともできます。
ネクスト ホップ プロキシを実装すると、対応するルール セットのルールがモジュール (エンジンともいう) を使用
して、要求転送リストに入力されたネクスト ホップ プロキシを呼び出します。
たとえば、内部のネクスト ホップ プロキシを使用して、内部の送信先に対する要求を転送することができます。内
部の送信先 IP アドレスは、転送ルールが適用されるリストに入力されます。この他に、ルールが使用する内部ネク
スト ホップ プロキシのリストがあります。
ネクスト ホップ プロキシを使用するルールのルール セットは、初期設定の後でアプライアンスに実装されていませ
ん。ライブラリからルール セットをインポートし、必要に応じて変更するか、独自のルール セットを作成できます。
ネクスト ホップ プロキシ ルール セットをインポートすると、ネクスト ホップ プロキシとして使用可能なサーバー
のリストもインポートされます。このリストは初期状態では空です。ユーザーが値を設定する必要があります。複数
のリストを作成すると、状況に応じてルーティングを行うことができます。
ネクスト ホップ プロキシ モジュールの設定がライブラリ ルール セットと一緒にインポートされます。これらの設
定を行うと、モジュールが特定のネクスト ホップ プロキシ リストを使用し、ネクスト ホップ プロキシの呼び出し
モード (ラウンドロビンまたはフェールオーバー) を決定します。
ネクスト ホップ プロキシ モード
複数のサーバーがルーティング要求のためのネクスト ホップ プロキシとして使用可能な場合、ネクスト ホップ プロ
キシ モジュールは次の 2 つのモジュールを使用してそれらを呼び出します。ラウンドロビンおよびフェールオーバ
ー。
ラウンドロビン モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールはリストを参照し、前
回呼び出したプロキシの次にあるネクスト ホップ プロキシを呼び出します。
304
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
10
その次の要求では、これが同じ方法で処理されるため、リスト上のすべてのサーバーは最終的にネクスト ホップ プ
ロキシとして使用されます。
以下のダイアグラムは、ラウンドロビン モードでネクストホップ プロキシ設定を表示します。
図 10-1 ラウンドロビン モードでのネクスト ホップ プロキシ
フェールオーバー モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールは、リストの先頭に
あるネクスト ホップ プロキシを呼び出します。
ネクスト ホップ プロキシが応答しない場合、設定されている再試行回数に達するまで、呼び出しが繰り返し実行さ
れます。この場合、リスト内で次にあるネクスト ホップ プロキシが呼び出されます。最初のプロキシと同じ方法で
呼び出しが実行され、応答がないと、リストで 3 番目にあるネクスト ホップ プロキシに接続が試行されます。
この処理は、応答するネクスト ホップ プロキシが見つかるまで継続します。リスト内のネクスト ホップ プロキシが
すべての応答不能の場合、処理が停止します。
以下のダイアグラムは、フェールオーバー モードでネクストホップ プロキシ設定を表示します。
図 10-2 フェールオーバー モードでのネクスト ホップ プロキシ
ネクスト ホップ プロキシの構成
ネクスト ホップ プロキシの使用を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
McAfee Web Gateway 7.4.0
製品ガイド
305
10
サポート機能
ネクスト ホップ プロキシ
タスク
1
ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ネクスト ホップ プロキシ ルール セットで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
ネクスト ホップ プロキシ モジュールの設定を構成します
変更を保存します。
ネクスト ホップ プロキシ モジュールの構成
ネクスト ホップ プロキシ モジュールを構成し、ネクスト ホップ プロキシが Web へリクエストを転送するために
使用する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ネクスト ホップ プロキシのルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これはネクスト ホップ プロキシです。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ネクスト ホップ プロキシ モジュールを呼び出すルールを検索します。
ライブラリ ルール セットで、これはルール内部ホストに内部プロキシを使用するです。
5
ルール イベントで、設定名をクリックします。
ライブラリ ルール セットでは、この名前は 内部プロキシです。
[設定の編集]ウィンドウが開きます。これはネクスト ホップ プロキシ モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
ネクスト ホップ プロキシの設定
ネクスト ホップ プロキシの設定は、Web へのアプライアンスで受信したリクエストを転送するために、ネクスト ホ
ップ プロキシを構成するために使用されます。
ネクスト ホップ プロキシ サーバー
ネクスト ホップ プロキシの設定
306
McAfee Web Gateway 7.4.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
10
表 10-5 ネクスト ホップ プロキシ サーバー
オプション
定義
[ネクスト ホップ
プロキシ サーバー
のリスト]
ネクスト ホップ プロキシ サーバー リストのリストを提供します。
[ラウンド ロビン]
これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最後に使用さ
れたネクスト ホップ プロキシに続くネクスト ホップ プロキシを使用します。
リストの末尾に達すると、リストの最初のネクスト ホップ プロキシが再度選択されます。
[フェールオーバー] これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最初にある最
初のネクスト ホップ プロキシを試します。
これが失敗した場合、設定されている再試行の最大値に達するまで再試行されます。その後、
リスト上 2 番目のネクスト ホップ プロキシが試行され、同様に、サーバーが応答するかすべ
て使用不可であると確認されるまで繰り返されます。
ネクスト ホップ プロキシ ルール セット
ネクスト ホップ プロキシ ルール セットは、ネクスト ホップ プロキシを使用して適切な宛先に要求を転送するライ
ブラリ ルール セットです。
ライブラリ ルール セット — ネクスト ホップ プロキシ
条件 — Always
サイクル - Requests(and IM)
ルール セットには、以下のルールが含まれます。
内部ホストに内部プロキシを使用する
URL.Destination.IP is in range list Next Hop Proxy IP Range List OR
URL.Destination.IP is in list Next Hop Proxy IP List –> 続行 — ネクスト ホップ プロキシを有効にす
る <内部プロキシ >
このルールは、URL.Destination.IP プロパティを使用して、URL に対応する IP アドレスがリストの範囲内か
どうか、あるいはリストに直接入力されたアドレスかどうかを確認します。条件を満たしている場合、イベントを
使用して内部ネクスト ホップ プロキシ経由でこれらの URL への要求を転送します。
イベント設定はネクスト ホップ プロキシ リストおよびプロキシを呼び出すモードを含む設定を指定します。
McAfee Web Gateway 7.4.0
製品ガイド
307
10
サポート機能
ネクスト ホップ プロキシ
308
McAfee Web Gateway 7.4.0
製品ガイド
11
ユーザー メッセージ
フィルタリング ルールが Web アクセスのリクエストをブロックし、他の方法で影響がある場合、ユーザーにメッセ
ージが送信されます。
このプロセスを管理するとき、主に以下の項目を処理します。
•
メッセージ — Web アクセスのリクエストがブロック、リダイレクトされるか、認証がひつようであるかを通知
するメッセージがユーザーに送信されます。
•
アクション設定 — ユーザーに対するメッセージは、メッセージで説明されているアクションに対する設定の一部
です。
•
テンプレート — ユーザーへのメッセージはテンプレートに基づいており、そのテンプレートはテンプレート エ
ディターにより編集できます。
デフォルト設定はアプライアンスの初期セットアップごにユーザー メッセージとそのテンプレートに適用されます。
それらは確認して、必要に応じて変更できます。
目次
ユーザーへのメッセージの送信
ユーザー メッセージのテキストを編集する
認証設定
ブロック設定
リダイレクト設定
テンプレート エディター
ユーザーへのメッセージの送信
影響を与えるフィルタリング ルールのアクションに関して通知するメッセージがユーザーに送信されます。
ユーザー メッセージは別のタイプに属し、テンプレートに基づいています。
メッセージの種類
メッセージがユーザーに通知するアクションに応じて、異なる種類のユーザー メッセージがあります。
•
認証メッセージ - URL にアクセスするには、認証が必要であることをユーザーに知らせます。
•
ブロック メッセージ- 要求されたオブジェクトでウイルスが検出されたためなど、種々の理由でリクエストがブ
ロックされたことを通知します。
•
リダイレクト メッセージ- 要求されたオブジェクトにアクセスするためには、別の URL にリダイレクトするこ
とが必要であることをユーザーに通知します。
McAfee Web Gateway 7.4.0
製品ガイド
309
11
ユーザー メッセージ
ユーザーへのメッセージの送信
メッセージ テンプレート
メッセージはテンプレートをもとにユーザーに送信されます。メッセージの表示形式を変更するには、これらのテン
プレートを採用する必要があります。アクションの設定の下でこれを行うことができます。
メッセージ テンプレートには、変数をもつ標準のテキストが含まれています。変数は、与えられた状況で必要に応じ
た値が入力されます。
メッセージ テンプレートに使用されるすべての変数はルールで使用されるプロパティでもあります。たとえば、
URL は、メッセージ テキストおよび、URL をフィルターから除外するルールに使用されるプロパティにある変数で
す。
メッセージ テキストと変数
以下のテキストと変更は、オブジェクトのウイルス感染のためにブロックされた要求されたオブジェクトにアクセス
するときに、ユーザーに送信されるブロックメッセージに含むことができます。
•
標準テキスト — 転送フィイルにはウイルスが含まれていたためブロックされました。
•
変数 — 次の通りです。
•
URL — ユーザーがファイルにアクセスすることをリクエストした URL。
URL を表示するために使用する変数は $URL$ です。
•
ウイルス名 — ファイルのブロックをトリガーする検出されたウイルスの名前。
ウイルス名を表示するために使用する変数は $List.OfString.ByName(String)$ です。
メッセージ テンプレートを編集する際、プロパティのリストから変数を選択して挿入できます。メッセージ
テンプレートで変数として機能するために、これらは文字列に変換されます(すでに文字列でない場合)。
この理由から、 たとえば、 NumberToString(String) プロパティなど、その他のデータ タイプを文字列に
変換するジョブを持つプロパティである“string converter” プロパティをここで選択するのは意味がありま
せん。
テンプレート バージョンとコレクション
特定のテンプレートに関連して、次のようにさまざまなバージョンが存在します。
•
ファイル フォーマット — .html または .txt
•
言語 — テンプレートの言語。
テンプレートをコレクションに分類して、たとえば、デフォルトのコレクションとその他の目的別のコレクションを
持つことができます。
テンプレート エディター
テンプレート エディターは、既存のテンプレートをユーザー メッセージとして編集するためのユーザー インターフ
ェース上のデバイスです。
ブロック アクションなど、ユーザーに影響するアクションの設定を設定するときにアクセスできます。
310
McAfee Web Gateway 7.4.0
製品ガイド
ユーザー メッセージ
ユーザー メッセージのテキストを編集する
11
メッセージ テンプレートを編集する場合、次の操作が行えます。
•
メッセージの言語を選択する
•
ログ記録を目的としてブロック理由を指定する
([ブロック]アクションのテンプレートの場合の
み)
•
メッセージ テキストを編集する
•
リダイレクトする URL を記入する([リダイレク
ト]アクションのテンプレートの場合のみ)
•
テンプレートの変数を置き換える
ユーザー メッセージのテキストを編集する
ネットワークの要件に対応させるために、ユーザー メッセージのテキストを編集できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ユーザーが編集するユーザー メッセージをもつアクションを含むルールのルール セットを選択します。
たとえば、[Gateway Antimalware]ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細情報の表示]が有効になっている事を確認してください。
4
適切なルールで、ユーザー メッセージをもつアクションの設定をクリックします。
たとえば、[ウイルスが検出された場合はブロックする]というルールで、ブロック アクションの[検出されたウイ
ルス]設定をクリックします。 settings of the Block action.
[設定の編集]ウィンドウが開きます。
5
[テンプレート名]フィールドの隣の[追加]をクリックします。
[テンプレート エディター]が開きます。
6
テンプレート ツリーで、[検出されたウイルス]などの該当するアクション テンプレート フォルダーーを展開し
ます。
使用可能な言語バージョンのテンプレートが表示されます。
7
たとえば、英語を表す[en]など、言語バージョンを拡張してください。
使用可能な言語バージョンのメッセージ形式が表示されます。
8
たとえば、[html]などの形式を選択します。
設定したパネルに選択した形式でテンプレートの内容が表示されます。ユーザー メッセージのテキストを含みま
す。
たとえば、英語の[検出されたウイルス]テンプレートの HTML 形式でこのテキストは、最初は以下のように示さ
れます。
The transferred file contained a virus and was therefore blocked.(転送されたフィイルにはウイ
ルスが含まれていたためブロックされました。)
9
必要に応じてこのテキストを編集します。
McAfee Web Gateway 7.4.0
製品ガイド
311
11
ユーザー メッセージ
認証設定
10 [テンプレートの変更を保存]をクリックします。
テンプレート エディターが閉じます。
11 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
認証設定
認証設定は、アクションを伴うフィルタリング ルールが適用されるとき、認証アクションを実行する方法に構成に使
用されます。
失敗したログインのメッセージ テンプレート
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 11-1 失敗したログインのメッセージ テンプレート
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウ
ザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ
れます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロ
パティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクシ テンプレート コレクションを選択するリストを提供します。
ョン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web
ブロック理由を識別する数値を提供します。
Reporter ブロック理由
ID]
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
ブロック設定
ブロック設定は、アクションを伴うフィルタリング ルールが適用されるとき、ブロック アクションを実行する方法
に構成に使用されます。
言語およびテンプレート設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
312
McAfee Web Gateway 7.4.0
製品ガイド
ユーザー メッセージ
リダイレクト設定
11
表 11-2 言語およびテンプレート設定
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウ
ザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ
れます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロパ
ティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレク
ション]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web
Reporter ブロック理
由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
リダイレクト設定
リダイレクト設定は、そのアクションのフィルタリング ルールが適用されるとき、リダイレクト アクションが実行
される方法を構成するために使用されます。
リダイレクト設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 11-3 リダイレクト設定
オプション
定義
[Redirect.URL]
選択されると、リダイレクトに使用される URL は Redirect.URL プロパティに指定
された値となります。
このプロパティは適切なルールで使用できます。
[ユーザー定義 URL]
選択すると、リダイレクトする URL を指定する必要があります。
[リダイレクト URL]
URL をリダイレクトする URL を指定します。
McAfee Web Gateway 7.4.0
製品ガイド
313
11
ユーザー メッセージ
テンプレート エディター
表 11-3 リダイレクト設定 (続き)
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブ
ラウザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表
示されます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プ
ロパティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクショ テンプレート コレクションを選択するリストを提供します。
ン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクショ
ンの追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集し
ます。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web Reporter
ブロック理由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
テンプレート エディター
テンプレート エディターは、既存のテンプレートをユーザー メッセージとして編集するためのユーザー インターフ
ェース上のデバイスです。
テンプレート
テンプレートを表示し、編集のために選択するためのツリー構造を表示します。
次の表では、テンプレート オプションについて説明します。
表 11-4 テンプレート
オプション
定義
[テンプレート コレ
クション]
テンプレートのコレクション(たとえば、デフォルト コレクションなど)を提供します。
[テンプレート]
コレクションに属するテンプレート(たとえば、検出されたウイルスなど)を提供します。
各テンプレートごとに、ツリー ノードの下で以下を使用できます。
• [de, en ...]— テンプレートの言語バージョン
• [html] — .html 形式のバージョン
• [txt]— .txt 形式のバージョン
形式を選択する際、テンプレート コンテンツは [HTML エディター] パネルに表示されます。
314
McAfee Web Gateway 7.4.0
製品ガイド
ユーザー メッセージ
テンプレート エディター
11
表 11-4 テンプレート (続き)
オプション
定義
[インポート ]
[インポート]ウィンドウが開き、特定の言語で html および txt テンプレート バージョンを
含むファイルを参照し、それをインポートします。
[エクスポート ]
[エクスポート]ウィンドウが開き、テンプレート ファイルを参照し、それをエクスポートし
ます。
[すべて展開 ]
テンプレート ツリーで隠されている項目をすべて表示します。
[すべて折りたたむ] すべての展開された項目を折りたたみます。
コレクション、テン 以下のオプションをもつメニューを開きます。
プレート、言語バー
ジョン、または形式 オプションの選択肢は、右クリックした項目により異なります。
で右クリックしてく • [複製] — [複製<項目>]ウィンドウが開き、コレクションに新しい名前で項目のコピー
ださい
を挿入します。
• [コンテンツ ファイルの追加] — [コンテンツ ファイルの追加]ウィンドウが開き、ファ
イルを追加します。
• [名前の変更] — [名前の変更<項目>]ウィンドウが開き、項目の名前を変更します。
• [変更] — [言語の変更]ウィンドウが開き、言語バージョンを変更します。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
ファイル システム
次の要素と共にツリー構造(テンプレート ファイルの追加、名前の変更、および削除などの一般的なタスクの実行
用)を表示します。
次の表では、ファイル システム オプションについて説明します。
表 11-5 ファイル システム
オプション
定義
[テンプレート コレク
ション]
テンプレートのコレクション(たとえば、デフォルト コレクションなど)を提供します。
[言語バージョン]
言語バージョン別(および言語グループ内ではまず名前別、次に形式別に)にソートされ
たテンプレートを提供します。
たとえば、en (英語) 言語グループには次のものが含まれます。
• authenticationrequired.html
• AuthorizedOnly.txt
• authenticationrequired.txt
• およびその他
• AuthorizedOnly.html
形式を選択する際、テンプレート コンテンツは HTML エディター パネルに表示されま
す。
[画像]
名前別にソートされた画像ファイル(テンプレートで使用される画像と共に)を提供しま
す。
McAfee Web Gateway 7.4.0
製品ガイド
315
11
ユーザー メッセージ
テンプレート エディター
表 11-5 ファイル システム (続き)
オプション
定義
[追加]
次のメニューを開きます。
• [新規ファイル] - 新しい名前を持つファイルを追加する[ファイル名]ウィンドウを開
きます。
• [新規ディレクトリ] — [ディレクトリ名の変更]ウィンドウを開き、ツリー構造の選択し
たフォルダーを新しい名前で追加します。
• [既存のファイルまたはディレクトリ] — ファイル マネージャーを開き、ファイルまたは
フォルダー選択および追加します。
[編集]
次のメニューを開きます。
• 名前の変更 — [名前の変更<項目>]ウィンドウが開き、項目の名前を変更します。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
[切り取り ]
選択した項目をコピーおよび削除します。
[コピー]
選択した項目をコピーします。
[すべて展開 ]
ファイル システム ツリーで隠されている項目をすべて表示します。
[すべて折りたたむ ]
すべての展開された項目を折りたたみます。
項目を右クリックすると、詳細なオプションをもつメニューが表示されます。
項目に適用されないオプションはグレイ表示されています。
HTML エディター
[テンプレート]または[ファイル システム]パネルで現在選択されているテンプレートのコンテンツを表示します。
次の表では、HTML テンプレート オプションについて説明します。
表 11-6 HTML エディター
オプション
定義
[追加]
次のメニューを開きます。
• [リソース参照] - 画像やその他のグラフィック要素など、テンプレートに表示されるリソー
スへのパスを入力する[リソース パスの挿入]ウィンドウを開きます。
• [プロパティ] — [プロパティの選択]ウィンドウを開き、テンプレートに変数として表示され
るプロパティ(たとえば $URL$ など)を追加します。
[編集]
次のメニューを開きます。
• [切り取り] — テンプレート コンテンツ
の選択した部分をコピーおよび削除し
ます。
• [削除] — 選択した部分を削除します。
• [コピー] —選択した部分をコピーしま
す。
• [すべて選択] — テンプレート コンテン
ツ全体を選択します。
• [貼り付け] — コピーした部分を貼り付
けます。
316
[変更を破棄]
テンプレートへの変更を取り消します
[ソースを表示]
トグル ボタンでテンプレートの HTML ソース コードを表示します。
McAfee Web Gateway 7.4.0
製品ガイド
ユーザー メッセージ
テンプレート エディター
11
表 11-6 HTML エディター (続き)
オプション
定義
[言語ドロップダ
ウン メニュー ]
プレビューの言語を選択します。
[プレビュー]
テンプレートのプレビューを表示します。
ビューワ
現在選択されている画像ファイルに含まれる画像を表示します。
HTML エディターの代わりに、ファイル システム ツリーでファイルが選択された場合、表示されます)
次の表では、ビューワ オプションについて説明します。
表 11-7 ビューワ
オプション
定義
[ズーム拡大]
画像を拡大します。
[ズーム縮小]
画像を縮小します。
[ウィンドウに合わせる]
画像を[ビューワ]パネルの幅に合わせる
[元のサイズ]
元のサイズに戻して画像を表示します。
全般オプション
テンプレート エディターを操作するときに、一般的な活動を実行するためのオプション
表 11-8 全般オプション
オプション
定義
[テンプレートの変更を保存]
テンプレートへの変更を保存します。
[キャンセル]
変更せずに、[テンプレート エディター]をそのままにします。
McAfee Web Gateway 7.4.0
製品ガイド
317
11
ユーザー メッセージ
テンプレート エディター
318
McAfee Web Gateway 7.4.0
製品ガイド
12
システム構成
アプライアンス システムは、Web フィルタリング、認証、クォータ管理などの他の機能によって使用される基本機
能を提供します。ネットワークの要件に対応するように、このシステムを構成することが可能です。
アプライアンス システムを構成するときは、主に以下の項目で作業を行います。
•
システム設定 — ネットワーク インターフェース、DNS サーバー、プロキシ、集中管理、およびアプライアン
ス システムに関連する他のコンポーネントと方法のために構成されます
•
システム ファイル — ファイル エディターを使用して変更できるアプライアンス システムの機能の設定を含み
ます
•
データベース更新 — アプライアンスのフィルタリング機能が関連情報を利用できるようにします
システム構成の一部分は、アプライアンスの初期設定中に実行されます。このセットアップ後、アプライアンス シス
テムのさらなる構成アクティビティを完了させることができます。
目次
初期セットアップのシステム設定
初期セットアップ後のシステム構成
システム設定の構成
アプライアンス タブ
一般的なアプライアンス機能に対するシステム設定
ネットワーク機能に対するシステム設定
システム ファイル
ファイル エディター タブ
キャッシュ ボリュームのサイズ変更
データベースの更新
閉鎖されたネットワークの更新
初期セットアップのシステム設定
アプライアンスの初期セットアップの実行には、システム設定の一部の構成が含まれます。
初期設定は、デフォルト値のままに残すか、または自分の設定を実装することができます。後でも、これらの設定は
変更できます。
次の表は、初期セットアップで構成される設定、およびそれらのデフォルト値を示しています。
表 12-1 初期セットアップのシステム設定
パラメーター
デフォルト値
プライマリ ネットワーク インターフェース
eth0
DHCP での自動構成
はい
McAfee Web Gateway 7.4.0
製品ガイド
319
12
システム構成
初期セットアップ後のシステム構成
表 12-1 初期セットアップのシステム設定 (続き)
パラメーター
デフォルト値
ホスト名
mwgappl
ルート パスワード
<なし>
SSH でのリモート ルート ログオン
時間
デフォルト ゲートウェイ
<DHCP で構成>
DNS サーバー
<DHCP で構成>
初期セットアップ後のシステム構成
アプライアンス システムに対するすべての設定は、初期セットアップ後に構成することができます。これには、初期
セットアップ中に構成された設定の変更も含まれます。
アプライアンス システムに対する設定は、さまざまなフィールドで構成できます。
一般的な機能に対するシステム設定
一部のシステム設定は、アプライアンスのライセンスや日付と時刻など、一般的なサービスを提供するアプライアン
ス システムの機能に対して構成されます。
ネットワーク システム設定
ネットワーク システム設定は、アプライアンス システムをネットワークに統合するために構成します。」
アプライアンスのプライマリ ネットワーク インターフェース、およびアプライアンスによって使用される DNS サ
ーバーの設定を含む、一部のネットワーク システム設定は初期セットアップですでに構成されています。
後で、プロキシ機能、ポート転送、静的ルーティング、および他のネットワーク関連の機能の構成もできます。
認証およびクォータのシステム設定
認証およびクォータのシステム設定は、アプライアンスでユーザーを認証し、それらのユーザーの Web 使用を制限
するための方法を実装するために構成します。
認証とクォータの構成は、主にアプライアンスで、認証およびクォータのルール セットで作業することにより、実行
されます。
しかし、Kerberos 認証方法および Windows ドメイン メンバーシップの設定を含む、いくつかの認証機能はアプラ
イアンス システムの設定として構成されます。
一部のクォータ パラメーターは、システム設定としても構成されます。
Web フィルタリング システム設定
Web フィルタリング システム設定は、Web オブジェクトをフィルタリングするための機能をアプライアンスで実装
するために構成されます。
Web フィルタリングの構成は、Gateway マルウェア対策ルール セットや URL フィルタリング ルール セットなど
の Web フィルタリング ルール セットのルールを操作することによってアプライアンスで主に実行されます。
ただし、アプライアンスのスキャン モジュールに対する作業負荷を制限するためにキュー内で Web オブジェクトを
収集するマルチウェア対策キューなど、Web フィルタリング機能のいくつかは、アプライアンス システムの設定と
して構成されます。
320
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
システム設定の構成
12
集中管理システム設定
集中管理システム設定は、共通の構成で複数のアプライアンスをノードとして実行している場合に構成します。
集中管理構成では、ログオンしているノードから、他のノードのシステム設定を構成することもできます。
ログおよびトラブルシューティングに対するシステム設定
ログおよびトラブルシューティングに対するシステム設定は、アプライアンスでログ ファイル マネージャーを制御
するためと、外部コンポーネントを使用してログ データを記録するために構成されます。
外部コンポーネントの使用には、McAfee ePO サーバーへのデータの転送、および SNMP エージェントを使用した
イベントの監視が含まれます。
システム設定の構成
ネットワークの要件に対応させるために、アプライアンス システムの設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、アプライアンスを選択して、構成するシステム設定をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
321
12
システム構成
アプライアンス タブ
アプライアンス タブ
アプライアンス タブは、アプライアンス上でのシステム設定の構成を可能にします。
アプライアンス タブの主要要素
以下の表で、[アプライアンス]タブの主要な要素について説明します。
表 12-2 アプライアンス タブの主要要素
要素
説明
アプライアンス ツールバー
集中管理構成にアプライアンスを追加、削除、および一度に更新す
るための項目を含むツールバー。
アプライアンス ツリー
各アプライアンスのシステム設定を含むアプライアンスのツリー
構造
アプライアンス ツールバー
選択したアプライアンスで作業するための項目を含むツールバー
(アプライアンス ツリーでアプライアンスが選
択されたときに表示される)
アプライアンス設定
選択されたアプライアンスのシステム設定
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
322
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
表 12-3 アプライアンス ツールバー
オプション
定義
[追加 ]
アプライアンスを追加するための[アプライアンスの追加]ウィンドウを開きます。
[削除]
選択されたアプライアンスを削除します。
削除を確認するためのウィンドウが開きます。
[手動エンジン更新] 集中管理構成にあるすべてのアプライアンスのウイルス シグネチャおよびその他のフィルタ
リング情報が含まれている DAT ファイルを更新します。
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 12-4 アプライアンス ツールバー
オプション
定義
[再起動]
アプライアンスを再起動します。
[キャッシュを消去]
アプライアンスの Web キャッシュを消去します。
[アプライアンス ソフトウェアの更
新]
アプライアンス ソフトウェアの更新バージョンをインストールします。
[シャットダウン]
アプライアンスを非アクティブにします。
[ログをローテート]
アプライアンスのログ ファイルをローテートします。
[ログをローテートおよびプッシュ]
アプライアンスのログ ファイルをローテートし、[ログ ファイル マネージャ
ー]の設定で指定されている送信先にプッシュします。
一般的なアプライアンス機能に対するシステム設定
一部のシステム設定は、アプライアンス システムの一般的なサービスを提供する機能に対して構成されます。
一般的なアプライアンス機能に対する設定には、以下が含まれます。
•
ライセンス設定
•
日時設定
•
ファイル サーバー設定
•
ユーザー インターフェース設定
ライセンス設定
ライセンス設定は、アプライアンスにライセンスをインポートするために使用します。ライセンスの情報は、これら
の設定とともに表示されます。
ライセンス管理
ラインセンスのインポートおよびインポートされたライセンスの情報の設定
McAfee Web Gateway 7.4.0
製品ガイド
323
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-5 ライセンス管理
オプション
定義
ライセンスの ライセンスをインポートするための項目を提供します。
インポート
• [ライセンス ファイル] — ライセンス ファイル名を指定します。
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [参照] - ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します。
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
ライセンス情 インポートされたライセンスの情報を提供します。
報
• [ステータス] — ライセンス ファイル名を指定します。
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [作成] - ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します。
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
• [有効期限] — ライセンスの期限が切れる日付をユーザーに通知します。
• [ライセンス ID] — ライセンスを識別します。
• [カスタマー] — ライセンス所有者の名前を説明します。
• [シート] — ライセンスが有効である所有者の会社の職場の数を指定します。
• [評価] — ライセンスが評価済みどうかに関する情報を提供します。
GTI URL フィードバックの設定
GTI URL フィードバック設定は、Web ページまたは実行ファイルなどの潜在的に不正な Web オブジェクト、およ
び Danamic Content Classifier により評価された Web サイトに関するフィードバック データの収集を構成する
ために使用されます。
フィードバックの設定
フィードバック データの収集のための設定
324
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
表 12-6 フィードバックの設定
オプション
定義
[システム情報と不審な URL に関す これが選択されると、フィードバック データが収集され、特別な McAfee フ
るフィードバックを McAfee に送信 ィードバック サーバーに送信されます。
して、脅威の予測や保護サービスを
McAfee はこのデータを収集してそれを分析し、Web Gateway の脅威の予
改善する]
測と保護機能を改善します。
2 つのフィードバック オプションのそれぞれを個別に有効にしたり、無効
にすることができます。
詳細については、『データ使用状況のステートメント』を参照してください。
[不正 Web サイトに関するフィード これを選択すると、ウイルスとマルウェアのフィルタリングに関連するデー
バックを McAfee に送信する]
タが収集され、特別な McAfee フィードバック サーバーに送信されます。
[動的に分類された Web サイトに関 これを選択すると、Web サイトを分類するために関連するデータが収集さ
するフィードバックを McAfee に送 れ、特別な McAfee フィードバック サーバーに送信されます。
信する]
詳細情報
データ使用状況のステートメントへのリンク
表 12-7 詳細情報
オプション
定義
[データ使用状況
のステートメン
ト]
以下を説明するデータ使用状況のステートメントへのリンクを提供します。
• McAfee が収集されたフィードバック データを収集する目的
• 収集されるデータの種類
• データの種類によってデータの収集をオフにする方法
データの使用状況のステートメントは、アプライアンスの最初のセットアップ時にも示されま
す。
詳細設定
フィードバック データの収集のための詳細設定
表 12-8 詳細設定
オプション
定義
[アップストリーム プ これを選択すると、McAfee にフィードバック データを送信するためにプロキシ サーバー
ロキシを使用]
が使用されます。
[プロキシの IP また
は名前]
プロキシ サーバーの IP アドレスまたはホスト名を指定します。
[プロキシのポート]
フィードバック データを送信するためのリクエストを待機するプロキシ サーバーのポー
トのポート番号を指定します。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 9090 です。
[ユーザー名 ]
プロキシ サーバーにログオンするために必要なユーザー名を指定します。
[パスワード]
プロキシ サーバーにログオンするために必要なパスワードを指定します。
[設定]をクリックして、パスワードを設定するためのウィンドウを開きます。
McAfee Web Gateway 7.4.0
製品ガイド
325
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-8 詳細設定 (続き)
オプション
定義
[フィードバック サー これを選択すると、IP アドレスとポート番号をフィードバック データが送信されるサーバ
バーを選択する]
ーに対して構成できます。
[サーバーの IP]
フィードバック サーバーの IP アドレスを指定します。
[サーバーのポート]
データを送信するためのリクエストを待機するフィードバック サーバーのポートのポート
番号を指定します。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 443 です。
[サーバーのポート]
これを選択すると、フィードバック送信アクティビティがログされます。
日時設定
日付および時刻の設定は、アプライアンス システムの日付および時刻を同期させる時刻サーバーを構成するために使
用されます。それらはシステム時刻を手動で設定することも可能にします。
日時
アプライアンス システムの日時の設定
表 12-9 日時
オプション
定義
[NTP サーバー 選択された場合、アプライアンスは時間の同期のために NTP(Network Time Protocol)の時刻
との同期を有効 サーバーを使用します。
にする]
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間差
が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動することを推
奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定されま
す。
[NTP サーバー
リスト]
NTP プロトコルで時間の同期に使用するサーバーを入力するためのリストを提供します。
リスト要素は以下のとおりです。
• [文字列] — NTP サーバーの名前を指定します。
• [コメント] — NTP サーバーの平文コメントを提供します。
[タイム ゾーン
の選択]
タイム ゾーンを選択するリストを提供します。
NTP サーバーによって実行された時刻の同期、または手動で設定された時刻は、ここで選択する
タイム ゾーンを参照します。
手動でのシステム時刻の設定
アプライアンス システムの時刻および日付を構成するための設定
326
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
表 12-10 手動でのシステム時刻の設定
オプション
定義
[現在の日付および
時刻]
アプライアンス システムの日付および時刻の設定の要素を提供します。
• [日付] — フィールドに入力またはカレンダーを使用して日付を入力できます。
• カレンダー アイコン — 日付選択のためにカレンダーが開きます
カレンダーで日付を選択した後、[OK]をクリックすると日付フィールドに日付が表示され
ます。
• [時間] — 時間を入力して指定できます。
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時
間差が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動すること
を推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定
されます。
[今すぐ設定]
入力した日付と時刻を対応するフィールドに設定します。
ファイル サーバー設定
ファイル サーバー設定は、アプライアンスの専用ファイル サーバー ポートの構成に使用されます(たとえば、クラ
イアントによるファイルのダウンロードを有効化するため)。
HTTP コネクタ ポート
アプライアンスの専用ファイル サーバー ポートの設定
表 12-11 HTTP コネクタ ポート
オプション
定義
[HTTP 経由の専用ファ 選択されていると、下に構成されている専用 HTTP ファイル サーバー ポートが有効にな
イル サーバー ポートを ります。
有効にする]
[HTTP コネクタ]
専用 HTTP ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲
は 1024 ~ 65335 までです。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力すること
ができます。これは、このポート経由のアプライアンスへの接続は、指定アドレスを使用
した場合にのみ有効という意味です。
例:
アプライアンスには以下のとおり、IP アドレスを持つ 2 つのインターフェースがありま
す。
eth0:192.168.0.10, eth1: 10.149.110.10
次の数字を HTTP コネクタに入力します。
4711, 192.168.0.10:4722
ポート 4771 経由のアプライアンスへの接続では両方の IP アドレスを使用することが
許可される一方で、ポート 4772 経由で接続する場合は、IP アドレス 192.168.0.10
が使用されます。
後者の方法による接続の制約は、イントラネットのセット アップに使用することができ
ます。
McAfee Web Gateway 7.4.0
製品ガイド
327
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-11 HTTP コネクタ ポート (続き)
オプション
定義
[HTTPS 経由の専用フ
選択されていると、専用 HTTPS ファイル サーバー ポートが有効になります。
ァイル サーバー ポート
を有効にする]
[HTTPS コネクタ]
専用 HTTPS ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲
は 1024 ~ 65335 までです。
ポート番号とともに IP アドレスを入力することは、HTTP コネクタと同様に行うことが
可能で、同じ意味を持ちます。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ユーザー インターフェース設定
ユーザー インターフェース設定は、ポート、ログオン ページ、SSL セキュア通信用の証明書など、ユーザー インタ
ーフェースの要素を構成するために使用されます。
HTTP コネクタ ポート
アプライアンスのローカル ユーザー インターフェースのポートとセッション タイムアウトに対する設定
表 12-12 HTTP コネクタ ポート
オプション
定義
[HTTP でローカル ユ 選択すると、HTTP プロトコルを使用してユーザー インターフェースに接続できます。
ーザー インターフェ
ースを有効にする]
[HTTP コネクタ]
HTTP でユーザー インターフェースに接続するためのポートを指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ~
65335 です。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップでき
ます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[HTTPS でローカル
ユーザー インターフ
ェースを有効にする]
選択すると、HTTPS プロトコルを使用してユーザー インターフェースに接続できます。
[HTTPS コネクタ]
HTTPS でユーザー インターフェースに接続するためのポートを指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ~
65335 です。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップでき
ます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[セッション タイムア アクティビティが生じなくなってからユーザー インターフェースのセッションが閉じられ
ウト]
るまでに必要な時間(分単位)を指定値に制限します。
許容範囲は 1 ~ 9999 です。
328
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
ログイン ページ オプション
アプライアンスのユーザー インターフェースにログオンするために使用されるページに対する設定
表 12-13 ログイン ページ オプション
オプション
定義
[ログイン認証情報の保存をブラウザー
に許可する]
選択すると、アプライアンスへログオンするためにユーザーが入力した
認証情報がブラウザーで保存されます。
[ユーザーの IP アドレスにブラウザー
セッションを制限する]
選択すると、ユーザー インターフェースを操作するためのセッション
は、ユーザーによってこのセッションが開始されたクライアントの IP ア
ドレスが変更されない限り有効となります。
[IP アドレスに対してセッションを制限
するかどうかをユーザーに決定させる]
選択すると、ユーザー インターフェースを操作するためのセッションを
このセッションが開始されたクライアントの IP アドレスに対してのみ
有効にするかどうかについては、このセッションを開始したユーザー次
第になります。
[ログイン名ごとに複数のログインを許
可する]
選択すると、同じユーザー名とパスワードを使用して複数のユーザーが
ユーザー インターフェースにログオンできます。
[HTTPOnly セッション cookie を使用
する(アプレットの読み込みには時間が
かかることがある)]
選択すると、ユーザー インタフェースに関するセッションに対して
HTTPOnly cookie が使用されます。
ユーザー インターフェース証明書
ユーザー インターフェース用の HTTPS ポートを経由した SSL セキュア通信で使用される証明書に対する設定
表 12-14 ユーザー インターフェース証明書
オプション
定義
[件名、発行者、有効性、延長] 現在使用されている証明書に関する情報を提供します。
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開き
ます。
[証明書チェーン]
証明書とともにインポートされる証明書チェーンを表示します。
[証明機関のインポート]ウィンドウ
SSL セキュア通信で使用される証明書をインポートするための設定
表 12-15 [証明機関のインポート]ウィンドウ
オプション
定義
[証明書]
証明書ファイルの名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
[参照]
証明書ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[秘密鍵]
秘密鍵の名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
ここでは、AES 128 ビットの暗号化鍵または非暗号化鍵である鍵のみを使用できます。
[参照]
秘密鍵ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[パスワード]
秘密鍵を使用できるパスワードを設定します。
McAfee Web Gateway 7.4.0
製品ガイド
329
12
システム構成
ネットワーク機能に対するシステム設定
表 12-15 [証明機関のインポート]ウィンドウ (続き)
オプション
定義
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開きます。
[OK]
指定した証明書に対するインポート プロセスを開始します。
[証明書チェー
ン]
証明書チェーン ファイルの名前を指定します。
[参照]
証明書チェーン ファイルを参照して選択できるようにするために、ローカル ファイル マネージ
ャーを開きます。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
証明書を証明書チェーンとともにインポートすると、ユーザー インターフェース証明書設定の[証
明書チェーン]フィールドに証明書チェーンが表示されます。
ネットワーク機能に対するシステム設定
一部のシステム設定は、アプライアンス システムをネットワークに統合する機能に対して構成されます。
ネットワーク機能に対するシステム設定には、プロキシ設定と以下の設定が含まれます。
•
ネットワーク インターフェースの設定
•
静的ルート設定
•
ドメイン名サービスの設定
•
ポート転送設定
•
ネットワーク保護の設定
ネットワーク設定
ネットワーク設定はアプライアンスのネットワーク インターフェースを構成するために使用します。
ネットワーク インターフェース設定
ネットワーク インターフェースの設定
表 12-16 ネットワーク インターフェース設定
オプション
定義
[ホスト名]
アプライアンスのホスト名を指定します。
[これらのネットワーク イン
ターフェースを有効にする]
有効または無効にするためのネットワーク インターフェースのリストを提供しま
す。
[IPv4]
インターネット プロトコルのバージョン 4 でネットワーク インターフェースを構
成するための設定を提供します。
[IPv6]
インターネット プロトコルのバージョン 6 でネットワーク インターフェースを構
成するための設定を提供します。
[詳細設定]
追加メディアおよびネットワーク インターフェースのブリッジを構成するための設
定を提供します。
IPv4
インターネット プロトコルのバージョン 4 でネットワーク インターフェースを構成するためのタブ
330
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
12
表 12-17 IPv4
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスの構成方法を選択できます。
• [自動取得(DHCP)] — 動的ネットワーク ホスト プロトコル(DHCP)を使用して、IP ア
ドレスは自動的に取得されます。
• [手動設定] — IP アドレスは下の入力フィールドを使用して手動で構成されます。
このオプションが選択されない場合、入力フィールドはグレー表示されます。
• [IPv4 の無効化] — インターネット プロトコルのバージョン 4 はこのインターフェースで
は使用されません。
[IP アドレス]
ネットワーク インターフェースの IP アドレス(手動構成)を指定します。
[サブネット マス ネットワーク インターフェースのサブネット マスク(手動構成)を指定します。
ク]
[デフォルト ルー ネットワーク インターフェースを使用する Web トラフィックのデフォルト ルーティング(手
ティング]
動構成)を指定します。
[MTU]
単一転送単位のバイト数を指定値に制限します。
[IP エイリアス]
IP アドレスのエイリアスのリストを提供します。
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウが開きます。
• [削除] - 選択されたエイリアスを削除します。
IPv6
インターネット プロトコルのバージョン 6 でネットワーク インターフェースを構成するためのタブ
表 12-18 IPv6
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスの構成方法を選択できます。
• [自動取得(DHCP)] — 動的ネットワーク ホスト プロトコル(DHCP)を使用して、IP アド
レスは自動的に取得されます。
• [ルータから取得] — ルータから IP アドレスを取得します。
• [手動設定] — IP アドレスは下の入力フィールドを使用して手動で構成されます。
このオプションが選択されない場合、入力フィールドはグレー表示されます。
• [IPv6 の無効化] — インターネット プロトコルのバージョン 6 はこのインターフェースでは
使用されません。
[IP アドレス]
ネットワーク インターフェースの IP アドレス(手動構成)を指定します。
[デフォルト ル
ーティング]
ネットワーク インターフェースを使用する Web トラフィックのデフォルト ルーティング(手動
構成)を指定します。
[MTU]
単一転送単位のバイト数を指定値に制限します。
[IP エイリアス] IP アドレスのエイリアスのリストを提供します。
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウが開きます。
• [削除] - 選択されたエイリアスを削除します。
詳細
追加メディアおよびネットワーク インターフェースのブリッジを構成するためのタブ
McAfee Web Gateway 7.4.0
製品ガイド
331
12
システム構成
ネットワーク機能に対するシステム設定
表 12-19 詳細
オプショ
ン
定義
[メディア] ネットワーク インターフェースとともに使用する追加メディアを選択できます。
• [自動検出] — ネットワーク インターフェースで使用するメディアは、アプライアンスのネットワー
ク環境で利用可能な場合、自動的に検出されます。
• [1000BaseT-FD、1000Base-HD、 ...] — 選択されたメディア項目はネットワーク インターフェ
ースとともに使用されます。
[ブリッジ
の有効化]
これが選択されている場合、Web トラフィックは透過型ブリッジ モードのネットワーク インターフェ
ースを介してルーティングされます。
• [名前] — 透過型ブリッジの名前を指定します。
ネットワーク保護設定
ネットワーク保護システム設定は、ネットワークからアプライアンスへのトラフィックの保護ルールを構成するため
に使用されます。
ネットワーク保護ルール
ネットワーク保護ルールを構成するための設定
表 12-20 ネットワーク保護ルール
オプション
定義
[ネットワーク保護の
有効化]
これが選択されている場合、以下のネットワーク保護で構成されている設定が有効になり
ます。
[ポリシーの入力]
受信トラフィックに対して実行されるアクションを選択できます。
受信トラフィックはドロップするか、受け入れることができます。
[Ping リクエストの許
可]
これが選択されている場合、アプライアンスは Ping リクエストを受け入れて応答します。
[デフォルト ポリシー
からの例外]
アプライアンス システムにトラフィックを送信するネットワーク デバイスを入力するた
めのリストを提供します。
これらのデバイスからのトラフィックは、現在実装されているルールに従って処理されて
いません。これらのルールが受信トラフィックをドロップした場合、ここにリストされて
いるデバイスから送信されるトラフィックは受け入れられ、逆の場合も同様になります。
次の表は、デフォルト ポリシーからの例外のリストにあるエントリを示します。
表 12-21 デフォルト ポリシーからの例外 - リスト エントリ
オプション
定義
[デバイス]
アプライアンスにトラフィックを送信するネットワーク デバイスの名前を指定します。
* の入力、または入力ないことは、すべてのデバイスが対象であることを意味します。
[プロトコル] トラフィックの送信に使用されるプロトコルを指定します。
[ソース]
ネットワーク デバイスまたはアプライアンスにトラフィックを送信するデバイスの IP アドレスま
たはアドレス範囲を指定します。
[宛先ポート] ネットワーク トラフィックの宛先であるアプライアンスのポートを指定します。
[コメント]
332
例外に平文テキストのコメントを提供します。
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
12
ポート転送設定
ポート転送設定は、特定のホストで 1 つのポートから別のポートに送信される Web トラフィックをアプライアンス
が転送できるようにするルールを構成するために使用されます。
ポート転送
ポート転送ルールを構成するための設定
表 12-22 ポート転送
オプション
定義
[ポート転送ルール]
ポート転送ルールのリストを提供します。
次の表では、ポート転送ルールのリストのエントリを説明しています。
表 12-23
ポート転送ルール - リスト エントリ
オプション
定義
[送信元ホスト]
ポート転送ルール内で Web トラフィックの送信元であるホストの IP アドレスを指定しま
す。
[バインド IP]
バインド IP アドレスを指定します。
[ターゲット ポート] 送信元ホストからの Web トラフィックが転送される先のポートを指定します。
[宛先ホスト]
送信元ホストから送信される Web トラフィックの宛先であるホストの IP アドレスを指定
します。
[宛先ポート]
送信元ホストから受信する Web トラフィックをリスンするために使用される宛先ホストの
ポートを指定します。
[コメント]
ポート転送ルールに関するテキスト形式のコメントを提供します。
静的ルート設定
静的ルート設定は、Web トラフィックがアプライアンスから特定のホストへルーティングされる場合に、同じゲー
トウェイおよびこのゲートウェイのインターフェースを常に使用するルートを構成するために使用されます。
静的ルート
インターネット プロトコルのバージョン 4 または 6 での静的ルートに対する設定
表 12-24 静的ルート
オプション
定義
[静的ルート リスト] インターネット プロトコルのバージョン 4 または 6 で Web トラフィックを送信するため
の静的ルートのリストを提供します。
次の表では、静的ルートのリストのエントリを説明しています。
表 12-25 静的ルート - リスト エントリ
オプション
定義
[宛先]
静的ルートの宛先であるホストの IP アドレスとオプションのネットマスクを指定します。
[ゲートウェイ] アプライアンスからホストへ Web トラフィックをルーティングするためのゲートウェイの IP ア
ドレスを指定します。
[デバイス]
静的ルートに対してゲートウェイで使用されるインターフェースを指定します。
[説明]
静的ルートのテキスト形式の説明を提供します。
[コメント]
静的ルートのテキスト形式のコメントを提供します。
McAfee Web Gateway 7.4.0
製品ガイド
333
12
システム構成
システム ファイル
システム ファイル
システム ファイルには、アプライアンス システムの機能に対する設定が含まれます。これらの設定は、ファイル エ
ディターを使用して編集できます。
システム ファイルに保存される設定には、IP アドレス、最大メッセージ サイズ、キューに入れることのできる最大
メッセージ数など、ネットワーク通信用にアプライアンス システムが使用するパラメーターの設定が含まれます。
ログやアクセス制限など、アプライアンス システムの機能を構成するには、他の設定が使用されます。
システム ファイルの例は /etc/hosts ファイルで、IP アドレスとホスト名のエントリ(アプライアンス自体のロ
ーカル IP アドレスとホスト名を含む)が含まれます。
ユーザー インターフェースのタブからアクセスできるファイル エディターでは、これらのファイル内の設定を編集
できます。
システム ファイルを編集するために、ファイル エディターのみを使用します。ファイル エディターの外部でこれらの
ファイルを開いて手動で編集する場合、変更したものは Web Gateway の新しいバージョンへのアップグレードが行
われるときに上書きされます。
ファイル エディター タブ
[ファイルエディター]タブは、アプライアンスのシステム ファイルの編集を可能にします。
ファイル エディター タブの主要要素
以下の表で、[ファイル エディター]タブの主要要素について説明します。
334
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
キャッシュ ボリュームのサイズ変更
12
表 12-26 ファイル エディター タブの主要要素
要素
説明
[ファイル]
各アプライアンスのシステム設定を含むアプライアンスのツリー構造
[エディター ]
システム ファイルを編集するための項目、およびファイル エントリ
を表示するためのコンテンツ ペインがあるツールバー
([ファイル]でシステム ファイルが選択さ
れているときに表示される)
エディター ツールバー
エディター ツールバーには、次のオプションがあります。
表 12-27 ファイル エディター ツールバー
オプション
定義
[編集]
システム ファイル エントリのテキストを編集するためのオプションがあるメニュ-を開きます。
• [切り取り] — 選択されたテキストを切り
取ります
• [削除] — 選択されているテキストを削除
します
• [コピー] — 選択されているテキストをコ
ピーします
• [すべて選択] — テキスト全体を選択しま
す
• [貼り付け] — コピーまたは切り取られた
テキストを貼り付けます。
[変更を破棄] テキストの変更を破棄します。
ウィンドウが開き、破棄の確認が行われます。
キャッシュ ボリュームのサイズ変更
ウィザードを使用すると、アプライアンスで Web キャッシュに使用する論理ボリュームと、一時ファイルとログ フ
ァイルを保存する論理ボリュームのサイズを変更できます。
アプライアンスに Web Gateway をインストールすると、一時ファイルやログ ファイルを保存する論理ボリューム
よりも、Web キャッシュ用の論理ボリュームのほうが大きくなります。アプライアンスのボリューム ウィザードを
使用すると、このサイズを変更し、一時ファイルとログ ファイルを保存するディスク容量を増やすことができます。
ウィザードのページで、ボリューム サイズは GiB で表示されます。たとえば、サイズ変更前のサイズは次のように
なります。
•
Web キャッシュ ボリューム:197 GiB
•
一時ファイルとログ ファイルのボリューム:40 GiB
サイズ変更後は、次のようにサイズが逆になります。
•
Web キャッシュ ボリューム:40 GiB
•
一時ファイルとログ ファイルのボリューム:197 GiB
初めて Web Gateway アプライアンスをセットアップするときに、ウィザードに従ってサイズを変更することがで
きます。設定ウィザードでシステムの初期設定を行った後でアプライアンスを再起動すると、ウィザードが表示され
ます。
ウィザードのプロセスを中断した場合、システム コンソールのコマンドラインから次のコマンドを実行すると、プロ
セスを再開することができます。
McAfee Web Gateway 7.4.0
製品ガイド
335
12
システム構成
データベースの更新
mwg-cache-wizard
yum upgrade コマンドでアプライアンスがセットアップされている場合には、ウィザードを手動で開始する必要が
あります。
ウィザードの処理はメインのログに記録されます。このログのパスとファイル名は /var/log/
resize-cache.log です。
アプライアンスでサイズの変更をすでに実行している場合には、対応するメッセージがウィザードに表示されます。
アプライアンスのボリューム サイズをさらに変更する必要がある場合には、McAfee サポートに連絡してください。
データベースの更新
フィルタリング プロセスに使用される、外部データベースから取得される情報は、適宜、更新が必要です。
Web オブジェクトはアプライアンスでルールベースのプロセスに基づいてフィルタリングされます。フィルタリン
グ ルールは、オブジェクトへのアクセスをブロックするまたは許可するなどのアクションをトリガーする前にこれら
のオブジェクトの情報が必要です。それらは、特別なモジュール(エンジンとも呼ばれる)のこの情報に依存します。
例えば、ウイルスおよびマルウェア フィルタリング ルールは、オブジェクトがウイルスに感染しているか、または
URL カテゴリ情報の URL フィルター モジュール(モジュール)に URL フィルタリング ルールが依存しているかを
調べるために、マルウェア対策モジュール(エンジン)に依存します。
モジュールはこの情報、例えば DAT ファイルに保管されているウイルス シグネチャなどを外部データベースから取
得します。アプライアンスでのデータベースの更新は、この情報に適用されます。
アプライアンスのデータベース情報は、さまざまな方法を使用して、更新できます。
•
手動エンジン更新 — 現在ログオンしているアプライアンスのモジュールのデータベース情報は手動で更新でき
ます。
•
自動エンジン更新 — また、現在ログオンしているアプライアンスのモジュールを定期的に自動更新するように構
成することもできます。
これらの更新で情報を取得できます。
•
インターネットから — 情報は関連する外部データベースからダウンロードされます。
データベース情報はアプライアンスの初期セットアップの後、この方法で直ちに初めて更新されます。
•
集中管理構成のその他のノードから — 情報はこれらのノードからダウンロードされます。すべてのノード
は、そのノードからその他のノードへの情報のアップロードが許可されるかどうかに関わらず、同様に構成で
きます。
集中管理構成をセット アップするとこれらの更新を構成し、自動更新に関する動作方法を各ノードに対し、
指定できます。
データベース情報の手動更新
アプライアンスのモジュールに対して、データベース情報を手動で更新することができます。
更新は、ログオンしたアプライアンスのモジュールと、集中管理構成でノードとして含めた他のアプライアンスのモ
ジュールに適用されます。
336
McAfee Web Gateway 7.4.0
製品ガイド
システム構成
閉鎖されたネットワークの更新
12
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーで、[手動エンジン更新]をクリックします。
更新が実行されます。
自動エンジン更新のスケジュール
アプライアンスのモジュールに対して、データベース情報の自動更新をスケジュールすることができます。
集中管理構成でノードとして複数のアプライアンスを実行している場合、この構成に対する設定を構成する一環とし
て、これらのノードのモジュール(エンジンとも呼ばれる)に対して更新をスケジュールできます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、自動更新をスケジュールするアプライアンスを選択し、[集中管理]をクリックします。
3
[自動エンジン更新]まで下にスクロールし、必要に応じて更新設定を構成します。
4
[変更の保存]をクリックします。
閉鎖されたネットワークの更新
Web Gateway アプライアンスは、セキュリティまたはその他の理由でインターネット接続がないネットワークで操
作でき、更新できます。これらのネットワークは「閉鎖された」または「隔絶された」ネットワークとも呼ばれます。
これらのネットワークで実行されるアプライアンスで更新が必要な場合には、通常の McAfee のアップデート サー
バーに接続できません。代わりにオフラインの更新手順を実行する必要があります。
McAfee ポータルからこの目的の更新パッケージを選択し、ダウンロードして、それをポータブル メディアに保管
し、メディアを使用して閉鎖されたネットワークの 1 個以上のアプライアンスに更新パッケージを適用することがで
きます。
更新パッケージにはモジュール(エンジン)の更新情報とアプライアンスのフィルタリングに使用されるマルウェア
のパターンが含まれます。ポータルには完全な更新(差分更新ではなく)のみを行うことができます。
ポータルに入った後で、更新するアプライアンスの Web Gateway のバージョン ナンバーを送信する必要がありま
す。その後更新情報が現在利用できる機能のリストが示されます。
選択に従って、更新に必要なすべてのファイルを含む更新パッケージの zip 形式が作成され、ダウンロードできま
す。
閉鎖ネットワークのアプライアンスの更新
インターネット接続なしでネットワークのアプライアンスを更新するために、更新パッケージをダウンロードし、ポ
ータブル メディアに保管して、メディアを使用して更新を実行します。
タスク
1
更新パッケージをダウンロードします。
a
ブラウザーを使用して、Content & Cloud Security の更新ページに進みます。
https://contentsecurity.mcafee.com/update
McAfee Web Gateway 7.4.0
製品ガイド
337
12
システム構成
閉鎖されたネットワークの更新
b
更新ページで、更新するアプライアンスのバージョン ナンバーを入力します。
更新された情報を表示できる機能のリスト。
c
更新する機能を選択します。
選択内容に従って、更新パッケージが作成されます。
d
更新パッケージをシステムにダウンロードします。
2
USB ドライブなどのポータブル メディアを使用して、ダウンロードしたシステムから閉鎖ネットワークの管理シ
ステムに更新パッケージを転送します。
3
閉鎖ネットワークで更新する各アプライアンスで次の操作を実行します。
a
[構成] 、 [アプライアンス] の順に選択します。
b
[エンジンの更新] をクリックして、[更新ファイルのアップロード] を選択します。
[ファイルのアップロードによるエンジンの更新] ウィンドウが開きます。
c
[参照] をクリックして、管理システムで更新パッケージを保存した場所に移動し、更新パッケージ ファイル
を選択します。
d
[更新] をクリックします。
アプライアンスは、更新パッケージから情報を使用して更新されます。
e
338
[閉じる] をクリックして、ウィンドウを閉じます。
McAfee Web Gateway 7.4.0
製品ガイド
13
一元管理
一元管理は、共通の設定でノードとしてネットワーク内でセットアップした複数のアプライアンスを管理できます。
一元管理の設定を管理するときは、主に以下の項目で作業を行います。
•
ノード — アプライアンスはその他のノードに接続されたノードとしてセットアップでき、更新、バックアップ、
ダウンロード、およびその他のアクティビティを実行するためにデータを送受信できます。
•
ノード グループ — ノードは別の方法でデータ転送を許可するさまざまなタイプのノード グループに割り当てら
れます。
•
スケジュール設定されたジョブ — データは設定できる異なる種類のスケジュールに従って転送できます。
更新スケジュールは、更新を実行するときと、しないときを指定する一元管理設定のノードに対しても設定できます。
目次
一元管理構成
一元管理の構成
一元管理構成にアプライアンスを追加
一元管理設定の構成
ノード グループにノードを割り当てる
ベスト プラクティス - 集中管理構成でのノード グループの設定
ノードの同期を確認する
スケジュール設定されたジョブを追加
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理設定
一元管理構成
一元管理構成では、複数のアプライアンスがノードとして実行され、構成したものにしたがって、すべてのノードか
ら管理できます。
一元管理構成のノードは、以下のネットワーク内で接続されています。
•
各ノードは、Web トラフィックを向けるネットワークのクライアント システムに接続されています。
•
ノード グループにノードを割り当てる
•
ノード グループは、1 つのノードからその他のノード、またはいくつかのその他ノードへの更新のためのデ
ータ転送など、グループ メンバーに対して一般管理アクティビティができます。
•
グループ メンバーとの間で異なる種類のデータ転送が可能な、異なるタイプのノード グループがあります。
複数の McAfee Web Gateway アプライアンスの一元管理構成は、時々クラスターと呼ばれます。しかし、これは
フェールオーバー機能を備えた高可用性クラスターの良識のクラスターではありません。
McAfee Web Gateway 7.4.0
製品ガイド
339
13
一元管理
一元管理構成
以下の図は、一元管理構成のノードとして実行される、いくつかのアプライアンスを示しています。
図 13-1 一元管理構成
ノード グループのタイプ
一元管理構成のノードは、ノード グループに割り当て可能です。
ノード グループには名前があり、タイプを考慮して異なります。次のノード グループのタイプがあります。
•
ランタイム グループ — ランタイム グループのメンバーであるノードは、ランタイム データをグループ内のその
他すべてのノードと共有できます。
ランタイム データは、アプライアンスのランタイムに作成されるデータです。たとえば、クォータ制限が Web
の使用状況に課された場合、与えられた時点でユーザーに残される時間は、ランタイム データです。
ノードは、1 つ特定のランタイム グループのメンバーにのみできます。
•
更新グループ — 更新グループのメンバーであるノードは、更新をグループ内のその他すべてのノードと共有でき
ます。
ノードは、1 つ特定の更新グループのメンバーにのみできます。
•
ネットワーク グループ — ネットワーク グループのメンバーであるノードは、グループ内のその他すべてのノー
ドにすぐに接続できます。
ノードは同時に異なるネットワーク グループのメンバーになります。
ノードは、グループ A や B など異なるノード グループのメンバーです。ノードを通して、データの転送が可能
です。グループ B の中のノードによって、グループ B のメンバーでないグループ A 内の他のノードから、グル
ープ A のメンバーでないノードまでデータを転送することが可能です。
スケジュール設定されたジョブ
アプライアンスで、構成バックアップの作成、またはファイルのダウンロードなどを特定の時間および日付、または
一定の間隔に実行する、ジョブをスケジュール設定できます。、
また、現在作業しているアプライアンスのユーザー インターフェースでスケジュール設定の構成もでき、同じ一元管
理構成のその他ノードでジョブを実行しました。
340
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理の構成
13
一元管理の構成
ネットワーク内の複数のアプライアンスの一元管理を構成し、共通設定のノードとして管理できます。
以下の高レベル手順を完了します。
タスク
1
ネットワーク内のアプライアンスのユーザー インターフェースで一元管理の構成を開始し、共通構成のノードと
して他の 1 つ以上のアプライアンスを追加します。
アプライアンスは、ノードとしてはデフォルトで一元管理構成に含まれていないため、すべての関連アクティビ
ティは管理者によって実行される必要があります。
これらすべてのアクティビティに対して、[構成]トップレベル メニューの[アプライアンス] タブのオプションで
作業します。
構成にノードを追加するには、少なくとも以下を構成する必要があります。
•
ノードとして追加するアプライアンスのホスト名または IP アドレス
•
ネットワーク ノード グループのノードのメンバーシップ
ノードの以下の設定も構成できます。
•
他のノードとの通信に使用される IP アドレスおよびポート
•
ランタイムおよび更新ノード グループのメンバーシップ
•
スケジュール設定されたジョブ
•
更新
構成にノードとして追加する他のアプライアンスに、これらのアクティビティを繰り返します。
2
一元管理構成の初期設定後、必要に応じてさらに構成アクティビティを実行します。
たとえば、以下の操作を実行できます。
•
構成ノードの一元管理の設定を確認し、変更する
構成のその他ノードのユーザー インターフェース上にあるノードの設定を確認および変更する
•
3
構成に 1 つ以上の新しいノードを追加する
変更を保存します。
一元管理構成にアプライアンスを追加
アプライアンスをノードとして一元管理構成に追加し、ネットワーク グループに割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーの[追加]をクリックします。
[アプライアンスの追加]ウィンドウが開きます。
3
[ホスト名または IP アドレス] フィールドで、ホスト名またはネットワーク内のその他のアプライアンスの IP ア
ドレスを入力します。
McAfee Web Gateway 7.4.0
製品ガイド
341
13
一元管理
一元管理設定の構成
4
[ネットワーク グループ] リストから、アプライアンスのネットワーク グループを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、アプライアンス ツリーにアプライアンスが表示されます。
これで、作業するアプライアンスの一元管理構成のノードになり、追加を完了します。
一元管理設定の構成
一元管理設定を構成し、共通構成でノードとして複数のアプライアンスを管理できるようにします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[一元管理]をクリックします。
一元管理設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
ノード グループにノードを割り当てる
一元管理構成のノードのアプライアンスをを異なるタイプのノード グループに割り当て、異なる種類のデータ転送を
可能にします。
ランタイムまたは更新グループにノードを割り当てる手順も、ほとんど同じです。
ネットワーク グループの手順は、ノードが 1 つ以上のネットワーク グループのメンバーになる場合があるため、異
なります。
タスク
•
342 ページの「ランタイム グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられま
す。
•
343 ページの「更新グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
•
343 ページの「ネットワーク グループにノードを割り当てる」
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに
割り当てられます。
ランタイム グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられます。
タスク
342
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとしてランタイム グループに割り当てるアプライアンスを選択し、[一元管理]
をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
ノード グループにノードを割り当てる
3
13
[このノードは次のグループのメンバーです]セクションの[グループ ランタイム] フィールドで、ノードを割り当
てるランタイム グループの名前を入力します。
名前を入力したら、すべてを上書きします。これは、ランタイム グループのデフォルト名としてフィールドに表
示されます。
デフォルト名は、異なるランタイム グループで使用しないオプションを提供しますが、すべてのノードの 1 ラン
タイム グループのみあります。
デフォルトのすべてを削除し、名前を入力しない場合、名前として空の文字列のグループにノードを割り当てるこ
とになります。
4
同じランタイム グループにその他のノードを含むには、アプライアンス ツリーのこのノードを選択し、[一元管
理]を再度クリックして、[グループ ランタイム] フィールドに同じ名前を入力します。
同じランタイム グループに含むすべてのノードに、この手順を繰り返します。
5
[変更の保存]をクリックします。
更新グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして更新グループに割り当てるアプライアンスを選択し、[一元管理]をクリ
ックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ更新]フィールドで、ノードを割り当てるラン
タイム グループの名前を入力します。
手順は、ランタイム グループにノードを割り当てるのと同じです。
また。グループにその他のノードを含み、ランタイム グループと同じ方法で続行します。
4
[変更の保存]をクリックします。
ネットワーク グループにノードを割り当てる
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに割り当てら
れます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして 1 つ以上のネットワーク グループに割り当てるアプライアンスを選択
し、[一元管理]をクリックします。
3
デフォルトのすべてグループ以外にノードをネットワーク グループに割り当てるには、[グループ ネットワーク]
インライン リストのツールバーの[追加]アイコンをクリックします。
デフォルト グループは、異なるネットワーク グループで使用しないオプションを提供しますが、すべてのノード
の 1 ネットワーク グループのみあります。
1 つ以上のネットワーク グループを持つ場合は、すべてグループを削除するか、名前を変更する必要があります。
[文字列の追加]ウィンドウが開きます。
McAfee Web Gateway 7.4.0
製品ガイド
343
13
一元管理
ベスト プラクティス - 集中管理構成でのノード グループの設定
4
新しいネットワーク グループを構成します。
a
[名前]フィールドで、ネットワーク グループ名を入力します。
b [オプション][コメント]フィールドで、ネットワーク グループの平文コメントを入力します。
c
[OK]をクリックします。
ウィンドウが閉じられ、新しいネットワーク グループが[グループ ネットワーク] インライン リストに表示
されます。
ノードがこのネットワーク グループのメンバーに追加されます。
[複数の追加]アイコンをクリックし、開いた[文字列の追加]ウィンドウで作業することで、複数のネットワーク
グループを 1 度に追加できます。
ウィンドウで、各自の新しい行を使用して、複数のグループ名を入力できます。
ウィンドウにはまた、同じコメントをすべてのグループに追加するか、異なるコメントを各グループに追加する
オプションもあります。
5
同じネットワーク グループまたはグループにその他のノードを含むには、アプライアンス ツリーのこのノードを
選択し、[一元管理]を再度クリックして、[グループ ネットワーク] インライン リストに同じグループ名または名
前を入力します。
同じネットワーク グループまたはグループに含むすべてのノードに、この手順を繰り返します。
6
[変更の保存]をクリックします。
ベスト プラクティス - 集中管理構成でのノード グループの設定
集中管理構成では、ノードをノード グループに割り当て、ノード間の通信を異なる方法で行うことができます。
ノード グループには、物理的に異なる場所のノードを割り当てることもできます。
グループを設定する前に、次の条件を満たしているかどうか確認してください。
•
ネットワークに適切なルーターが構成され、ノード間の通信が可能になっている。
異なる場所のノードをファイアウォールで保護している場合、各ノードで設定されているポート (デフォルト ポ
ート: 12346) を使用してノード間の通信を行う必要があります。
•
時間が同期されている。同期されていないと、最新の構成になっているノードを確認するときに問題が発生しま
す。
各ノードで NTP サーバーの使用を設定して、同期が自動的に行われるようにしてください。この設定は、[構
成] トップレベル メニューの [日付と時刻] で行うことができます。
ネットワークで NTP サーバーを使用していない場合には、McAfee が提供するデフォルト サーバー
(ntp.webwasher.com) を設定できます。
•
ノードとして設定されているすべてのアプライアンスで、同じバージョン/ビルドの Web Gateway が実行され
ている。
小規模なサンプル構成
このサンプル構成では、2 つのノードが別々の場所 (東京とニューヨーク) に存在しています。いずれの場所でも、
ノードはランタイム、更新、ネットワークの固有のグループに割り当てられています。グループの種類に関わらず、
グループ名はそれぞれ tokyo と newyork に設定されています。
344
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
ベスト プラクティス - 集中管理構成でのノード グループの設定
13
各場所の 1 つのノードが transit ネットワーク グループに割り当てられています。
以下の図はこの構成を表しています。
この構成では、次の処理が実行されます。
•
それぞれの場所に transit グループ ノードが存在するため、管理者が任意のノードで行ったポリシー変更は他の
すべてのノードに送信されます。これにより、すべてのノードで同じ Web セキュリティ ポリシーが適用されま
す。
transit ノードと transit 以外のノードは同じネットワーク グループに属しているため、ニューヨークの transit
以外のノードで行われた変更が transit ノードに送信されます。次に、この transit ノードから東京の transit
グループのノードに送信されます。
最後に、東京の transit ノードから東京の他のノードに変更が送信されます。
•
Web Gateway のモジュール (エンジン) のマルウェア対策と URL フィルタリング情報の更新は、同じ場所 (東
京またはニューヨーク) のノード間でのみ配布されます。
これにより、場所によるネットワーク構造の違いを考慮することができます。大量の更新ファイルをダウンロー
ドする可能性がある場合、この点は重要です。
たとえば、高速接続と LAN リンクが使用可能な場所のノードでは、これらの更新を共有できますが、低速の WAN
リンクの場所では、ノード間でこれらの更新を配布することはできません。
1 つの更新グループには同じ場所のノードだけを割り当てるようにしてください。
•
ユーザーのクォータ時間などのランタイム データは、同じ場所 (東京またはニューヨーク) のノード間でのみ配
布されます。
同じ場所のユーザーは Web アクセスを要求するときにローカル ノードに接続します。東京にいるユーザーのク
ォータの残り時間をニューヨークのノードに通知する必要はありません。
Web アクセスに対して、同じ場所のノードが異なるユーザー グループに割り当てられている場合、
これらのノードを異なるランタイム グループに設定すると、ノードでのオーバーヘッドを回避するこ
とができます。
大規模なサンプル構成
ノード数が 10 を超える場合には、ネットワーク グループに transit ノードを設定しません。大規模な場所の場合、
transit ネットワーク グループに複数のノードを設定する必要があります。
このサンプル構成では、東京に 22 のノードがあり、これを 2 つのネットワーク グループ (toknet1 と toknet2)
に分割しています。いずれのグループにも transit グループのメンバーであるノードが 1 つ含まれています。
McAfee Web Gateway 7.4.0
製品ガイド
345
13
一元管理
ノードの同期を確認する
ニューヨークには 18 のノードがあり、同じように構成されています。また、パーダーボルンには 9 のコードがあ
り、これらはすべて 1 つのネットワーク グループに属しています。このグループ内の 1 つのノードが transit グル
ープに設定されています。
以下の図はこの構成を表しています。
ランタイムと更新のノード グループに関係なく、それぞれの場所にそれぞれのタイプが 1 つずつ存在します。
ポリシーの変更、マルウェア対策と URL フィルタリング情報の更新、ランタイム データの共有は、小規模のサンプ
ル構成と同じ方法で処理されます。
ノードの同期を確認する
ユーザー インターフェースには、他の全般情報と一緒に、集中管理構成の各ノードのタイムスタンプが表示されま
す。これにより、すべてのノードが同期されているかどうか確認することができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、[アプライアンス (クラスター)] を選択します。
設定ペインに、構成のステータスと全般情報、構成内のノードが表示されます。
[アプライアンス情報] に、各ノードの情報が 1 行で表示されます。タイムスタンプは各行の最後に表示されま
す。
3
すべてのノードのタイムスタンプを比較します。
すべてのノードで一致している場合には、集中管理構成が同期されています。
346
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
スケジュール設定されたジョブを追加
13
スケジュール設定されたジョブを追加
スケジュール設定されたジョブをアプライアンスのリストに追加し、構成したタイム スケジュールに従って実行でき
ます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スケジュール設定されたジョブを追加するアプライアンスを選択し、[一元管理]をク
リックします。
3
設定パネルで、[詳細スケジュール設定ジョブ]を展開します。
スケジュール設定ジョブ リストがが表示されます。
4
リスト上のツールバーの[追加]をクリックします。
[スケジュール設定ジョブの追加]ウィンドウが開きます。
5
スケジュール設定ジョブの設定を構成します。
6
[OK]をクリックします。
ウィンドウが閉じ、新しいスケジュール設定ジョブがジョブ リストに表示されます。
7
[変更の保存]をクリックします。
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理構成のノードでアプライアンス ソフトウェアを更新するためには、最後に更新するノードの 1 つのユーザ
ー インターフェースから更新手順を実行できます。
開始する前に
現在の設定のバックアップを作成していることを確認します。
タスク
1
更新する製品バージョンのリポジトリを構成内のノードにあるアプライアンスにインストールします。
a
SSH を使用してシステム コンソールからアプライアンスにログオンします。
b
以下のコマンドを実行します。
yum install yumconf-<version number>-mwg
yumconf-<version number>-mwg はリポジトリーの名前です。バージョン番号の桁はドットで区切る必
要があります。
2
この構成の 1 つのアプライアンスのユーザー インターフェースにログオンします。
3
[構成] 、 [アプライアンス]を選択します。
アプライアンス ツリーで、ログインしたアプライアンス以外のものを選択します。
4
作業中のアプライアンスを除き、アプライアンス ツリーの各アプライアンスを更新します。
a
アプライアンス ツリーでアプライアンスを選択します。
b
設定ペインの上にあるツール バーで、[アプライアンス ソフトウェアの更新] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
347
13
一元管理
一元管理設定
5
構成内のノードにある作業中以外のすべてのアプライアンスで更新が実行されたら、作業中のアプライアンスで
更新を実行します。
a
アプライアンス ツリーのアプライアンスを選択します。
b
[アプライアンス ソフトウェアの更新]をクリックします。
構成のノードが、一部のノードが複数のグループのメンバーになっているときに、別のネットワーク
グループに割り当てられる場合、以下のように行うことを推奨します。
•
複数のメンバーシップをもつノードの 1 つから、更新手続きを実行します。
•
手続きの最後に、複数のメンバーシップをもつその他のノードを更新します。
•
最後に操作したノードを更新します。
たとえば、ノード 1、2、3、4 をもつネットワーク グループ A およびノード 3、4、5、6 をもつネ
ットワーク グループ B をもつ場合、ノード 3 または 4 を選択して、更新手順を実行してください。
最初にノード 1、2、5、6 を更新してから、4 (手順を実行するために 3 を選択した場合) を更新し、
最後に 3 を更新します。
アプライアンス ソフトウェアが更新されます。
一元管理設定
一元管理設定は、一般構成のノードとして管理するアプライアンスの構成に使用されます。
一元管理設定
一元管理構成でのノードの基本通信パラメーターの設定
表 13-1 一元管理設定
オプション
定義
[一元管理通信のこのノードの IP
アドレスおよびポート]
一元管理構成でその他ノードとの通信に使用するノードである IP アドレス
およびポート番号を入力するためのリストを提供します。
[その他のノードへメッセージを配
信するタイムアウト]
その他のノードが現在のノードからメッセージに応答できる時間(秒)を指定
値に制限します。
時間範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
以下の表は、IP アドレスおよびポート リストのエントリの要素を説明しています。
表 13-2 IP アドレスおよびポート – リスト エントリ
オプション
定義
[文字列]
ノードの IP アドレスおよびポート番号を指定します。
[コメント]
IP アドレスおよびポート番号の平文コメントを提供します。
詳細管理設定
一元管理構成の詳細管理設定
348
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理設定
13
表 13-3 詳細管理設定
オプション
定義
[複数のノードへ配信 [一元管理設定]セクションのその他のノードへメッセージを配信するタイムアウトで構成さ
するときのタイムア れた時間間隔を増加させる係数を設定します。
ウトの乗算]
時間間隔を増加させることは、1 つのノードからその他まで、そこから次のノードなどまで
メッセージを処理する時間をより多く提供します。。
間隔は 1 ~ 2 の値ずつ長くすることが可能です。
値は、スライダーのスケールで設定されます。
[ノードの優先順位]
ノード グループ内で取得するノードの優先順位を設定します。
最高優先順位は 1 です。
ノードの構成データは、その他ノードとこれ以上同期しません。たとえば、ノードが少しの
間ダウンしたため、ノードが最高優先順位のノードからもっとも最近の構成データを受け取
るなどです。
これを意図していない場合は、すべてのノードが同じ優先順位で、推奨されている設定であ
ることを確認します。
ノードの優先順位は 1 から 100 の範囲です。
スライダーのスケールに設定されます。
[GUI サーバーにこ
のノードの添付を許
可]
選択されると、サーバーは追加のユーザー インターフェースをアプライアンスに提供し、ノ
ードに接続できます。
[非ローカル ホスト
選択されると、現在のノードで実行していない追加のユーザー インターフェースを備えたサ
からの GUI サーバー ーバーは、ノードに接続できます。
の接続を許可する]
[GUI コントロール
アドレス]
現在のノードに接続するために使用する追加ユーザー インターフェースの IP アドレスお
よびポート番号を指定します。
[GUI 要求アドレス]
要求を送信するときに使用されるこのサーバーの IP アドレスおよびポート番号を指定しま
す。
[暗号化されていない 選択すると、構成内でこのノードから他のノードに送信されるメッセージが暗号化されませ
他のノードへの接続] ん。
しかし、証明書を使用した認証は実行されています。
[その他のノードの
選択されると、構成でこのノードからその他のノードにメッセージを送信するとき IP アド
IP の確認を有効にす レスを確認できます
る]
この機能で Web セキュリティは強化されますが、NAT セットアップなど、いくつかのネッ
トワーク セットアップの問題を引き起こす可能性があります。
McAfee Web Gateway 7.4.0
製品ガイド
349
13
一元管理
一元管理設定
表 13-3 詳細管理設定 (続き)
オプション
定義
[時間の差異を許可]
構成の変更を受け入れることを許可する時間の差異(秒)を指定値に制限します。
秒数の範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
[その他のノードのバ 選択されると、構成の変更がノード間に配布される前に、アプライアンス ソフトウェアのバ
ージョンの確認を有 ージョンが確認されます。
効にする]
このノードのアプライアンス ソフトウェアのバージョンが、変更を配布するノードのバージ
ョンと一致しない場合、構成の変更はノードに配布されません。
• [バージョン確認のレベル ]— 更新バージョンを確認するときの徹底レベルを設定しま
す。
レベルはスライダーのスケールに設定されます。次の値を選択できます。
• 1 - メジャー バージョン ナンバーのみ(7.3.0 の 7)が一致する必要があります。
• 2 - マイナー バージョン ナンバー(7.3.0 の 3)が一致する必要があります。
• 3 - フィーチャー バージョン ナンバー(7.3.0 の 0)が一致する必要があります。
• 4 - メンテナンス バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 1)も一致する必
要があります。
• 5 - Hotfix バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 2)も一致する必要があ
ります。
• 6 - ビルド ナンバー(たとえば 14379)も一致する必要があります。
このノードは次のグループのメンバーです
ノードをグループ内のノードに含める設定
表 13-4 このノードは次のグループのメンバーです
オプション
定義
[グループ ランタイ
ム]
ランタイム データをグループ内のすべてのノードと共有できるノードのグループ、たとえ
ば、時間のクォータを判別します。
[グループ更新]
更新をグループ内すべてのノードと共有できるノードのグループを判別します。
[グループ ネットワー
ク]
グループ内のその他すべてのノードに直ちに接続できるノードのグループを判別します。
ノードは複数のネットワーク グループのメンバーになれます。
この場合ノードは、このノードもメンバーである別のグループのノードにこのノードを通
して接続できるメンバーである 1 つのノードのグループです。
ノードがメンバーであるすべてのグループはグループ ネットワーク リストにリストされ
ています。
以下の表は、グループ ネットワーク リストのリスト エントリの要素を説明しています。
表 13-5 グループ ネットワーク – リスト エントリ
350
オプション
定義
[文字列]
ネットワーク ノード グループの名前を指定します。
[コメント]
ネットワーク ノード グループの平文コメントを提供します。
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理設定
13
自動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の自動更新をスケジュール設定する設定
表 13-6 自動エンジン更新
オプション
定義
[自動更新を有効にする] 選択されると、データベース情報が自動的に更新されます。
[インターネットからの
更新のダウンロードを
許可する]
選択されると、データベース更新がインターネットからダウンロードされます。
[その他ノードからの更
新のダウンロードを許
可する]
選択されると、データベース更新が一元管理構成のその他ノードからダウンロードされま
す。
[更新間隔]
データベース情報が再び更新される前に経過する時間(分)を指定値に制限します。
時間はスライダーのスケールに設定されます。
許可されている値の範囲は 15 ~ 360 です。
[CRL 更新間隔]
フィルタリング SSL セキュア Web トラフィックに使用される証明失効リストが更新さ
れる前に経過する時間(分)を指定値に制限します。
この更新はその他の更新とは異なる方法を使用するため別々に構成される必要がありま
す。
時間はスライダーのスケールに設定されます
許可されている値の範囲は 3 ~ 168 です。
[更新プロキシを有効に
する]
選択した場合、プロキシ サーバーは更新されたデータベース情報のルーティングに使用
されます。
[プロキシの更新(フェー 更新されたデータベース情報のルーティングに使用するプロキシ サーバーを入力するた
ルオーバー)]
めのリストを提供します。
プロキシ サーバーはフェールオーバー モードで使用されます。リストの最初のサーバ
ーが最初に試行され、構成されたタイムアウトが経過した場合のみ次のサーバーが試行さ
れます。
以下の表は、更新プロキシ リストのエントリの要素を説明しています。
表 13-7 更新プロキシ – リスト エントリ
オプション
定義
[ホスト]
ルーティング更新のプロキシとして使用されるサーバーのホスト名または IP アドレスを指定しま
す。
[ポート]
更新要求をリスンするプロキシのポートを指定します。
[ユーザー]
ルーティング更新のためプロキシへのアクセスが許可されたユーザーのユーザー名を指定します。
[パスワード] このユーザーのパスワードを設定します。
コメント
プロキシの平文テキストのコメントを提供します。
詳細な更新設定
詳細更新機能の設定
McAfee Web Gateway 7.4.0
製品ガイド
351
13
一元管理
一元管理設定
表 13-8 詳細な更新設定
オプション
定義
[その他ノードへの更新のアッ
プロードを許可する]
選択されると、更新されたデータベース情報が、アプライアンス(一元管理構成の
ノードとして)から他のノードへアップロードされます。
[初めて更新を開始するとき
更新が開始される前に経過する時間(秒)を指定値に制限します。
は、開始する前に適切な時間待
5 から 1200 までの値を使用できます。
つ]
[1 回目の自動更新の開始時、
更新の起動間隔を使用する]
自動更新を最初に開始する試行間に経過する時間(秒)を指定値に制限します。
更新中、更新された情報をアプライアンスに保管するコーディネーター サブシス
テムは、この情報を使用するモジュールのあるアプライアンス コアへ接続を試み
ます。
この間隔に対しての低い値は、コアがデータを受信する準備ができるまでの待ち時
間を短縮できるため、更新をスピード アップできます。
5 から 600 までの値を使用できます。
[起動間隔を使って更新する]
更新を開始したときにアプライアンスが行った試行の数(1 から 9)を指定値に制
限します。
[代替 URL を使用]
デフォルト サーバーの代わりに使用される更新 サーバーの URL を指定します。
[SSL トンネルを確認する]
選択されると、 SSL セキュア通信の更新 サーバーが確認されたことで、証明書が
ノードに送信されます。
[更新サーバーの特別なカスタ URL フィルタリング情報のアップデートは、ここに入力されている URL で指定さ
マー パラメーター シーケンス れた URL フィルター データベース サーバーから取得されます。
を入力する]
[定義された時間枠で更新され
ない]
データベース情報が更新されない間の毎日のタイム スロットを入力するためのリ
ストを提供します。
以下の表は、タイム スロット リストのエントリの要素を説明しています。
表 13-9 タイム スロット – リスト エントリ
オプション
定義
[タイム スロットの開始(時間)]
毎日のタイム スロットを開始する時間を設定します。
[タイム スロットの開始(分)]
毎日のタイム スロットを開始する分を設定します。
[タイム スロットの開始(秒)]
毎日のタイム スロットを開始する秒を設定します。
[タイム スロットの終了(時間)]
毎日のタイム スロットを終了する時間を設定します。
[タイム スロットの終了(分)]
毎日のタイム スロットを終了する分を設定します。
[タイム スロットの終了(秒)]
毎日のタイム スロットを終了する秒を設定します。
コメント
タイム スロットの平文テキストのコメントを提供します。
詳細な契約リスト設定
詳細な契約リスト機能の設定
352
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理設定
13
表 13-10 詳細な契約リスト設定
オプション
定義
[顧客の契約リストの
ダウンロードを許可す
る]
選択されると、顧客契約リストが現在のアプライアンスからダウンロードできます。
アプライアンすが一元管理構成のノードであり、このオプションが他のノードでも選択さ
れている場合、ノードの 1 つがリストをダウンロードします。
特定のノードをリストにダウンロードする場合、他のすべてのノードのオプションが選択
解除されていることを確認する必要があります。
ノードが再起動され、1 つ以上の契約リストがこのノードで構成されている場合、リスト
コンテンツがダウンロードされ、有効な構成を確認します。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
ノードが契約リストが構成された他のノードとともに追加されるとき、リスト コンテンツ
が新しいノードのこれらのリストにダウンロードされます。
内部トラフィックを軽減するため、他のノードとの優先的な通信がなくダウンロードが実
行されます。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
手動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の手動更新を実行する設定
表 13-11 手動エンジン更新
オプション
定義
[手動エンジン更新] フィルター処理で使用されているモジュールのデータベース情報をすぐに更新します。
データベース情報は、現在作業しているアプライアンスのモジュールにのみ更新されます。
処理保管構成ファイル
ディスクの構成ファイル フォルダーの保管設定
表 13-12 処理保管構成ファイル
オプション
定義
[最小限の時間で保管され
た構成フォルダーを維持]
構成ファイル フォルダーがディスクに保管される最低限の時間(日数)を指定値に制
限します。
日数の範囲は 1 秒から 100 秒です。
[最小限の構成フォルダー
数を維持]
いつでもディスクに保管できる最小限の構成ファイル フォルダー数を指定値に制限し
ます。
数の範囲は 1 から 100 です。
[最小限の圧縮フォルダー
数を維持]
いつでもディスクに保管できる最小限の圧縮構成ファイル フォルダー数を指定値に制
限します。
ディスクでそれらを保管するために構成された最小限の時間が経過したとき、構成フォ
ルダーは圧縮されます。そして常にディスクに保管している最小限のフォルダー数は、
圧縮されないでいると超過してしまいます。
フォルダー数の範囲は 1 から 100 です。
McAfee Web Gateway 7.4.0
製品ガイド
353
13
一元管理
一元管理設定
詳細スケジュール設定ジョブ
スケジュール設定ジョブの設定
表 13-13 詳細スケジュール設定ジョブ
オプション
定義
[ジョブ リスト]
スケジュール設定ジョブ リストを提供します。
以下の表はリスト エントリの要素を説明しています。
表 13-14 ジョブ リスト エントリ
オプション
定義
[ジョブの開始]
スケジュール設定ジョブを開始する時間の設定、たとえば、時間別、日別、
1 回を指定します。
[オリジナルのスケジュールで開始し オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジ
なかった場合、直ちにジョブを開始し ュール設定ジョブが直ちに開始されます。
ます]
[ジョブ]
ジョブのタイプ、たとえば、バックアップ構成を指定します。
[固有のジョブ ID]
スケジュール設定されたジョブを識別します。
[このジョブが ID でジョブの実行を
終了したとき]
このジョブの後に直ちに実行するジョブの ID を提供します。
コメント
スケジュール設定ジョブの平文テキストのコメントを提供します。
スケジュール設定ジョブ ウィンドウの追加
スケジュール設定ジョブの追加のウィンドウの設定
•
時間設定 - スケジュール設定ジョブの開始時間の設定
•
ジョブの設定 - スケジュール設定ジョブのタイプと ID の設定
•
パラメーターの設定 - スケジュール設定ジョブの追加パラメーターの設定
これらの設定は各ジョブ タイプによって以下のように異なります:
•
(構成のバックアップの設定) - アプライアンス構成のバックアップを作成するスケジュール設定ジョブの設
定
•
(バックアップの復元の設定) - アプライアンス構成のバックアップを復元するスケジュール設定ジョブの設
定
•
(ファイルのアップロードの設定) - HTTP または HTTPS プロトコルで外部サーバーにファイルをアップロ
ードするスケジュール設定ジョブの設定
•
(ファイルのダウンロードの設定) - HTTP または HTTPS プロトコルでアプライアンスにファイルをダウン
ロードするスケジュール設定ジョブの設定
yum 更新を実行するスケジュール設定ジョブに対して追加のパラメーター設定があります。
354
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理設定
13
表 13-15 時間の設定
オプション
定義
[ジョブの開始]
時間設定を選択することができます。
(時間パラメータ
ーの設定)
• [時間別] — 毎時間スケジュール設定ジ
ョブを開始します。
• [月別] — スケジュール設定ジョブを 1
か月に 1 回開始します。
• [日別] - スケジュール設定ジョブを 1
日に 1 回開始します。
• [1 回] — 1 回のみスケジュール設定ジ
ョブを開始します。
• [週別] — スケジュール設定ジョブを 1
週間に 1 回開始します。
• [その他のジョブによる有効化] — その
他のジョブが完了した後にスケジュール
設定ジョブを開始します。
時間設定のパラメーターを指定する設定。例:時間別に実行されるジョブのスケジュール設定が
開始されるときの 1 時間内の分
どのパラメーター設定が選択された時間設定によって表示されますか。
例:時間別を選択した場合、時間内で分を構成できますが、月内で日は構成できません。
[オリジナルのス
ケジュールで開始
しなかった場合、
直ちにジョブを開
始します]
• [分] - 分を設定します。
• [曜日の入力] - 曜日を設定します。
• [時間] - 時間を設定します。
• [月] — 月を設定します。1 から 12 の
数字で指定します。
• [日にち] - 日にちを設定します。
• [年] - 年を 4 桁で設定します。
選択されると、オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジュー
ル設定ジョブが直ちに開始されます。
このケースの場合は、例えば、アプライアンスが負荷がかかりすぎたため一時的にシャットダウ
ンし、ダウンタイム中にジョブがスケジュールを実行したときなどです。
ジョブはアプライアンスが再びアップされてからすぐに実行されます。
表 13-16 ジョブ設定
オプション
定義
[ジョブ]
スケジュール設定されたジョブのタイプを選択できます。
• [構成のバックアップ] — アプライアンス構成のバックアップを作成します。
• [バックアップの復元] — アプライアンス構成のバックアップを復元します。
• [ファイルのアップロード] — HTTP または HTTPS プロトコルでファイルを外部サーバーに
アップロードします。
• [ファイルのダウンロード] — HTTP または HTTPS プロトコルでファイルをアプライアンス
にダウンロードします。
• [Yum の更新] — アプライアンス構成で yum 更新を実行します
このタイプのスケジュール設定ジョブは、アプライアンスが FIPS 対応モードで実行している場
合に利用できません。
[固有のジョブ
ID]
スケジュール設定されたジョブを識別します。
[ジョブ説明]
標準テキスト形式でのスケジュール設定ジョブのオプション説明を提供します。
ここに入力する文字は大文字と小文字が区別されます。
McAfee Web Gateway 7.4.0
製品ガイド
355
13
一元管理
一元管理設定
表 13-16 ジョブ設定 (続き)
オプション
定義
[このジョブが ここで構成したジョブを完了した後、直ちに実行するスケジュール設定ジョブの ID を提供しま
ID でジョブの す。
実行を終了した
このジョブに、[その他のジョブによって有効化]時間設定を構成する必要があります。
とき]
[リモート ノー スケジュール設定されたジョブを実行する構成の他のノードのリストを提供します。
ドでジョブを実
リストは他のノードのホスト名を表示します。
行する]
このアプライアンスで構成するスケジュール設定ジョブは、選択されたノードの時間およびパラ
メーターで実行されます。
メッセージはその他のノードに送信され、スケジュール設定ジョブについて通知します。
表 13-17 パラメーター設定 – バックアップ構成
オプション
定義
[一番最近の構成 選択されると、スケジュール設定されたジョブは、もっとも最近のアプライアンス構成からバッ
を使用する]
クアップを作成します。
形式:|<path name>/<file name with extension>
[バックアップ構 バックアップに使用される必要がある構成が保管されている場所のフォルダーへのパス名を提
成パス]
供します。
形式:/opt/mwg/storage/default/configfolder
[一番最近の構成を使用する]が選択解除された場合、この設定のみ利用できます。
[パスの構成を保 バックアップ構成のパスおよびファイル名を指定します。
存する]
形式:/<path name>/<file name with file name extension>
フォルダーにデータを書き込める所有者にアプライアンスを作成して、バックアップ構成を保管
するフォルダーに対しユーザー権限を設定する必要があります。
コマンド ラインが提供され、例えば、シリアル コンソールによって、適切なコマンド実行し、
フォルダーを作成または既存のフォルダーの権利を変更します。
表 13-18 パラメーター設定 – バックアップ復元
オプション
定義
[ファイルからバッ バックアップの復元に使用されるファイルのパスおよびファイル名を指定します。
クアップを復元す
形式:|<path name>/<file name with extension>
る]
[ポリシーのみ復
元]
選択されると、スケジュール設定ジョブはアプライアンスで実行された Web セキュリティ ポ
リシーに関連した設定のみバックアップします
その他の設定。例:アプライアンスのネットワークへの接続に必要な設定は復元しません。
[復元中のロック保 選択されると、スケジュール設定ジョブがバックアップ構成を完全に復元するまで他のファイ
ルはアプライアンスに保管できません
管]
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
356
McAfee Web Gateway 7.4.0
製品ガイド
一元管理
一元管理設定
13
表 13-19 パラメーター設定 – ファイルのアップロード
オプション
定義
[アップロードするフ アップロードするファイルのパスおよびファイル名を指定します。
ァイル]
形式:|<path name>/<file name with extension>
[ファイルをアップロ HTTP または HTTPS プロトコルでファイルをアップロードするサーバーのパス名およびサ
ードする送信先]
ーバーにファイルを保管するファイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[基本認証を有効にす 選択されると、ファイルをアップロードするために基本認証が必要になります。
る]
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
表 13-20 パラメーター設定 – ファイルのダウンロード
オプション
定義
[ダウンロードする
URL]
HTTP または HTTPS プロトコルでダウンロードされたファイルの場所の URL およびフ
ァイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[ダウンロードしたフ
ァイルを保存する]
ダウンロードしたファイルを保管した場所のパスおよび保存するファイルの名前を指定し
ます。
形式:|<path name>/<file name with extension>
[基本認証を有効にす
る]
選択されると、ファイルをダウンロードするために基本認証が必要になります。
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが
開き、[設定]ボタンが[変更]ボタンに代わります。
この設定は基本認証を有効化が選択された場合のみ利用できます。
McAfee Web Gateway 7.4.0
製品ガイド
357
13
一元管理
一元管理設定
358
McAfee Web Gateway 7.4.0
製品ガイド
14
クラウド サービス
Web Gateway で保護されたネットワークのユーザーがクラウド アプリケーションにアクセスすると、Web
Gateway のいくつかの機能を使用することができます。
•
シングル サイン オン サービス - Web Gateway は、ID 管理製品と連動してクラウド アプリケーションへのロ
グオン (シングル サイン オン) を処理します。
•
クラウド ストレージの暗号化 - ユーザーがクラウド ストレージ サービスにデータをアップロードすると、
Web Gateway がデータを暗号化します。また、データをダウンロードするときに、データを復号します。
これらの機能の実装に使用するルール セットが、ルール セット ライブラリに用意されています。
目次
クラウド アプリケーションへのログオン
クラウド ストレージ データの暗号化と復号
クラウド アプリケーションへのログオン
®
Web Gateway は、統合プロセスで ID 管理製品である McAfee Cloud Single Sign On (McAfee Cloud SSO) と
連動し、クラウド アプリケーションへのログオンを管理します。
McAfee Cloud Single Sign On バージョン 4.0 がリリースされるまで、Web Gateway でシングル サイン オン サ
ービスは使用できません。
McAfee Cloud SSO により、クラウド アプリケーション (クラウド サービス) にシングル サイン オンでログオン
することが可能になります。Web Gateway と連動するように設定すると、単独では McAfee Cloud SSO を使用で
きないクラウド アプリケーション (Dropbox など) にアクセスすることができます。
クラウド アプリケーションにログオンするときに、ユーザーの認証が必要になります。設定に応じて、認証は
McAfee Cloud SSO または Web Gateway で処理されます。
McAfee Cloud SSO は、暗号化された認証トークンを Web Gateway に送信し、ログイン プロセスで使用する重
要な情報を提供します。Web Gateway が認証を処理する場合、追加のトークンを McAfee Cloud SSO に送信しま
す。
暗号化されたパスワード文字列 (パスワード トークン) が、スクリプトによってクラウド アプリケーションのログオ
ン ページにあるパスワード フィールドに挿入されます。ユーザー自身がアプリケーションのパスワードを入力する
必要はありません。アプリケーションには、統合ログオン プロセスが実装されている社内ネットワークを経由しない
とアクセスできません。
McAfee Cloud SSO では、いくつかの方法でログオン要求をクラウド アプリケーションに送信できます。製品を
Web Gateway で設定すると、これらの方法を引き続き使用できます。ただし、統合ログオン プロセスを必要とす
るアプリケーションの場合、POST 要求を使用する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
359
14
クラウド サービス
クラウド アプリケーションへのログオン
これらの製品は、オペレーティング システムとして MLOS (McAfee Linux Operating System) が導入されている
別のアプライアンスで実行する必要があります。
必要なソフトウェア バージョンは McAfee Web Gateway 7.3.2 以降と McAfee Cloud Single Sign On 4.0 以
降です。
ログオン手順
クラウド アプリケーションへのアクセスで McAfee Cloud SSO と Web Gateway の統合プロセスが必要な場合に
は、以下のログオン手順をすべて実行する必要があります。統合プロセスの設定によって、操作の方法が異なります。
1
Web ブラウザーから、ユーザーが McAfee Cloud SSO ポータルへのアクセスを要求します。
管理者から受信したポータルの URL を入力します。
あるいは、管理者がリンクまたはアイコンをクリックして URL を登録し、McAfee Cloud SSO ポータルへのア
クセスを設定します。
ユーザーがポータルに直接アクセスして McAfee Cloud SSO で認証を受ける場合と、ポータルにアクセスする
前に Web Gateway で認証を受ける場合とでは使用する URL が異なります。
認証を Web Gateway で処理するワークフローを設定する場合、管理者が Web Gateway で統合ログオン プロ
セスを設定するときに、追加のルール セットを実装する必要があります。
McAfee Cloud SSO ポータルの URL は、McAfee Cloud SSO でプロセスを設定するときに決まります。
2
McAfee Cloud SSO が、ユーザーが認証情報を入力する認証ページを送信します。
3
認証に成功すると、McAfee Cloud SSO がアプリケーションの起動ポータルを提供します。このポータルには、
使用可能なクラウド アプリケーションのアイコンが表示されます。
4
ユーザーがアイコンをクリックして、アプリケーションにアクセスします。
ユーザーがアプリケーションに初めてアクセスした場合、ログオン ウィンドウが表示され、認証情報の入力が要
求されます。
5
ユーザーが認証情報を入力し、クラウド アプリケーションにログオンします。
認証情報はキャッシュに保存されるため、アプリケーションに次にアクセスするときに、認証情報を再度入力する必
要はありません。
内部ワークフロー
内部ワークフローは、McAfee Cloud SSO と Web Gateway の統合プロセスを必要とするクラウド アプリケーシ
ョンにログオンする場合にユーザーが実行する手順に対応しています。
認証を処理するのが McAfee Cloud SSO か Web Gateway によって、ワークフローの最初の部分が異なります。
McAfee Cloud SSO が認証を処理する場合、ワークフローは次のようになります。
1
クライアントの Web ブラウザーからユーザーが McAfee Cloud SSO ポータルへのアクセスを要求し、McAfee
Cloud SSO で認証を受けます。認証されると、アプリケーションの起動ポータルが提供され、使用可能なクラウ
ド アプリケーションのアイコンが表示されます。
2
ユーザーが、McAfee Cloud SSO と Web Gateway の統合ログオン プロセスを必要とするアプリケーションの
アイコンをクリックします。アプリケーションに設定されているコネクターがアクティブになり、アクセス要求
が McAfee Cloud SSO に送信されます。
ユーザーがアプリケーションに初めてアクセスする場合、McAfee Cloud SSO がログオン ウィンドウを送信し、
認証情報の入力を要求します。
360
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド アプリケーションへのログオン
3
14
McAfee Cloud SSO が、要求をアプリケーションのログオン ページにリダイレクトします。暗号化された認証
トークンを URL パラメーターとして要求に追加し、Web Gateway に転送します。
この認証トークンには、認証情報と他のログオン関連情報が含まれています。
4
Web Gateway が認証トークンを保存します。さらに、要求から認証トークンを削除し、クラウド アプリケーシ
ョンの Web サーバーに要求を転送します。
5
クラウド アプリケーションが、受信したログオン ページを Web Gateway に戻します。
6
Web Gateway が、スクリプト コードでログオン ページを挿入し、保存された情報を使用して、このページを
ユーザーの Web ブラウザーに戻します。
スクリプトにより、パスワード トークンとして暗号化された文字列がページのパスワード フィールドに挿入され
ます。
以下の図は、ログオン ページがユーザーのブラウザーに送信されるまでのワークフローの主な手順を表していま
す。
図 14-1 クラウド アプリケーションへのログオン (ワークフロー 1)
7
ログオン ページがユーザーのブラウザーに渡され、スクリプトが実行されます。
スクリプトの実行はユーザーから見えません。
スクリプトがパスワード トークンなどの認証情報を入力し、送信ボタンをクリックします。これにより、クラウ
ド アプリケーションに対するログオン要求が Web Gateway に送信されます。
8
Web Gateway がパスワード トークンを通常のパスワードで置換し、要求をクラウド アプリケーションに転送
します。
9
認証情報が有効であれば、クラウド アプリケーションはユーザーにログオンを許可します。
McAfee Web Gateway 7.4.0
製品ガイド
361
14
クラウド サービス
クラウド アプリケーションへのログオン
Web Gateway が認証を処理する場合、ワークフローは次のようになります。
1
クライアントの Web ブラウザーから、ユーザーが McAfee Cloud SSO ポータルへのアクセスを要求します。こ
の要求は Web Gateway にリダイレクトされ、Web Gateway でユーザー認証が実行されます。
2
Web Gateway が認証トークンを生成して暗号化し、McAfee Cloud SSO に送信します。
以下の図は、このワークフローの最初の 2 つの段階を表しています。この部分は最初のワークフローに含まれて
いません。
図 14-2 クラウド アプリケーションへのログオン (ワークフロー 2 の開始部分)
ここからのワークフローは、McAfee Cloud SSO が認証を処理する場合と同じです。
McAfee Cloud SSO がアプリケーションの起動ポータルを提供します。このポータルでユーザーがクラウド アプリ
ケーションを選択します。さらに、ユーザーの要求をアプリケーションのログオン ページにリダイレクトします。ユ
ーザーがログオンするまで、この処理を繰り返します。
Web Gateway のルール セットと設定
クラウド アプリケーションの統合ログオン プロセスで Web Gateway と McAfee Cloud SSO を連動させるには、
適切なルールを実装する必要があります。これらのルールは、ライブラリからインポート可能なルール セットとして
用意されています。
•
シングル サイン オン - Web Gateway がログオン プロセスを実行するための基本的なルール セット
•
MCSSO 認証 - Web Gateway が認証を処理する場合に必要なルール セット
多くのクラウド アプリケーションは、SSL セキュア接続経由のログオンのみを許可しています。このため、デフォ
ルト ルール セットに含まれている SSL スキャナー ルール セットも有効にする必要があります。
2 つのライブラリ ルール セットをインポートすると、次の設定がデフォルト値で実装されます。
•
シングル サイン オン - シングル サイン オン モジュールの設定。シングル サイン オン ルール セットのルー
ルだけが処理される場合に呼び出されます。
これらの設定には、McAfee Cloud SSO が稼働するアプライアンスのホスト名または IP アドレス、認証トーク
ンの復号に使用するパスワードなどを指定します。
•
認証 MCCSO - MCSSO 認証 ルール セットの中で、Web Gateway が McAfee Cloud SSO に送信する認証
トークンを作成するルール イベントの設定。
シングル サイン オン システム設定は全般的な設定で、クラウド コネクター データベースの最新バージョンをすぐ
にダウンロードすることができます。
クラウド コネクターは、McAfee Cloud SSO がユーザーに使用を許可するクラウド アプリケーションに設定されて
います。
362
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド アプリケーションへのログオン
14
McAfee Cloud SSO の複数のインスタンスの使用
McAfee Cloud SSO の複数のインスタンスを使用すると、クラウド アプリケーションに対する複数のアクセス要求
を処理することができます。McAfee Cloud SSO の複数のインスタンスと連動するように Web Gateway を設定
できます。たとえば、異なるユーザー グループに使用を許可することができます。
McAfee Cloud SSO のインスタンスごとに、シングル サイン オン ルール セットに含まれるルールを Web
Gateway に設定する必要があります。ルール条件を適切に変更すると、特定のユーザー グループにルールを適用す
ることができます。
たとえば、McAfee Cloud SSO のインスタンスが実行されるアプライアンスの IP アドレスを指定する場合には、シ
ングル サイン オン モジュールの設定も適用する必要があります。
ルールの適用はログオン プロセスの実行を意味します。この要求に他のプロセスは必要ないため、シングル サイン
オン ルール セット内の他のルールは処理されません。
つまり、ルールのアクションを Continue から Stop Rule Set に変更する必要があります。
認証トークンの検証
McAfee Cloud SSO が URL パラメーターとしてログオン要求に追加する認証トークンには署名があります。トー
クンを検証するには、トークンに署名を行った認証機関の証明書をインポートします。証明書は McAfee Cloud
SSO にあります。
Web Gateway では、シングル サイン オン設定にインポート オプションがあります。[交換データの認証] を選択
すると、証明書のインポート ボタンが表示されます。認証トークンに署名を行っている認証機関に関する情報も表示
されます。
証明書をインポートするには、証明書がエクスポートされ、McAfee Cloud SSO に保存されている必要があります。
詳細については、『McAfee Cloud Single Sign On 4.0 製品ガイド』を参照してください。
ダッシュボードを使用したクラウド アプリケーションへのログオンの監視
クラウド アプリケーションへのログオンに関する統計は、ユーザー インターフェースのダッシュボードで確認でき
ます。
[シングル サイン オン統計] には次の情報が表示されます。
•
ログオンの合計数 (累計)
•
クラウド アプリケーションごとのログオン数 (累計)
•
最もアクセスの多いクラウド アプリケーションのリスト
•
無効なトークンの数 (累計)
推奨 Web ブラウザー
以下の Web ブラウザーは、Web Gateway と McAfee Cloud SSO を使用した環境で動作確認を行い、正常に機能
することが検証されています。これらのブラウザーの動作確認は、Linux Ubuntu と Microsoft Windows を OS と
して導入している環境で行われています。
•
Microsoft Internet Explorer 7
•
Microsoft Internet Explorer 9
•
Google Chrome (動作確認済みの最新バージョン:24.0.1312.57 m)
•
Mozilla Firefox (動作確認済みの最新バージョン: 18.0.2)
McAfee Web Gateway 7.4.0
製品ガイド
363
14
クラウド サービス
クラウド アプリケーションへのログオン
•
Mozilla Firefox 10.0.1 (Linux Ubuntu 10.04 LTS のデフォルト インストール)
•
Mozilla Firefox 14.0.1 (Linux Ubuntu 12.04 LTS のデフォルト インストール)
クラウド アプリケーションへのログオンを設定する
ユーザーがクラウド アプリケーションにログオンするときに、Web Gateway と McAfee Cloud SSO が機能する
ように設定するには、次の手順に従います。
タスク
1
ネットワーク上の別のアプライアンスに McAfee Cloud SSO をインストールします。
詳細については、『McAfee Cloud Single Sign On 4.0 インストール ガイド』を参照してください。
2
Web Gateway と連動するように McAfee Cloud SSO を設定します。
詳細については、『McAfee Cloud Single Sign On 4.0 製品ガイド』を参照してください。
3
Web Gateway のユーザー インターフェースで、次の操作を行います。
a
ルール セット ライブラリからシングル サイン オン ルール セットをインポートします。
このルール セットは、クラウド サービス ルール セット グループにあります。
b
シングル サイン オンの設定を行います。
c
(条件付き) Web Gateway で認証を処理する場合には、次の操作を行います。
•
ルール セット ライブラリから MCSSO 認証ルール セットをインポートします。
このルール セットは、クラウド サービス ルール セット グループにあります。
•
4
認証 MCSSO の設定を行います。
d
(条件付き) クラウド アプリケーション コネクターの最新情報を常に使用するには、システム設定の [シング
ル サイン オン] の更新オプションを使用します。
e
SSL スキャナーのデフォルト ルール セットを有効にして、ログオンでの SSL セキュア通信をフィルタリン
グします。
f
設定を保存します。
両方の製品でシステム時間を同期します。
NTP サーバーを設定するようにしてください。この操作を行うには、Web Gateway の [設定] メニューを選択
し、システム設定の [日付と時間] を使用します。
364
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド アプリケーションへのログオン
14
クラウド アプリケーションへのログオンを設定する
クラウド アプリケーションへのログオンを設定する場合、シングル サイン オンの設定も行います。必要に応じて、
別の設定を行うこともできます。
タスク
1
シングル サイン オンの設定を行います。
a
[ポリシー] 、 [設定] の順に選択します。
b
設定ツリーの [エンジン] ブランチで [シングル サイン オン] を展開して、必要なシングル サイン オン モジ
ュールの設定 (たとえば、[デフォルト]) を選択します。
設定パネルに設定が表示されます。
c
2
必要に応じて、これらの項目を設定します。
(条件付き) MCSSO 認証ルール セットをインポートし、ユーザーがクラウド アプリケーションにログオンした
ときに Web Gateway がアプリケーションを処理するように構成している場合には、[認証 MCSSO] を設定しま
す。
a
[ポリシー] 、 [設定] の順に選択します。
b
設定ツリーの [エンジン] ブランチで [認証 MCSSO] を展開して、必要な認証 MCSSO モジュールの設定
(たとえば、[MCSSO トークン]) を選択します。
設定パネルに設定が表示されます。
c
3
必要に応じて、これらの項目を設定します。
(条件付き) クラウド アプリケーションのコネクターについて最新の情報を入手するには、[シングル サイン オ
ン] のシステム設定を使用します。
a
[構成 ] 、 [アプライアンス] の順に選択します。
b
アプリケーション ツリーで、コネクター情報を更新するアプライアンスを選択して、[シングル サイン オ
ン] をクリックします。
設定パネルにシステム設定が表示されます。
c
[SSO コネクター データベースを強制的に更新] をクリックします。
クラウド アプリケーションのコネクターに関する最新情報が Web Gateway にダウンロードされます。
4
[変更を保存] をクリックします。
シングル サイン オンの設定
シングル サイン オン モジュールでシングル サイン オンを設定すると、Web Gateway と McAfee Cloud SSO に
より、クラウド アプリケーションにシングル サイン オンでログオンすることができます。
SSO 構成
シングル サイン オン モジュールの設定
McAfee Web Gateway 7.4.0
製品ガイド
365
14
クラウド サービス
クラウド アプリケーションへのログオン
表 14-1 暗号化パラメーター
オプション
定義
[MCSSO ホスト名または IP]
McAfee Cloud SSO が実行されているアプライアンスのホスト名または IP アド
レスが表示されます。
[MCSSO ポート番号]
Web Gateway からの要求を待機する McAfee Cloud SSO のポート番号が表示
されます。
[MWG-MCSSO 共有秘密鍵]
認証トークンと一緒に送信されるパスワードが表示されます。
[変更] をクリックすると、新しいパスワードを作成するウィンドウが開きます。
McAfee Cloud SSO で認証トークンと一緒に送信するように設定したパスワー
ドと同じパスワードを使用する必要があります。
[交換データの認証]
選択すると、認証トークンの署名が検証されます。
以下の情報とオプションは、このチェックボックスを選択した場合にのみ表示され
ます。
[件名、発行者、有効性、延長] 認証トークンに署名している認証機関の証明書に関する情報が表示されます。
[インポート]
ローカル ファイル マネージャーが開き、証明書ファイルをインポートできます。
詳細設定パラメーター
シングル サイン オン モジュールの詳細設定
表 14-2 暗号化パラメーター
オプション
定義
[コネクター データベースのダウ
ンロード間隔]
コネクター データベースから更新をダウンロードする間隔を分単位で制限し
ます。
デフォルトは 60 分です。
[エラーが発生した場合の再試行間 コネクター データベース更新のダウンロードに失敗した後で次にダウンロー
隔]
ドを試行するまでの時間を分単位で制限します。
デフォルトは 5 分です。
認証 MCSSO の設定
認証 MCSSO の設定は、Web Gateway が認証を処理するときに McAfee Cloud SSO に送信する認証トークンの
設定に使用されます。
ICEResponse のセットアップ
認証トークンの設定
366
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド アプリケーションへのログオン
14
表 14-3 ICEResponse のセットアップ
オプショ
ン
定義
[負の時間
差]
許容される時間差 (秒) を制限します。Web Gateway アプライアンスのシステム時間は、ここに指定
した時間まで McAfee Cloud SSO アプライアンスの時間よりも遅れることができます。
デフォルトの時間は 5 秒です。
[正の時間
差]
許容される時間差 (秒) を制限します。Web Gateway アプライアンスのシステム時間は、ここに指定
した時間まで McAfee Cloud SSO アプライアンスの時間よりも進むことができます。
デフォルトの時間は 360 秒です。
[発行者]
McAfee Cloud SSO に送信される認証トークンの発行元の名前が表示されます。
[応答にユ
ーザー名
を格納]
選択すると、Web Gateway によって認証されたユーザーの名前が認証トークンと一緒に McAfee
Cloud SSO に送信されます。
[ユーザー
名の属性]
McAfee Cloud SSO に送信する情報でユーザー名を含む属性が表示されます。
[応答にグ
ループ名
を格納]
選択すると、ユーザーが属するグループの名前が認証トークンと一緒に McAfee Cloud SSO に送信さ
れます。
[グループ
リストの
属性]
McAfee Cloud SSO に送信する情報でグループ名を含む属性が表示されます。
ユーザー名は Authentication.UserName プロパティの値になります。ユーザーの認証に成功す
ると、ユーザー名がこの値に設定されます。
この設定は読み取り専用です。
グループ名は Authentication.UserGroups プロパティの値になります。ユーザーの認証に成功
すると、グループ名がこの値に設定されます。
この設定は読み取り専用です。
McAfee Web Gateway 7.4.0
製品ガイド
367
14
クラウド サービス
クラウド アプリケーションへのログオン
表 14-3 ICEResponse のセットアップ (続き)
オプショ
ン
定義
[証明書の
詳細]
McAfee Cloud SSO に送信される証明書の詳細が表示されます。
• [件名] - 証明書に関する全般的な情報が表示されます。
• [共通名 (CN)] - 証明書の共通名が表示されます。
デフォルトの名前は McAfee Web Gateway です。
• [組織 (O)] - 証明書の組織が表示されます。
デフォルトの組織は McAfee です。
• [組織単位 (OU)] - 証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [発行者] - 証明書の発行者に関する全般的な情報が表示されます。
• [共通名 (CN)] - 発行者の共通名が表示されます。
デフォルトの名前は McAfee Web Gateway です。
• [組織 (O)] - 発行者の組織が表示されます。
デフォルトの組織は McAfee です。
• [組織単位 (OU)] - 証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [有効性] - 証明書の有効期間が表示されます。
• [開始] - 証明書の有効期間の開始日時が表示されます。
• [終了] - 証明書の有効期間の終了日時が表示されます。
• [延長] - 証明書の補足情報が表示されます。
• [コメント] — 証明書に関するコメントがテキスト形式で表示されます。
デフォルトでは、コメントはありません。
[秘密鍵]
McAfee Cloud SSO に送信される証明書の秘密鍵の状態が表示されます。たとえば、present が表示
されます。
[サーバー
証明書]
以下のボタンを使用して、証明書の作成や管理を行うことができます。
• [生成] - 証明書を生成するウィンドウが開きます。
• [インポート] - 証明書をインポートするウィンドウが開きます。
• [エクスポート] - 証明書をエクスポートするウィンドウが開きます。
• [キーのエクスポート] - 証明書キーをエクスポートするウィンドウが開きます。
シングル サイン オンのシステム設定
クラウド アプリケーションにシングル サイン オンでログオンするには、全般設定でシングル サイン オンを設定し
ます。
グローバル SSOS 構成
コネクター データベースからデータをすぐにダウンロードするように設定します。
368
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド アプリケーションへのログオン
14
表 14-4 グローバル SSOS 構成
オプション
定義
[SSO コネクター デー
タベースを強制的に更
新]
クラウド アプリケーションのコネクターに関する情報が保存されているデータベースか
ら Web Gateway にデータをすぐにダウンロードします。
コネクターに関する最新情報を Web Gateway のシングル サイン オン モジュールに
提供することができます。
このボタンを使用してダウンロードを実行しないと、シングル サイン オン モジュール
に設定した間隔でダウンロードが実行されます。
デフォルトの間隔は 60 分です。
シングル サイン オン ルール セット
シングル サイ オン ルール セットは、Web Gateway が McAfee Cloud SSO と連動してクラウド アプリケーショ
ンへのシングル サイン オンを可能にするライブラリ ルール セットです。
ライブラリ ルール セット - シングル サイン オン
条件 - Always
サイクル - 要求 (IM)、応答
ルール セットは、以下のルールを含みます。
SSO を実行
SSO.LoginProcessStarted<Default> equals true –> Continue – SSO.ProcessLogin<Default>
このルールでは、SSO.LoginProcessStarted プロパティを使用して要求または応答をチェックし、クラウド ア
プリケーションのログオン プロセスが実行中かどうかを確認します。
たとえば、要求と一緒に認証トークンが送信されている場合や、クラウド アプリケーションからの応答としてログ
オン ページが受信されている場合には、プロセスの実行中と判断することができます。
条件を満たした場合、イベントを使用して Web Gateway の処理を実行します。
認証トークン付きの要求を受信すると、トークンを通常のパスワードで置換し、クラウド アプリケーションに転送
します。
応答としてクラウド アプリケーションからログオン ページを受信すると、ページにスクリプト コードを挿入し、
クラウド アプリケーションへのアクセスを要求したユーザーに転送します。
指定した設定でイベントが実行されます。
MCSSO 認証ルール セット
MCSSO ルール セットは、ユーザーがクラウド アプリケーションにログオンするときに Web Gateway が認証プロ
セスを処理する場合に使用されるライブラリ ルール セットです。
ライブラリ ルール セット - MCSSO 認証
条件 - Authentication.MCSSOLogin equals true
サイクル - 要求 (IM)、応答
ルール セットの条件では、クラウド アプリケーションに対するログオン要求を Web Gateway が受信した場合に適
用されることを指定します。
このルール セットには、以下のルールが含まれます。
McAfee Web Gateway 7.4.0
製品ガイド
369
14
クラウド サービス
クラウド アプリケーションへのログオン
オプションのユーザー データベースの認証
Authentication.IsAuthenticated equals false AND Authentication.Authenticate <User
Database> equals false –> Authenticate<Default>
このルールは、Authentication.IsAuthenticated プロパティを使用して、要求を送信するユーザーが認証済
みかどうかを確認します。
また、Authentication.Authenticate プロパティを使用して、ユーザーがユーザー データベース認証で認証が
要求されているかどうかを確認します。
いずれの条件にも一致しない場合、認証アクションが実行され、ユーザーに認証情報の送信を要求します。Web
Gateway の内部ユーザー データベースに保存されている情報を使用して認証情報を評価し、ユーザーが認証可能
かどうかを確認します。
指定した設定でアクションが実行されます。
ログアウト要求
Authentication.MCSSOLogout equals true –> Block<MCSSO Logout>
このルールは、Authentication.MCSSOLogout プロパティを使用して、クラウド アプリケーションからのロ
グオフ要求が受信されているかどうか確認します。条件に一致する場合、要求は送信されず、ルール処理が停止し
ます。
指定した設定でアクションが実行されます。
ログアウトを MCSSO サーバーにリダイレクトする必要がある場合のオプション手順
Authentication.MCSSOLogout equals true –> Continue – Set Authentication.IsAuthenticated =
false
このルールは、Authentication.MCSSOLogout プロパティを使用して、クラウド アプリケーションからのロ
グオフ要求が受信されているかどうか確認します。
一致している場合、イベントが発生し、Authentication.IsAuthenticated プロパティが false に設定されま
す。この場合、ユーザーが次の要求を送信するときに再度認証を行う必要があります。
指定した設定でイベントが実行されます。
このルールは、デフォルトでは有効になっていません。
認証トークンを生成するため独自の証明書を生成またはインポートする
Always –> Continue – Authentication.GenerateICEResponse<MCSSO Token>
このルールは、Authentication.GenerateICEResponse イベントを使用して認証トークンを生成します。
Web Gateway が認証を処理する場合、Web Gateway はこのトークンを McAfee Cloud SSO に送信します。
認証トークンを設定するときに、認証トークンと一緒に送信する証明書を生成またはインポートできます。デフォ
ルトで送信される証明書は置換されます。
指定した設定でイベントが実行されます。
認証済みのクライアントを MCSSO サーバーにリダイレクトする
Always –> Redirect<Redirect Back From Authentication Server>
このルールは、リダイレクト アクションを実行します。ユーザーが Web Gateway で認証を受けると、ユーザー
が送信したクラウド アプリケーションに対するアクセス要求を McAfee Cloud SSO に送信します。
指定した設定でアクションが実行されます。
クラウド アプリケーションのログオン問題の解決
ユーザーがクラウド アプリケーションへのログオンに失敗した場合、様々な原因が考えられます。多くの場合、設定
済みの値を確認すると、原因を特定することができます。
アラート、エラー、インシデント
シングル サイン オン モジュールは、エラーやインシデントの発生を警告し、報告することができます。
370
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド ストレージ データの暗号化と復号
14
アラートは、ユーザー インターフェースのダッシュボードに表示されます。シングル サイン オン モジュールがアラ
ートを送信する場合、次の情報が提供されます。
問題の説明 (テキスト形式) - 現在のモジュール設定の名前 - アラートの送信元 (シングル サイン オン) - 問題
の発生頻度
例:Cannot get MCCSO authentication token for host:192.168.56.101:8443. Service is not
available.Configurations:Default (Origin:Single Sign On, 2 times within last 5 minutes)
エラーとインシデントの ID と意味については、このガイドの付録を参照してください。
一般的な問題
以下では、ログオン プロセスでよく発生する問題について説明します。一部の問題には解決のヒントも記載されてい
ます。
•
Web Gateway が McAfee Cloud SSO アプライアンスに接続できない - McAfee Cloud SSO アプライアン
スで Web サービス ポート (デフォルト ポート: 8443) が開いているかどうか確認してください。
•
Web Gateway と McAfee Cloud SSO アプライアンスの接続中に認証トークンを取得できない - Web
Gateway のシングルサインオンで設定されているパスワードが McAfee Cloud SSO で設定したパスワードに
一致しているかどうか確認してください。
この場合、無効な認証情報に関するアラートも送信されています。
McAfee Cloud SSO が認証トークンの要求を処理できない場合、アラートが送信され、McAfee Cloud SSO が
要求で戻した HTTP ステータス コードが通知されます。
•
Web Gateway が最新バージョンのコネクター データベースを McAfee Cloud SSO からダウンロードできな
い - 構成に不備があるか、McAfee Cloud SSO で内部エラーが発生している可能性があります。McAfee
Cloud SSO ログを確認してください。
•
ユーザーが McAfee Cloud SSO ポータルでクラウド アプリケーションのコネクターを選択し、リダイレクトが
実行されたが、ログオン ページのフィールドが空のままでログオンできない - この問題の原因としては、コネ
クターの設定が最近行われ、コネクター データベースの最新バージョンがまだダウンロードされていないことが
考えられます。
シングル サイン オンのシステム設定でダウンロードをすぐに実行してください。
この問題は、ログオン ページのレイアウトを変更した場合にも発生する可能性があります。レイアウトが変更さ
れると、ログオン ページで実行されるスクリプトの変更も必要になる場合があります。この場合、McAfee のエ
ンジニアリング チームに報告してください。
クラウド ストレージ データの暗号化と復号
ユーザーがクラウド ストレージ サービスにアップロードするデータを暗号化すると、ネットワークのユーザーがク
ラウド上で行う操作のセキュリティを強化することができます。データをダウンロードすると、ユーザーが操作でき
るように暗号化が解除されます。
Web Gateway のクラウド ストレージ暗号化モジュール (クラウド ストレージ暗号化フィルターまたはエンジン)
がメタデータを含むデータの暗号化と復号の両方を処理します。暗号化と復号は自動的に行われます。
暗号化と復号は、要求サイクルと応答サイクルで処理されるトップ レベル データに実行されます。要求または応答
に埋め込まれているデータと、埋め込みオブジェクト サイクルで処理されるデータは暗号化も復号も行われません。
McAfee Web Gateway 7.4.0
製品ガイド
371
14
クラウド サービス
クラウド ストレージ データの暗号化と復号
このモジュールは、標準的なアルゴリズムでデータの暗号化と復号を行います。使用するアルゴリズムは以下のいず
れかです。
•
AES-128
•
AES-192
•
AES-256
このアルゴリズムは暗号ともいいます。
暗号化プロセスまたは復号プロセスでは、パラメーターとしてパスワードを設定する必要があります。
このモジュールは、プロセスを実行するためにサービス記述ファイルを使用します。このファイルは、クラウド スト
レージ サービスごとに存在します。
このファイルには、異なるデータ形式の処理方法、アップロードまたはダウンロード要求で使用可能なメソッド (PUT
または POST)、要求で送信される URL が記述されています。この URL により、データのアップロードまたはダウ
ンロードを行う場所が識別されます。
新しいバージョンの Web Gateway をインストールすると、サービス記述ファイルが更新されます。更新サーバーか
ら新しいバージョンの記述ファイルをダウンロードすることはできません。
データの暗号化と復号は、以下のクラウド ストレージ サービスに実行されます。
•
Box
•
Dropbox
•
Google Drive
•
Microsoft SkyDrive
Box クラウド ストレージ サービスで暗号化と復号がサポートされるのは、Web ブラウザーまたはネイティブの
Box クライアントでデータのアップロードとダウンロードを行う場合です。Dropbox、Google Drive、Sky Drive
の場合、Web ブラウザーでアップロードまたはダウンロードを実行するときに暗号化や復号が行われます。
暗号化と復号の設定
暗号化プロセスと復号プロセスを設定するには、Web Gateway で適切なルールを実装する必要があります。これら
のルールは、ライブラリからインポート可能なクラウド ストレージ暗号化ルール セットに含まれています。
ライブラリ ルール セットのルールでクラウド ストレージ暗号化モジュールを制御し、暗号化プロセスと復号プロセ
スにデフォルトのパスワードを設定します。ルール セットには、プロセスを記録するオプションのルールも含まれて
います。
暗号化モジュールを制御するルールは、設定済みのストレージ サービスにデータをアップロードする要求を Web
Gateway で受信した場合に適用されます。同様に、これらのサービスからデータをダウンロードする要求を受信す
ると、復号モジュールを呼び出すルールが適用されます。
いずれかのルールが適用されると、モジュールが暗号化または復号を実行します。
復号は、ルール処理モジュール (ルール エンジン) が関連するルールの適用を確認するとすぐに実行されますが、暗
号化は、後続のルール (埋め込みオブジェクト サイクルで処理されるルールも含む) がすべて処理されるまで実行さ
れません。
これにより、他のルールは、アップロード要求またはダウンロード要求と一緒に送信されたデータを暗号化されてい
ない形式で処理することができます。
372
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド ストレージ データの暗号化と復号
14
ライブラリ ルール セットをインポートすると、モジュールの設定が実装されます。この設定では次の項目を指定す
る必要があります。
•
暗号化と復号に使用するアルゴリズム (暗号)
•
サポートされるクラウド ストレージ サービス
データ トリックルと復号
データの転送モードとしてデータ トリックルを実装すると、クラウド ストレージ サービスからダウンロードされた
暗号化ファイルの復号に失敗する場合があります。したがって、これらの機能を次のように設定してください。
•
ルール セット ツリーで、データ トリックルの実装に使用したルール セットの直前または直後に、クラウド スト
レージ暗号化ルール セットを配置してください。
これにより、復号とデータ トリックルの間に他のルール セットのルールが処理されなくなり、復号エラーが発生
しなくなります。
データ トリックルを有効にするルールは、進行状況表示ルール セットに含まれています。これは、デフォルト ル
ール セットの共通ルール セットに組み込まれています。
次の操作を行うと、データ トリックルによる復号の失敗を確実に防ぐことができます。
•
データ トリックル ルールの条件にある Always を CloudEncryption.IsDecryptionSupported
equals false に置換します。
これにより、ダウンロード データの復号中にデータ トリックルが開始しません。ただし、このような条件を設定
すると、データ トリックル プロセスのパフォーマンスが低下します。
クラウド ストレージ サービスからダウンロードされたファイルが壊れていて開くことができない場合、復号エラーが
報告されません。このため、復号とデータ トリックルで矛盾が生じます。
複数の暗号化データ
クラウド ストレージ サービスへのデータのアップロード要求を受信したときに、異なる設定を使用してデータの暗
号化を複数回行うことができます。
それぞれの暗号化にルールを設定する必要があります。たとえば、1 つのルールにユーザー グループのパスワードを
指定して特定のアルゴリズムで暗号化を実行し、次のルールにユーザーのパスワードを指定して別のアルゴリズムで
暗号化を実行することができます。
データをダウンロードするときに、両方のパスワードが正しい場合にだけデータが復号されます。
複数のルールで暗号化されたデータを復号する場合、同じ数の復号ルールが必要になります。暗号化と同じアルゴリ
ズムとパスワードを使用する必要がありますが、ルールの順序は暗号化ルールの配置順と逆にする必要があります。
SSL で保護されたアップロード/ダウンロード要求
SSL セキュア接続でクラウド ストレージ サービスへのデータのアップロード要求またはデータのダウンロード要求
を処理するには、SSL スキャナー ルール セットを有効にする必要があります。
Web Gateway のデフォルト ルール セットでは、このルール セットは無効になっています。
ユーザーがアップロード要求とダウンロード要求の送信に使用する Web ブラウザーに、SSL セキュア通信に必要な
証明書をインストールする必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
373
14
クラウド サービス
クラウド ストレージ データの暗号化と復号
手動でのデータの復号
ネットワークで Web Gateway が一時的に使用不能になった場合、またはパスワードに矛盾がある場合、クラウド
ストレージ データを手動で暗号化する必要があります。
この操作を行うには、データの暗号化に使用したアルゴリズムとパスワードを使用する必要があります。クラウド ス
トレージ サービスからシステムにデータを直接ダウンロードし、アルゴリズムとパスワードのパラメーターを指定し
て手動復号のコマンドを実行します。
ダッシュボードでの暗号化と復号の監視
クラウド ストレージ データの暗号化と復号に関する統計をユーザー インターフェースのダッシュボードで監視す
ることができます。
次のパラメーターが表示されます。
•
暗号化と復号の操作回数とエラーの数 (累計)
•
暗号化されたデータと復号されたデータの量 (累計)
•
各クラウド ストレージ サービスで実行された暗号化と復号の操作回数とエラーの数
•
各クラウド ストレージ サービスで暗号化されたデータと復号されたデータのボリューム
クラウド ストレージ データの暗号化と復号化を設定する
クラウド ストレージ サービスにアップロードまたはダウンロードするデータの暗号化と復号化を設定するには、次
の手順に従います。
タスク
1
ルール セット ライブラリからクラウド ストレージ暗号化ルール セットをインポートします。
このルール セットは、クラウド サービス ルール セット グループにあります。
2
クラウド ストレージ データの暗号化と復号化を設定します。
3
データの暗号化と復号化を行う通信を SSL セキュア モードで実行するように設定します。
4
a
Web Gateway デフォルト ルール セットの SSL スキャナー ルール セットを有効にします。
b
クラウド ストレージ データのアップロードとダウンロードを行う Web Gateway クライアントのブラウザ
ーに、SSL セキュア通信に必要な証明書をインストールします。
設定を保存します。
データの暗号化と暗号化解除を設定する
クラウド ストレージ データの暗号化と暗号化解除を設定するには、2 つの異なるモジュール (エンジン) を使用しま
す。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [クラウド ストレージの暗号化] を展開して、必要なクラウド ストレージ
暗号化モジュールの設定 (たとえば、[デフォルト]) を選択します。
設定パネルに設定が表示されます。
3
374
必要に応じて、これらの項目を設定します。
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド ストレージ データの暗号化と復号
4
14
[クラウド ストレージの暗号化サポート] を展開し、必要なクラウド ストレージ暗号化サポート モジュールの設
定 ([デフォルト] など) を選択します。
設定パネルに設定が表示されます。
5
必要に応じて、これらの項目を設定します。
6
[変更を保存] をクリックします。
クラウド ストレージ暗号化の設定
クラウド ストレージ暗号化の設定は、クラウド ストレージ データの暗号化と復号を設定するときに使用します。
暗号化パラメーター
クラウド ストレージ データの暗号化と復号化の設定
表 14-5 暗号化パラメーター
オプション
定義
[暗号]
クラウド ストレージ データの暗号化と復号に使用するアルゴリズムをリストから選択します。
以下のアルゴリズムを選択できます。
• AES 128
• AES 192
• AES 256
クラウド ストレージ暗号化サポートの設定
クラウド ストレージ暗号化サポートの設定は、Web Gateway でサポートされ、データが暗号化または復号される
クラウド ストレージ サービスの設定に使用されます。
サポートされるクラウド ストレージ サービス
クラウド ストレージ サービスの設定
表 14-6 サポートされるクラウド ストレージ サービス
オプション
定義
クラウド ストレージ サービ データが暗号化または復号されるときに、Web Gateway でサポートされているク
ス リスト
ラウド ストレージ サービスを選択します。
以下のサービスを選択できます。
• Box
• Dropbox
• Google Drive
• Microsoft SkyDrive
デフォルトでは、すべてのサービスが選択されています。
McAfee Web Gateway 7.4.0
製品ガイド
375
14
クラウド サービス
クラウド ストレージ データの暗号化と復号
クラウド ストレージ データを手動で復号化する
Web Gateway でクラウド ストレージ データを復号化できない場合、暗号化のアルゴリズムとパスワードが分かれ
ば、適切なコマンドを実行して手動で復号化することができます。
タスク
1
データが保存されているクラウド ストレージ サービスから暗号化データをシステムにダウンロードします。
2
以下のコマンドを実行して、データを復号化します。
openssl enc -<暗号> -d -in <暗号化されたファイル> -out <復号後のファイル> -k <パスワード
> -md sha256
変数パラメーターの意味は次のとおりです。
<暗号>
データの暗号化に使用されたアルゴリズム
<暗号化されたファイル>
暗号化されたデータを含むファイルのパスとファイル名
<復号後のファイル>
復号後のデータを書き込むファイルのパスとファイル名
<パスワード>
データの暗号化で使用したパスワード
データが暗号化され、指定したファイルに書き込まれます。
クラウド ストレージ暗号化ルール セット
クラウド ストレージ暗号化ルール セットは、クラウド ストレージにアップロードされるデータの暗号化とクラウ
ド ストレージ サービスからダウンロードされるデータの復号を処理するライブラリ ルール セットです。
ライブラリ ルール セット - クラウド ストレージ暗号化
条件 - Always
サイクル - 要求 (IM)、応答
このルール セットには、以下のルールが含まれます。
暗号化パスワードを設定する
Always –> Continue – Set User-Defined.Encryption Password = "webgateway"
このルールは、イベントを使用して Web Gateway のデフォルトのパスワードを設定します。このパスワードはデ
ータの暗号化で使用されます。
暗号化を有効にする
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
CloudEncryption.Encrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsEncryptionSupported プロパティを使用して、データの暗号化が実行可能か
どうかを確認します。条件を満たす場合、イベントを使用して暗号化を実行します。
復号を有効にする
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
CloudEncryption.Decrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、データの復号が実行可能かど
うかを確認します。条件を満たす場合、イベントを使用して復号を実行します。
復号後にコンテンツ タイプを修正する
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
MediaType.Header.FixContentType
376
McAfee Web Gateway 7.4.0
製品ガイド
クラウド サービス
クラウド ストレージ データの暗号化と復号
14
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、クラウド ストレージ データ
の復号が実行されているかどうかを確認します。
条件を満たすと、イベントが発生し、Web Gateway へのデータ配信の応答ヘッダー情報にある Content-Type フ
ィールドを変更します。デフォルトでは、クラウド ストレージ サービスがこのフィールドに application/
octet-stream を設定しています。データが暗号化されていると、実際のメディア タイプを認識することはできま
せん。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
クラウド ストレージ サービスは、デフォルトでこのフィールドに application/octet-stream を設定するた
め、データが暗号化されると他のメディア タイプが認識できなくなります。このルールはこの問題を修正するもの
です。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
このルールは、デフォルトでは有効になっていません。
暗号化パスワードを記録する
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
Set User-Defined.encrypt-log.=
DateTime.ToGMTString
+ ", User: "
+ Authentication.UserName
+ ", IP: "
+ IP.ToString (Client.IP)
+ ", Service: "
+ CloudEncryption.ServiceName
+ ", Cipher: "
+ CloudEncryption.CipherName<Default>
+ ", Password: "
+ User-Defined.EncryptionPassword
FileSystemLogging.WriteLogEntry (User-Defined.encrypt-log)<Encryption Log>
このルールは、イベントを使用して暗号化をログに記録します。
2 番目のイベントは、この項目をイベントの設定で指定された Encryption Log に書き込むために使用されます。
データは暗号化された形式でログに記録されるため、このデータにアクセスするにはパスワードが必要になります
(デフォルト パスワード: webgateway)。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.4.0
製品ガイド
377
14
クラウド サービス
クラウド ストレージ データの暗号化と復号
378
McAfee Web Gateway 7.4.0
製品ガイド
15
Web Hybrid
Web オブジェクトのフィルタリングの設定は McAfee Web Gateway と McAfee SaaS Web Protection Service
の間で同期できます。McAfee SaaS Web Protection Service は、「クラウド」Web セキュリティ向けの McAfee
製品です。両方の製品は連動して Web Hybrid セキュリティ ソリューションと及ばれます。
目次
Web Hybrid Security ソリューションの設定の同期
同期のための Web フィルタリングの設定
同期設定の構成
Web Hybrid 設定
Web Hybrid Security ソリューションの設定の同期
McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス が共に Web Hybrid Security ソリューショ
ンで連動する場合、Web フィルタリング設定は製品間で同期して、共通の Web セキュリティ ポリシーに対して許
可する必要があります。
McAfee Web Protection ソリューションは、企業ネットワーク内のシステムを操作するユーザーだけではなく、家
庭や移動中にシステムを操作するユーザーのための共通の Web セキュリティ ポリシーを強化することができます。
この目的で、このソリューションは McAfee Web Gateway などの施設内の製品と McAfee SaaS 型 Web 保護サ
ービス などのクラウドベースの製品を組み合わせて使用します。
2 つの製品間の Web フィルタリング設定の同期は、両方の方法で機能します。McAfee Web Gateway の Web フ
ィルタリング設定に変更を適用すると、これらの変更は McAfee SaaS 型 Web 保護サービス にも適用されます。
同様に、McAfee SaaS 型 Web 保護サービス の管理者が製品に適用した変更は、McAfee Web Gateway にも適用
されます。
REST(Representational State Transfer)インターフェースとして知られる内部インターフェースはデータ転送を
扱います。
同期を有効にするためには、McAfee SaaS 型 Web 保護サービスへのアクセスを提供するポータルのホスト名や IP
アドレスなど、McAfee Web Gateway 側のいくつかの設定が必要です。
一元管理構成でノードとして複数の McAfee Web Gateway アプライアンスを管理する場合、構成のどのノードか
らでも同期を実行できます。
Web Hybrid Security ソリューションに関する詳細については、McAfee Web Hybrid Security ソリューショ
ン配備ガイドを参照してください。
McAfee Web Gateway 7.4.0
製品ガイド
379
15
Web Hybrid
同期のための Web フィルタリングの設定
同期のための Web フィルタリングの設定
種々のタイプの Web フィルタリング設定を McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス
の間で同期させることができます。
2 つの製品の間の同期のための Web フィルタリング設定には、以下が含まれます。
•
ポリシー設定 — ホスト名や URL カテゴリーなどの Web セキュリティ ポリシーのパラメーターを指定する設
定
•
ユーザー グループ設定 — ユーザー グループを指定する設定
これらの設定を処理するさまざまな方法は、McAfee Web Gateway アプライアンスで実行できます。
同期のためのポリシー設定
特定のフィルタリング設定は、McAfee SaaS 型 Web 保護サービスで組み合わせられ、Web セキュリティ ポリシ
ーを作成します。以下のパラメーターの設定は、以下のとおりです。
•
ポリシーの名前
•
ホスト名ごとの信頼されている Web サイト
•
ポリシーの説明
•
ホスト名ごとのブロックされている Web サイト
•
SafeSearch フィルタリングの有効化/無効化
•
IP アドレスごとの信頼されている Web サイト
•
URL カテゴリーの許可
•
IP アドレスごとのブロックされている Web サ
イト
•
ブロックされている URL カテゴリー
これらのパラメーターは、McAfee Web Gateway と McAfee Saas 型 Web 保護サービスの両方で変更でき、変更
は 2 つの製品の間で同期されます。
同期のためのユーザー グループ設定
ユーザー グループ設定には、McAfee SaaS 型 Web 保護サービス上で特定の Web セキュリティー ポリシーが割り
当てられているユーザーのグループを含みます。
これらの設定は、McAfee SaaS 型 Web 保護サービスで変更できます。ユーザーをグループに追加するか、新しい
グループを作成できます。McAfee Web Gateway では、これらの設定は表示だけができ、変更されません。
しかし、McAfee SaaS 型 Web 保護サービス での変更は同期されるため、現在の設定は常に McAfee Web
Gateway に表示できます。
同期設定の構成
McAfee Web Gateway アプライアンスと McAfee SaaS Web Protection Service の間の Web フィルタリング
設定の同期を有効にするには、適切な設定を構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
同期設定を構成するアプライアンスを選択し、[Web Hybrid] をクリックします。
McAfee Web Gateway および McAfee SaaS Web Protection Service の間の同期の設定は、設定パネルに表
示されます。
380
McAfee Web Gateway 7.4.0
製品ガイド
Web Hybrid
Web Hybrid 設定
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
15
Web Hybrid 設定
Web Hybrid 設定は McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス の間で Web フィルタリ
ング設定を構成するために使用されます。
Web Hybrid 設定
Web フィルタリング設定を同期させるための設定
表 15-1 Web Hybrid 設定
オプション
定義
[SaaS アドレス]
McAfee SaaS 型 Web 保護サービス へのアクセスを提供するポータルの IP アドレス
またはホスト名を提供します。
[SaaS 顧客 ID]
McAfee SaaS 型 Web 保護サービス を実行する顧客を識別します。
[SaaS 管理者アカウント
名]
McAfee SaaS 型 Web 保護サービス を管理する管理者のアカウントのユーザー名を
指定します。
ここで指定する名前は、顧客管理 のロールを割り当てられた McAfee SaaS 型 Web 保
護サービス のユーザーの名前であることが必要です。
[SaaS 管理者アカウント
パスワード]
管理者アカウントのパスワードを設定します。
[SaaS 管理者アカウント名] の下で指定された McAfee SaaS 型 Web 保護サービス
のユーザーのパスワードです。
[設定]をクリックすると、新しいパスワードを設定するためのウィンドウが開きます。
[SaaS の同期を有効にす
る]
これが選択されると、McAfee Web Gateway の Web フィルタリング設定に変更を適
用すると、これらの変更は McAfee SaaS 型 Web 保護サービス にも適用されます。
[SaaS からの同期を有効
にする]
これが選択されると、McAfee SaaS 型 Web 保護サービス の Web フィルタリング設
定に変更を適用すると、これらの変更は McAfee Web Gateway にも適用されます。
[ローカル ポリシーの変
更が直ちに SaaS にアッ
プロードされる]
これが選択されると、McAfee Web Gateway に適用したポリシー設定の変更は、直ち
に McAfee SaaS 型 Web 保護サービス にアップロードされます。
[ローカル ポリシーの変
更は以下に定義した間隔
と同じ時間内にアップロ
ードされる]
これが選択されると、McAfee Web Gateway に適用したポリシー設定の変更は、以下
で設定した時間が経過した後で McAfee SaaS 型 Web 保護サービス にアップロード
されます。
時間間隔範囲に許可される値は、10 ~ 60 分間です。
時間間隔はスライダーのスケールに設定されます。
Web Hybrid アクション
Web フィルタリング設定の同期を実行するためのオプション
McAfee Web Gateway 7.4.0
製品ガイド
381
15
Web Hybrid
Web Hybrid 設定
表 15-2 Web Hybrid 設定
オプション
定義
[SaaS への同期]
これが選択されると、McAfee Web Gateway の Web フィルタリング設定の McAfee SaaS
型 Web 保護サービス の対応設定との即時同期が実行されます。
[SaaS からの同期] これが選択されると、McAfee SaaS 型 Web 保護サービス の Web フィルタリング設定の
McAfee Web Gateway の対応設定との即時同期が実行されます。
382
McAfee Web Gateway 7.4.0
製品ガイド
16
モニタリング
アプライアンスがネットワークの Web セキュリティを確保するフィルタリングを実行するとき、それをモニタリン
グできます。
モニタリングはさまざまな方法で実行されます。アプライアンスのデフォルト モニタリングには以下が含まれます。
•
ダッシュボード — アプライアンス システムとアクティビティに関する主要な情報が表示されます。
•
ログ — アプライアンス上での重要なイベントに関する情報をログ ファイルに書き込みます。
•
エラー処理 — アプライアンス上でインシデントまたはエラーが発生する際に対策を取ります
アプライアンスの機能のパフォーマンスを測定すること、およびモニタリングのために McAfee ePO サーバーまた
は SNMP エージェントなどの外部デバイスを使用することもできます。
目次
ダッシュボード
ログ
エラー処理
パフォーマンス測定
McAfee ePO を監視するためのデータの転送
SNMP でのイベント モニタリング
ダッシュボード
アプライアンスのユーザー インターフェースのダッシュボードは、アラート、フィルタリング アクティビティ、ス
テータス、Web 使用およびシステム動作など、キー イベントおよびパラメーターのモニタリングを可能にします。
情報は、次の 2 つのタブで提供されます。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
アプライアンスが集中管理構成のノードである場合、その他のアプライアンスのステータスおよびアラートも表示さ
れます。
McAfee Web Gateway 7.4.0
製品ガイド
383
16
モニタリング
ダッシュボード
ダッシュボードへのアクセス
アプライアンスのユーザー インターフェースでダッシュボードにアクセスできます。
タスク
1
トップレベル メニューの[[ダッシュボード]]を選択します。
2
表示するタブに応じて、次の 2 つのタブのうち 1 つを選択します。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
アラート タブ
[アラート]タブは、アプライアンスのステータスおよびアラートの情報を表示し、アプライアンスが集中管理構成の
ノードである場合、その他のアプライアンスの情報も表示します。
ステータスとアラートの情報の表示
[アラート]タブでは、アプライアンスのステータスおよび発生したアラートに関する情報を表示できます。
タスク
1
[ダッシュボード] 、 [アラート]を選択します。
2
オプションで、以下の 2 つのオプションのうちいずれかを使用して、アラートに関する情報を更新します。
•
[自動更新] — 定期的に自動更新を実行します
このオプションはデフォルトで有効になっています。
•
[今すぐ更新] - 直ちに更新を実行します
ステータス情報の概要
アプライアンスのステータスに関する情報は、ダッシュボードの[アラート]タブの[アプライアンス ステータス]に表
示されます。
アプライアンスが集中管理構成のノードである場合は、その他のノードに関する情報も表示されます。
次の表では、この情報の概要を示しています。
384
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ダッシュボード
16
表 16-1 ステータス情報の概要
情報
説明
[アプライアンス]
基本アプライアンス情報を提供します。
• [名前] — アプライアンスの名前を指定します。
[パフォーマンス]
主要なパフォーマンス パラメーターを提供します。
• [アラート ピーク(過去 7 日間)] — アプライアンスにおいて過去 7 日間以内で最も重大な
アラートを示します。
色付きのフィールドが日ごとに表示されます(右端のフィールドが今日):
• 灰色 — この日アラートはなかった
• 緑色 — この日最も重大なアラートは情報であった
• 黄色 — この日最も重大なアラートは警告であった
• 赤色 — この日最も重大なアラートはエラーであった
• [1 秒あたりの要求数] — アプライアンスで受信した HTTP と HTTPS のモードにおける
Web 要求の数が過去 30 分間でどのように変化したかを示す図を提供します。
図の右側にある値は、過去 10 分間における 1 秒あたりの平均要求数です。
[McAfee マルウ
ウイルスとマルウェアのフィルタリングで使用されるモジュールで更新およびバージョン情報
ェア対策バージョ を提供します。
ン]
• [最終更新] — モジュールが最後に更新されてから経過した分数を示します。
• [Gateway エンジン] — McAfee Web Gateway Gateway マルウェア対策エンジンのバー
ジョン番号を示します。
• [プロアクティブ データベース] — プロアクティブ データベースのバージョン番号を示しま
す。
• [DAT] — DAT ファイルのバージョン番号(ウイルス シグネチャを含む)を示します。
[URL フィルター] URL フィルタリングで使用されるモジュールに対する更新およびバージョン情報を提供しま
す。
• [最終更新] — モジュールが最後に更新されてから経過した日数を示します。
• [バージョン] — モジュールのバージョン番号を示します。
アラート フィルタリング オプション
アプライアンスの[アラート]についての情報は、ダッシュボードの[アラート]タブのアラートで提供されます。さ
まざまなフィルタリング オプションを使用して、この情報をフィルタリングできます。
アプライアンスが集中管理構成のノードである場合、他のノードのアラートも表示されます。次に、アラートを表示
するノードもフィルタリングできます。
次の表では、フィルタリング オプションについて説明します。
McAfee Web Gateway 7.4.0
製品ガイド
385
16
モニタリング
ダッシュボード
表 16-2 アラート フィルタリング オプション
オプション
定義
[アプライアン 集中管理構成で発生したノードに従って、アラートをフィルタリングします。
ス フィルター]
このボタンをクリックすると、アラートを表示するノードを選択するウィンドウが開きます。
フィルターはウィンドウを閉じてからすぐに適用されます。
[日付フィルタ
ー]
発生した期間に従ってアラートをフィルタリングします。
このボタンをクリックすると、アラートを表示する機関を選択するメニューが開きます。
以下から 1 つを選択できます。
• [ すべて ]
• [今日 ]
• [ 昨日 ]
• [先週]
• [カスタム]
[カスタム]で、2 つのカレンダー上で開始日および終了日を設定でき、2 つのフィルター フィー
ルド上で開始時間および終了時間を入力できます。時間形式は 24 時間表記を使用した
hh:mm:ss です。例: 午後 1:00 は 13:00:00。
アプライアンスが集中管理構成のノードであり、[アプライアンス フィルター]でこの構成のノード
がいくつか選択されたとき、これらのノードのアラートが表示されます。
ただし、それらは[日付フィルター]を設定するために、特定のノードで作業していたユーザー イン
ターフェースの日付および時刻に従って表示されます。
たとえば、現地時間でアムステルダムの午後 7 時にノードの[日付フィルター]で今日を選択すると
します。
これは 19 時間以内に発生したすべてのアラートを表示します。ニューヨークのノードでは、フィ
ルターを設定した時点で現地時間は午後 1 時です。
ニューヨークのノードで発生したアラートは、ニューヨーク ノードで今日に対応する 13 時間で
はなく 19 時間表示されます。
[メッセージ フ メッセージ テキスト内のアラート メッセージ タイプおよび文字列に従ってアラートをフィルタ
ィルター]
リングします。
フィルター オプションを設定したら、フィルターはすぐに適用されます。
次の方法でこれらのオプションを設定します。
• [エラー、警告、情報] — 表示するアラート メッセージのタイプ、または任意の組み合わせのタ
イプのを選択します。
• [フィルター] — 任意でこのフィールドにフィルタリング用語を入力します。この用語に合って
いる警告および選択されたタイプのメッセージ テキストのみが表示されます。
一致する用語の検索は、ユーザー インターフェースに表示されているものだけではなく、アプ
ライアンスの内部インターフェースに保管されているアラート エントリに実行されます。
アラートがユーザー インターフェースに表示されるとき、アラート メッセージ テキストは追加
部分を含む可能性があります。
例: origin という単語はアラートの元の場所であるコンポーネント名に追加されます。しか
し、origin またはその他の追加された用語をアラートのフィルタリングに使用できません。
386
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ダッシュボード
16
グラフおよび表のタブ
[グラフおよび表]のタブはアプライアンスの Web 使用、フィルタリング アクティビティ、およびシステム動作を表
示します。また、アプライアンスが集中管理構成のノードの場合、その他すべてのノードの情報も表示されます。
グラフと表の情報の表示
[グラフおよび表]タブでは、Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報を
表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[アプライアンス]ドロップダウン リストから、グラフと表の情報を表示するアプライアンスを選択します。
3
オプションで、[更新]をクリックし、最新情報が表示されるようにします。
4
ナビゲーション ペインのリストから、表示する情報のタイプ([Web トラフィック サマリ]など)を選択します。
グラフおよび表の表示オプション
提供された情報のタイプによっては、グラフおよび表のタブで情報を表示するためのオプションがいくつかあります。
情報のタイプには、以下のものがあります。
•
発展データ — 選択された時間間隔にわたり、特定パラメーターがどのように変化したかについて表示します
例: 選択された時間間隔にわたってブロックまたは許可された URL リクエスト数がどのように発展したかを表
示できます。
•
トップ スコア — 表示した時点までの、フィルタリング プロセスのキー項目に関連したアクティビティまたはバ
イト量の最高数を表示します
経時変化ではなく、これらの数を表示します。
例: 最も頻繁にリクエストされた URL カテゴリを表示できます。またはこれらのタイプの Web オブジェクトが
ダウンロードされたときに転送された量にによって順位化されたメディア タイプを表示できます。
いかなる時点で、トップ スコアを表示するためにアプライアンスに保管される項目の最大数は 1500 です。この
数を超えると、最も発生回数が少ない項目、またはバイト量が最も低い項目は削除されます。
•
その他の情報 — 表で示されている他の情報が表示されます
例: マルウェア対策モジュールまたは URL フィルター モジュールなどアプライアンスのキー モジュール(エン
ジンとも呼ばれる)の現在のバージョンを表示できます。
次の表では、さまざまなタイプの情報の表示オプションが表示されます。
表 16-3 グラフおよび表の表示オプション
オプション
定義
[最後を表示] 時間間隔を選択するためのドロップダウン リストを提供します。1 時間 | 3 時間 | ...| 1 年
[解決]
選択された時間間隔にわたるパラメーターの変化が表示される図に使用する時間単位を表示します。
解決は間隔によって異なります。
例:1 時間が選択されたら、図は時間単位として分を使用し、1 年が選択されたら、図は 1 日を使用
します。
McAfee Web Gateway 7.4.0
製品ガイド
387
16
モニタリング
ダッシュボード
表 16-3 グラフおよび表の表示オプション (続き)
オプション
定義
[表示]
選択するためのドロップダウン メニューを提供します。
• 表示モード:行 | スタック
• 平均値
更新アイコン 表示を更新します。
[トップ]
最高スコアがある項目で表示できる数を選択するためのドロップダウン リストを提供します。 10
| 25 | ... | 1000
例: 最も頻繁にリクエストされる 25 URL カテゴリが表示されます。
更新アイコン 表示を更新します。
グラフと表の情報の概要
アプライアンスに対する Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報は、ダ
ッシュボードの[グラフおよび表]タブに表示されます。
以下の表は、この情報の概要を提供します。
表 16-4 エグゼクティブ サマリー
情報
説明
[URL エグゼクティブ サ 選択した期間内で発生した要求数が表示されます。
マリー]
要求は、許可された要求とブロックされた要求ごとにソートされます。
さらに、ブロックされた要求はブロックしたフィルタリング モジュール (マルウェア対
策エンジン、URL エンジンなど) でソートされます。
[選択可能なデータ系列を編集する] をクリックすると、表示された要求 (正常な要求と
ブロックされた要求) の選択を編集できるウィンドウが表示されます。
[ヒット数の多いカテゴ
リ]
選択した期間内で最も頻繁に要求された URL のカテゴリが表示されます。
[ヒット数別のマルウェ
ア]
選択した期間中に最も頻繁に要求されたウイルスとマルウェアのタイプを表示します。
表 16-5 システム サマリー
388
情報
説明
[ネットワークの使用
状況]
選択した期間内で送受信された要求数が表示されます。 .
[システム使用率]
選択した期間中にアプライアンス システムのハード ディスク、CPU、および物理メモリ
の使用率と、コア サブシステムおよびコーディネーター サブシステムの物理メモリの使
用率がどのように変化したかを表示します。
[更新ステータス]
いくつかのモジュールのバージョンとアプライアンスで実行されたフィルター情報ファイ
ル (Gateway マルウェア対策エンジンやマルウェア対策シグネチャ ファイルなど) が表
示されます。
[最終更新]
URL フィルター モジュールなど、アプライアンスの複数のモジュールが最後に更新された
日時を表示します。
[開いているポート]
現在要求をリッスンしているアプライアンスのポートをリストします。
[WCCP サービス]
アプライアンスにトラフィックをリダイレクトするために使用される WCCP サービスの
ステータスが表示されます。
[アクティブなプロキ
シ接続]
選択した期間中に接続数がどのように変化したかを表示します。
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ダッシュボード
16
表 16-6 Web トラフィック サマリー
情報
説明
[プロトコルごとのトラフィック量] 選択した期間内で発生した Web トラフィック量 (HTTP、HTTPS、FTP) が表
示されます。
[プロトコル別の要求]
選択した期間中に HTTP、HTTPS、および FTP のプロトコルで要求数がどの
ように変化したかを表示します。
表 16-7 ICAP トラフィック サマリー
情報
説明
[ICAP トラフィック ] 選択した期間内に REQMOD および RESPMOD モードで発生した ICAP トラフィック量
が表示されます。
[ICAP 要求]
選択した期間中に REQMOD および RESPMOD のモードで ICAP 要求数がどのように変
化したかを表示します。
表 16-8 IM トラフィック サマリー
情報
説明
[インスタント メッセージ トラフ
ィック ]
選択した期間内に各サービスで発生したインスタント メッセージ トラフィッ
ク量が表示されます。
[インスタント メッセージング要
求]
選択した期間中にインスタント メッセージング要求数が各種サービスに対し
てどのように変化したかを表示します。
[インスタント メッセージング ク
ライアント]
選択した期間中にインスタント メッセージング クライアント数が各種サービ
スに対してどのように変化したかを表示します。
表 16-9 トラフィック量
情報
説明
[転送バイト数の多いトップレベル ドメ
イン ]
要求で転送されたバイト数が最も多いドメインが表示されます。
[要求数の多いトップレベル ドメイン]
要求を最も多く受信したドメインが表示されます。
[転送されたバイト数別の宛先]
宛先から転送されたバイト数に基づいて、最も頻繁に要求された宛先を
リストします。
[要求数の多い宛先]
要求を最も多く受信したドメインが表示されます。
[転送バイト数の多い発信元 IP]
転送量が最も多い発信元 IP アドレスが表示されます。
[要求数の多い発信元 IP]
最も多くの要求を送信した発信元 IP アドレスが表示されます。
表 16-10 Web キャッシュ統計
情報
説明
[Web キャッシュ効率]
選択した期間内で発生したキャッシュ要求数が表示されます。ヒット数とミス
数でソートされます。
[Web キャッシュ オブジェクト
カウント]
選択した期間中にキャッシュ内のオブジェクト数がどのように変化したかを表
示します。
[Web キャッシュ使用率]
選択した期間中にキャッシュの使用率がどのように変化したかを表示します。
表 16-11 マルウェア統計
情報
説明
[ヒット数の多いマルウェア感染
URL]
ウイルスなどのマルウェアに感染している URL の中で、要求数の最も多い URL
が表示されます。
[ヒット数の多いマルウェア]
最も要求がマルウェアのタイプが表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
389
16
モニタリング
ダッシュボード
表 16-11 マルウェア統計 (続き)
情報
説明
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense でスキャンされた
要求]
Web オブジェクトの要求数が表示されます。
また、選択した期間のスキャン結果によってブロックされた要求数も表示されま
す。
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense が Web オブジェクト
スキャン時間]
のスキャンに要した時間が表示されます。
表 16-12 URL フィルター統計
情報
説明
[カテゴリ]
選択した期間で要求された URL カテゴリ数が表示されます。
[レピュテーション]
選択した期間中に要求数がどのように変化したかを表示し、要求された URL のレ
ピュテーションに基づいてそれらをソートします。
[ヒット数の多いカテゴリ]
要求数の最も多い URL カテゴリが表示されます。
[ヒット数の多い未分類サイト] 未分類サイトの中で、要求数の最も多いサイトが表示されます。
[ヒット数の多い不正なサイト] 感染が確認されたサイトの中で最も要求数の多いサイトが表示されます。
表 16-13 メディア タイプ統計
情報
説明
[ヒット数の多いメディア タイプ グ
ループ]
選択した期間で要求されたメディアタイプ グループ数が表示されます。
[バイト数の多いメディア タイプ]
転送バイト数が最も多いメディア タイプが表示されます。
[ヒット数の多いメディア タイプ]
成功した要求数が最も多いメディア タイプが表示されます。
タイプは、オーディオ ファイル、イメージ、およびその他にソートされま
す。
表 16-14 SSL スキャナーの統計
情報
説明
[証明書インシデント] 選択した期間内に発生したインシデント数が表示されます。
インシデントは、インシデントに起因するイベントのタイプ(期限切れの証明書や共通名の
不一致など)に基づいてソートされます。
表 16-15 シングル サイン オンの統計
情報
説明
[すべてのログイン]
選択した期間内で発生したクラウド アプリケーション (サービス) へのログオン数
が表示されます。
[サービスごとのログイン数] 選択した期間内で発生したログイン数が、ログオンを許可したクラウド アプリケー
ション (サービス) ごと表示されます。
[サービスごとのログイン数] ログオン数が最も多いクラウド アプリケーション (サービス) が表示されます。
[無効なトークン数]
選択した期間内で検出された無効なトークン数が表示されます。
表 16-16 暗号化の統計
390
情報
説明
[操作]
選択した期間内でクラウド ストレージ データに実行された暗号化と復号の操作数が表示され
ます。これらの操作で発生したエラーの件数も表示されます。
[量]
選択した期間内で暗号化されたデータと復号されたデータの量が表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ダッシュボード
16
表 16-16 暗号化の統計 (続き)
情報
説明
[暗号化操作]
データの暗号化とアップロードで最も多く使用されたクラウド ストレージ サービスが表示さ
れます。
[復号操作]
データの復号とダウンロードで最も多く使用されたクラウド ストレージ サービスが表示され
ます。
[暗号化されたデー データの暗号化で最も多くのデータを暗号化したクラウド ストレージ サービスが表示されま
タ量]
す。
[復号されたデータ データの復号で最も多くのデータを復号したクラウド ストレージ サービスが表示されます。
量]
[暗号化エラー]
データの暗号化で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
[復号エラー]
データの復号で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
表 16-17 システム詳細
情報
説明
[ネットワークの使用状況]
選択した期間内で送受信された要求数が表示されます。
[CPU 使用率]
選択した期間中に CPU 使用率がどのように変化したかを表示します。
[メモリ使用率]
選択した期間中にメモリの使用率がどのように変化したかを表示します。
[スワップ領域(仮想メモリ) 選択した期間中に仮想メモリの使用率がどのように変化したかを表示します。
使用率]
[ファイル システム使用率]
選択した期間中にファイル システムの使用率がどのように変化したかを表示しま
す。
[ファイル システム使用率]
選択した期間中にパーティションごとのファイル システムの使用率がどのように
変化したかを表示します。
[開いている TCP ポート]
選択した期間中に開いている TCP ポートの数がどのように変化したかを表示しま
す。
表 16-18 認証統計
情報
説明
[認証要求]
選択した期間内にリモート、ローカルまたはキャッシュで処理された要求数が認証
方法別に表示されます。
[方法別の平均要求処理時間
(ms)]
選択した期間中に各認証方法でサーバーに送信された要求に対する平均処理時間
がどのように変化したかを表示します。
[現在の要求に関するレポー
ト]
サーバーに送信された要求数、キャッシュ ヒット、処理時間 (最小、最大、平均)
が表示されます。
[現在の接続ステータス]
各認証方法で現在アクティブな接続を表示します。
[ファイル システム使用率]
選択した期間中にファイル システムの使用率がどのように変化したかを表示しま
す。
[ファイル システム使用率]
選択した期間中にパーティションごとのファイル システムの使用率がどのように
変化したかを表示します。
[開いている TCP ポート]
選択した期間中に開いている TCP ポートの数がどのように変化したかを表示しま
す。
McAfee Web Gateway 7.4.0
製品ガイド
391
16
モニタリング
ログ
表 16-19 パフォーマンス情報
情報
説明
[全般的なパ
フォーマン
ス]
選択した期間内で実行された特定のタスクの平均処理時間が表示されます。
このようなタスクには、DNS 参照の実行、指定の Web サーバーへの接続、およびすべてのサイク
ルをとおして要求を処理するためにルール エンジンが行った作業が含まれます。
DNS 参照にかかった時間を測定する際には、外部サーバーでの参照のみが考慮に入れられます。つ
まり、キャッシュ参照は無視されます。
[パフォーマ
ンスの詳細]
選択した期間中にすべてのサイクルをとおして要求を処理するのにかかった平均時間がどのように
変化したかを表示します。
このパフォーマンス情報は、HTTP および HTTPS の接続を使用する Web トラフィックに対しての
み測定および表示されます。
すべてのサイクル(要求、応答、および埋め込みオブジェクト)をとおして要求を処理することは、
1 つのトランザクションと見なされます。
平均処理時間は完了トランザクションに対して表示されますが、トランザクションの最中に行われ
る特定のデータ転送に対しても表示されます。
• クライアントから最初のバイトを受信してから、クライアントに最初のバイトを送信するまで —
同一トランザクション内において、アプライアンスでクライアントから最初のバイトを受信して
からこのクライアントに最初のバイトを送信するまでの間にかかった平均処理時間を表示しま
す。
• クライアントから最後のバイトを受信してから、クライアントに最後のバイトを送信するまで —
同一トランザクション内において、アプライアンスでクライアントから最後のバイトを受信して
からこのクライアントに最後のバイトを送信するまでの間にかかった平均処理時間を表示しま
す。
• サーバーに最初のバイトを送信してから、サーバーから最初のバイトを受信するまで — 同一トラ
ンザクション内において、アプライアンスから Web サーバーに最初のバイトを送信してからこの
サーバーから最初のバイトを受信するまでの間にかかった平均処理時間を表示します。
• サーバーに最後のバイトを送信してから、サーバーから最後のバイトを受信するまで — 同一トラ
ンザクション内において、アプライアンスから Web サーバーに最後のバイトを送信してからこの
サーバーから最後のバイトを受信するまでの間にかかった平均処理時間を表示します。
ログ
ロギングは、アプライアンスの Web フィルタリングと他のプロセスの記録を可能にします。記録を含むログ ファイ
ルを確認することは、失敗の理由を見つけて問題を解決することを可能にします。
ロギングには、以下の要素が関連しています。
•
Web フィルタリングと他のプロセスを記録する
エントリが書き込まれるログ ファイル
•
ログ ファイルにエントリを書き込むログ ルール
•
ログ ファイルにエントリを書き込むシステム機
能
•
ログ ファイルをローテート、削除、およびプッシ
ュするログ ファイル管理モジュール
•
ログ ファイルにエントリを書き込むモジュール
ログ ファイル
ログ ファイルには、Web フィルタリングと他のプロセスに関するエントリが含まれます。同じ種類のコンテンツを
持つログ ファイルは、logs と呼ばれるフォルダーに保管されています。アプライアンスのユーザー インターフェー
スですべてのログとログ ファイルを表示できます。
392
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
コンテンツに応じて、ログ ファイルはアプライアンス システムの機能、モジュール、またはログ ルールによって管
理されています。従って、これらのログ ファイルに対し、表示、編集、ローテート、およびその他などの、いくつか
またはあらゆる種類のアクティビティを実行できます。
システム機能でのロギング
一部のコンテンツでは、ログ ファイル エントリはアプライアンス システムの機能によって書き込まれます。これら
のファイルはユーザー インターフェースで表示できますが、編集と削除はできません。また、ファイルはシステム機
能によって定期的にローテートされます。
モジュールでのロギング
一部のコンテンツでは、ログ ファイル エントリはプロキシ モジュールまたはマルウェア対策モジュールなどの特定
モジュールによって書き込まれます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。これらのファイルのロ
ーテーション、削除、および他の場所へのプッシュは、設定の構成が可能なログ ファイル マネージャーによって処
理されます。
ルールでのロギング
ログ ルールは、イベントを使用してログ ファイル エントリを作成して、その条件が一致する場合、ログ ファイルに
それを書き込みます。
他のルールと同様に、ログ ルールはルール セットに含まれています。これらのルール セットはログ ハンドラーとし
て知られるトップレベル ルール セットにネストされています。デフォルト ログ ハンドラーは初期セットアップの
後に利用できます。
ログ ルールは、アプライアンスで受信されたリクエストのリクエスト、応答、埋め込みオブジェクトサイクルが完了
した後に、処理されます。
ログ ルールとそれらのルール セットは、他のルールとルール セットと同様に作業を行えます。
これらのファイルのローテーション、削除、および他の場所へのプッシュは、設定の構成が可能なファイル システ
ム ログ モジュールによって処理されます。
ログ ファイル管理モジュール
ログ ファイルにローテーション、削除、および他の場所へのプッシュを含む管理アクティビティを実行するためのモ
ジュールは 2 つあります。
これらのモジュールは、モジュールによって管理されているログ ファイル マネージャー、およびログ ルールによっ
て管理されているログ ファイル用のファイル システム ログ モジュール(エンジンとも呼ばれる)です。
これらのモジュールの設定を構成して、ログ ファイルのローテーション、削除、およびプッシュをご使用のネットワ
ークの要件に適合させることができます。
ロギングの管理
アプライアンスのロギング機能を管理して、ネットワーク上の Web セキュリティを確保するためにアプライアンス
がフィルタリングと他のアクティビティをどのように実行するかを監視できます。
以下の高レベル手順を完了します。
タスク
1
アプライアンスで維持されているログ ファイルを表示します。
2
必要に応じて、実装されているログ ファイル システムを変更します。
McAfee Web Gateway 7.4.0
製品ガイド
393
16
モニタリング
ログ
たとえば、以下の操作を実行できます。
3
•
ログ ルールの有効化、無効化、または削除
•
ログ ルールの変更
•
自分のログ ルールの追加
•
以下のロギング モジュールの設定の構成
•
ログ ファイルのローテーション
•
ログ ファイルのプッシュ
•
ログ ファイルの削除
変更を保存します。
ログ ファイルの表示
ログ ファイルは、アプライアンスのユーザー インターフェースで表示することができます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ログ ファイルを表示するアプライアンスを選択し、[ログ ファイル]をクリックしま
す。
ログ ファイル フォルダー(場合によってはサブフォルダーが含まれている)のリストが表示されます。
3
表示するログ ファイルを含むフォルダーまたはサブフォルダーをダブルクリックします。
フォルダーが開き、ログ ファイルが表示されます。
4
表示するログ ファイルを選択し、リストの上にあるツールバーの[表示]をクリックします。
ログ ファイル タイプ
アプライアンス上にはさまざまなログ ファイル タイプがあります。これらは記録されるコンテンツの種類、および
記録が行われる方法において異なります。
同じ種類のデータを記録するログ ファイルは同じフォルダーに保管されます。同じ種類のコンテンツであるログ フ
ァイルを保管するためのフォルダーは、log と呼ばれます。
コンテンツに応じて、ログ ファイルはシステム機能、モジュール、またはログ ルールによって管理されています。
システムによって管理されるログ ファイル
いくつかのログ ファイルはオペレーティング システムおよびさまざまなシステム関連サービスを含むアプライアン
ス システムの機能によって維持されています。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ただし、システム ロ
グ ファイルが読み込めないとき、それらはユーザー インターフェースに表示されません。
また、ファイルはシステム機能によって定期的にローテートされます。このローテーションを構成するオプションは
ありません。
モジュールによって管理されるログ ファイル
その他のログ ファイルはプロキシ モジュールまたはマルウェア対策モジュールなどアプライアンスの特定モジュー
ルによって管理されます。
394
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ファイルはアプライア
ンスの以下の場所にあるサブフォルダーに保管されます。
/opt/mwg/log
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なログ ファイル マネージャーに
よって定期的に処理されます。
これらのフォルダーのすべてのファイルは、名前の一部に mwgResInfo を含むファイルを除き、ログ ファイル マ
ネージャーによって処理されます。
また、以下の名前を含むフォルダーはログ ファイル マネージャーによって処理されません(cores, feedbacks,
tcpdump, migration, system, ruleengine_tracing, connection_tracing, message_tracing)。
モジュールによって管理されているログ ファイルのログには以下が含まれます。
•
監査ログ — アプライアンス構成の変更を記録するログ ファイルを保管します
•
デバッグ ログ — デバッグ情報を記録するログ ファイルを保管します
•
移行ログ — 移行アクティビティを記録するログ ファイルを保管します
•
MWG エラー ログ - アプライアンス コンポーネントで発生するエラーを記録するログ ファイルを保存しま
す。
コーディネーター サブシステム、マルウェア対策モジュール、ユーザー インターフェース、およびシステム構成
デーモンには別のエラー ログがあります。
•
更新ログ - モジュールおよびファイルの更新を記録するログ ファイルを保存します
ルールによって管理されるログ ファイル
また、ログ ルールによって管理されているログ ファイルもあります。これらのルールが適用されるときにトリガー
されるイベントによって、データの記録が実行されます。
例: ユーザーがリクエストしたオブジェクトがウイルスに感染していると、ルールはイベントをトリガーします。ト
リガーされたイベントはユーザー、感染しているオブジェクト、リクエストの日付および時刻などの情報とともにロ
グ ファイルにエントリを書き込みます。
その他のルールと同じ方法でこのログ ファイルのタイプのルールの作業を行えます。
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なファイル システム ログ モジュ
ールによって定期的に処理されます。
以下のルールによって管理されているログ ファイルはデフォルトでアプライアンスに提供されます。
•
アクセス ログ — 日付および時刻、ユーザー名、リクエストされたオブジェクト、オブジェクトの感染、オブジ
ェクトのブロックを含む、リクエストおよび関連情報を記録するログ ファイルを保管します
•
ウイルス検出ログ — ウイルスおよびリクエストされたオブジェクトを感染させると判明した他のマルウェアの
名前を記録するログ ファイルを保管します
また、ログは日付と時刻、ユーザー名、リクエストされた URL、およびリクエスト送信元のクライアントの IP
アドレスも記録します。
•
インシデント ログ — ライセンス、モニタリング、またはアップデートなどさまざまな機能に関連するインシデ
ントを記録するログ ファイルを保管します
これらのデフォルト ログに、作成したログを追加できます。
McAfee Web Gateway 7.4.0
製品ガイド
395
16
モニタリング
ログ
ログ ファイル設定の構成
ログ ファイル管理モジュールの設定を構成することで、ログ ファイルがどのようにローテート、削除、およびプッ
シュされるかを決定できます。
ログ ファイル管理モジュールは、モジュールによって維持されているログ ファイル、およびルールによって維持さ
れているログ ファイルのローテーション、削除、およびプッシュを処理します。
システムによって維持されているログ ファイルのログ ファイル管理は構成できません。
タスク
•
396 ページの「モジュールによって維持されるログ ファイルの設定の構成」
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構
成できます。これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
•
396 ページの「ルールによって維持されるログ ファイルの設定の構成」
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成で
きます。これらのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
モジュールによって維持されるログ ファイルの設定の構成
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。
これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
モジュールによって維持されるログ ファイルの設定は、ログ ファイル マネージャーのために構成されるシステム設
定です。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ログ ファイル設定を構成するアプライアンスを選択して、[ログ ファイル マネージャ
ー]をクリックします。
設定パネルにログ ファイル マネージャー設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
ルールによって維持されるログ ファイルの設定の構成
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。これ
らのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ファイル システム ログ]を展開し、構成するログ ファイル設定を選択します。例:[ウイルス検出
ログ]。、
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
ログ ファイル マネージャー設定
ログ ファイル マネージャー設定は、アプライアンスの特定モジュールによって管理されているログ ファイルのロー
テーション、削除、およびプッシュの構成のために使用されます。
一般的に、および 2 つの重要なタイプのログ ファイル(更新ログと監査ログに保管される)の設定を構成すること
が可能です。
396
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
グローバル ログ ファイル設定
一般的なログ ファイルの設定
これらの設定には、ログ ファイルのローテーションと削除、および他の場所へのプッシュのオプションが含まれま
す。
自動ローテーション
ログ ファイルのサイズと日時に従って自動的にログ ファイルをローテートするための設定
表 16-20 自動ローテーション
オプション
定義
[自動ローテーションの有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じてローテー
トされます。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超え
てしまった場合ログ ファイル
ローテーションを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログはそれらのサイズ(MiB)に従ってローテートされます。
[ログ ファイル ローテーション
のスケジュールを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログは日時(時間と分の単位)に従ってローテートされます。
ここでは 24 時間形式が使用されています。例: 午後 1 時は 13:00。
自動削除
サイズと最後に変更された時刻に応じてログ ファイルを自動的に削除するための設定
表 16-21 自動削除
オプション
定義
[自動削除の有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じて削除されま
す。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超
これが選択されている場合、提供されている入力フィールドで指定されているとお
えてしまった場合ログ ファイ りに、ログ ファイルはそれらのサイズ(MiB)に従って削除されます。
ルの削除を有効化]
[変更されていないファイルの これが選択されている場合、提供されている入力フィールドで指定されているとお
りに、ログ ファイルは入力フィールドに指定されている期間(日単位)に従って削
自動削除を有効化]
除されます。
自動プッシュ
ローテートされたログ ファイルを自動的に他の場所にプッシュするための設定
McAfee Web Gateway 7.4.0
製品ガイド
397
16
モニタリング
ログ
表 16-22 自動プッシュ
オプション
定義
[自動プッシュの
有効化]
これが選択されている場合、ローテートされたログ ファイルはアプライアンスのローカル デー
タベースから次の設定で指定されたサーバーにプッシュされます。
[宛先]
ネットワーク プロトコル、ホスト名、およびサーバーのパスを指定します。
プッシュ処理をより精密に指定するために、変数をパス名に追加することが可能です。
たとえば、ログ ファイルがプッシュされるアプライアンスのホスト名では %h を追加できま
す。よって、送信先は以下のように指定することができます。
ftp://myftp.com/%h
ログ ファイルがプッシュされる際に、変数は適切な値(この例ではホスト名)と置き換えられ
ます。
使用できる変数は次のとおりです。
• %h — アプライアンスのホスト名
• %y — 現在の年(4 桁)
• %m — 現在の月(1 または 2 桁)
• %% — % の文字を指定するために使用(ホスト名に使用する場合)
[ユーザー名]
ログ ファイルをサーバーにプッシュすることを許可されているユーザーの名前を指定します。
ユーザー名には変数 %h を指定できます。ランタイムで、それは現在のアプライアンスのホス
ト名に置き換わります。
[ローテーション これが選択されている場合、ローテーションの直後にプッシュが続きます。
直後のログ ファ
イルのプッシュを
有効化]
[プッシュ間隔]
次のログ ファイルがプッシュされる前に経過する時間(時間単位)
(ローテーション直後にプッ
シュされなかった場合)を指定値に制限します。
更新ログの設定
更新ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
表 16-23 更新ログの設定
オプション
定義
[更新ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が更新ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
監査ログの設定
監査ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
398
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
表 16-24 監査ログの設定
オプション
定義
[監査ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が監査ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
詳細
コアおよびフィードバック ファイルの自動削除の設定
表 16-25 詳細
オプション
定義
[コア ファイルの自動削除 これが選択されている場合、構成した設定に応じて自動的にコア ファイルが削除され
を有効化]
ます。
数、時間間隔、および容量の値を超過するコア ファイルを自動的に削除するために、
これらの値を指定できます。
[フィードバック ファイル これが選択されている場合、構成した設定に応じて自動的にフィードバック ファイル
の自動削除を有効化]
が削除されます。
数、時間間隔、および容量をコア ファイルと同じ方法で指定できます。
ファイル システム ログ設定
ファイル システム ログ設定は、ログ ルールによって管理されているログ ファイルのローテーション、削除、および
プッシュの構成のために使用されます。
ファイル システム ログ設定
ルールによって管理されているログ ファイルを保管するログの設定
表 16-26 ファイル システム ログ設定
オプション
定義
[ログの名前]
ログ名を指定します。
[ログ バッファリングを有効にする]
選択されていると、ログがバッファリングされます。
バッファー間隔は、30 秒です。
[ヘッダー書き込みを有効にする]
選択されていると、下のヘッダーがすべてのログ ファイルに追加されま
す。
[ログ ヘッダー]
すべてのログ ファイルのヘッダーを指定します。
[ログ ファイルを暗号化]
選択されていると、ログ ファイルは暗号化された状態で保管されます。
[最初のパスワード、繰り返しのパスワー 暗号化されたログ ファイルへのアクセスを提供するパスワードを設定し
ド]
ます。
[オプション][2 番目のパスワード、繰 暗号化されたログ ファイルへのアクセスを提供する 2 番目のパスワー
り返しのパスワード]
ドを設定します。
ローテート、削除、およびプッシュの設定
ログ ファイルの管理のための設定
McAfee Web Gateway 7.4.0
製品ガイド
399
16
モニタリング
ログ
ルールによって管理されているログ ファイルのローテート、削除、およびプッシュの設定には、ログ ファイル マネ
ージャーの設定の一部として構成される、モジュールによって管理されているログ ファイルの対応している設定と同
じオプションが含まれていて、同様に構成されています。
ログの作成
ログ ファイルにエントリを書き込むために、ログ ルールが使用できるログを作成できます。
ログを作成する際に、それを別途作成するのではなく、ファイル システム設定モジュールの新規設定作成の一部とし
て、作成します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[ファイル システム ログ]を展開し、既存の設定の 1 つを選択します。例:[アクセス ログ設定]。
これらは新しいログの設定を含めて、新しい設定の作成の開始点となります。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、設定名を入力します。
5 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[ログ名]で、新しいログの名前を入力します。
8
必要に応じて、ローテーションまたは削除などの他の設定を構成します。
9
[OK]をクリックします。
[設定の追加]ウィンドウを閉じて、設定ツリーの[ファイル システム ログ]に新しい設定が表示されます。
10 [変更の保存]をクリックします。
ログ ハンドラーの作成
新しいログ ルールを作成する際、それらを既存のログ記録ルール セットに挿入するか、それらのために新しいルー
ル セットを作成します。これらはログ ハンドラーとして知られるトップレベル ルール セットでそれら自体をネス
ト化する必要があります。
また、新しいログ ルール セットの挿入にデフォルト ログハンドラーを使用することもできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
[ルール セット]メニューから[ログ ハンドラー]を選択します。
3
ログ ハンドラー ツリーの上にある[追加]をクリックして、表示されるドロップダウン メニューから[ログ ハンド
ラー]を選択します。
[新しいログ ハンドラーの追加]ウィンドウが開きます。
4
[名前]フィールドで、ログ ハンドラーの名前を入力します。
5
[有効にする]が選択されていることを確認します。
6 [オプション][コメント]フィールドで、ログ ハンドラーの平文コメントを入力します。
400
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
7 [オプション][権限]タブをクリックして、ログ ハンドラーへのアクセスが許可されるユーザーを設定します。
8
[OK]をクリックして、[新しいログ ハンドラーの追加]ウィンドウを閉じます。
新しいログ ハンドラーがログ ハンドラー ツリーに表示されます。
9
[変更の保存]をクリックします。
ログ ルールの要素
ログ ルールは、特定ログへのログ ファイル エントリの書き込みを処理します。その要素は、他のルールと同じタイ
プのものです。
名前
ウイルス検出ログの書き込み
条件
アクション
Antimalware.Infected
equals true
–> 続行
イベント
– Set User-Defined.LogLine =
+ DateTime.ToWebReporterString
+ “ ””
+ Authentication.Username
+“”
+ String.ReplaceIf Equals (IP.ToString(Client.IP),
““”, “-”)
+ ““ ””
+ List.OfString.ToString
(Antimalware.VirusNames)
+ ““ ””
+ URL
+ ““”
FileSystemLogging.WriteLogEntry
(User-Defined.logLine)<ウイルス検出ログ>
このルールの要素には以下の意味があります。
•
条件 — Antimalware.Infected equals true
ルールの条件は Antimalware.Infected プロパティを使用します。これは、このプロパティの値が true の
場合一致します。これはフィルタリングされたオブジェクトが感染している場合、ルールが適用されるという意
味です。
•
アクション — Continue
ルールが適用されると、Continue アクションが実行されます。このアクションは、現在のルールのイベントも実
行された後、次のルールで処理を続行させます。
•
イベント — ルールが適用される際に、以下の 2 つのイベントも実行されます。
•
Set User-Defined.logLine = ... — ロギングされるパラメーター値を設定します。
これらの値は次のとおりです。
•
FileSystemLogging.WriteLogEntry ... — 書き込みイベントを実行します
McAfee Web Gateway 7.4.0
製品ガイド
401
16
モニタリング
ログ
書き込むエントリ、および書き込まれるログ ファイルはイベントで指定されます。
•
(User-Defined.logLine) — エントリを指定するイベント パラメーター
これはルールの他のイベントによって設定されたパラメーター値のログ ファイル ラインです。
•
<ウイルス検出ログ> — ログ ファイルを指定するイベント設定
ベストプラクティス - ログ ファイル フィールドの追加
ログのログ ファイルに書き込まれるエントリにログ ファイル フィールドを追加すると、Web Gateway で実行され
るアクティビティについて追加情報を記録できます。
ログ ファイル フィールドを追加するときに、ログ ヘッダーを適用して、新しいログ ファイル フィールドのエント
リを設定することもできます。これにより、ログ ファイルに書き込まれるヘッダーに、このフィールドの情報を追加
できます。
ログ ファイル フィールドを追加する
ログ ファイルのエントリにログ ファイル フィールドを追加するには、ログ ファイル エントリの書き込み設定に必
要な要素を追加します。
以下では、Web Gateway で受信したクライアント要求の宛先 IP アドレスをルールに追加し、ログ ファイル エン
トリをデフォルトのアクセス ログに書き込む方法について説明します。
タスク
1
[ポリシー ] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、デフォルトの「ログ ハンドラー」ルール セット
を展開し、[アクセス ログ] を選択します。
3
ログ ファイル エントリに書き込む要素を追加します。
a
[アクセス ログの書き込み] ルールを選択し、すぐ上の [編集] をクリックします。
b
[イベント] を選択して、[User-Defined.logLine の設定] イベントを選択し、[編集] をクリックします。
c
[この文字列の結合] で [追加] をクリックします。
d
[パラメーター プロパティ] をクリックして、プロパティ リストから [IP.ToString] を選択し、プロパティ名
の横にある [パラメーター] をクリックします。
プロパティを検索するには、リストの上にあるフィルター フィールドに該当する文字の組み合わせ (例:
ip.tos) を入力します。
[プロパティのパラメーター] ウィンドウが開きます。
e
[パラメーター プロパティ] をクリックして、[URL.Destination.IP] を選択します。
f
[プロパティのパラメーター] ウィンドウで [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリ
ックします。
[プロパティ設定の編集] ウィンドウで、次のように古い要素の最後に新しい要素が追加されます。
+ Number.ToString(Block.ID) + "" "" + Application.ToString(Application.Name) + """ +
IP.ToString(URL.Destination.IP)
402
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
4
16
区切り文字を挿入して、新しいログ ファイル フィールドを前のフィールドと区別します。
a
二重引用符が 3 つある行を選択して、[編集] をクリックします。
b
ウィンドウに表示された二重引用符の横に空白を挿入し、[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。[プロパティ設定の編集] ウィンドウで、2 つの要素の間の行が次の
ようになります。
+ Application.ToString(Application.Name) + "" " + IP.ToString(URL.Destination.IP)
c
5
[文字列の入力] ウィンドウと [プロパティ設定の編集] ウィンドウで [OK] をクリックします。[ルールの編
集] ウィンドウで [完了] をクリックします。
[ルールの編集] ウィンドウで [完了] をクリックし、[変更を保存] をクリックします。
ログ ヘッダーを適用する
アクセス ログ ヘッダーを適用するには、ログ ファイルの書き込み用に追加した新しい要素にヘッダー エントリを追
加します。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーで [ファイル システム ログ] を展開し、[アクセス ログ設定] を選択します。
3
[ファイル システム ログ設定] で、[ヘッダーの書き込みを有効にする] が選択されていることを確認します。[ロ
グ ヘッダー] フィールドにあるテキスト文字列の終わりで、最後の要素の後を空白のままにして server_ip と
入力します。
ヘッダー フィールドの名前 (server_ip など) にスペースは使用できません。アンダースコアを使用してくださ
い。
4
[変更を保存] をクリックします。
ベスト プラクティス - ログの作成
ログを作成すると、Web Gateway で実行される特定のアクティビティを記録することができます。
たとえば、特定のクライアントから受信した無効な要求またはブロックされた要求をすべて記録することができます。
ログへの記録はログ ルールに従って行われます。ログに記録する要求を Web Gateway で受信すると、このルール
が適用され、次の処理が実行されます。
•
要求に関する情報をログ ファイル エントリ (ログ ラインともいいます) に記録します。
このエントリには、要求の送信時間、要求を送信したユーザーの名前などが記録されます。
•
ログ ファイルにエントリを書き込みます。
ログ ファイルはログに保存されます。ログ ファイルをローテーションし、一定の時間の経過後に削除すると、大
量のメモリー消費を避けることができます。
Web Gateway の他のルールと同様に、ログ ルールはルール セット (ログ ルール セット) に記述する必要がありま
す。
McAfee Web Gateway 7.4.0
製品ガイド
403
16
モニタリング
ログ
情報を記録するログを作成するには、次の操作を行います。
•
ログ ルール セットの作成
•
ログ ルールの作成
ログ ルールを作成するには、次の設定を行う必要があります。
•
ルール条件
•
ログ ファイル エントリを書き込むイベント
•
ログ ファイル エントリをログ ファイルに書き込むイベント
書き込みイベントを設定する場合には、ログ ファイルを保存するログも指定します。
ログ ファイル エントリの設定
ログ ルールを作成するときに、ログ ファイル エントリを生成するルールにイベントを設定する必要があります。
ログ ファイル エントリには、Web Gateway で実行されたアクティビティに関する情報 (要求の受信やフィルタリ
ングなど) が記録されます。
この情報の保存にはプロパティが使用されます。たとえば、Authentication.Username プロパティには、要求を送
信したユーザーの名前が記録されます。
ログ ファイル エントリを生成するイベントを設定するには、情報の保存に使用するプロパティをすべて指定する必
要があります。イベントが発生すると、これらのプロパティの値が組み合わされ、User-Defined.logLine とい
う 1 つのプロパティに記録されます。
次に、User-Defined.logLine プロパティの値が書き込みイベントによってログ ファイルに書き込まれます。
ログ ファイル エントリを生成するイベントのプロパティを指定するときに、いくつかの点に注意する必要がありま
す。
文字列形式
ログ ファイル エントリは文字列形式のデータ連鎖です。イベントが使用するプロパティは文字列形式にする必要が
あります。それ以外の形式は変換が必要になります。
たとえば、クライアントの IP アドレスをログに記録する場合には、Client.IP プロパティを使用します。このプロパ
ティの値に特殊な IP アドレス形式を保存する場合には、IP.ToString プロパティで形式を変換します。
この場合、IP.ToString(Client.iP) のように、IP.ToString をログ ファイル エントリの要素として指定し、パラ
メーターとして Client.IP を括弧内に指定します。この項目が処理されると、文字列形式の IP アドレスが渡されま
す。
空の要素
ログ ルールを処理するときに、すべてのプロパティに値が記録されているとは限りません。したがって、ログ ファ
イル エントリに空の要素が存在する場合があります。
たとえば、要求を送信したユーザーの認証が実行されなかった場合、Authentication.Username プロパティに
値はありません。この場合、プレースホルダーとしてダッシュなどを挿入できます。
404
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
この場合、String.ReplaceIfEqual プロパティを使用します。このプロパティには次の 3 つのパラメーターを指
定します。
•
プロパティに実際に記録された値
•
値 1 と比較する値
•
値 1 と値 2 が一致した場合に 値 2 と置き換える値
たとえば、String.ReplaceIfEqual プロパティのパラメーターとして、Authentication.Username、空白、ダッシ
ュを指定したときに、ユーザー名が記録されないと、ログ ファイル エントリの user-name 要素にダッシュが入り
ます。
区切り文字
ログ ファイル エントリを読みやすくするには、ログ ファイル エントリの要素を区切る区切り文字を設定します。区
切り文字としては、空白、引用符、その他の文字を使用できます。
区切り文字はエントリの主要素と同じ方法で指定します。また、区切り文字は文字列として解釈されます。
ログ ルールのログ ルール セットを作成する
エントリをログ ファイルに書き込み、ログを保存するログ ルールを作成するには、このルールにログ ルール セット
を作成し、ルール条件とイベントを設定します。
ここで説明するサンプル ルールでは、次の条件を満たした場合に特定の ID を持つクライアントから受信したすべて
の要求をログに記録します。
•
HTTP プロトコルで要求が無効な場合 (応答 403) または
•
Web Gateway の Web セキュリティ ルールで要求がブロックされた場合 (ブロック ID が 0 以外の場合)
タスク
1
[ポリシー ] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、デフォルトの「ログ ハンドラー」ルール セット
を展開します。
3
ログ ルールにルール セットを作成します。
このルール セットはデフォルトのルール セットにネストされます。
a
[追加]、[ルール セット] の順にクリックします。
b
[名前] フィールドに、新しい「ログ」ルール セットの名前を入力します。例: Troubleshooting Log
c
[OK] をクリックします。
ウィンドウが閉じます。ログ ハンドラー ツリーに新しい「ログ」ルール セットが表示されます。
4
5
ログ ルールを追加して名前を設定します。
a
設定ペインで、[ルールの追加] をクリックします。
b
[名前] フィールドにログ ルールの名前を入力します。例: Log requests that caused issues
ルール条件を設定します。
a
[ルール条件] を選択します。[追加] をクリックして、[詳細条件] を選択します。
b
優先順位として [Client.IP] を選択し、演算子に [等しい] を選択します。[比較] の下にあるフィールドで、
オペランドとして IP アドレス (例: 10.149.33.8) を入力します。
McAfee Web Gateway 7.4.0
製品ガイド
405
16
モニタリング
ログ
c
[OK] をクリックします。
[条件の追加] ウィンドウが閉じます。設定したルール条件が [ルールの追加] ウィンドウに表示されます。
6
d
もう一度 [追加] をクリックして、2 つ目の条件を設定します。
e
最初の部分と同じ方法で、[Response.StatusCode]、[等しい]、403 を設定し、[OK] をクリックします。
f
同じ方法で、[Block.ID]、[等しくない]、0 を設定し、[OK] をクリックします。
ログ ファイル エントリを生成するイベントを設定します。
a
[イベント] を選択して [追加] をクリックし、[プロパティの値を設定] を選択します。
b
プロパティ リストで [User-Defined.logLine] を選択し、[この文字列の結合] で [追加] をクリックします。
c
[パラメーター プロパティ] をクリックします。ログ ファイル エントリの最初の要素としてプロパティ リス
トから [DateTime.ToWebReporterString] を選択します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した要素が [プロパティ設定の追加] ウィンドウに表示されま
す。
d
[追加] をクリックします。[パラメーター値] が選択されていることを確認して、空白の後に二重引用符を入
力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
e
ログ ファイル エントリの次の要素を追加します。
•
[追加]、[パラメーター プロパティ] の順にクリックします。
•
[String.ReplaceIfEquals] を選択して、プロパティ名の横にある [パラメーター] をクリックします。
[プロパティのパラメーター] ウィンドウが開きます。
•
最初のパラメーターで [パラメーター プロパティ] をクリックし、[Authentication.Username] を選択
します。
•
2 番目のパラメーターを選択します。ただし、右側の入力フィールドには何も入力しないでください。
パラメーター値として空白が使用されます。
•
3 番目のパラメーターを選択して、入力フィールドにダッシュを入力します。
•
[プロパティのパラメーター] で [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリックし
ます。
要素が [プロパティ設定の追加] ウィンドウに表示されます。
f
[追加] をクリックして、二重引用符、空白、二重引用符を入力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
406
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
g
16
次のリストにあるプロパティを選択して、残りの要素を追加します。手順 f のように、要素の間に区切り文字
を挿入してください。
•
[Client.IP]
この要素の場合、[Client.IP] プロパティのパラメーターとして [IP.ToString] プロパティを設定します。
手順 e と同様にパラメーターを追加します。
•
[Request.Header.First.Line]
•
[Header.Request.Get]
パラメーターの値として user-agent を入力し、この要素のパラメーターを設定します。
•
[Rules.CurrentRuleSet.Name]
•
[Rules.CurrentRule.Name]
•
[Block.ID]
この要素の場合、[Block.ID] プロパティのパラメーターとして [Number.ToString] プロパティを設定し
ます。
•
[Block.Reason]
この最後の要素の後に、区切り文字として二重引用符を 1 つだけ使用します。
h
[OK] をクリックして、[プロパティ設定の追加] ウィンドウを閉じます。
ログ ファイル エントリを生成するイベントが [ルールの追加] ウィンドウに表示されます。
次のように表示されます。
Set User-Defined.logLine = DateTime.ToWebReporterString + " "" +
String.ReplaceIfEquals (Authentication.UserName, "", "-") + "" "" +
IP.ToString(Client.IP) + "" "" + Request.Header.First.Line + "" "" +
Header.Request.Get("user-agent") + "" "" + Rules.CurrentRuleSet.Name + "" "" +
Rules.CurrentRule.Name + "" "" + Number.ToString(Block.ID) + "" "" + Block.Reason + """
変更が必要な場合には、イベントを選択して [編集] をクリックし、[プロパティ設定の編集] ウィンドウを開
きます。
表示されるイベントには + 記号が自動的に追加されます。
文字列値の前後に二重引用符が追加されます。たとえば、最初の区切り文字の " "" は空白と二重
引用符を表します。
7
ログ ファイル エントリをログ ファイルに書き込むイベントを設定します。
a
[ルールの追加] ウィンドウ (変更を行う場合には [ルールの編集] ウィンドウ) の[イベント] で、[追加] をク
リックして [イベント] を選択します。
b
イベント リストから [FileSystemLogging.WriteLogEntry] を選択し、[パラメーター] をクリックします。
c
[パラメーター プロパティ] をクリックします。下のリストで [User-Defined.logLine] を選択して [OK]
をクリックします。
[実行アクションのパラメーター] ウィンドウが閉じます。
d
[イベントの追加] ウィンドウで、[設定] フィールドの下にある [追加] をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
407
16
モニタリング
ログ
e
新しい設定を作成します。
作成した新しいログが処理されるときに、これらの設定がファイル システム ログ モジュール (またはエンジ
ン) によって使用されます。
•
[名前] フィールドに、新しい設定の名前を入力します。例: Troubleshooting Log Settings
•
[ログの名前] で troubleshooting.log と入力します。
•
[ヘッダーの書き込みを有効にする] を選択します。[ログ ヘッダー] フィールドで、ログ ヘッダーの要素
を入力します。
新しいログのログ ファイルの先頭にログ ヘッダーが表示されます。これは、手順 6 で設定したログ ファ
イル エントリの要素を表します。
ログ ヘッダーは次のようになります。
time_stamp "auth_user" "src_ip" "req_line" "user_agent" "rule_set" "rule"
"block_page_res" "block_res"
•
[ローテート、削除、およびプッシュの設定] で、次の設定を行います。
•
[ユーザー定義ログの指定設定の有効化] を選択します。
•
[自動ローテーション] で、[ローテーション後の GZIP ログ ファイル] を選択してメモリー領域を節約
します。
•
必要に応じて、[自動ローテーション] と [自動検出] で残りの設定を行います。
この新しいログのログ ファイルがプッシュされなくなるので、[自動プッシュ] を有効にしたり、設定
しないでください。
f
[設定の追加] ウィンドウで [OK] をクリックし、[イベントの追加] ウィンドウで [OK] をクリックします。
ウィンドウが閉じます。ログ ファイル エントリを書き込むイベントが [ルールの追加] (または [ルールの編
集]) ウィンドウに表示されます。
g
[完了] をクリックします。
ウィンドウが閉じます。[ルール セット] タブに、[トラブルシューティング ログ] ルール セットとして新し
いログ ルールが表示されます。
これで、特定の要求を記録するログ ルールが作成されました。
設定した名前のログにログ ファイルが表示されます。このログは、ルールを有効にしたアプライアンスの [トラブル
シューティング] の最上位メニューからアクセスできます。
ログにアクセスするには、[ログ ファイル] 、 [ユーザー定義ログ] の順に移動します。
.
ログ ルール セットへのアクセス
アクセス ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セットで
す。
ネストされているデフォルト ルール セット — アクセス ログ
条件 — Always
408
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
ログ
16
ルール セットには、以下のルールが含まれます。
access.log の書き込み
Always –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ構成>
ルールはイベントを使用して、ユーザー名またはリクエスト ヘッダーなどのユーザーによって送信されたリクエス
トに関連したパラメーター値で、ログ ファイル エントリを満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびロギングされます(値を設定するイベントによ
って使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• 応答ステータス — String.ReplaceIfEquals (Number.ToString (Response.StatusCode), “”,
“-”)
• リクエスト ヘッダー — RequestHeader.FirstLine
• URL カテゴリ — List.OfCategory.ToString (URL.Categories)
• URL レピュテーション — String.ReplaceIfEquals (URL.ReputationString, “”, “-”)
(URL.Reputation<Default>)
• メディア タイプ — MediaType.ToString (MediaType.FromHeader)
• 本文サイズ — String.ReplaceIfEquals (Number.ToString (Body.Size), “”, “-”)
• ユーザー エージェント — Header.Request.Get(“User-Agent”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• ブロック アクション ID — Number.ToString (Block.ID)
ログ ルールは、Web へのアクセス リクエストが受信されたときに適用されます。
次に、ログ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
ウイルス検出ログ ルール セット
ウイルス検出ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セット
です。
ネストされているデフォルト ルール セット — ウイルス検出ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
found viruses.log の書き込み
Antimalware.Infected equals true –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ>
McAfee Web Gateway 7.4.0
製品ガイド
409
16
モニタリング
エラー処理
ルールは、イベントを使用してログ ファイル エントリをウイルス名や IP アドレスなど、ウイルスまたはその他の
マルウェアに感染した Web オブジェクトに関連するパラメーター値で満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびログされます(設定されているイベントによっ
て使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• URL — URL
ログ ルールは、リクエストされた Web オブジェクトが感染していると判明した場合に、適用されます。次に、ロ
グ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
エラー処理
エラーおよびインシデントがアプライアンスで発生した場合、適切な対策が取れます。いくつかの対策は、ルールに
よってコントロールされています。
エラー ID を使用するエラー処理
アプライアンス上で発生するエラーは、エラー ID によって識別されます。これらは、エラー処理の特定方法をトリ
ガーするために、ルールによって使用される可能性があります。
ルールでエラー ID の使用を有効にするには、Error.ID プロパティを利用できます。ルールは、このプロパティが
特定値を持つ場合(たとえば、マルウェア対策モジュールの読み込みの失敗を示す 14000)、アクションまたはイベ
ントをトリガーします。
トリガーされるアクションまたはイベントは、Web オブジェクトへのアクセスのブロック、またはログ ファイルの
エントリの作成など、エラー処理の特定方法を使用します。
エラー処理方法をトリガーするためのエラー ID を使用するルールは、たとえば、以下のものがあります。
名前
マルウェア対策エンジンに負荷をかけられない場合にブロック
条件
Error.ID equals 14000
アクション
–>
ブロック<マルウェア対策エンジンに負荷をかけられない>
インシデント情報を使用するエラー処理
インシデントと呼ばれるアプライアンス上のアクティビティと状況のグループがあります。インシデント情報は、エ
ラー処理の特定方法をトリガーするために、ルールによって使用される可能性があります。
インシデントは、アプライアンス システムに加え、そのサブシステムとモジュールに関連する可能性があります。
例: ログ ファイル マネージャーがログ ファイルのプッシュに失敗した場合、インシデントとして記録されます。
410
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
エラー処理
16
インシデントは、通知メッセージの送信またはシステム ログでのエントリの作成など、特定のエラー処理方法をトリ
ガーするために、ルールによって使用される可能性があります。ルールのインシデントの使用を有効化するために、
ID、重大度、元の場所、およびその他を含む主要インシデント パラメーターがプロパティとして利用可能にされま
す。
例: Incident.ID プロパティがあります。ルールはこのプロパティを使用して、プロパティの値が特定の数の場合
に syslog エントリを作成するイベントをトリガーできます。
インシデントを利用するルール
エラー処理のデフォルト ルール セットには、ログ ファイル マネージャーに関連するインシデントが発生する場合に
通知メッセージおよびその他エラー処理イベントをトリガーするルールを提供する、ネストされているルール セット
が含まれます。このネストされているルール セットの名前はログ ファイル マネージャー インシデントです。その
他のネストされているルール セットは更新およびライセンスに関連するインシデントを処理します。
また、ルールおよびエラー処理のインシデントを使用する独自のルール セットも作成できます。
インシデント パラメーターおよびプロパティ
インシデントは、それらの ID およびその他パラメーターとともにアプライアンスに記録されます。各パラメーター
には、適切なルールに使用できるプロパティがあります。
•
インシデント ID — 各インシデントは番号によって識別されます。例: ID 501 を持つインシデントは、ログ フ
ァイル マネージャーがログ ファイルをプッシュできなかった場合のものです。Incident.ID プロパティは、イ
ンシデントの ID を確認するために、ルールで使用できます。
•
説明 — インシデントは平文で説明できます。関連するプロパティの名前は Incident.Description です。
•
元の場所 — 各インシデントは元の場所のアプライアンス コンポーネントに割り当てられます。元の場所は番号
によって指定されます。例: 元の場所の番号 5 はログ ファイル ハンドラーを指定します。関連するプロパティ
の名前は Incident.Origin です。
•
OriginName — インシデントの元はインシデントに関連するアプライアンス コンポーネントの名前によって
さらに指定されます。関連するプロパティの名前は Incident.OriginName です。
元の名前は、元の場所の数値に指定されたコンポーネントの一部であるサブコンポーネントを指定できます。例:
元の場所の数値 2(コア) は次の元の名前でさらに指定できます。
•
•
コア
•
プロキシ
•
URL フィルター
•
その他のコア サブコンポーネントの名前
重大度 — 各インシデントは重大度に従って分類されます。重大度レベルの範囲は 0 ~ 7 で、0 が最高レベルで
す。
これらのレベルは syslog ファイルのエントリで使用されているものと同じです。
関連するプロパティの名前は Incident.Severity です。
•
影響を受けるホスト — インシデントに関連する外部システムがある場合、例えば、アプライアンスが接続できな
いサーバーがある場合、このシステムの IP アドレスも記録されます。関連するプロパティの名前は
Incident.AffectedHost です。
エラー処理の構成
このプロセスがネットワークの要件に対応するように、エラー処理を構成することが可能です。
以下の高レベル手順を完了します。
McAfee Web Gateway 7.4.0
製品ガイド
411
16
モニタリング
エラー処理
タスク
1
エラー処理のデフォルト ルール セットのネストされているルール セットにあるルールを確認します。
このルール セットの名前は デフォルトです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
3
•
特定のエラーまたはインシデントが発生する際に、エラー処理の追加措置をとるルールの有効化。
•
追加のエラーとインシデントを処理する新しいルールとルール セットの作成。
変更を保存します。
エラー処理ルール セットの表示
Web フィルタリング ルールに対する通常のルール セット ツリーに加えて、ユーザー インターフェースに提供され
るルール セット ツリーでエラー処理用に実装されるルール セットを表示することができます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーの下で、[エラー ハンドラー]を選択します。
3
[デフォルト]トップレベル ルール セットを展開します。
エラー処理用のネストされたルール セットが表示されます。
4
ネストされたルール セットを選択します。
ネストされたルール セットのルールが設定ペインに表示されます。
デフォルト エラー ハンドラー ルール セット
デフォルト エラー ハンドラー ルール セットは、エラー処理のデフォルト ルール セットです。
デフォルト エラー ハンドラー ルール セット - デフォルト
条件 — Always
以下のルール セットは、このルール セット内にネストされています。
•
•
412
長期接続
モニタリング
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
•
ログ ファイル マネージャーのインシデント
•
更新インシデントの処理
•
ライセンス インシデントの処理
•
マルウェア対策エンジンのエラー時にブロック
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
エラー処理
•
URL フィルター エラー時にブロック
•
すべてのエラー時にブロック
16
長期接続
ネストされているエラー処理ルール セットは、プロキシ モジュールのエラー発生時に接続を有効状態に維持します。
ネストされているエラー ハンドラー ルール セット — 長期接続
条件 – Error.ID equals 20000
このルール セットの条件は、Error.ID プロパティの値がプロキシ モジュールの異常を示す 20000 になった場合、
ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
接続を常に有効状態に維持
Always –> Stop Cycle
ルールが実行されると、現在処理中のサイクルを停止します。ルールはルール セットの条件が一致した場合、必ず
実行されます。処理中のサイクルを停止することは、接続がさらなるルール処理を行う間に閉じることを防ぎます。
このルールは、デフォルトでは有効になっていません。
モニタリング
このネストされているエラー ハンドラー ルール セットは、アプライアンス システムに関連するインシデントが発生
したときに取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — モニタリング
条件 — Incident.ID equals 5
このルール セットの条件は、Incident.ID プロパティの値がアプライアンス システムに関連するインシデントを示
す 5 の場合、ルール セットを適用することを指定します。
以下のルール セットは、このルール セット内にネストされています。
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
CPU の負荷を確認
このネストされているエラー ハンドラー ルール セットは CPU の負荷が構成された値を超えたときに取られる対策
を処理します。
ネストされているエラー ハンドラー ルール セット — CPU の負荷を確認
条件 — Statistics.Counter.GetCurrent(“CPULoad”) <デフォルト> greater than or equals 95
このルール セットの条件は、CPU の負荷の Statistics.Counter. GetCurrent プロパティ値が 95 以上の場合、ルー
ル セットを適用することを指定します。この値は CPU が現在実行中の最大負荷のパーセンテージを示しています。
値を提供する統計モジュールは、CPU の負荷プロパティのパラメーターの後に指定されているように、デフォルトの
設定とともに実行されます。
このルール セットは、以下のルールを含みます。
McAfee Web Gateway 7.4.0
製品ガイド
413
16
モニタリング
エラー処理
通知メッセージの作成
Always –> Continue – Set User-Defined.loadMessage =
“CPU load at “
+ Number.ToString (Statistics.Counter.GetCurrent(“CPULoad”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティを CPU 負荷のメッセージ テキストを構成する値のチェ
ーンに設定します。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して CPU の負荷を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
キャッシュ パーティションを確認
このネストされているエラー ハンドラー ルール セットは、Web キャッシュの使用率が構成された値を超えたとき
に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — キャッシュのパーティションを確認
条件 – Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト> greater than or
equals 95
このルール セットの条件は、Web キャッシュの使用率の Statistics.Counter. GetCurrent プロパティ値が 95 以
上の場合に、ルール セットを適用することを指定します。この値は、現在使用されている Web キャッシュの最大許
容使用率のパーセンテージを示します。
値を提供する統計モジュールは、WebCacheDiskUsage プロパティのパラメーターの後に指定されているように、
デフォルトの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.cacheMessage =
“Cache partition usage at “
+Number.ToString (Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されてます。もう一方は Web キャッシュの使
用率に関するメッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
414
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
エラー処理
16
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して Web キャッシュの使用率を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
リクエストの過負荷を確認
このネストされているエラー ハンドラー ルール セットは、1 秒あたりのアプライアンスで処理されるリクエスト数
が構成された値を超えた場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — リクエストの過負荷を確認
条件 — Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト> greater than or equals
480000
このルール セットの条件は、リクエストの Statistics.Counter. GetCurrent プロパティ値が 480,000 以上の場
合、ルール セットを適用することを指定します。この値は 1 秒あたりに現在処理されているリクエスト数です。
値を提供する統計モジュールは、HttpRequests プロパティのパラメーターの後に指定されているように、デフォル
トの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.requestsPerSecond =
Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト>)
/ 60
Set User-Defined.requestLoadMessage =
“detected high load: ”
+ Number.ToString (User-Defined.requestsPerSecond)
+ “requests per second”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されています。もう一方はこの番号に関するメ
ッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して、リクエストの過負荷を管理者に知られます。
これらのルールはデフォルトでは有効ではありません。
ログ ファイル マネージャーのインシデント
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ログ ファイル マネージャー インシデント
条件 – Incident.ID greater than or equals 501 AND Incident ID less than or equals 600
McAfee Web Gateway 7.4.0
製品ガイド
415
16
モニタリング
エラー処理
このルール セットの条件は、Incident.ID プロパティの値がログ ファイル マネージャーに関連するインシデントの
範囲内の場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Incident.ID equals 501 –> Continue – Set User-Defined.notificationMessage =
“License expires in ”
+ Number.ToString (License.RemainingDays)
+ “ days”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティをライセンスの残り日数のメッセージ テキストを構成す
る値のチェーンに設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルール セットのその他のルールは、通知メッセージの作成ルールと同じ方法
で Incident.ID の値のプロパティを確認し、この値が 501 の場合さまざまなイベントを使用して対策を取ります。
これらのルールはデフォルトでは有効ではありません。
更新インシデントの処理
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — 更新インシデントの処理
条件 – IIncident.OriginName equals “Updater” OR Incident.ID equals 850 OR Incident.ID
equals 851 OR Incident.ID equals 940 OR Incident.ID equals 941 OR Incident.ID equals
1050 OR Incident.ID equals 1051 OR Incident.ID equals 1650 OR Incident.ID equals 1651
このルール セットの条件は、更新モジュールが Incident.OriginName プロパティの値によって指定された場合、ま
たは Incident.ID プロパティの値が更新モジュールに関連しているものである場合、ルール セットを適用すること
を指定します。
このルール セットは、以下のルールを含みます。
更新インシデント メッセージの作成
Always –> Continue – Set User-Defined.eventMessage =
“Update Event triggered [“
+ Number.ToString (Incident.ID)
+ “]:”
+ Incident.Description
+ “; origin:”
+ Incident.OriginNamey
+ “; severity:”
+ Number.ToString (Incident.Severity)
ルールはルール セットの条件が一致した場合、必ず実行されます。
416
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
エラー処理
16
ルールはイベントを使用して、ユーザー定義のプロパティを更新インシデントのメッセージ テキストを構成する値
のチェーンに設定します。メッセージはいくつかのインシデント プロパティの値を含みます。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
ライセンス インシデントの処理
このネストされているエラー ハンドラー ルール セットは、アプライアンスのライセンスの期限日に関連するインシ
デントが発生した場合に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ライセンス インシデントの処理
条件 — Incident.ID equals 200
このルール セットの条件は、Incident.ID プロパティの値がライセンスの残り日数のインシデントを示す 200 の場
合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
ライセンス インシデント メッセージの作成
Always –> Continue – Set User-Defined.notificationMessage =
「ログ ファイルをプッシュできません。mwg-logfilemanager エラー ログをご覧ください (/opt/mwg/log/
mwg-errors/mwg-logmanager.errors.log)。」
ルールは Incident.ID プロパティの値がログ ファイル マネージャーがログ ファイルをプッシュできないことを
示す 501 かどうかを確認します。
このケースの場合、ルールはイベントを使用して、通知メッセージのテキストである文字列の値にこのメッセージ
を送信するために、ユーザー定義のプロパティを設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
マルウェア対策エラー時にブロック
このネストされているエラー ハンドラー ルールは、マルウェア対策モジュールに負荷をかけられないまたは負荷か
かりすぎているとき、すべての Web オブジェクトへのアクセスのブロックを設定します。
ネストされているエラー ハンドラー ルール セット — マルウェア対策エラー時にブロック
条件 — Always
このルール セットは、以下のルールを含みます。
McAfee Web Gateway 7.4.0
製品ガイド
417
16
モニタリング
エラー処理
マルウェア対策エンジンに負荷をかけられない場合にブロック
Error.ID equals 14000 –> Block<マルウェア対策に負荷をかけられない>
ルールは負荷からマルウェア対策モジュール(エンジンとも呼ばれる)を防ぐエラーの Error.ID プロパティの値
が 14000 の場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
マルウェア対策エンジンに負荷がかかりすぎている場合にブロック
Error.ID equals 14001 –> Block<マルウェア対策エンジン過負荷状態>
ルールは、プロパティの値がマルウェア対策モジュール(エンジンとも呼ばれる)へのすべての接続が現在使用さ
れており、Error.ID プロパティの値がモジュールに負荷がかかりすぎていることを示す 14001 のとき、すべての
Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
URL フィルター エラー時にブロック
このネストされているエラー ハンドラー ルール セットは、URL フィルター モジュールに負荷をかけられないまた
はこのモジュールに関連したエラーが発生するとき、すべての Web オブジェクトへのアクセスのブロックを設定し
ます。
ネストされているエラー ハンドラー ルール セット — URL フィルター エラー時にブロック
条件 – Error.ID greater than or equals 15000 AND Error.ID less than or equals 15999
ルール セットの条件は、URL フィルタリング関連のエラーの範囲である、指定の範囲内に Error.ID プロパティの値
がある場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
URL フィルター エンジンに負荷をかけられない場合にブロック
Error.ID equals 15000 OR Error.ID equals 15002 OR Error.ID equals 15004 OR Error.ID
equals15005 –> Block<URL フィルターに負荷をかけられない>
ルールは Error.ID プロパティの値がルールの条件で指定されたうちの 1 つになった場合、すべての Web アクセ
スのリクエストをブロックします。これらの値は URL フィルター モジュール(エンジンとも呼ばれる)の読み込
みを防ぐエラーを示します。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
その他すべての内部 URL フィルター エラーをブロック
Always –> Block<内部 URL フィルター エラー>
ルールは、ルール セットが適用されルールに先行してルール セットが実行されていないとき常に実行されます。ル
ールは Web アクセスのすべてのリクエストをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
すべてのエラー時にブロック
このネストされているエラー ハンドラー ルール セットは、アプライアンスで内部エラーが発生した場合、すべて
の Web オブジェクトへのアクセスをブロックします。
ネストされているエラー ハンドラー ルール セット — すべてのエラー時にブロック
条件 — Always
ルール セットには、以下のルールが含まれます。
418
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
パフォーマンス測定
16
常にブロック
Always –> Block<内部エラー>
ルールは内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はアクセスをリクエストしたユーザーへのメッセージを指定します。
このルール セットでのルールはアプライアンスの内部エラーを処理するためのものです。内部エラーが発生した
ときに実行されます。これは当然、予測不可能で、フィルタリング プロセス中のいかなるときに発生したり、全く
発生しない可能性があります。これらのセンスでは、ルールの処理は通常のプロセス フローの一部ではありませ
ん。
ブロックを実行した後、ルールは内部エラー発生時にフィルタリングされていたリクエスト、応答、または埋め込
みオブジェクトのルールのさらなる全処理を停止します。
こうした場合、アプライアンスが完全に利用可能でない間、不正または不適切な Web オブジェクトがネットワー
クを出入りしないことが保証されます。
プロセス フローは、内部エラーがアプライアンス機能の一般的な妨害を引き起こさなかった場合、次のリクエスト
を受信するまで続きます。
パフォーマンス測定
複数のアプライアンス機能に対する処理時間がパフォーマンス情報として測定され、ダッシュボードに表示されます。
この情報はログ ファイル内に記録することができます。また、個々のルール セットに対して処理時間を測定して記
録することもできます。
DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均時間に関してなど、パフォーマン
スがアプライアンスで測定されます。この情報およびその他のパフォーマンス情報は、ダッシュボードで表示するこ
とができます。また、個々のルール セットを処理するために必要な時間を測定することもできます。
ダッシュボードに表示されるものと、自分で測定したものを含め、パフォーマンス情報はすべてログすることが可能
です。
パフォーマンス情報を測定してログする際には、以下の要素が関連します。
•
パフォーマンス情報をログするためのプロパティ
•
パフォーマンス情報をログするためのプロパティを使用するログ ルール
•
個々のルール セットに対する処理時間を測定するイベント
•
処理時間が測定されるようにするためのイベントが挿入されているルールを含むルール セット
ログ プロパティ
ダッシュボードに表示されるパフォーマンス情報に対応するプロパティは複数あり、これらはログ ルール内で使用で
きます。
たとえば、プロパティ Timer.ResolveHostNameViaDNS は、DNS サーバーで名前を検索することによってホ
スト名を解決するのにかかる平均時間に関するダッシュボード情報に対応します。
個々のルール セットの処理に対して測定された時間をログするために利用可能なプロパティは、2 つあります。
Stopwatch.GetMilliSeconds プロパティはミリ秒単位で、Stopwatch.GetMicroSeconds はマイクロ秒単
位で、それぞれこの時間を記録します。
ログ ルール
アプライアンスにおけるデフォルトのログ ルールは、ログ行を作成するために 1 つのイベントを使用し、これらの
行をログ ファイルに書き込むためにもう 1 つのイベントを使用します。
McAfee Web Gateway 7.4.0
製品ガイド
419
16
モニタリング
パフォーマンス測定
パフォーマンス情報をログするためのプロパティをログ行の要素に追加すると、その要素だけでなく、ログ行のその
他の要素もログ ファイル内に書き込まれます。
パフォーマンス情報をログするためのデフォルトのルールを使用したり、自分でルールを作成したりすることができ
ます。
処理時間を測定するためのイベント
個々のルール セットの処理にかかった時間を測定するために利用可能なイベントは、2 つあります。
Stopwatch.Start イベントは、この時間を測定する内部ストップウォッチを開始します。また、
Stopwatch.Stop イベントは、経過時間を記録できるようにウォッチを停止します。
測定対象ルール セット
特定のルール セットの処理にかかる時間を測定するには、内部ストップウォッチを開始するためのイベント(つま
り、開始イベント)を含むルールをルール セットの先頭に、停止イベントを含むもう 1 つのルールをルール セット
の末尾にそれぞれ作成する必要があります。
ルール セットの処理を停止するアクションが含まれる場合は、このルール セットの既存のルールにも停止イベント
を挿入する必要があります。それ以外の場合は、ウォッチが停止されることはありません。これは、ルール セットの
末尾に停止イベントがあるルールはスキップされるためです。
パフォーマンス情報の表示
複数のアプライアンス機能に関するパフォーマンス情報をダッシュボードで表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[パフォーマンス情報]を選択します。
パフォーマンス情報がタブに表示されます。
パフォーマンス測定の構成
アプライアンスの機能のパフォーマンスを測定およびロギングするために、パフォーマンス測定を構成できます。
以下の高レベル手順を完了します。
タスク
1
ダッシュボードに示されているパフォーマンス情報を表示し、どのような種類の情報をログ ファイルに記録する
かを決定します。
例: DNS サーバーでのホスト名の参照に消費する平均時間を記録できます。この情報は、ダッシュボードの
DNS 参照機能によって示されます。
2
パフォーマンス情報をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいロ
グ ルールに使用します。
例: Timer.ResolveHostNameviaDNS プロパティをデフォルトのアクセス ログルール セットの
access.log への書き込みでログ行を作成するイベントに挿入します。
420
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
パフォーマンス測定
3
16
特定のルール セットを処理するのにかかる時間を測定します。
a
ルール セットの最初に、内部ストップウォッチを開始するイベントを含むルールを挿入します。
b
ウォッチを停止して、消費した時間を測定します。
•
ルール セットの終わりに、これらのアクティビティを実行するイベントを含むルールを挿入します。
•
ルールセットのすべてのルールが処理される前に、そのルール セットを停止する能力のある既存ルールそ
れぞれに、これらのアクティビティを実行するイベントを挿入します。
例: URL フィルタリング ルール セットによって消費される処理時間を測定するには、以下の手順に従います。
4
•
ルール セットの最初に Stopwatch.Start (URL フィルタリング) イベントを含むルールを挿入します。
•
終わりに Stopwatch.Stop (URL フィルタリング) イベントを含むルールを挿入します。
•
Stopwatch.Stop (URL フィルタリング) イベントはさらなるルールの処理を停止できるため、そのイベン
トをルール セットのホワイトリストおよびブロック ルールに挿入します。
処理時間の測定をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいログ ル
ールに使用します。
例: Stopwatch.GetMilliSeconds (URL フィルタリング) プロパティをデフォルトのアクセス ログルール
セットの access.log への書き込みでログ行を作成するイベントに挿入します。
パフォーマンス情報をログするためのプロパティのルール内での使用
パフォーマンス情報がログされるようにするために、パフォーマンス ログ プロパティをログ ルールに挿入すること
ができます。
ダッシュボードに表示されるパフォーマンス情報のタイプごとに、1 つのログ プロパティが利用可能です。
ダッシュボードには、たとえば、DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均
時間が表示されます。この情報に対応するプロパティは、Timer.ResolveHostNameViaDNS です。プロパティ
の値は、アプライアンスで処理された要求内でホスト名を検索するのにかかった時間です。時間は、ミリ秒単位で測
定されます。
その他のパフォーマンス ログ プロパティには、外部サーバーへの接続に必要な時間を測定するための
Timer.HandleConnect ToServer や、アプライアンスで要求が受信された場合にルール エンジンによる処理に
必要な時間を測定するための Timer.TimeConsumedByRule Engine があります。
ダッシュボードのパフォーマンス情報をログできるようにするすべてのプロパティには、名前の先頭に Timer とい
う要素が含まれています。
トランザクションに対する処理時間の測定
ダッシュボードに表示されるパフォーマンス情報をログするためにプロパティによって測定されて利用可能になる時
間とは、個々の要求に対する処理が関連処理サイクル全体で続行される限り特定のアクティビティ(外部サーバーへ
の接続など)に必要な時間です。
1 つの個々の要求を関連サイクル全体で処理することは、1 つのトランザクションと見なされます。
1 つのトランザクションに 3 つのサイクルすべて(要求、応答、および埋め込みオブジェクト)を含める必要はあり
ません。
たとえば、ブロック対象カテゴリに分類される Web ページに対してユーザーが要求を送信した場合、このユーザー
にはブロック メッセージが返され、対象の Web サーバーに要求は転送されず、処理は応答サイクルに入りません。
また、トランザクションには要求サイクルのみが含まれ、この場合には応答サイクルは関係ありません。
McAfee Web Gateway 7.4.0
製品ガイド
421
16
モニタリング
パフォーマンス測定
パフォーマンス情報をログするためのルール
アクセス ログは、要求に対してトランザクションが完了するとログ エントリが書き込まれるログ ファイルととも
に、デフォルトによってアプライアンスに存在します。このログは、パフォーマンス情報を記録するために適切なデ
バイスです。
アクセス ログのログ ファイルへのログ エントリの書き込みは、ログ ルールによって実行されます。このルールは、
ログ ファイル エントリを作成するために 1 つのイベントを使用し、このエントリをログ ファイルに書き込むために
もう 1 つのイベントを使用します。
名前
access.log の書き込み
条件
アクション
常に適用する –> 続行
イベント
– Set User-Defined.logLine = DateTime.ToWebReporterString
+ “””
+ ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ロ
グ構成>
ログ エントリは複数の要素で構成され、各要素によって特定の情報(要求がアプライアンスで受信された日付と時刻
など)が追加されます。パフォーマンス情報を提供する要素をエントリに追加することによって、この情報がログさ
れるようにすることができます。
パフォーマンス情報(DNS 参照に必要な処理時間など)をログするには、以下の 2 つの要素を追加する必要があり
ます。
•
+ Number.ToString (Timer.ResolveHostNameViaDNS)
•
+ “””
ログ エントリは文字列であるため、処理時間に対する数値は、文字列形式に変換された後でのみログ可能になりま
す。
これは、Timer.ResolveHostNameViaDNS プロパティをパラメーターとして必要とする Number.ToString
プロパティによって行われます。
ルール セット処理時間を測定するためのイベントのルール内での使用
個々のルール セットの処理にかかった時間は、測定イベントを含むルールをルール セットに挿入することにより測
定できます。
処理時間を測定する理由は、ルール セットに変更を適用した後でパフォーマンスが向上したかどうかを把握するため
です。
ルール セット処理時間を測定するためのイベントは、アプライアンスの内部ストップウォッチを制御します。利用可
能なイベントは、以下のとおりです。
•
[Stopwatch.Start] — 内部ストップウォッチを開始します
•
[Stopwatch.Stop] — 内部ストップウォッチを停止します
•
[Stopwatch.Reset] — 内部ストップウォッチをリセットします
これらの各イベントには、それぞれが測定するルール セットを指定するために文字列パラメーターが必要となりま
す。たとえば、URL フィルタリング ルール セットの処理時間を測定する内部ウォッチを開始するイベントは、ルー
ル内で Stopwatch.Start ("URLFiltering") のように表されます。
422
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
McAfee ePO を監視するためのデータの転送
16
処理時間を測定するためのルール
URL フィルタリング ルール セットに対して処理時間の測定を開始するために、たとえば Stopwatch.Start イベ
ントを使用するルールは、次のようになります。
名前
ルール セットに対してストップウォッチを開始する
条件
常に適用する
アクション
–>
続行
イベント
–
Stopwatch.Start ("URLFiltering")
ルール セットの処理にかかる時間を測定するには、開始イベントを含むルールをルール セットの先頭に、停止イベ
ントを含むもう 1 つのルールをルール セットの末尾にそれぞれ置く必要があります。
ただし、Stop Rule Set、Stop Cycle、または Block というアクションを実行できるルールがルール セット内に含
まれている場合は、これらの各ルールに停止イベントを挿入する必要もあります。
内部ウォッチを停止するためのイベントが挿入されている URL フィルタリング ルールは、次のようになります。
名前
URL ホワイトリスト内の URL を許可する
条件
URL が URL ホワイトリストに一致する
アクション
イベント
–> 続行
– Stopwatch.Stop ("URLFiltering")
このルールを適用すると、URL フィルタリング ルール セットの処理が停止します。これは、許可された URL のリ
ストにユーザーがアクセスを要求した URL が含まれていることが検出されるからです。そのため、このルールには
停止イベントを挿入する必要があります。
ルール セットの末尾に停止イベントを含むルールは処理されないため、これは必要です。その理由は、このルールに
達する前に、ホワイトリスト ルールによってルール セットの処理が停止されるからです。
測定された処理時間のログ
ルール セットの処理に対して測定された時間をログすることができます。この目的のために利用可能なプロパティ
は 2 つあり、これらはログ ルール内で使用できます。
•
[Stopwatch.GetMilliSeconds] — ルール セット処理に対してミリ秒単位で測定された時間
•
[Stopwatch.GetMicroSeconds] — ルール セット処理に対してマイクロ秒単位で測定された時間
これらのプロパティには両方とも、処理時間が測定されたルール セットを示す文字列パラメーターが含まれます。
たとえば、URL フィルタリング ルール セットの処理時間をミリ秒単位でログするためのプロパティは、ログ ルール
内で Stopwatch.GetMilliSeconds ("URLFiltering") のように表されます。
McAfee ePO を監視するためのデータの転送
®
™
アプライアンスから McAfee ePolicy Orchestrator (McAfee ePO )コンソールへデータを転送すると、このコン
ソールから該当のアプライアンスを監視することができます。
McAfee ePolicy Orchestrator コンソールは、McAfee Web Gateway アプライアンスを含め、さまざまな McAfee
製品でセキュリティ管理を実行するためのデバイスです。
McAfee ePO コンソールとアプライアンスを適宜構成した場合は、コンソールからアプライアンスにログオンし、ア
プライアンスからコンソールが実行されているサーバーへと、監視データを転送させることができます。このサーバ
ーは、McAfee ePO サーバーとも呼ばれます。
McAfee Web Gateway 7.4.0
製品ガイド
423
16
モニタリング
McAfee ePO を監視するためのデータの転送
McAfee ePO サーバーは、定期的にアプライアンスで収集された監視データを取得するために、SSL セキュア要求
を送信します。その後、Web セキュリティ ルールの通常の処理をバイパスするために、SSL セキュア通信が開始す
る CONNECT 要求を許可する必要があります。これにより、アプライアンスで要求がブロックされないようになり
ます。
たとえば、認証ルールが実装されている場合、これらのルールによって使用される認証方法はサーバーでサポートさ
れないため、ブロックされます。
バイパスを有効にしたり、独自のルール セットを作成したりするために、ライブラリから適切なルール セットをイ
ンポートできます。
ePolicy Orchestrator 設定の構成
ePolicy Orchestrator 設定を構成して、アプライアンスから McAfee ePO サーバーへのモニタリング データの転送
を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、監視データを転送するアプライアンスを選択して、[ePolicy Orchestrator]を選択し
ます。
3
必要に応じて、ePolicy Orchestrator 設定を構成します。
4
[変更の保存]をクリックします。
ePolicy Orchestrator 設定
ePolicy Orchestrator 設定は、アプライアンスから McAfee ePO サーバーへのモニタリング データを転送するため
に使用されます。
ePolicy Orchestrator 設定
McAfee ePO サーバーへのモニタリング データを転送するための設定
表 16-27 ePolicy Orchestrator 設定
オプション
定義
[ePO ユーザー アカウン
ト]
アプライアンスからのモニタリング データの取得を可能にするアカウントのユーザー
名を指定します。
[パスワード]
ユーザーのパスワードを設定します。
[変更]
新しいパスワードを作成するためのウィンドウを開きます。
[ePO のデータ収集を有効
化]
選択されている場合、McAfee ePO サーバーのモニタリング データはアプライアンス
で収集されます。
[データ収集間隔(分単位)] データ収集の合間に経過する時間(分)を指定値に制限します。
時間は 10 分 ~ 6 時間までの範囲のスライダー スケールで設定されます。
424
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
SNMP でのイベント モニタリング
16
ePO リクエストのバイパス ルール セット
ePO リクエストのバイパス ルール セットは、McAfee ePO サーバーからのリクエストがアプライアンスのフィルタ
リング ルールのバイパスすることを可能にするためのライブラリ ルール セットです。
ライブラリ ルール セット — ePO リクエストのバイパス
条件 — Command.Name equals “CONNECT”
サイクル - リクエスト(および IM)
このルール セットの条件は、ePO サーバーとアプライアンスの間の SSL セキュア通信がサーバーからのリクエスト
をアプライアンスに接続し始めるときに、ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
ePO リクエストの後続のルールをスキップする
URL.Host equals “127.0.0.1” OR URL.Host equals “[::1]” –> Stop Cycle – Enable SSL Client
Context<デフォルト CA> – Enable SSL Scanner <edh なしの証明書認証>
このルールは URL.Host プロパティを使用して、ホストの IP アドレスに基づいてリクエストされた URL のホスト
を識別します。
このアドレスが 127.0.0.1 の場合、リクエストされた URL のホストはアプライアンスです。ePO サーバーはアプ
ライアンスへの接続要求を送信するとき、このアドレスを使用します。
そのため、127.0.0.1 がリクエストされたアドレスの場合、ルールはリクエスト サイクルでのすべてのさらなる処
理を適用および停止します。これで、CONNECT リクエストは通過を許可されます。
このプロセスでの次のステップは証明書の送信および確認です。このルールは、デフォルトの証明機関で発行され
たクライアント証明書の送信を有効化するためのイベントを含みます。
イベント設定を変更し、その他の証明機関で証明書を発行させることもできます。
認証確認が完了したら、SSL セキュア通信を開始できます。
SNMP でのイベント モニタリング
アプライアンス システムで発生するイベントは、SNMP を使用して監視できます。
SNMP(Simple Network Management Protocol)でモニタリングが実行される場合、ホスト システムで実行され
る SNMP エージェントは、このシステムで発生するイベントに関するメッセージをそのクライアントである他のホ
スト システムに送信します。
メッセージは SNMP ではトラップと呼ばれていて、SNMP エージェントが実行されるホスト システムは、管理ステ
ーションと呼ばれています。エージェントからメッセージを受け取るホスト システムも管理ステーションと呼ばれ
ていて、その上に、トラップ シンクとも呼ばれます。
特定のユーザーまたはユーザー コミュニティに、トラップで送信された情報を表示する権限が与えられます。システ
ム情報は、情報の表示にツリー構造を使用する Management Information Base(MIB)でも提供されます。
SNMP 設定の構成
アプライアンス上のシステム イベントの監視を有効化するために、SNMP 設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、SNMP 監視をオンにするアプライアンスを選択して、[SNMP]をクリックします。
McAfee Web Gateway 7.4.0
製品ガイド
425
16
モニタリング
SNMP でのイベント モニタリング
3
必要に応じて、SNMP 設定を構成します。
4
[変更の保存]をクリックします。
SNMP 設定
SNMP 設定とは、SNMP でシステム イベントの監視を構成するための設定です。
SNMP ポート設定
クライアント要求をリッスンするアプライアンスの SNMP エージェントのポートに対する設定
表 16-28 SNMP ポート設定
オプション
定義
[リスナー アドレス リスト] クライアント リクエストをリスンするポートを入力するためのリストを提供します。
次の表では、リスナー アドレス リストのエントリを説明しています。
表 16-29 リスナー アドレス - リスト エントリ
オプション
定義
[プロトコル]
ポートとこのポートがリスンするクライアントとの間の通信に使用されるプロトコルを指定
します。
• [UDP] — 選択すると、この通信に対して UDP が使用されます。
• [TCP] — 選択すると、この通信に対して TCP が使用されます。
[リスナー アドレス] リスナー ポートの IP アドレスとポート番号を指定します。
[コメント]
リスナー ポートに関するテキスト形式のコメントを提供します。
SNMP システム情報
システムをモニタリングするアプライアンスの設定
表 16-30 SNMP システム情報
オプション
定義
[説明]
モニタリング対象システムの情報が表示されます。
[オブジェクト ID] 管理情報ベース (MIB) で、モニタリング対象システムの情報が始まるオブジェクトの ID が表
示されます。
例: .1.3.6.1.4.1.1230.2.7.1.1
[担当者 ]
モニタリング対象システムの SNMP 機能を管理する担当者の名前が表示されます。
[物理的な位置]
モニタリング対象システムの位置が表示されます。
SNMP プロトコル オプション
SNMP プロトコル バージョンと SNMP 情報へのユーザー アクセスに対する設定
表 16-31 SNMP プロトコル オプション
426
オプション
定義
[SNMP v1]
選択すると、SNMP のバージョン 1 でシステム イベントが監視されます。
[SNMP v2c]
選択すると、SNMP のバージョン 2c でシステム イベントが監視されます。
McAfee Web Gateway 7.4.0
製品ガイド
モニタリング
SNMP でのイベント モニタリング
16
表 16-31 SNMP プロトコル オプション (続き)
オプション
定義
[SNMPv1 および
SNMPv2c アクセスの通信]
SNMP のバージョン 1 と 2c で SNMP 情報へのアクセスが許可されたユーザー通
信を入力するためのリストを提供します。
[SNMP v3c]
選択すると、SNMP のバージョン 3 でシステム イベントが監視されます。
[SNMP v3 ユーザー]
SNMP のバージョン 3 と 2c で SNMP 情報へのアクセスが許可されたユーザーを
入力するためのリストを提供します。
次の表では、ユーザー コミュニティのリストと SNMP v3 ユーザーのリストのエントリを説明しています。
表 16-32 ユーザー コミュニティ - リスト エントリ
オプション
定義
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字列
(例: public)を提供します。
[許可されたルート
OID]
アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
[許可]
SNMP 情報へのアクセスが許可されたホスト システムのホスト名または IP アドレスを
指定します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザー通信に関するテキスト形式のコメントを提供します。
表 16-33 SNMP v3 ユーザー - リスト エントリ
オプション
定義
[ユーザー名]
SNMP 情報へのアクセスが許可されたユーザーの名前を指定します。
[許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[認証]
ユーザーが SNMP 情報にアクセスするときに使用される認証情報が表示されます。
[暗号化]
SNMP 情報にユーザーがアクセスするときに使用される暗号化方法を設定します。
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザーの平文テキストのコメントを提供します。
SNMP トラップ シンク
SNMP メッセージを受信するホスト システムに対する設定
表 16-34 SNMP トラップ シンク
オプション
定義
[トラップ シンク] アプライアンスの SNMP エージェントからシステム イベントに関するメッセージを受信する
ホスト システム(トラップ シンクとも呼ばれる)のリストを提供します。
次の表では、トラップ シンクのリストのエントリを説明しています。
McAfee Web Gateway 7.4.0
製品ガイド
427
16
モニタリング
SNMP でのイベント モニタリング
表 16-35 トラップ シンク - リスト エントリ
オプション
定義
[ホスト名または IP アドレ
ス]
SNMP メッセージ(トラップとも呼ばれる)を受信するホスト システムのホスト名
または IP アドレスを指定します。
[ポート]
SNMP メッセージをリスンするホスト システムのポートを指定します。
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字
列(例: public)を指定します。
[SNMP v2c トラップを送
信]
選択すると、メッセージは SNMP プロトコルのバージョン v2c で送信することが可
能になります。
[コメント]
SNMP メッセージを受信するホスト システムに関するテキスト形式のコメントを提
供します。
SNMP MIB ファイル
アプライアンスの SNMP モニタリングに関する追加情報を提供する txt 形式のファイル
表 16-36 SNMP MIB ファイル
オプション
定義
[MCAFEE-SMI.txt]
McAfee カスタマー サービスの問い合わせ先など、McAfee の管理情報構造 (SMI) が
記録されています。
[MCAFEE-MWG-MIB.txt] アプライアンスでの SNMP モニタリングを可能にする管理情報ベース (MIB) の項目
に関する説明が記述されています。
428
McAfee Web Gateway 7.4.0
製品ガイド
17
トラブルシューティング
アプライアンスの問題をトラブルシューティングするために、さまざまな方法とツールを利用できます。
目次
トラブルシューティング方法
ルール追跡
フィードバック ファイルの作成
コア ファイルの作成の有効化
接続追跡ファイルの作成の有効化
パケット追跡ファイルの作成
ネットワーク ツールの操作
アプライアンスの構成をバックアップまたは復元する
トラブルシューティング方法
アプライアンスで問題が発生した場合には、さまざまな方法を使用して解決することができます。
ルール追跡を実行する
ユーザー インターフェースでルール追跡を作成して、確認することができます。この追跡では、Web Gateway の
クライアントから送信された要求と Web からの応答に対するルールの処理方法が記録されます。
これらの追跡結果を見ると、特定の要求に対するルールの処理方法と実行されたアクションを確認できます。
ユーザー インターフェースには、次の追跡情報が表示されます。
•
サイクル - ルール アクションが実行された要
求、応答、埋め込みオブジェクトのサイクル。
•
プロパティ - ルール条件が一致したときのプロ
パティと値
•
ルール - これらのサイクルで処理されたルール
•
アクション - ルール条件が一致したときに実行
されたアクション
•
ルール セット - ルールが含まれているルール
セット
•
イベント - ルール条件が一致したときに実行さ
れたイベント
•
ルール条件 - ルールの実行条件
ファイル内へのデータの記録と検査
アプライアンスの動作に関するデータは、ファイル内に記録して検査することができます。この目的のために作成で
きるファイルのタイプは、以下のとおりです。
•
ログ ファイル — アプライアンスへのアクセスやファイルの更新など、イベントと機能をログします
•
ルール追跡ファイル — ルールの処理を記録します
McAfee Web Gateway 7.4.0
製品ガイド
429
17
トラブルシューティング
ルール追跡
•
フィードバック ファイル - 機能が失敗する前のプロセスに遡って追跡します。
•
コア ファイル — 機能が失敗したためにアプライアンスの動作が終了した後にメモリのコンテンツを記録します
•
接続追跡ファイル — アプライアンスと他のネットワーク コンポーネントとの間の接続上におけるアクティビテ
ィを記録します
•
パケット追跡ファイル — アプライアンスのネットワーク アクティビティを記録します
ネットワーク ツールの使用
場合によっては、アプライアンスから他のネットワーク コンポーネントへの接続が引き続き機能しているかどうかを
テストする必要があります。この目的のために利用可能なツールは、ping、nslookup、ipneigh などを含め、複
数存在します。
構成の復元
他のトラブルシューティング方法が機能しない場合は、問題のあるアプライアンス構成を削除してバックアップで置
換しなければならないことがあります。
バックアップを作成しておくと、既存の構成に適用された変更を破棄する場合など、他の状況でも役立つことがあり
ます。
バックアップを作成したり、バックアップを使用して構成を復元したりするために、オプションが提供されます。
ルール追跡
ユーザー インターフェースでルール追跡機能を使用すると、ルール処理の問題をデバッグできます。
ルール追跡を作成すると、ネットワークのユーザーが特定のクライアントから Web アクセス要求を送信したときに、
実装済みのルールの処理で発生したアクティビティを記録することができます。
これらの追跡は、作成日、要求と一緒に送信された URL、ルールの処理時に実行されたルール アクション (ブロッ
ク、リダイレクト、続行など) に従ってフィルタリングできます。
追跡では、要求に対して実行されたすべての処理サイクル (要求、応答、埋め込みオブジェクト) のアクティビティ
が記録されます。追跡結果は、サイクルごとに別々に表示できます。
処理に関連するルール条件のプロパティも個別に表示できます。ルール処理時に設定された値も一緒に表示できま
す。
ユーザー インターフェースのツール追跡ページには 3 つのペインが表示されます。各ペインで、ルール追跡操作を
行うことができます。
•
追跡ペイン - 追跡の作成、フィルタリング、削除ができます。
追跡をエクスポートして保存することもできます。後で再度インポートして表示したり、他の Web Gateway ア
プライアンスで作成された追跡をインポートすることもできます。
•
ルール ペイン - 処理サイクルを選択して、そのサイクルで処理されたルール セットまたは個々のルールを表示
できます。
•
詳細ペイン - 個々のルールの条件、プロパティ、プロパティに設定された値を表示できます。
ルール追跡のサイクル
Web アクセス要求がクライアントから Web Gateway に送信されると、処理が開始します。この処理は異なるサイ
クルで実行されます。要求サイクルの開始時には、要求自体の要素 (要求と一緒に送信された URL など) に関連する
ルール セットが処理されます。
430
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
ルール追跡
17
このサイクルに Web 要求の転送を禁止しているルール (URL の禁止カテゴリなど) がなければ、要求が転送されま
す。Web からの応答を待機します。
応答を受信すると、応答サイクルのルールが処理されます。たとえば、ダウンロードを要求したファイルが応答で送
信されると、特定のルールに従ってウイルスまたはマルウェアのスキャンが実行されます。感染が検出されなければ、
ダウンロードを要求したクライアントにファイルが送信されます。
要求または応答にオブジェクトが埋め込まれている場合、他の処理サイクルが実行されます。設定されたロギング ル
ールに従って、処理のアクティビティがログに記録されます。
Web Gateway のクライアントから送信された初期の要求に対して、各サイクルで実行されたすべての処理がエンテ
ィティ (トランザクション) として確認できます。
ルール処理の問題をデバッグするには、トランザクションの完全なルール追跡を分析します。あるいは、問題の解決
に関係のある特定のサイクルだけを調査することもできます。
ルール追跡のプロパティ
ルールが適用され、特定のアクション (例: Web アクセス要求のブロック) が実行されるかどうかは、ルール条件に
よって決まります。ルール条件のプロパティには、処理中に特定の値が設定されます。
たとえば、Antimalware.Infected プロパティは、デフォルトのマルウェア対策ルールの条件で使用されます。
スキャンした Web オブジェクトでウイルスなどのマルウェアの感染が見つかると、このプロパティの値は true に
設定されます。これにより、ルールの条件に一致し、ブロック アクションが実行されます。
ルール追跡を分析する場合、ルール処理に関連するプロパティと、そのプロパティに設定された値は重要な情報にな
ります。プロパティとその値は別々に表示することもできます。
ルール追跡の削除と復元
ルール追跡は、ルール追跡ページのペインから削除できます。ただし、このページで削除されるわけではありません。
ルール追跡を削除するには、アプライアンスの [トラブルシューティング] トップ レベル メニューから [ルール追跡
ファイル] セクションにアクセスします。
このセクションでは、以前に削除した追跡をルール追跡ペインに復元することができます。
1 台のアプライアンスに最大で 5000 個の追跡を保存できます。この制限を超えると、古い追跡から順番
に削除されます。
この削除操作はルール追跡ペインに影響を及ぼしません。ただし、追跡が削除されているため、追跡項目
にアクセスできない場合があります。
ルール追跡を使用してルール処理の問題をデバッグする
ルール追跡ペインのオプションを使用すると、ルール処理の問題をデバッグするルール追跡を作成し、確認すること
ができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
3
ルール追跡ペインで、ルール処理の問題をデバッグします。
McAfee Web Gateway 7.4.0
製品ガイド
431
17
トラブルシューティング
ルール追跡
ルール追跡ペイン
ルール追跡ペインでは、ルール追跡の作成、管理、確認を行うことができます。
次の表では、ルール追跡ペインの主な機能について説明します。
表 17-1 ルール追跡ペインの主な機能
ペイン
説明
[追跡ペイン]
ルール追跡を作成し、管理できます。
[ルール ペイン]
処理されたルールが表示されます。
[詳細ペイン]
ルール条件で使用されているプロパティなどを表示できます。
ペインの間にある黒い小さな四角形をクリックすると、ペインを展開したり、隠すことができます。
追跡ペイン
追跡ペインでは、次のオプションを使用できます。
432
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
ルール追跡
17
表 17-2 追跡ペイン
オプション
定義
アプライア
ンス名リス
ト
ルール追跡のインポート、作成、確認、管理を行う Web Gateway アプライアンスを選択できます。
[インポー
ト]
ルール追跡のインポート メニューが表示されます。
• [アプライアンス ディレクトリからインポートする] - リストから選択されたアプライアンスに
記録されたルール追跡をすべてインポートできます。
• [ローカル ディレクトリからインポートする] - ローカル ファイル マネージャーが開きます。現
在ログオンしているアプライアンスに記録されたルール追跡をインポートできます。
クライアン
ト IP アド
レス フィー
ルド
ルール処理が追跡された要求を送信したクライアントの IP アドレスを入力できます。
[実行] / 停
止アイコン
(十字)
ルール追跡の作成を開始または停止します。
• [実行] - クライアント IP アドレス フィールドに指定したクライアントから最後に受信した要求
に対して、ルール追跡の作成を開始します。
[実行] をクリックすると、停止アイコンが表示されます。
• 停止アイコン - ルール追跡を停止します。
[ソース]
追跡ペインに項目を表示するルール追跡のソースを選択できます。
ボタンをクリックすると、インポート済みのルール追跡ファイル (ZIP) のリストが表示されます。
ファイルを選択すると、ファイルに含まれるルール追跡項目が追跡ペインに表示されます。選択した
ファイルの名前が表示されます。
ファイルを選択しないと、前回の追跡で作成されたルール追跡の項目が表示されます。
アクション
アイコン バ
ー
クリックすると、ルールが実行するアクションのメニューが表示されます。
アクションを選択すると、ルール追跡がフィルタリングされます。
たとえば、[ブロック] アクションを選択すると、このアクションの実行で記録されるルール追跡の項
目だけが表示されます。
複数のアクションを組み合わせて選択できます。特定のアクションではなく、すべてのルール追跡の
エントリを表示することもできます。
• [すべて表示] - すべてのアクションのルール追跡を表示できます。
• [選択の切り替え] - 選択されてないアクションのルール追跡を表示できます。
選択内容に応じて、これらのアクションがメニューに表示されます。
時間または 追跡のフィルタリングに使用する時間と URL を入力できます。
URL のフィ
ルタリング フィールドの右端にあるアイコン (十字) をクリックすると、フィルターが消えます。
フィールド
[エクスポー
ト]
ルール追跡のエクスポート メニューが表示されます。
• [表示されているルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在
追跡ペインに項目が表示されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
• [選択されたルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在選択
されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
McAfee Web Gateway 7.4.0
製品ガイド
433
17
トラブルシューティング
ルール追跡
表 17-2 追跡ペイン (続き)
オプション
定義
[クリア]
追跡ペインからルール追跡を消去するメニューが表示されます。
• [表示されているルール追跡を消去する] - 現在追跡ペインに項目が表示されているルール追跡を
消去します。
• [選択されたルール追跡を消去する] - 現在追跡ペインで選択されているルール追跡を消去しま
す。
• [すべてクリア] - ルール追跡ペインからすべてのルール追跡が消去されます。
ルール追跡ペインから消去しても、ルール追跡自体は削除されません。
ルール追跡を削除するには、[トラブルシューティング] トップレベル メニューから [ルー
ル追跡ファイル] を選択します。
追跡フィー
ルド
指定したフィルタリング情報に従って、個々のルール追跡の項目が表示されます。
追跡を選択すると、最も影響のあるアクションを含むルールと隣接するルールがサイクル ペインに
表示され、条件、アクション、イベントが詳細ペインに表示されます。
影響度は次の順番で低くなります。
ブロック (最大) - リダイレクト - 認証 - 削除 - サイクルの停止 - ルール セットの停止 - 続
行
ただし、ルール処理が停止する前の最後のアクションが サイクルの停止、ルール セットの停止、続
行 の場合、これらのアクションの影響度は高くなります。
それぞれの追跡に次の項目が表示されます。
• アクション アイコン - 要求でルール処理が開始したときに最後に実行されたアクションのアイ
コン。
アクション アイコン バーをクリックすると、メニューにアイコンの意味が表示されます。
• [時間] - 追跡が作成された時間
• [URL] - 追跡が作成された要求で送信された URL
ルール ペイン
ルール ペインでは、次のオプションを使用できます。
表 17-3 ルール ペイン
オプション
定義
追跡情報フ
ィールド
選択した追跡の情報が表示されます。
選択した追跡について以下の情報が表示されます。
• 追跡が作成された要求で送信された URL
• 追跡が作成された時間を表すタイムスタンプ
• 追跡が保存されたファイルの名前
[サイクル]
情報を表示するサイクルを選択できます。このサイクルで実行されたルール処理で追跡に記録された
情報が表示されます。
[すべて] を選択すると、追跡に記録されたすべてのサイクルの処理について概要が表示されます。
434
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
ルール追跡
17
表 17-3 ルール ペイン (続き)
オプション
定義
[検索]
ルール セットとルールの情報で検索する項目を入力します。
検索対象は次のとおりです。
• ルール セットまたはルールの名前
• プロパティの値
• プロパティ、アクション、イベントの名前
• 定数
• リスト名
• ユーザー インターフェースに表示される他
のテキスト部分
最初に一致した項目が強調表示されます。検索フィールドの横にある矢印を使用すると、次または前
の一致項目に移動できます。
新しいルール セットまたはルールを検索すると、最初の一致項目が再度強調表示されます。
ルール セッ 選択したサイクルでルールの処理時に実行されたルール セットとルールが表示されます。
トとルール
のフィール 各ルール セットとルールについて、以下の情報がルール ペインに表示されます。
ド
ルール セットまたはルールを選択すると、詳しい情報が詳細ペインに表示されます。
• [サイクル] - ルール セットまたはルールが処理されたサイクル
要求サイクルと応答サイクルは色の違う矢印で表示されます。
矢印の意味は次のとおりです。
• 右向きの矢印 - 要求サイクル
• 左向きの矢印 - 応答サイクル
• 右向き (左向き) の矢印がない場合 - 要求 (応答) サイクルで処理が実行されていません。
• 中空き矢印 - ルール セットまたはルールが処理されていますが、アクションは実行されていま
せん (条件に一致していません)。
• 灰色の矢印 - アクションが実行されていますが、ルール追跡で最も影響のあるアクションでは
ありません。
• 緑の矢印 - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイクルの
停止または続行が実行されています。
McAfee Web Gateway 7.4.0
製品ガイド
435
17
トラブルシューティング
ルール追跡
表 17-3 ルール ペイン (続き)
オプション
定義
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色の矢印 - 最も影響のあるアクションとして削除が実行されています。
• 青の矢印 - 最も影響のあるアクションとして認証が実行されています。
• 濃い緑の矢印 - 最も影響のあるアクションとしてリダイレクトが実行されています。
• 赤の矢印 - 最も影響のあるアクションとしてブロックが実行されています。
埋め込みサイクルでルール セットまたはルールが処理されると、数字付きの小さなボックスが表示
されます。
このボックスは、ルール セットまたはルールの矢印と同じ行に表示されます。ボックスは矢印の色
と同じ色で表示されます。
ボックスの状態と意味は次のとおりです。
• ルール セットまたはルールの行にボックスが表示されていない - 埋め込みサイクルでルール
セットまたはルールが処理されていません。
• ルール セットまたはルールの行に数字付きのボックスが表示されている - ルール セットまた
はルールは、表示された数字が示す回数だけ応答サイクルで処理されています。
• 色のない中空きのボックス - ルール セットまたはルールが埋め込みサイクルで処理されていま
すが、このサイクルでアクションが実行されていません (条件に一致していません)。
• 灰色のボックス - 埋め込みサイクルでアクションが実行されていますが、ルール追跡で最も影
響のあるアクションではありません。
• 緑のボックス - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイク
ルの停止または続行が埋め込みサイクルで実行されています。
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色のボックス - 最も影響のあるアクションとして、埋め込みサイクルで削除が実行されてい
ます。
• 青いボックス - 最も影響のあるアクションとして、埋め込みサイクルで認証が実行されていま
す。
• 濃い緑のボックス - 最も影響のあるアクションとして、埋め込みサイクルでリダイレクトが実
行されています。
• 赤いボックス - 最も影響のあるアクションとして、埋め込みサイクルでブロックが実行されて
います。
• [名前] - ルール セットまたはルールの名前
ルール セットまたはルールが条件でリストを使用している場合、名前の下に条件が表示されます。
詳細ペインにリストへのリンクが表示されます。
詳細ペイン
詳細ペインでは、次のオプションを使用できます。
436
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
ルール追跡
17
表 17-4 詳細ペイン
オプション 定義
[上位のプ
ロパティ]
タブ
現在選択しているルール追跡と処理サイクルのルールで使用されている接続関連のプロパティが表示
されます。
それぞれのプロパティについて次の情報が表示されます。
• [プロパティ] — プロパティの名前
• [値] - 追跡作成時のプロパティの値
いくつかのプロパティは、ルール追跡で常に記録され、このタブに表示されます。その他のプロパテ
ィは、処理されたときにだけ記録され、表示されます。
• [URL] - 常時
• [URL.Categories] - 処理時のみ
• [Client.IP] - 常時
• [Response.StatusCode] - 処理時のみ
• [URL.Host] - 常時
• [Block.Reason] - 処理時のみ
• [Authentication.Username] - 処理時の
み
• [Command.Name] - 処理時のみ
• [Authentication.Usergroups] - 処理時
のみ
[詳細] タ
ブ
ルール ペインで選択されているルール セットまたはルールの条件が表示されます。
条件と一緒に、ルール ペインで選択されている処理サイクルでプロパティに設定された値も表示され
ます。
ルール ペインで [すべて] を選択すると、処理が実行されたサイクルの条件が表示されます。
それぞれの条件について次の情報が表示されます。
• [サイクル] - 表示されている条件を含むルールが処理されたサイクルとルールの名前
• [条件] - ルールの条件
条件が一致すると、先頭にマーカー アイコン (フック) が表示されます。
• [評価] - 条件のプロパティ
条件にリストが含まれている場合、プロパティ名の下にもリスト名が表示されます。また、[値] の
下に、リストへのリンクが表示されます。
• [値] - 追跡作成時のプロパティの値
値は、プロパティのタイプによって異なります。
たとえば、ブール タイプのプロパティの場合、true または false が表示されます。文字列型のプ
ロパティの場合には文字列が、数値型のプロパティの場合には数値が表示されます。
条件にリストが含まれている場合、リストのリンクが表示されます。
リンクをクリックすると、リストの現在の状態が表示されます。ルール追跡の記録時と状態が異な
る場合もあります。
ルール追跡でリストのコンテンツは記録されません。
一致した条件について、以下の情報が表示されます。
• [アクション] - 条件が一致した後に実行されたルールのアクション
• [イベント] (ルールにイベントがある場合のみ) - 条件が一致した後に開始したルールのイベント
ルールに複数のイベントがある場合、各イベントが別々の行に表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
437
17
トラブルシューティング
ルール追跡
ルール追跡を使用して要求のブロック理由を確認する
ユーザーが Web Gateway クライアントから送信した Web アクセス要求がブロックされた場合、ルール追跡を使用
すると、要求をブロックしたルールとその理由を確認できます。
ルール追跡を使用すると、Web Gateway でルール処理を記録し、分析することができます。以下では、ルール追跡
の簡単な使用方法を説明します。
タスク
1
[トラブルシューティング] を選択して、アプライアンス ツリーで [ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
2
ルール追跡を作成します。
a
追跡ペインで、アプライアンス名のフィールドに名前は変更しないでください。
この例では、このアプライアンスで処理された要求にルール追跡を実行します。
b
クライアント IP アドレスのフィールドで、ルール追跡の要求を送信したクライアントの IP アドレスを入力
します。
c
[実行] をクリックします。
クライアントから受信した最後の要求に対するルール追跡が作成されます。追跡が作成されると、追跡フィー
ルドにエントリが表示されます。
3
ルール追跡をフィルタリングします。
a
時間と URL のフィルタリング フィールドで、ブロックされた要求と一緒に送信された URL を入力します。
ルール追跡がフィルタリングされます。この URL の Web オブジェクトに対するアクセス要求に実行された
追跡だけが表示されます。
たとえば、問題のクライアントが、この URL に対する要求を 1 回だけ送信したとします。この場合、追跡結
果をフィルタリングすると、1 つのエントリだけが表示されます。
b
エントリを選択します。
この URL の要求で処理されたルールの詳細情報がルール ペインと詳細ペインに表示されます。
4
ルール追跡を確認します。
a
ルール ペインの追跡情報を確認します。
要求に対して処理されたルールがルール セットと一緒に表示されます。
要求をブロックしたルールが選択され、赤い矢印付きで表示されます。矢印が右を向いている場合、要求サイ
クルで要求がブロックされています。矢印が左を向いている場合には、応答サイクルでブロックされていま
す。
b
詳細ペインで追跡情報を確認します。
•
ルールが要求をブロックしたサイクル、ルールの名前、条件、アクション、イベントが表示されます。
一致した条件にはグレーのフックが付いています。
•
フック付きの条件の下にある [評価] にも条件が表示されます。
同じフィールドの [値] には、条件に一致し、要求がブロックされたときのプロパティの値が表示されま
す。
438
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
ルール追跡
17
たとえば、要求をブロックしたルールについて、以下の情報が詳細ペインに表示されたとします。
•
[サイクル] - 応答
•
[ルール名] - ウイルスを検出したらブロック
•
[条件] - Antimalware.Infected<Gateway Anti.Malware> equals true
•
[評価] - Antimalware.Infected equals true、[値] - true
•
[アクション] - Block<Virus found>
•
[イベント] - Statistics.Counter.Increment<Default>("BlockedByAntiMalware", 1>
このルール追跡の結果から次のことが分かります。
要求されたブロックでウイルスまたはマルウェアの感染が検出されたため、要求がブロックされました。
ウイルスとマルウェアのフィルタリング ルールによってブロック アクションが実行されました。このルール
は、要求の応答として特定の Web サーバーからオブジェクトを受信したときに応答サイクルで処理されてい
ます。
このルールの条件は、Antimalware.Infected プロパティに含まれています。このプロパティに設定された値
を確認するため、Web Gateway のマルウェア対策エンジンが呼び出されています。このエンジンが、要求さ
れた Web オブジェクトをスキャンして感染を検出したため、プロパティの値が true に設定され、ルール条
件に一致しています。
削除したルール追跡をルール追跡ペインに復元する
ルール追跡ペインから削除したルール追跡を復元するには、アプライアンスのルール追跡ディレクトリまたはソース
ファイルからルール追跡を復元します。
削除したルール追跡をルール追跡ペインに復元する方法は、現在ログオンしているアプライアンスでルール追跡が作
成された方法またはアプライアンスにインポートされた方法によって異なります。
アプライアンスのルール追跡ディレクトリを選択することも、ソース ファイルを再度インポートすることもできま
す。
タスク
•
439 ページの「削除したルール追跡をアプライアンスのディレクトリから復元する」
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンス
のルール追跡ファイルのディレクトリから復元することができます。
•
440 ページの「ソース ファイルをインポートしてルール追跡を復元する」
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度
インポートすると、ルール追跡を復元できます。
削除したルール追跡をアプライアンスのディレクトリから復元する
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンスのルール追跡
ファイルのディレクトリから復元することができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を復元するアプライアンスを展開します。
3
[ルール追跡ファイル] を選択します。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
McAfee Web Gateway 7.4.0
製品ガイド
439
17
トラブルシューティング
フィードバック ファイルの作成
4
[追跡ファイル] で、復元するルール追跡ファイルを選択します。
5
[分析] をクリックします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ソース ファイルをインポートしてルール追跡を復元する
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度インポートす
ると、ルール追跡を復元できます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
3
[追跡]、[インポート] の順にクリックします。
ローカルのファイル マネージャーが開きます。
4
復元するルール追跡のソースを含む ZIP ファイルを選択してインポートします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ルール追跡を削除する
ルール追跡を削除するには、アプライアンスでルール追跡ファイルのあるディレクトリにアクセスし、削除オプショ
ンを使用します。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を削除するアプライアンスを選択し、[ルール追跡ファイル] をク
リックします。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
3
[追跡ファイル] で、削除するルール追跡ファイルを選択し、[削除] をクリックします。
4
表示されたウィンドウで、削除を確認します。
フィードバック ファイルの作成
フィードバック ファイルを作成して、機能の障害が発生した後にプロセスをバックトレースできます。
タスク
440
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、プロセスをバックトレースするアプライアンスを選択して、[フィードバック]をクリ
ックします。
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
コア ファイルの作成の有効化
3
17
必要に応じて、[実行中の McAfee Web Gateway を一時停止してバックトレースを作成する]を選択または選択
解除します。
チェックボックスを選択することをお勧めします。
4
[フィードバック ファイルを作成する]をクリックします。
ファイルが作成されて、名前、サイズ、および日付が[[フィードバック ファイル]]下のリストに表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
コア ファイルの作成の有効化
機能の障害によってアプライアンスの処理が停止した後にメモリ コンテンツを記録するための、コア ファイルの作
成を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、メモリ コンテンツを記録するアプライアンスを選択して、[トラブルシューティング]
をクリックします。
3
[トラブルシューティング]セクションで、[コア ファイルの有効化]を選択します。
4
[変更の保存]をクリックします。
これで、特定機能への障害により、アプライアンスが停止するたびに、コア ファイルが作成されるようになりま
す。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[コア ファイル]を選択したら、コ
ア ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
接続追跡ファイルの作成の有効化
追跡ファイルの作成を有効にして、アプライアンスと他のネットワーク コンポーネント間の接続で起こるアクティビ
ティを記録できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、接続アクティビティを記録するアプライアンスを選択して、[トラブルシューティン
グ]をクリックします。
3
[トラブルシューティング]セクションで、[接続追跡の有効化]を選択します。
McAfee Web Gateway 7.4.0
製品ガイド
441
17
トラブルシューティング
パケット追跡ファイルの作成
4 [オプション]アプライアンスの特定クライアントとの接続でのアクティビティのみを追跡するには、[追跡を 1
つの IP のみに制限する]を選択し、[クライアント IP]フィールドにクライアントの IP アドレスを入力します。
5
[変更の保存]をクリックします。
これで、接続追跡ファイルが作成されます。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[接続追跡]をクリックしたら、接
続追跡ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
パケット追跡ファイルの作成
パケット追跡ファイルを作成して、アプライアンスのネットワーク アクティビティを記録できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク アクティビティを記録するアプライアンスを選択して、[パケット追跡]
をクリックします。
3
[コマンド ライン パラメーター]フィールドで、必要に応じて、パケット追跡のパラメーターを入力します。
4
[tcpdump の開始]をクリックします。
パケット追跡ファイルが生成されて、名前、サイズ、および日付が[結果(dump)]下のリストに表示されます。
パケット追跡ファイルの生成の進行を停止するには、[tcpdump の停止]をクリックします。
リストのツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のア
クティビティを実行できます。
ネットワーク ツールの操作
アプライアンスで発生した問題をトラブルシューティングするために、複数のネットワーク ツールを操作することが
できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク ツールを使用するアプライアンスを選択し、[ネットワーク ツール]を
クリックします。
3
[コマンド ライン パラメーター]フィールドに、特定のネットワーク ツールによって提供されるコマンドに対す
るパラメーターを入力します。
たとえば、ping コマンドを使用して接続するホストの名前を入力します。
4
442
以下のネットワーク ツールのいずれかに対するボタンをクリックします。
•
[ping]
•
[ping6]
McAfee Web Gateway 7.4.0
製品ガイド
トラブルシューティング
アプライアンスの構成をバックアップまたは復元する
•
[nslookup]
•
[traceroute ]
•
[traceroute6 ]
•
[ipneigh ]
•
[service restart ]
•
[ntp ]
17
対応するコマンドが実行され、出力が[結果]フィールドに表示されます。
出力は次のようになります。
Ping:Unknown host testhost
アプライアンスの構成をバックアップまたは復元する
アプライアンスの構成をバックアップ ファイルに保存すると、このファイルを使用して構成を復元することができま
す。
構成を復元するときに、構成全体を復元するか、[ポリシー] トップレベル メニューで設定したデータ (ルール、リス
ト、設定) だけを復元するのか選択できます。
データのセキュリティを強化するため、バックアップ データが暗号化されます。構成の復元でバックアップを使用す
る前にデータが復号されます。
バックアップの暗号化と復号で、ドイツ語のウムラウト (ä, ö, ü) などの特殊文字をパスワードに挿入する必要がある
場合には、Web Gateway の管理システムで UTF-8 形式を使用してください。
タスク
1
トップレベル メニューの [トラブルシューティング] を選択します。
2
アプライアンス ツリーで、構成をバックアップまたは復元するアプライアンスを選択し、[バックアップ/復元] を
クリックします。
3
[バックアップ ポリシー、構成、およびアカウント] で、以下の操作を行います。
•
構成をバック アップする場合
•
(オプション) バックアップ データを暗号化するには、表示されたパスワード フィールドにパスワードを
入力します。
[ファイルにバックアップする] をクリックします。
ローカルのファイル マネージャーが開きます。
•
ファイル マネージャーでファイルを作成または選択し、構成のバックアップを保存します。
McAfee Web Gateway 7.4.0
製品ガイド
443
17
トラブルシューティング
アプライアンスの構成をバックアップまたは復元する
•
構成を復元する場合:
•
(条件付き) バックアップ データが暗号化されている場合、表示されたパスワード フィールドにパスワー
ドを入力して、データを復号します。
•
以下のいずれかの操作を行います。
•
•
構成全体を復元するには、[ポリシーのみを復元] の選択を解除し、[ファイルから復元する] をクリッ
クします。
•
ルール、リスト、設定だけを復元するには、[ポリシーのみを復元] を選択し、[ファイルから復元す
る] をクリックします。
復元のためログオフすることを通知するメッセージが表示されます。
ローカルのファイル マネージャーが開きます。
•
444
ファイル マネージャーで必要なバックアップ ファイルを選択し、構成を復元します。
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
以下のリストは、Web セキュリティ ルールを構成するために使用できる項目について説明します。
目次
アクションのリスト
ブロック理由 ID のリスト
エラー ID のリスト
イベントのリスト
インシデント ID のリスト
プロパティのリスト
ワイルドカード式
アクションのリスト
以下の表に、ルールに使用できるアクションのリストを示します。
アクションはアルファベット順にリストされています。
表 A-1 アクションのリスト
アクション
説明
[Authenticate]
現在のサイクルにおけるルールの処理を停止します。
認証リクエストを Web オブジェクトへのアクセスをリクエストしたユーザーのクライアント
へ送信します。
次のサイクルで処理を続行します。
[Block]
リクエストされた Web オブジェクトへのアクセスをブロックします。
ルールの処理を停止します。
アプライアンスで次のリクエストが受信されたときに続行します。
[Continue]
次のルールの処理を続行します。
[Redirect]
Web オブジェクトからその他のオブジェクトへのアクセスをリクエストしたクライアントをリ
ダイレクトします。
[Remove]
リクエストされた Web オブジェクトを削除します。
現在のサイクルにおけるルールの処理を停止します。
次のサイクルで処理を続行します。
McAfee Web Gateway 7.4.0
製品ガイド
445
A
構成リスト
ブロック理由 ID のリスト
表 A-1 アクションのリスト (続き)
アクション
説明
[Stop Cycle]
現在のサイクルにおけるルールの処理を停止します。
リクエストされた Web オブジェクトへのアクセスはブロックされません。
次のサイクルで処理を続行します。
[Stop Rule Set] 現在のルール セットのルールの処理を停止します。
次のルール セットの処理を続行します。
ブロック理由 ID のリスト
次の表では、ブロック理由 ID とその意味について説明します。
®
ユーザー メッセージ テンプレートのブロック理由 ID を構成して、McAfee Web Reporter によりロギングするブ
ロック理由を特定する値を指定します。
表 A-2 ブロック理由 ID のリスト
446
ブロック理由 ID
説明
[0]
許可
[1]
内部エラー
[2]
アクションに使用されているデフォルトのメッセージ テンプレート
[3]
内部 URL フィルター エラー
[10]
URL フィルター データベースのエントリのためにブロックされました
[14]
式による URL フィルタリングに従ってブロックされました
[15]
リアルタイム分類子によりブロックされました
[20]
コンテンツ タイプの欠落によりブロックされました
[22]
メディア タイプによりブロックされました
[30]
複数部分のアーカイブが見つかったためにブロックされました
[35]
アーカイブがアーカイブ ハンドラーにより扱われなかったためにブロックされました
[80]
ウイルスが見つかったためにブロックされました
[81]
未承認のアクセスのためにブロックされました
[82]
不良なリクエストのためにブロックされました
[85]
内部マルウェア対策エラーのためにブロックされました
[92]
証明書の期限切れのためにブロックされました
[93]
証明書が失効したためにブロックされました
[94]
許可されていない証明機関(CA)のためブロックされました
[95]
不明な証明機関(CA)のためブロックされました
[97]
自己署名証明書のためにブロックされました
[98]
共通名が不一致のためにブロックされました
[102]
指定されない証明書のためにブロックされました
[103]
接続が許可されないためにブロックされました
[104]
リバース プロキシの宛先が許可されないためにブロックされました
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
エラー ID のリスト
A
表 A-2 ブロック理由 ID のリスト (続き)
ブロック理由 ID
説明
[140]
内部 DLP フィルター エラーのためにブロックされました
[150]
内部 Application Control フィルター エラーのためにブロックされました
[151]
許可されないアプリケーションに属するリクエストのためにブロックされました
[160]
Web Hybrid のポリシーが欠落しているためにブロックされました
[161]
Web アクセスが Web Hybrid により許可されていないためにブロックされました
[162]
Web Hybrid による URL フィルタリングのためにブロックされました
[200]
ユーザーの警告セッションが超えたためにブロックされました
[201]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[202]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[203]
ユーザーのボリューム クォータ セッションを超えたためにブロックされました
[204]
ユーザーのボリューム クォータを超えたためにブロックされました
[205]
ユーザーの承認済みのオーバーライド セッションが超えたためにブロックされました
[206]
アクティブなユーザーのブロック セッションのためにブロックされました
[300]
クォータのリダイレクトのためにブロックされました
[301]
認証のあるリダイレクトのためにブロックされました
[400]
承認済みのオーバーライド リダイレクトのためにブロックされました
エラー ID のリスト
以下の表に、ルールに使用できるエラー ID のリストを示します。
エラー ID は以下の数値範囲にグループ化されています。
10000–10049
プロパティまたはイベントの不正使用
10050–10099
ルール処理モジュールのエラー
10100–10199
一般エラー
11000–11999
ライセンス マネージャー エラー
12000–12999
アプライアンス システムに関連したエラー
13000–13999
持続データベース(PDStore)エラー
14000–14999
ウイルスおよびマルウェア フィルタリング エラー
15000–15999
URL フィルタリング エラー
16000–16999
ICAP クライアント エラー
20000–21000
プロキシ モジュール エラー
25000–25999
外部リスト エラー
26000–26999
Data Loss Prevention(DLP)エラー
31000–31999
シングル サイン オン サービスのエラー
32000–32999
クラウド ストレージ暗号化のエラー
McAfee Web Gateway 7.4.0
製品ガイド
447
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト
448
エラー
ID
名前
説明
10000
WrongPropParams
$onPosition$:プロパティ $propName$ のパラメーター
またはタイプが間違っています。
10001
UnknownProperty
$onPosition$:ルール ‘$ruleName$’ エラー:プロパティ送
信者はプロパティ $propName$ を知りません。
10002
NoPropParam
$onPosition$:提供されているプロパティ $propName$
にはパラメーターが指定されていません。
10003
WrongThirdPropParam
$onPosition$:プロパティ $propName$ の 3 つ目のパラ
メーター タイプが間違っています。
10004
InvalidPropertyParameter
$onPosition$:プロパティ $propName$ のパラメーター
は無効です。理由:$reason$。
10005
InvalidPropertyParameter2
パラメーターは無効です。理由:$reason$。
10005
UnknownProperty2
$onPosition$:不明なプロパティ $propName$。
10007
UnknownFunc
$onPosition$:不明な関数 $funcName$。詳細:$reason
$。
10050
WrongOperator
$onPosition$:ルール '$ruleName$' エラー:左側タイプ
$typeLeft$ および右手タイプ $typeRight$ に間違った演
算子が使用されました。
10051
WrongOperatorNoNames
$onPosition$:$action$ は失敗しました。$property$ の
タイプは $typeName$ ですが、$formatType$ になりま
す。
10052
FormatError
$onPosition$:ユーザー定義のプロパティ '$propName$'
が見つかりません。理由:まだ設定されていません(初期化
されていない)。
10053
UserDefinedPropertyNotFound
$onPosition$:ユーザー定義のプロパティ '$propName$'
が見つかりません。理由:まだ設定されていません(初期化
されていない)。
10054
PropertyNotFound
$onPosition$:プロパティ'$propName$' が見つかりませ
ん。理由:まだ設定されていません(初期化されていない)。
10055
NeedMoreDataOnLastCall
プロパティ '$propName$' 計算時にフィルターは
'NeedMoreData' を返したが、それ以上のデータがありませ
ん。
10056
WrongPropState
$onPosition$:プロパティ $propName$ の状態は
$propState$ です。
10057
ZombieRuleElemIsExecuted
$rule$ (名前:'$name$'、ID:'$id$')はゾンビのため実行
できませんでした。理由:$reason$。
10058
SetPropertyFailed
$onPosition$:ルール '$ruleName$' エラー:イベントは評
価できませんでした。理由:$reason$。
10059
EventError
$onPosition$:$objName$ を $operation$ している間に
エラーが発生しました。理由:$reason$。
10100
ErrorDuringOperation
$onPosition$:$objName$ を $operation$ している間に
エラーが発生しました。理由:$reason$。
10101
InitializeFailed
$onPosition$:$objName$ を初期化/作成できませんでし
た。理由: $reason$。
11000
NoLicense
要求された機能 '$func$' はライセンスによってカバーされ
ていません。
12000
CannotOpenPipe
パイプを開けません。
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
エラー ID のリスト
A
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
12001
CannotOpenFile
エラー '$errno$' で、モード '$mode$' でファイル
'$name$' を開けません。
13000
NoUser
利用可能なユーザーがありません。
14000
AVError
AntivirusFilter エラー:$reason$。
14001
AVScanFailedFull
McAfee Gateway Anti-Malware エンジンを呼ぶことがで
きません。すべての接続は使用中です。
14002
AVError
Anti-Malware フィルターの内部エラー
エラー メッセージの ID はエラー処理のルールで
使用されるので、McAfee Web Gateway version
7.3 で導入された新しいエラー メッセージおよび
ID(14003、14004、14005)を構成するため、
アプライアンスにおけるこれらのルールを調整す
る必要があります。
エラー処理のためのライブラリ ルール セットは、
新しいメッセージおよび ID に適合するように調
整されました。
14003
AVError
フィルタリング中にタイムアウトが発生しました。
エラー メッセージ 14002 の注も参照してください。
14004
AVError
特別な更新が必要なため、フィルタリングできません。
エラー メッセージ 14002 の注も参照してください。
14005
AVError
スキャンに失敗しました。
エラー メッセージ 14002 の注も参照してください。
14010
ATDError
通信に失敗しました。
McAfee Advanced Threat Defense が実行されているサ
ーバーに接続できません。
いくつかの理由が考えられます。たとえば、サーバーがオフ
ラインの場合や要求がタイムアウトするなど、ネットワーク
に問題がある場合があります。また、HTTP プロトコルに問
題がある場合や、サーバーから予期しない応答や不正な要求
が戻される場合も考えられます。
14011
ATDError
フィルタリング中にタイムアウトが発生しました。
設定した許容時間内に McAfee Advanced Threat
Defense による Web オブジェクトのスキャンが完了しま
せんでした。
デフォルトの許容時間は 10 分です。
McAfee Web Gateway 7.4.0
製品ガイド
449
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
14012
ATDError
ファイルがスキャンできません。
McAfee Advanced Threat Defense が Web オブジェク
トをスキャンできません。
McAfee Advanced Threat Defense が戻したスキャン レ
ポートで、重大度の値が N/A に設定されます。
450
15000
TSDatabaseExpired
Global Threat Intelligence システム データベースの期限
切れエラー:データベースが期限切れです。'$desc$'。
15001
TSInvalidURL
URL '$url$' は無効です。関数 $func$。
15002
TSBinaryNotProperlyLoaded
バイナリは'$path$' からロードできませんでした。関数
$func$。
15003
TSCommon
Global Threat Intelligence システム エラー(コード:
$errorCode$)。関数 $func$。
15004
TSBinaryDoesNotExist
Global Threat Intelligence システム ライブラリはまだ利
用できません。関数 $func$。
15005
TSDatabaseNotProperlyLoaded
データベースは適切にロードされませんでした。関数
$func$。
15006
TSNoMem
Global Threat Intelligence システムはメモリ不足です。
関数 $func$。
15007
TSInsufficientSpace
Global Threat Intelligence システムのバッファーにスペ
ースが不足しています。関数 $func$。
15008
TSNetLookup
Global Threat Intelligence システム ネット エラー(コー
ド:TS_NET_ERROR)。関数 $func$。
15009
TSCommonNetLookup
Global Threat Intelligence システム ネット エラー(コー
ド:$errorCode$)。関数 $func$。
15010
TSPipe
Global Threat Intelligence システム パイプを開けませ
ん。関数 $func$。
16000
NoICAPServerAvailable
リストから利用可能な ICAP サーバーはありません:$list$
dyx。
20000
CheckLongRunningConnection
長時間実行中の確認。
25000
不明エラーの発生
未分類のエラーが外部リスト モジュールで発生しました。
25001
データ取得中にエラー発生
データ取得中に未分類のエラーが外部リスト モジュールで
発生しました。
25002
データ変換中にエラー発生
外部リスト データが変換される際にエラーが発生しました。
25003
データが多すぎる
外部ソースから取得できるリスト エントリ数の構成限界値
を超えました。
25004
データ取得中にタイムアウト
外部リスト データを取得するための構成タイムアウト値の
期限が切れました。
25005
データ アクセスの拒否
外部リスト データのソースにアクセスするために必要な権
限が、アプライアンスに与えられていません。
25006
リソースが存在しない
外部リスト データのソース、たとえば、ファイルまたは Web
サーバーが見つかりませんでした。
26001
DLP エンジンがロードされていない
DLP エンジンをロードできませんでした。
31001
MCSSO トークン検証エラー
トークンの検証中に不明なエラーが発生しました。詳細に
ついては、エラー ログ ファイルで確認してください。
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
31002
無効な発行者
トークに無効な発行者が指定されています。この問題は、無
効な証明書が原因で発生している可能性があります。
31003
トークンの復号で間違ったパスワードが使 トークンの復号に無効なパスワードが使用されました。こ
用されています。
の問題は、パスワードが McAfee Cloud SSO で更新され、
McAfee Web Gateway で更新されていない場合に発生す
る可能性があります。McAfee Web Gateway の管理者に
通知してください。
31004
トークンが期限切れです。
トークンの有効期間 (10 分) が過ぎました。シングル サイ
ン オンはトークンの有効期間内に実行する必要があります。
McAfee Web Gateway または McAfee Cloud SSO の時
間が正しく設定されていない可能性があります。シングル
サイン オンで古いトークンが使用された可能性もあります
(リプレイ攻撃)。
31005
対象の不一致
トークンに指定された対象が一致しません。
31006
対象が指定されていません。
トークンの対象フィールドに値が設定されていません。
31007
無効な暗号化アルゴリズム
トークンの暗号化に無効なアルゴリズムが使用されました。
サポートされていないバージョンの McAfee Cloud SSO
を使用している可能性があります。自己生成のトークンが
使用された可能性もあります。
31008
トークンが暗号化されていません。
シングル サイン オン プロセスでユーザー情報の転送に使
用されたトークンが暗号化されていません。これは、Web
セキュリティのリスクです。
31010
無効な署名
McAfee Cloud SSO 提供の証明書でトークンの検証を行い
ましたが、署名が正しくありません。
32002
パスワードを空にすることはできません。 外部データ ソースからパスワードを取得するときに、空のパ
スワードを受信しました。
32003
フィルターの設定が無効です。
暗号化と復号を行うモジュールの設定が無効です。このエ
ラーが発生するのは非常にまれです。Web Gateway のポ
リシー設定に全般的な問題がある可能性があります。
32004
暗号化失敗:不明なコンテンツ タイプ
タイプが不明なため、データを暗号化できません。クラウ
ド ストレージ サービスの説明が正しくない可能性がありま
す。
32005
暗号化失敗:メッセージ本文の解析に失敗
しました。
アップロード要求で送信された本文データが multi-part/
form-data 形式になっています。このタイプのデータは
Web Gateway で解析できません。
32006
暗号化失敗:ファイル名が取得できません。 暗号化が必要なデータを含むファイルの名前が取得できま
せん。
32007
暗号化失敗:暗号 NNNN はサポートされ
ていません。
データの暗号化に使用された暗号が無効です。管理者が事
前に設定されたリストから暗号化を選択するため、この問題
は殆ど発生しません。
32008
暗号化失敗:salt の生成に失敗しました。
データの暗号化に必要な salt の生成プロセスが正常に実行
できません。この問題は通常、OpenSSL の内部エラーが原
因で発生します。
32009
暗号化失敗:キーの取得に失敗しました。
データの暗号化に必要なキーが取得できません。
32010
暗号化失敗:暗号化の初期化に失敗しまし
た。
暗号化プロセスが初期化できません。
32011
暗号化失敗:データの暗号化に失敗しまし
た。
暗号化プロセスでエラーが発生しました。
McAfee Web Gateway 7.4.0
製品ガイド
451
A
構成リスト
イベントのリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
32012
暗号化失敗:復号の最終処理に失敗しまし
た。
暗号化プロセスが完了できません。
32013
暗号化失敗:一般エラー
暗号化関連のその他のエラー
32014
復号失敗:不明なコンテンツ タイプ
タイプが不明なため、データを復号できません。クラウド ス
トレージ サービスの説明が正しくない可能性があります。
32015
復号失敗:マルチパート メッセージの本文 クラウド ストレージ サービスがダウンロード要求に応答し
はサポートされていません。
てデータを送信しましたが、応答データの本文が
multi-part/form-data 形式になっています。このタイプ
のデータは Web Gateway で復号できません。
32016
復号失敗:暗号 NNNN はサポートされて
いません。
データの復号に使用された暗号が無効です。管理者が事前
に設定されたリストから復号を選択するため、この問題は殆
ど発生しません。
32017
復号失敗:キーの取得に失敗しました。
データの復号に必要なキーが取得できません。
32018
復号失敗:復号の初期化に失敗しました。
復号プロセスが初期化できません。
32019
復号失敗:データの復号に失敗しました。
復号プロセスでエラーが発生しました。
32020
復号失敗:復号の最終処理に失敗しました。 復号プロセスが完了できません。
32021
復号失敗:一般エラー
復号関連のその他のエラー
イベントのリスト
以下の表に、ルールに使用できるイベントのリストを示します。
イベントはアルファベット順にリストされています。
表 A-4 イベントのリスト
名前
説明
AntiMalware.MGAM.RewriteWatermarked
URL
McAfee Gateway Anti-Malware エ
ンジンによって URL に追加された透
かしを削除します。
Authentication.AddMethod
認証方法を追加します。
パラメーター
1 文字列:認証方法の名
前
2 文字列:認証方法の値
3 ブール:true の場合、
既存の方法が上書き
されます。
452
Authentication.ClearCache
キャッシュをクリアします。
Authentication.ClearMethodList
認証方法リストをクリアします。
Authentication.ClearNTMLCache
NTML キャッシュをクリアします。
Authentication.GenerateICEResponse
シームレス認証を有効にするため、
McAfee Cloud Identity Manager に
対する応答で送信されるトークンを生
成します。
Authentication.SendOTP
認証するユーザーにワンタイム パスワ
ードを送信します。
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
イベントのリスト
A
表 A-4 イベントのリスト (続き)
名前
説明
BlockingSession.Activate
ブロック セッションを有効にします。
Body.Insert
現在処理中の要求または応答の本文に
文字列を挿入します。
パラメーター
1 数値:挿入を開始する
バイト位置
2 文字列:パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数
値も含まれる場合が
あります。)
または:
b. 16 進数値のシー
ケンス
Body.Remove
現在処理されている要求または応答の
本文からバイト数を削除します。
1 数値:削除し始めるバ
イト位置
2 数値:削除するバイト
数
Body.Replace
現在処理中の要求または応答の本文か
ら一部を文字列と置換します。
1 数値:置き換えを開始
するバイト位置
2 文字列:パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数
値も含まれる場合が
あります。)
または:
b. 16 進数値のシー
ケンス
Body.ToFile
指定されたファイルに現在処理されて
いる要求または応答の本文を書き込み
ます。
文字列:本文が書き込ま
れるファイルの名前
このファイルは、ディレクトリ /opt/
mwg/log/debug/
BodyFilterDumps に保管されます。
本文の 1 つまたは複数のチャンクをロ
ードされたときのみ、Body.ToFile イ
ベントが発生した場合のみ、本文は完全
にロードされていた後でのみファイル
に書き込まれます。
保管されたファイルがアプライアンス
のハード ディスクを占有しないように
するには、[構成] 、 [<アプライアンス
>] 、 [ログ ファイル マネージャー] 、
[詳細]の下のユーザー インターフェー
スの自動削除を有効にします。
McAfee Web Gateway 7.4.0
製品ガイド
453
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
CloudEncryption.Encrypt
設定された暗号化アルゴリズムとイベ
ントのパラメーターに指定されたパス
ワードで、クラウド ストレージ データ
を暗号化します。
パラメーター
このイベントは、異なる設定とパスワー
ドで数回実行されます。このため、暗号
化も数回実行されます。
CloudEncryption.Decrypt
設定された復号アルゴリズムとパラメ
ーターに指定されたパスワードでデー
タを復号します。
このイベントは、異なる設定とパスワー
ドで数回実行されます。このため、復号
も数回実行されます。
このイベントに対する呼び出しの順番
は、暗号化イベントの呼び出しと逆にな
ります。
Connection.Mark
接続マークを設定します。
DSCP.Mark.Request
IP ヘッダー フィールドを設定します。 数値:DSCP ヘッダー
フィールドの値
このフィールドは、DSCP ヘッダー フ
ィールドといいます。データ パケット
が Web Gateway から要求された
Web サーバーに送信されると、DSCP
(Differentiated Services Code
Point) をサポートするネットワーク
デバイスで評価されます。
数値:接続数
このフィールドには、0 から 63 までの
番号を設定できます。
このフィールドは、HTTP(S) 接続で送
信された要求に対してのみ設定されま
す。
このフィールドをイベントで設定する
場合、適用する Web Gateway ルール
に応じて、DSCP をサポートするネッ
トワーク デバイス (ルーターなど) の
情報を指定できます。
この方法でヘッダー フィールドを使用
するには、ネットワーク デバイスが正
しく設定されている必要があります。
たとえば、ストリーミング メディアの
ルールを適用する場合、ヘッダー フィ
ールドを特定の値に設定すると、ルータ
ーがデータ パケットを直接ルーティン
グし、接続が調整されます。また、ネッ
トワーク デバイスがある程度の負荷分
散を行うように、ヘッダー フィールド
を設定することもできます。
454
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
DSCP.Mark.Response
IP ヘッダー フィールドを設定します。 数値:DSCP ヘッダー
フィールドの値
このフィールドは、DSCP ヘッダー フ
ィールドといいます。データ パケット
が Web Gateway からクライアント
に戻されると、DSCP (Differentiated
Services Code Point) をサポートす
るネットワーク デバイスで評価されま
す。
このヘッダー フィールドには、0 から
63 までの番号を設定できます。
このヘッダー フィールドは、HTTP(S)
接続で送信された応答に対してのみ設
定されます。
このヘッダー フィールドをイベントで
設定する場合、適用する Web
Gateway ルールに応じて、DSCP をサ
ポートするネットワーク デバイス (ル
ーターなど) の情報を指定できます。
この方法でヘッダー フィールドを使用
するには、ネットワーク デバイスが正
しく設定されている必要があります。
Email.Send
電子メールを送信します。
1 文字列:受信者
2 文字列:件名
3 文字列:本文
キャッシュを有効にする
Web キャッシュを有効にします。
CompositeOpener を有効にする
Composite Opener を有効にします。
データ トリックルを有効にする
データ トリックルを有効にします。
FTP アップロードの進行状況を表示する
Web へのファイルのアップロードが実
行中であることを通知し、FTP クライ
アントに対する応答の送信を有効にし
ます。
ウイルスやマルウェアのスキャンで
Web Gateway の処理に時間がかかる
場合があります。この設定を行うと、こ
のような場合でも FTP クライアントで
のタイムアウトを防ぐことができます。
HTML Opener を有効にする
HTML Opener を有効にします。
メディア ストリーム スキャナーを有効にする
McAfee Gateway マルウェア対策エ
ンジンが提供するメディア ストリーム
スキャナーを有効にします。
ネクスト ホップ プロキシを有効にする
ネクスト ホップ プロキシの使用を有
効にします。
進行状況ページを有効にする
進行状況ページの表示を有効にします。
RuleEngine 追跡を有効にする
ルール処理モジュール (ルール エンジ
ン) が完了したアクティビティの追跡
を有効にします。
McAfee Web Gateway 7.4.0
製品ガイド
455
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
CA を持つ SSL クライアント コンテキストを有 証明機関によって発行されるクライア
ント証明書の送信を有効にします。
効にする
CA なしで SSL クライアント コンテキストを有 証明機関によって発行されていないク
ライアント証明書の送信を有効にしま
効にする
す。
SSL スキャナーを有効にする
SSL スキャニングのモジュールを有効
にします。
SafeSearchEnforcer を有効にする
SafeSearchEnforcer を有効にしま
す。
プロキシ制御を有効にする
プロキシ制御を有効にする
FileSystemLogging.WriteDebugEntry
デバッグ エントリを書き込みます。
1 文字列:デバッグ エ
ントリ
2 ブール:true の場合、
エントリは stdout
に書き込まれます。
FileSystemLogging.WriteLogEntry
エントリをログに書き込みます。
文字列:ログ エントリ
HTMLElement.InsertAttribute
HTML 要素に属性を挿入します。
1 文字列:属性名
2 文字列:属性値
HTMLElement.RemoveAttribute
HTML 要素から属性を削除します。
文字列:属性名
HTMLElement.SetAttributeValue
属性をある値に設定します。
1 文字列:属性名
2 文字列:属性を設定す
る値
Header.Add
Header.AddMultiple
要求または応答にヘッダーを追加しま
す。
1 文字列:ヘッダー名
要求または応答に値のリストを含むヘ
ッダーを追加します。
1 文字列:ヘッダー名
2 文字列:ヘッダー値
2 文字列のリスト:ヘッ
ダー値のリスト
Header.Block.Add
要求または応答にブロック ヘッダーを 1 文字列:ヘッダー名
追加します。
2 文字列:ヘッダー値
Header.Block.AddMultiple
要求または応答に値のリストを含むブ
ロック ヘッダーを追加します。
1 文字列:ヘッダー名
2 文字列のリスト:ヘッ
ダー値のリスト
Header.Block.RemoveAll
要求または応答から特定の名前を持つ 文字列:ヘッダー名
すべてのブロック ヘッダーを削除しま
す。
Header.ICAP.Response.Add
ICAP 応答にヘッダーを追加します。
1 文字列:ヘッダー名
2 文字列:ヘッダー値
456
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Header.ICAP.Response.AddMultiple
ICAP 応答に値のリストとヘッダーを
追加します。
1 文字列:ヘッダー名
Header.ICAP.Response.RemoveAll
ICAP 応答 から特定の名前を持つすべ
てのヘッダーを削除します。
文字列:ヘッダー名
Header.RemoveAll
要求または応答から特定の名前のすべ
てのヘッダーを削除します。
文字列:ヘッダー名
ICAP.AddRequestInformation
ICAP 要求に情報を追加します。
1 文字列:要求名
2 文字列のリスト:ヘッ
ダー値のリスト
2 文字列:追加された情
報
MediaType.Header.FixContentType
メディア本文の検査後に元のヘッダー
と本文が一致しないことが判明した場
合、メディア タイプ ヘッダーを適切な
ヘッダーに置き換えます。
通知
通知レベルのエントリを syslog に書
き込みます。
PDStorage.AddGlobalData.Bool
Boolean タイプのグローバル変数を追 1 文字列:変数キー
加します。
2 ブール:変数値
PDStorage.AddGlobalData.Category
Category タイプのグローバル変数を
追加します。
1 文字列:変数キー
Dimension タイプのグローバル変数
を追加します。
1 文字列:変数キー
PDStorage.AddGlobalData.Dimension
文字列:ログ エントリ
2 カテゴリ:変数値
2 ディメンション:変数
値
PDStorage.AddGlobalData.Hex
Hex タイプのグローバル変数を追加し 1 文字列:変数キー
ます。
2 16 進数値:変数値
PDStorage.AddGlobalData.IP
IP タイプのグローバル変数を追加しま 1 文字列:変数キー
す。
2 IP:変数値
PDStorage.AddGlobalData.IPRange
IPRange タイプのグローバル変数を追 1 文字列:変数キー
加します。
2 IPRange:変数値
PDStorage.AddGlobalData.List.Category
List of Category タイプのグローバル 1 文字列:変数キー
変数を追加します。
2 カテゴリのリスト:変
数値
PDStorage. AddGlobalData.List. Dimension List of Dimension タイプのグローバ
ル変数を追加します。
1 文字列:変数キー
PDStorage.AddGlobalData.List.Hex
1 文字列:変数キー
McAfee Web Gateway 7.4.0
List of Hex タイプのグローバル変数
を追加します。
2 ディメンションのリ
スト:変数値
2 16 進数値のリスト:
変数値
製品ガイド
457
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage.AddGlobalData.List.IP
List of IP タイプのグローバル変数を
追加します。
1 文字列:変数キー
List of IPRange タイプのグローバル
変数を追加します。
1 文字列:変数キー
List of MediaType タイプのグローバ
ル変数を追加します。
1 文字列:変数キー
List of Number タイプのグローバル
変数を追加します。
1 文字列:変数キー
List of String タイプのグローバル変
数を追加します。
1 文字列:変数キー
List of Wildcard Expression タイプ
のグローバル変数を追加します。
1 文字列:変数キー
MediaType タイプのグローバル変数
を追加します。
1 文字列:変数キー
PDStorage.AddGlobalData.List.IPRange
PDStorage.AddGlobalData.List.MediaType
PDStorage. AddGlobalData.List. Number
PDStorage. AddGlobalData.List. String
PDStorage. AddGlobalData.List. Wildcard
PDStorage. AddGlobalData. MediaType
2 IPRange のリスト:
変数値
2 MediaType のリス
ト:変数値
2 数値のリスト:変数値
2 文字列のリスト:変数
値
2 ワイルドカード式の
リスト:変数値
2 MediaType:変数値
PDStorage.AddGlobalData.Number
Number タイプのグローバル変数を追 1 文字列:変数キー
加します。
2 数値:変数値
PDStorage.AddGlobalData.String
String タイプのグローバル変数を追加 1 文字列:変数キー
します。
2 文字列:変数値
PDStorage. AddGlobalData. Wildcard
Wildcard Expression タイプのグロー 1 文字列:変数キー
バル変数を追加します。
2 ワイルドカード式:変
数値
PDStorage.AddUserData.Bool
Boolean タイプのユーザー変数を追加 1 文字列:変数キー
します。
2 ブール:変数値
PDStorage.AddUserData.Category
Category タイプのユーザー変数を追
加します。
1 文字列:変数キー
Dimension タイプのユーザー変数を
追加します。
1 文字列:変数キー
PDStorage. AddUserData. Dimension
PDStorage.AddUserlData.Hex
458
2 IP のリスト:変数値
McAfee Web Gateway 7.4.0
2 カテゴリ:変数値
2 ディメンション:変数
値
Hex タイプのユーザー変数を追加しま 1 文字列:変数キー
す。
2 16 進数値:変数値
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage.AddUserData.IP
IP タイプのユーザー変数を追加しま
す。
1 文字列:変数キー
2 IP:変数値
PDStorage.AddUserData.IPRange
IPRange タイプのユーザー変数を追加 1 文字列:変数キー
します。
2 IPRange:変数値
PDStorage. AddUserData.List. Category
List of Category タイプのユーザー変 1 文字列:変数キー
数を追加します。
2 カテゴリのリスト:変
数値
PDStorage. AddUserData.List. Dimension
List of Dimension タイプのユーザー
変数を追加します。
1 文字列:変数キー
List of Hex タイプのユーザー変数を
追加します。
1 文字列:変数キー
List of IP タイプのユーザー変数を追
加します。
1 文字列:変数キー
List of IPRange タイプのユーザー変
数を追加します。
1 文字列:変数キー
List of MediaType タイプのユーザー
変数を追加します。
1 文字列:変数キー
List of Number タイプのユーザー変
数を追加します。
1 文字列:変数キー
List of String タイプのユーザー変数
を追加します。
1 文字列:変数キー
List of Wildcard Expression タイプ
のユーザー変数を追加します。
1 文字列:変数キー
MediaType タイプのユーザー変数を
追加します。
1 文字列:変数キー
PDStorage.AddUserData.List.Hex
PDStorage.AddUserData.List.IP
PDStorage.AddUserData.List.IPRange
PDStorage.AddUserData.List.MediaType
PDStorage.AddUserData.List.Number
PDStorage.AddUserData.List.String
PDStorage.AddUserData.List.Wildcard
PDStorage.AddUserData.MediaType
2 ディメンションのリ
スト:変数値
2 16 進数値のリスト:
変数値
2 IP のリスト:変数値
2 IPRange のリスト:
変数値
2 MediaType のリス
ト:変数値
2 数値のリスト:変数値
2 文字列のリスト:変数
値
2 ワイルドカード式の
リスト:変数値
2 MediaType:変数値
PDStorage.AddUserData.Number
Number タイプのユーザー変数を追加 1 文字列:変数キー
します。
2 数値:変数値
PDStorage.AddUserData.String
String タイプのユーザー変数を追加し 1 文字列:変数キー
ます。
2 文字列:変数値
McAfee Web Gateway 7.4.0
製品ガイド
459
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
PDStorage.AddUserData.Wildcard
Wildcard Expression タイプのユーザ 1 文字列:変数キー
ー変数を追加します。
2 ワイルドカード式:変
数値
PDStorage.Cleanup
永続的に保存されているデータをクリ
ーンアップします。
PDStorage.DeleteAllUserData
永続的に保存されているユーザー デー
タをすべて削除します。
PDStorage.DeleteGlobalData
特定のタイプの永続的に保存されたグ
ローバル変数をすべて削除します。
文字列:変数キー
PDStorage.DeleteUserData
特定のタイプの永続的に保存されたユ
ーザー変数をすべて削除します。
文字列:変数キー
SNMP.Send.Trap.Application
アプリケーション情報を含む SNMP
トラップ メッセージを送信します。
SNMP.Send.Trap.System
システム情報を含む SNMP トラップ
メッセージを送信します。
SNMP.Send.Trap.User
ユーザー情報を含む SNMP トラップ
メッセージを送信します。
SNMP.Send.Trap.UserHost
ユーザーのホストに関する情報を含む
SNMP トラップ メッセージを送信し
ます。
パラメーター
1 数値:ユーザー ID
2 文字列:メッセージ本
文
1 数値:ユーザー ID
2 文字列:メッセージ本
文
3 IP:ホストの IP アド
レス
SSO.ProcessLogin
POST 要求をクラウド アプリケーショ
ンに送信する前に、パスワードのトーク
ンを実際のパスワードと置換します
(要求サイクル)。
ユーザーの認証情報をログイン ページ
に挿入し、クラウド アプリケーション
にページを送信するスクリプト コード
を挿入します (応答サイクル)。
ページのパスワード フィールドには、
通常のパスワードではなく、パスワード
のトークンが挿入されます。
このイベントのルールは、両方のサイク
ルで処理されるように設定する必要が
あります。
Statistics.Counter.Increment
カウンターを増分します。
1 文字列:カウンター名
2 数値:増加値
460
Statistics.Counter.Reset
カウンターをリセットします。
文字列:カウンター名
Stopwatch.Reset
ルールセットの処理時間を測定する内
部時計を 0 に設定します。
文字列:ルール セット
名
Stopwatch.Start
ルールセットの処理時間を測定する内
部時計を開始します。
文字列:ルール セット
名
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
インシデント ID のリスト
A
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Stopwatch.Stop
ルールセットの処理時間を測定する内
部時計を停止します。
文字列:ルール セット
名
Syslog
syslog にエントリを書き込みます。
1 数値:ログ レベル
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 – 情報
7 – デバッグ
2 文字列:ログ エント
リ
インシデント ID のリスト
以下の表に、ルールに使用できるインシデント ID のリストを示します。
インシデント ID は次の数値範囲にグループ化されます。
1-199
アプライアンス システムに関連するインシデント
200-299
コア サブシステム インシデント
300-399
モジュール インシデントの更新
400-499
ウイルスおよびマルウェア フィルタリングのインシデント
500-599
ログ ファイル マネージャーのインシデント
600-699
sysconfd デーモンのインシデント
700-799
プロキシ モジュールのインシデント
800-899
ウイルスおよびマルウェア フィルタリングのインシデント
900-999
認証インシデント
1000-1099
URL フィルタリング インシデント
1100-1199
クォータの管理インシデント
1200-1299
SSL 証明書インシデント
1300-1399
ICAP クライアント インシデント
1400-1499
メディア タイプ フィルタリング インシデント
1500-1599
オープナー インシデント
1600-1699
SSL 証明書チェーン インシデント
1700-1799
ユーザー インターフェース インシデント
1800-1849
外部リストのインシデント
1850-1899
アプリケーション フィルタリング インシデント
1900-1999
Data Loss Prevention(DLP)インシデント
McAfee Web Gateway 7.4.0
製品ガイド
461
A
構成リスト
インシデント ID のリスト
2000-2099
ストリーミング メディア フィルタリング インシデント
2100-2199
メディア タイプ フィルタリング インシデント
2200-2299
Dynamic Content Classifier インシデント
2300-2399
シングル サイン オン サービスのインシデント
2400-2499
クラウド ストレージ暗号化のインシデント
3000-3200
集中管理インシデント
3200-3299
Web Hybrid インシデント
表 A-5 インシデント ID のリスト
462
インシデン
ト ID
説明
元の場所の数値および名前
重大度
5
インシデント プロパティを使用するルールが実行されまし
た。
1 システム
7
20
RAID モニタリングが重大ステータスまたは 1 つ以上のハー
ド ディスクへの障害を報告しました。
1 正常性モニター
4 (ま
たはハ
ード
ディス
クの失
敗では
3)
21
S.M.A.R.T 正常性確認は HDD ハード ディスクのエラーをレ 1 正常性モニター
ポートしました。
4
22
ファイル システムの使用率が構成されている限界値を越えて
います。
1 正常性モニター
4
23
メモリの使用率が構成されている限界値を越えています。
1 正常性モニター
4
24
システム負荷が構成されている限界値を越えています。
1 正常性モニター
4
26
BBU RAID エラーを検出するためにチェックが実行されまし
た。チェックの間隔は 30 分です。
1 正常性モニター
4
200
ライセンス期限日が確認されました。
2 コア
6
201
アプライアンスは、すべての FIPS 140-2 セルフテストを正常 2 コア
に完了しました。
6
211
ダッシュボード レポート x のエントリの最大数を超えまし
た。
2 統計
4
298
製品 x の更新が成功しました。
2 コア
6
299
製品 x の更新に失敗しました。
2 コア
3
250
リストのエントリが無効であるか、無視されます。
2 コア
3
301
ディスクの空き容量が十分でないため更新ファイルのダウン
ロードを停止しました。
3 アップデーター
3
302
製品 x のダウンロードがノード y で失敗しました。
3 アップデーター
3
303
製品 x の更新がノード y で失敗しました。
3 アップデーター
3
304
ノード y の製品 x のステータスは最新のものです。
3 アップデーター
3
305
更新モジュールはアップデート サーバーに接続できませんで
した。
3 アップデーター
3
321
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
322
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
323
顧客の購読リスト x の更新がノード y で成功しました。
3 顧客購読リスト マネージ 6
ャー
324
顧客の購読リスト x の更新がノード y、z、... で成功しまし
た。
3 顧客購読リスト マネージ 3
ャー
325
ノード y の顧客購読リスト x のステータスは最新のもので
す。
3 顧客購読リスト マネージ 6
ャー
326
顧客の購読リスト x のダウンロードがノード y、z、... で失敗 3 顧客購読リスト マネージ 3
しました。
ャー
327
McAfee の購読リスト x のダウンロードがノード y、z、... で 3 アップデーター
失敗しました。
3
328
McAfee の購読リスト x の更新がノード y、z、... で失敗しま 3 アップデーター
した。
3
329
ノード y、z、... の McAfee 購読リスト x のステータスは最
新のものです。
3 アップデーター
6
330
McAfee の購読リスト x の更新がノード y で成功しました。 3 アップデーター
6
331
スケジュール設定されたのジョブ x の処理に成功しました
3 スケジュール設定された
ジョブ マネージャー
6
332
スケジュール設定されたジョブ x の処理に失敗しました
3 スケジュール設定された
ジョブ マネージャー
3
333
更新可能なシステム リストの更新がノード y で失敗しまし
た。
3 Central Updater
3
334
更新可能なシステム リストの更新がノード y で成功しまし
た。
3 Central Updater
6
335
ノード y の更新可能なシステム リストのステータスは最新の 3 Central Updater
ものです。
6
340-349
種々の理由で移行に失敗します。
3 移行
6
501
ログ ファイル マネージャーはログ ファイルのプッシュに失
敗しました。
5 ログ ファイル マネージ
ャー
3
601
yum の更新に関わるデータ パッケージを適用するには、アプ 6 mwg-update
ライアンスの再起動が必要です。
4
666
FIPS 140-2 自己テストがノード y で失敗しました。ノード 1 FIPS
は非 FIPS モードで実行中です。
0
700
並列の接続数が構成されている負荷制限を越えています。ア
プライアンスは過負荷状態になりました。アプライアンスに
送信された要求は遅れて受け入れられます。
2 プロキシ
2
701
アプライアンスが 30 秒以上過負荷状態です。アプライアン
スに送信された要求は遅れて受け入れられます。
2 プロキシ
2
702
アプライアンスは過負荷状態から解除されました。アプライ
2 プロキシ
アンスに送信された要求は遅れることなく受け入れられます。
4
703
並列の接続数が構成されている高負荷制限を越えています。
アプライアンスは高負荷状態になりました。アプライアンス
に送信された要求は遅れて受け入れられます。
2 プロキシ
4
704
アプライアンスは 30 秒以上高負荷状態です。アプライアン
スに送信された要求は遅れて受け入れられます。
2 プロキシ
4
McAfee Web Gateway 7.4.0
製品ガイド
重大度
463
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
464
インシデン
ト ID
説明
元の場所の数値および名前
重大度
705
並列の接続数が構成されている高負荷制限の 85 % 未満に下
がりました。アプライアンスはまだ高負荷状態です。アプラ
イアンスに送信された要求は遅れて受け入れられます。
2 プロキシ
6
710
ネクスト ホップ プロキシ サーバーはダウンしていて、n 秒間 2 プロキシ
利用できません。
4
711
アプライアンスはネクストホップ プロキシ サーバーに接続で 2 プロキシ
きませんでした。
4
712
ネクストホップ プロキシ サーバーはエラー状態から通常の動 2 プロキシ
作に戻りました。
6
720
IP アドレス x、ポート y のリスナーを開けませんでした。
2 プロキシ
2
730
プロキシ モード構成の変更にはアプライアンスの再起動が必
要です。
2 プロキシ
2
740
並列接続数が IFP プロキシに構成されている過負荷制限を超
えています。過負荷状態になりました。新しい要求が処理さ
れません。
2 プロキシ
2
741
過負荷状態は IFP プロキシに対して 30 秒以上続きます。新
しい要求が処理されません。
2 プロキシ
2
742
IFP プロキシの過負荷状態が終了しました。要求は遅延なく
再び受け付けます。
2 プロキシ
4
743
並列接続数が IFP プロキシに構成されている高負荷制限を超
えています。過負荷状態になりました。新しい要求が処理さ
れません。
2 プロキシ
4
744
高負荷状態は IFP プロキシに対して 30 秒以上続きます。新
しい要求が処理されません。
2 プロキシ
4
745
並列接続数が IFP プロキシに構成されている高負荷制限の
2 プロキシ
85% 未満に減りました。引き続き高付加状態にあります。要
求は遅れて受け付けられます。
6
750
アプライアンスのエラーのために HSM エージェントのキー
をロードできません。
2 プロキシ
2
751
エージェントのエラーのために HSM エージェントのキーを
ロードできません。
2 プロキシ
2
850
ウイルスとマルウェア フィルタリングの MGAM モジュール
の更新が正常に完了しました。
2 マルウェア対策フィルタ
ー
6
851
ウイルスとマルウェア フィルタリングの MGAM モジュール
の更新に失敗しました。
2 マルウェア対策フィルタ
ー
3
852
MGAM モジュールの更新ファイルのダウンロードまたは検証
に失敗しました。
2 マルウェア対策フィルタ
ー
3
853
ウイルスとマルウェア フィルタリングの MGAM モジュール
のバージョンは最新のものです。
2 マルウェア対策フィルタ
ー
6
854
ウイルスとマルウェア フィルタリングの Ariva モジュールの 2 マルウェア対策フィルタ
更新が正常に完了しました。
ー
6
855
ウイルスとマルウェア フィルタリングの Avira モジュールの 2 マルウェア対策フィルタ
更新に失敗しました。
ー
3
856
Avira モジュールの更新ファイルのダウンロードまたは検証
に失敗しました。
2 マルウェア対策フィルタ
ー
3
857
ウイルスとマルウェア フィルタリングの Avira モジュールの 2 マルウェア対策フィルタ
バージョンは最新のものです。
ー
6
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大度
901
アプライアンスは Windows ドメイン x の NTML 認証のた
め n サーバーに接続されています。
2 NTLM 認証フィルター
6
902
アプライアンスは Windows ドメイン x の NTML 認証のた
め n サーバーに接続できませんでした。
2 NTLM 認証フィルター
4
903
アプライアンスは NTLM 認証のため Windows ドメイン x
と通信できませんでした。
2 NTLM 認証フィルター
3
910
アプライアンスは構成 ID n で LDAP サーバーに接続されま
す。
2 LDAP 認証フィルター
6
912
アプライアンスは構成 ID n で LDAP サーバーから切断され
ました。
2 LDAP 認証フィルター
4
913
アプライアンスは構成 ID n で LDAP サーバーに接続できま
せんでした。
2 LDAP 認証フィルター
3
920
認証ユーザーの情報を取得するために、コミュニケーションを 2 RADIUS 認証フィルター
開始しようと試みた後で、RADIUS サーバー x から応答を受
け取りました。
6
921
コミュニケーションが中断された後で、RADIUS サーバー x
から応答をもう一度受け取りました。
2 RADIUS 認証フィルター
6
923
RADIUS サーバー x への認証要求の送信され、タイムアウト 2 RADIUS 認証フィルター
になりました。
3
931
アプライアンスは NTLM-Agent サーバー x に接続されまし
た。
2 NTLM エージェント認証
フィルター
6
932
アプライアンスは NTLM-エージェント サーバー x から切断
されました。
2 NTLM エージェント認証
フィルター
3
933
アプライアンスは NTLM エージェント サーバー x に接続で
きませんでした。
2 NTLM エージェント認証
フィルター
3
940
証明書失効リストの更新が正常に完了しました。
2 認証フィルター
6
941
証明書失効リストの更新に失敗しました。
2 認証フィルター
4
942
証明書失効リストのダウンロードに失敗しました。
2 認証フィルター
4
943
証明書失効リストのステータスは最新のものです。
2 認証フィルター
6
1050
URL フィルター モジュールの更新が正常に完了しました。
2 URL フィルター
6
1051
URL フィルター モジュールの更新に失敗しました。
2 URL フィルター
3
1052
URL フィルター モジュールの更新ファイルのダウンロードま 2 URL フィルター
たは検証に失敗しました。
3
1053
URL フィルター モジュールのステータスは最新のものです。 2 URL フィルター
6
1650
更新された証明書失効リストが正常にダウンロードされ、ロー 2 証明書チェーン フィルタ 6
ドされました。
ー
1651
更新された証明書失効リストがダウンロードされましたが、ロ 2 証明書チェーン フィルタ 4
ードできませんでした。
ー
1652
更新された証明書失効リストをダウンロードできませんでし
た。
2 証明書チェーン フィルタ
ー
1653
すべての証明書失効リストのステータスは最新のものです。
2 証明書チェーン フィルタ 6
ー
1700
ユーザー インターフェースへのユーザーのログオンが正常に
完了しました。
7 ユーザー インターフェー 4
ス
McAfee Web Gateway 7.4.0
製品ガイド
465
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
466
インシデン
ト ID
説明
元の場所の数値および名前
1701
ユーザー インターフェースへのユーザーのログオンに失敗し
ました。
7 ユーザー インターフェー 4
ス
1702
ユーザーが要求を送信したクライアントの IP アドレスが変更 7 ユーザー インターフェー 4
されました。
ス
1710
ユーザーが正常に変更を保存しました。
7 ユーザー インターフェー 6
ス
1711
ユーザーは変更を保存できませんでした。
7 ユーザー インターフェー 3
ス
1800
外部リストから取得できたエントリの数が構成された制限を
超えました。
2 外部リスト フィルター
4
1801
外部リストから取得できたエントリのデータ量が構成された
制限を超えました。
2 外部リスト フィルター
4
1802
データが外部リストから取得されたときにエラーが発生しま
した。
2 外部リスト フィルター
4
1803
外部リストから取得されたデータが返還されたときにエラー
が発生しました。
2 外部リスト フィルター
4
1804
データが外部リストから取得されたときにタイムアウト エラ
ーが発生しました。
2 外部リスト フィルター
4
1805
外部リストからデータを取得する権限が拒否されました。
2 外部リスト フィルター
4
1806
外部リスト データから取得するリソースを見つけることがで
きませんでした。
2 外部リスト フィルター
4
1850
アプリケーション フィルタリングのデータベースの更新が正
常に完了しました。
2 Application Control
6
1851
アプリケーション フィルタリングのデータベースの更新に失
敗しました。
2 Application Control
3
1852
アプリケーション フィルタリングのデータベースのダウンロ
ードに失敗しました。
2 Application Control
3
1853
アプリケーション フィルタリングのデータベースのステータ
スは最新のものです。
2 Application Control
6
1854
アプリケーション フィルタリングのデータベースのロードに
失敗しました。
2 Application Control
3
1855
アプリケーション フィルタリングのデータベースのロードが
正常に完了しました。
2 Application Control
6
1950
Data Loss Prevention(DLP)モジュールの更新が正常に完 2 Data Loss Prevention
了しました。
6
1951
Data Loss Prevention(DLP)モジュールの更新に失敗しま 2 Data Loss Prevention
した。
3
1952
Data Loss Prevention(DLP)モジュールの更新ファイルの 2 Data Loss Prevention
ダウンロードまたは検証に失敗しました。
3
1953
Data Loss Prevention(DLP)のステータスは最新のもので 2 Data Loss Prevention
す。
6
2001
ストリーム ディテクター モジュールでエラーが発生しまし
た。
2101
メディア タイプ フィルタリングのデータベースをロードでき 2 メディア タイプ フィル
ませんでした。
ター
McAfee Web Gateway 7.4.0
重大度
2 ストリーム ディテクター 2
製品ガイド
2
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大度
2200
Dynamic Content Classifier の更新が正常に完了しました。 2 Dynamic Content
Classifier
6
2201
Dynamic Content Classifier の更新に失敗しました。
2 Dynamic Content
Classifier
3
2202
Dynamic Content Classifier の更新ファイルのダウンロー
ドまたは検証に失敗しました。
2 Dynamic Content
Classifier
3
2203
Dynamic Content Classifier のステータスは最新のもので
す。
2 Dynamic Content
Classifier
6
2301
MCSSO コネクター データベースを読み込むことができませ
ん。
3 シングル サイン オン
3
3 シングル サイン オン サ
ービス
3
McAfee Cloud SSO が使用できない、URL が見つからない、
などの理由を説明する通知が送信されます。
この通知には、設定の名前と説明も含まれています。
2302
MCSSO 認証トークンを取得できません。
このインシデントの原因はいくつか考えられます。たとえば、
設定したパスワードが有効でない可能性があります。また、
McAfee Cloud SSO に接続できない場合や、要求を処理でき
ない場合も考えられます。
このインシデントが発生すると、問題のある McAfee Cloud
Single Sign On インスタンスの設定リストが送信されます。
2350
シングル サイン オン サービスのファイルが正常に更新され
ました。
3 シングル サイン オン サ
ービス
6
2351
シングル サイン オン サービスのファイルが更新できません
でした。
3 シングル サイン オン サ
ービス
3
2352
シングル サイン オン サービスの更新ファイルのダウンロー
ドまたは検証に失敗しました。
3 シングル サイン オン サ
ービス
3
2353
シングル サイン オン サービスは最新の状態です。
3 シングル サイン オン サ
ービス
2401
サービス データベースの読み込みに失敗しました。
3 クラウド ストレージ暗号 2
化
クラウド ストレージ暗号化モジュールがサポート対象のクラ
ウド ストレージ サービスの説明と一緒にファイルを読み込め
ない場合、このインシデントが報告されます。
3000
3
集中管理構成の 1 つ以上のノードで、ストレージと構成が同期 3 集中管理
されていません。
非同期ノードの変更数
このインシデントはルート ノードにのみ記録されます。
3001
インシデント 3000 が発生した後、すべての集中管理構成のノ 3 集中管理
ードが再度同期されたステータスになります(保管および構成
関連)。
6
3005
共有データの送信後、集中管理構成の 1 つ以上のノードが適切 3 集中管理
に応答しませんでした。
3
変更に対して適切に応答しなかったノード数
このインシデントは、すべてのノードに対して共有データが送
信された場合にのみ、ルート ノードにだけ記録されます。
McAfee Web Gateway 7.4.0
製品ガイド
467
A
構成リスト
プロパティのリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大度
3006
インシデント 3004 が発生した後、すべての集中管理構成のノ 3 集中管理
ードが適切にそれらへの共有データの送信に応答しました。
3200
SaaS Web Protection Service へのリストの送信が正常に
完了しました。
3 Web Hybrid
6
3201
SaaS Web Protection Service へのリストの送信に失敗し
ました。
3 Web Hybrid
3
3205
SaaS Web Protection Service からリストが正常にダウン
ロードされ、保管されました。
3 Web Hybrid
6
3206
SaaS Web Protection Service からリストがダウンロード
できずに、また保管されませんでした。
3 Web Hybrid
3
3210
同期状態を特定できません。
3 Web Hybrid
3
3211
API バージョンの不一致など、SaaS Web Protection
Service の API でエラーが発生しました。
3 Web Hybrid
3
3250
SaaS Web Protection Service の同期のステータスが OK
です。
3 Web Hybrid
6
6
プロパティのリスト
以下の表に、ルールに使用できるプロパティのリストを示します。
順序
プロパティはアルファベット順にリストされています。ただし、リストの作成では、プロパティ名の部分を考慮に入
れます。名前の部分は大文字で始まり、多くの場合、ピリオドでも区切られます。
たとえば、Body.HasMimeHeaderParameter は Body.Hash より前に表示されます。
プロパティのコンテキスト
プロパティが使用されるルールとルール セットを簡単に確認できます。
1
ユーザー インターフェースで [検索] をクリックします。[参照するオブジェクトの検索] で [プロパティ] を選
択し、検索するプロパティを選択します。
プロパティを使用するルールが表示されます。たとえば、Antimalware.Infected の場合、[ウイルスを検出
したらブロック] ルールが表示されます。
2
ルールを選択して、[コンテキストを表示] をクリックします。
ルール セットに含まれるルールとプロパティが表示されます。たとえば、Antimalware.Infected のルール
は、[ゲートウェイ マルウェア対策] ルール セット内に表示されます。
表 A-6 プロパティのリスト – A
468
名前
タイプ
説明
Antimalware.Avira.VersionString
文字列
スキャン ジョブを実行する Avira エンジ
ンのバージョン
Antimalware.Infected
ブール
true の場合、Web オブジェクトが感染し
ていることが判明しました。
McAfee Web Gateway 7.4.0
パラメーター
製品ガイド
A
構成リスト
プロパティのリスト
表 A-6 プロパティのリスト – A (続き)
名前
タイプ
説明
パラメーター
Antimalware.Proactive.Probability
数値
Web オブジェクトがマルウェアである確
率
可能性がパーセントで表示されます。1
から 100 までの数字で表されます。
Antimalware.MATD.Hash
文字列
ダウンロード要求に応じて Web サーバー
が受信し、McAfee Advanced Threat
Defense がスキャンしたファイルの識別
に使用するハッシュ値。
Antimalware.MATD.Probability
数値
Web オブジェクトの悪質さを表す重大
度。低いほうから 1 から 5 で表します。
重大度は、オブジェクトが McAfee
Advanced Threat Defense でスキャン
されると表示されます。
Antimalware.MATD.Report
文字列
McAfee Advanced Threat Defense が
スキャンした Web オブジェクトのレポー
ト
このレポートは JSON データ形式で生成
されます。
Antimalware.MATD.Server
文字列
Web オブジェクトのスキャン時に
McAfee Advanced Threat Defense が
稼動していたサーバー
サーバーは URL で表されます。例:
http://matdserver300
Antimalware.MATD.TaskID
文字列
Web オブジェクトのスキャン時に
McAfee Advanced Threat Defense が
実行したタスクの ID
Antimalware.MATD.VersionString
文字列
スキャン ジョブを実行する McAfee
Advanced Threat Defense のバージョ
ン
Antimalware.MGAM.VersionString
文字列
スキャン ジョブを実行する McAfee
Gateway マルウェア対策エンジンのバー
ジョン
Antimalware.VersionString
文字列
Web Gateway がスキャン ジョブの実行
時に使用したウイルス/マルウェア フィル
タリングのエンジンに関するバージョン
情報
Antimalware.VirusNames
文字列のリ
スト
Web オブジェクトが感染されていると判
明したウイルスの名前のリスト
Application.IsHighRisk
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対するリスク
が高いと見なされています。
Application.IsMediumRisk
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対して中リス
クと見なされています。
Application.IsMinimalRisk
ブール
true の場合、アプリケーションへのアクセ
スが Web セキュリティに対するリスクで
あるかどうかが検証されていません。
McAfee Web Gateway 7.4.0
製品ガイド
469
A
構成リスト
プロパティのリスト
表 A-6 プロパティのリスト – A (続き)
名前
タイプ
説明
パラメーター
Application.IsUnverified
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対するリスク
が高いと見なされています。
Application.Name
Applcontrol アプリケーションの名前
Application.Reputation
数値
アプリケーションのレピュテーション ス
コア
Application.ToString
文字列
文字列に変換されたアプリケーションの
名前
Authentication.Authenticate
ブール
true の場合、認証エンジンは構成されてい
る方法を適用するために呼び出されまし
た。例: ユーザーの認証情報に対して
NTLM が呼び出されて、ユーザーが正常に
認証されました。
Applcontrol:
変換するアプ
リケーション
名
また、
Authentication.IsAuthenticated
および Authentication.UserName
プロパティの値も設定されました。
false の場合、構成された認証方法が正常
に適用できません。例: 認証が送信されな
かった場合、または正しくない認証が送信
された場合など。
470
Authentication.CacheRemainingTime 数値
認証情報がキャッシュからクリアされる
までの残り時間(秒単位)
Authentication.Failed
ブール
true の場合、認証情報はユーザーによって
提供されたが、認証が失敗しました。
Authentication.FailureReason
数値
ユーザーの認証が失敗した理由を識別す
る数
Authentication.GetUserGroups
文字列のリ
スト
認証プロセスが適用されるユーザー グル
ープのリスト
Authentication.IsAuthenticated
ブール
true の場合、ユーザーは正常に認証されま
した。
Authentication.IsLandingOnServer
ブール
true の場合、Cookie 認証がユーザーに適
用されています。
Authentication.IsServerRequest
ブール
true の場合、認証サーバー方法でユーザー
の認証が要求されました。
Authentication.MCSSOLogin
ブール
true の場合、クラウド アプリケーション
に対するログオン要求が受信されていま
す。
Authentication.MCSSOLogout
ブール
true の場合、クラウド アプリケーション
に対するログオフ要求が受信されていま
す。
Authentication.Method
文字列
ユーザー認証のために使用される方法。
例: LDAP
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-6 プロパティのリスト – A (続き)
名前
タイプ
説明
パラメーター
Authentication.OTP.Context
文字列
ワンタイム パスワード ユーザーの確認に
必要な暗号化された情報
Authentication.SendOTP イベント
が実行されると、この値がプロパティに設
定されます。
認証サーバー (OTP を使用した時間/IP
ベースのセッションまたは許可オーバー
ライド) ライブラリ ルール セットのルー
ルが処理されると、HTTP プロトコルの応
答ヘッダーに情報が送信されます。
Authentication.RawCredentials
文字列
アプライアンスが元々クライアントまた
はネットワークのその他のインスタンス
から受信した形式のユーザーの認証情報
ルール構成にこのプロパティを使用する
と、単純な
Authentication.UserName プロパテ
ィで行われる、ユーザー認証情報を人が読
める形式に変換する時間を短縮するため、
処理がスピード アップします。
Authentication.RawUserName
文字列
アプライアンスが元々クライアントまた
はネットワークのその他のインスタンス
から受信した形式のユーザー名
ルール構成にこのプロパティを使用する
と、単純な
Authentication.UserName プロパテ
ィで行われる、ユーザー名を人が読める形
式に変換する時間を短縮するため、処理が
スピード アップします。
Authentication.Realm
文字列
認証領域。例: Windows ドメイン
Authentication.UserGroups
文字列のリ
スト
認証プロセスが適用されるユーザー グル
ープのリスト
Authentication.UserName
文字列
認証プロセスが適用されるユーザー名
表 A-7 プロパティのリスト – B
名前
タイ 説明
プ
Block.ID
数値 要求をブロックしたアクションの ID
Block.Reason
文字 要求をブロックしたアクションの理
列
由の名前
BlockingSession.IsBlocked
ブー true の場合、ブロックするセッショ
ル
ンがユーザーに対して有効になって
います。
パラメーター
BlockingSession.RemainingSession 数値 ブロックするセッションの残り時間
(分単位)
BlockingSession.SessionLength
数値 ブロックするセッションの時間の長
さ(分単位)
Body.ChangeHeaderMime
ブー true の場合、Web オブジェクトの本
ル
文とともに MIME 形式で送信された
ヘッダーは変更されています。
McAfee Web Gateway 7.4.0
製品ガイド
471
A
構成リスト
プロパティのリスト
表 A-7 プロパティのリスト – B (続き)
名前
タイ 説明
プ
パラメーター
Body.ClassID
文字 Web オブジェクトのクラスの ID
列
Body.Equals
ブー true の場合、Web オブジェクトの本 1 数値:パターンが開始する
ル
文はプロパティ パラメーターに指定
バイトの位置
されたパターンと一致します。
2 文字列:パターン
a. 二重引用符内に埋め込
まれた文字列(" ..." には
\ が前に付けられた 16 進
数値も含まれる場合があ
ります。)
または:
b. 16 進数値のシーケンス
Body.FileName
文字 Web オブジェクトの本文に埋め込ま
列
れているファイルの名前。例: アー
カイブ ファイル
Body.FullFileName
文字 ドキュメントまたはアーカイブなど
列
埋め込みエンティティの名前も含む
Web オブジェクトの本文に埋め込ま
れているファイルの名前
名前の一部は | (パイプ)記号で分
かれています。例: test.zip|
test.doc。
Body.HasMimeHeader
ブー true の場合、MIME 形式で送信され 文字列:ヘッダー名
ル
た抽出マルチパート オブジェクトの
本文に指定ヘッダーがあります。
Body.HasMimeHeaderParameter
ブー true の場合、MIME 形式で送信され 1 文字列:ヘッダー名
ル
た抽出マルチパート オブジェクトの
本文に指定ヘッダー パラメーターが 2 文字列:ヘッダー パラメー
あります。
ター名
Body.Hash
文字 Web オブジェクトの本文のプロパテ 文字列:ハッシュ タイプ
列
ィ パラメーターにより指定されるタ
イプのハッシュ値
ハッシュ値は、md5、sha1、
sha256、sha512、その他です。
472
Body.IsAboveSizeLimit
ブー true の場合、Web オブジェクトの本
ル
文は制限サイズを超えています。
Body.IsCompleteWithTimeout
ブー true の場合、プロパティ パラメータ 数値:オブジェクトを完全に
ル
ーに指定された時間 (ミリ秒) が経
送信する時間
過する前に、Web オブジェクトの本
文がアプライアンスに完全に送信さ
れています。
Body.IsCorruptedObject
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブが破損して
います。
Body.IsEncryptedObject
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブは暗号化さ
れています。
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-7 プロパティのリスト – B (続き)
名前
タイ 説明
プ
Body.IsMultiPartObject
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブは複数部分
を含み複雑です。
Body.IsSupportedByOpener
ブー true の場合、複合体の Web オブジ
ル
ェクトの本文のためにアプライアン
スでオープナー デバイスを利用でき
ます。例: アーカイブの本文。
パラメーター
Body.MimeHeaderParameterlValue 文字 MIME 形式で送信された Web オブ 1 文字列:ヘッダー名
列
ジェクトの本文のヘッダー パラメー
2 文字列:ヘッダー パラメー
ター値
ター値
Body.MimeHeaderValue
文字 MIME 形式で送信された Web オブ
列
ジェクトの本文のヘッダー値
Body.Modified
ブー true の場合、アプライアンスモジュ
ル
ールが Web オブジェクトの本文を
変更しました。
Body.NestedArchive Level
数値 アーカイブのアーカイブ部分の現在
のレベル
Body.NotEquals
ブー false の場合、Web オブジェクトの 1 数値:パターンが開始する
ル
本文はプロパティ パラメーターに指
バイトの位置
定されているパターンに一致します。
2 文字列:パターン
文字列:ヘッダー値
a. 二重引用符内に埋め込
まれた文字列(" ..." には
\ が前に付けられた 16 進
数値も含まれる場合があ
ります。)
または:
b. 16 進数値のシーケンス
Body.NumberOfChildren
数値 Web オブジェクトの本文に埋め込ま
れているオブジェクトの数
Body.PositionOfPattern
数値 Web オブジェクトの本文のパターン 1 文字列:検索するパターン
検索が開始するバイト位置
a. 二重引用符内に埋め込
パターンが検出されない場合は -1
まれた文字列(" ..." には
が返されます。
\ が前に付けられた 16 進
数値も含まれる場合があ
ります。)
または:
b. 16 進数値のシーケンス
2 数値:パターンの検索が開
始されるバイトの位置
3 数値:検索の長さ(バイト単
位、0 はオフセットからオ
ブジェクトの末尾までの
検索という意味。)
Body.Size
McAfee Web Gateway 7.4.0
数値 Web オブジェクトの本文のサイズ
(バイト)
製品ガイド
473
A
構成リスト
プロパティのリスト
表 A-7 プロパティのリスト – B (続き)
名前
タイ 説明
プ
パラメーター
Body.Text
文字 Web オブジェクトの本文のテキスト
列
Body.ToNumber
数値 Web オブジェクトの本文の一部は数 1 数値:変換部分が開始する
値に変換されます(指定位置で開始し
バイトの位置
て最大 8 バイト)
2 数値:変換部分の長さ(バイ
ビッグエンディアンまたはリトルエ
ト単位、最大 8 バイト)
ンディアン形式を使用して変換でき
ます。
最初のパラメーターで 0、
および 2 番目での
Body.Size プロパティの
各値は本文全体が変換さ
れることを意味します。
3 ブール:true の場合、変換
にリトルエンディアン形
式を使用、そうでない場合
はビッグエンディアン
Body.ToString
文字 文字列に変換された Web オブジェ
列
クトの本文の一部
1 数値:変換部分が開始する
バイトの位置
2 数値:変換部分の長さ(バイ
ト単位)
最初のパラメーターで 0、
および 2 番目での
Body.Size プロパティの
各値は本文全体が変換さ
れることを意味します。
474
Body.UncompressedSize
数値 アーカイブから抽出された後のアー
カイブ Web オブジェクト(バイト単
位)本文のサイズ
BooleanToString
文字 文字列に変換されたブール値
列
BytesFromClient
数値 クライアントから受信した要求のバ
イト数
BytesFromServer
数値 Web サーバーから受信した応答のバ
イト数
BytesToClient
数値 クライアントに転送された Web サ
ーバーの応答のバイト数
BytesToServer
数値 Web サーバーに転送されたクライア
ント 要求のバイト数
McAfee Web Gateway 7.4.0
ブール:変換するブール値
製品ガイド
構成リスト
プロパティのリスト
A
表 A-8 プロパティのリスト – C
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Cache.IsCacheable
ブ
ー
ル
true の場合、Web サーバーから応答として送信されたオ
ブジェクトを Web キャッシュに保管できます。
Cache.IsFresh
ブ
ー
ル
true の場合、Web オブジェクトに保管されたオブジェク
トは Web からダウンロードされたか、または認証済みで
す。
Cache.Status
文
字
列
Web オブジェクトのキャッシュ ステータス
値:
• TCP_HIT - Web オブジェクトがユーザーによって要
求されて、キャッシュで見つかりました。
• TCP_MISS -Web オブジェクトがユーザーによって
要求されて、キャッシュで見つかりませんでした。
• TCP_MISS_RELOAD - Web オブジェクトがユーザ
ーによって要求されたが、ユーザーが[更新]ボタンをク
リックすることで対象 Web サーバーから直接フェッチ
することを要求したためキャッシュからは取得されませ
んでした。
その後、オブジェクトはキャッシュに再度入力されまし
た。
• TCP_MISS_VERIFY - Web オブジェクトがユーザ
ーによって要求されて、それはキャッシュに存在してい
たが、対象 Web サーバーからの検証情報によって古い
ものとして示されました。
オブジェクトの更新されたバージョンがサーバーから受
信され、キャッシュに入力されました。
Category.ToShortString
文
字
列
カテゴリ省略された文字列に変換された URL カテゴリ
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
Category.ToString
文
字
列
文字列に変換された URL カテゴリ
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
McAfee Web Gateway 7.4.0
製品ガイド
475
A
構成リスト
プロパティのリスト
表 A-8 プロパティのリスト – C (続き)
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Client.IM.Login
文
字
列
インスタント メッセージ プロトコルでアプライアンスに
ログ オンするためにクライアントによって使用される ID
Client.IM.ScreenName
文
字
列
インスタント メッセージ プロトコルでアプライアンスと
通信するクライアントの画面名
Client.IP
IP クライアントの IP アドレス
Client.NumberOfConnections
数
値
同時に開いているクライアントからアプライアンスへの接
続の数
CloudEncryption.IsEncryptionSupported ブ
ー
ル
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスにアップロードされるデータに暗号化が実行されま
す。
クラウド ストレージ暗号化モジュールは、クラウド スト
レージ サービスのサービス記述ファイルと Web
Gateway の設定を評価して、この値が true かどうか確認
します。たとえば、サポートされるクラウド ストレージ
サービスが定義されているクラウド ストレージ暗号化サ
ポートの設定を使用します。
CloudEncryption.IsDecryptionSupported ブ
ー
ル
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスからダウンロードされるデータに暗号化が実行され
ます。
この値が true かどうか確認する方法については、
CloudEncryption.IsEncryptionSupported プロパ
ティの説明を参照してください。
CloudEncryption.ServiceName
文
字
列
現在処理中の要求でデータをアップロードまたはダウンロ
ードするクラウド ストレージ サービスの名前
Web Gateway でクラウド ストレージ データのアップデ
ート要求またはダウンロード要求を受信すると、このプロ
パティに値が設定されます。
ただし、このプロパティは、条件に一致した場合に暗号化
または復号を行うルール条件で使用しないでください。
この操作を行う場合には、
CloudEncryption.IsEncryptionSupported プロパ
ティと CloudEncryption.IsDecryptionSupported
プロパティを使用します。
476
CloudEncryption.CipherName
文
字
列
現在処理中の要求でアップロードまたはダウンロードされ
るクラウド ストレージ データの暗号化または復号に使用
されるアルゴリズム (暗号) 名
コマンド カテゴリ
文
字
列
の
リ
ス
ト
コマンドが属するカテゴリのリスト。例: FTP コマンド
カテゴリ
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-8 プロパティのリスト – C (続き)
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Command.Name
文
字
列
コマンド名
Command.Parameter
文
字
列
コマンドのパラメーター
Connection.Aborted
ブ
ー
ル
true の場合、接続の通信が最終的に失敗し、接続は閉じま
した。
Connection.IP
IP 接続に使用される IP アドレス
Connection.Protocol
文
字
列
接続で通信に使用されるプロトコル。例: HTTP
Connection.Protocol.IsIM
ブ
ー
ル
true の場合、接続での通信にインスタント メッセージン
グ プロトコルを使用します。
Connection.RunTime
数
値
接続が開かれた時点から現時点までの接続の実行期間(秒
単位)
Connection.SSL.
TransparentCNHandling
ブ
ー
ル
true の場合、接続の通信は SSL セキュアで、透過型モー
ドで実行されます。
Cycle.LastCall
ブ
ー
ル
true の場合、サイクルのデータの処理が完了しています。
Cycle.Name
文
字
列
処理サイクルの名前
Cycle.TopName
文
字
列
Web オブジェクトが埋め込みオブジェクト サイクルで処
理される前に処理されるサイクルの名前(要求または応答)
表 A-9 プロパティのリスト - D
名前
タ 説明
イ
プ
DataTrickling.Enabled
ブ true の場合、Web オブジェクトのダウンロー
ー ドにデータ トラッキングが使用されます。
ル
DateTime.Date.MonthDayNumber
数 月内の日数
値
DateTime.Date.MonthNumber
数 月数
値
McAfee Web Gateway 7.4.0
パラメーター
製品ガイド
477
A
構成リスト
プロパティのリスト
表 A-9 プロパティのリスト - D (続き)
名前
タ 説明
イ
プ
パラメーター
DateTime.Date.ToString
文 現在の日付を表す文字列 (プロパティ パラメ
字 ーターで指定された形式)
列
次の 3 つの部分を含む文
列。
1 1. %YYYY(年)
または:
%YY(下 2 桁)
または:
%Y(下 2 桁だが、下
が 0 で始まる場合は 1
例: 2009 では 9)
2 %MM(1 桁の数値の前
挿入される月数)
または:
%M(0 が挿入されな
例: 3 月では 3、12 月
12)
3 %DD(日)
または:
%D
パラメーターが指定され
ない場合、形式は次のと
になります。
%YYYY/%MM /%DD
478
DateTime.Date. WeekDayNumber
数 曜日の数値(1 は日曜日)
値
DateTime.Date.Year
数 年(4 桁)
値
DateTime.Date.YearTwoDigits
数 年(下 2 桁)
値
DateTime.Time.Hour
数 時間(24 時間形式。例: 1:00 p.m. は 13
値 時)
DateTime.Time.Minute
数 時間内の分数
値
DateTime.Time.Second
数 分内の秒数
値
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-9 プロパティのリスト - D (続き)
名前
タ 説明
イ
プ
パラメーター
DateTime.Time.ToString
文 現在の時間を表す文字列 (プロパティ パラメ
字 ーターで指定された形式)
列
次の 3 つの部分を含む文
列。
1 %h (時間)
または:
%hh(1 桁の時間の前
が挿入される)
2 %m(分)
または:
%mm
3 %s(秒)
または:
%ss
パラメーターが指定され
ない場合、形式は次のと
になります。
%hh:%mm:%ss
DateTime.ToGMTString
文 グリニッチ時間形式で現在の日付および時刻
字 を表す文字列
列
例:「Mon, 22 March 2012 11:45:36 GMT」
DateTime.ToISOString
文 ISO 時間形式で現在の日付および時刻を表す
字 文字列
列
例:「2012-03-22 11:45:12」
DateTime.ToNumber
数 1970 年 1 月 1 日からの秒数(UNIX エポッ
値 ク時間)
DateTime.ToString
文 現在の日付と時刻を表す文字列 (プロパティ
字 パラメーターで指定された形式)
列
DateTime.Date.ToSt
と DateTime.Time.
ToString プロパティの
を含む文字列
パラメーターが指定され
ない場合、形式は次のと
になります。
%YYYY/%MM /%DD %
%mm:%ss
DateTime.ToWebReporterString
文 Web Reporter 時間形式で現在の日付および
字 時刻を表す文字列
列
例:「29/Oct/2012:14:28:15 +0000」
DecimalNumber.ToString
文 文字列に変換された 10 進数値
字
列 文字列はパラメーターに従って切り捨てられ
ます。
1 数値:変換する 10 進数
2 数値:小数点の後の桁数
例: このパラメーターが 2 の場合、10.12345
は切り捨てられて 10.12 になります。
McAfee Web Gateway 7.4.0
製品ガイド
479
A
構成リスト
プロパティのリスト
表 A-9 プロパティのリスト - D (続き)
名前
タ 説明
イ
プ
パラメーター
Dimension.ToString
文 文字列に変換されたディメンション
字
列
ディメンション: 変換する
ィメンション
DLP.Classification.AnyText. Matched
ブ true の場合、分類リストの 1 つ以上のエント 文字列:重要または不適切
ー リーによって、特定のテキスト文字列が重要ま るかどうか確認されるテ
ル たは不適切なコンテンツであると指定されて ト
います。
DLP.Classification.AnyText.
MatchedClassifications
文
字
列
の
リ
ス
ト
文字列:機密性または適切
確認されるテキスト
特定のテキスト文字列を重要または不適切と
して指定する分類リストのエントリーのリス
ト
リストは
DLP.Classification.AnyText.Matched
が true に設定された場合に満たされます。
DLP.Classification.AnyText..MatchedTerms 文 分類リストの 1 つ以上のエントリーによっ
文字列:機密性または適切
字 て、重要または不適切であると指定されている 確認されるテキスト
列 特定のテキスト文字列を含む用語のリスト。
の
リ リストは
ス DLP.Classification.AnyText.Matched
ト が true に設定された場合に満たされます。
DLP.Classification.BodyText. Matched
ブ true の場合、要求または応答の本文のテキス
ー トに、分類リストの 1 つ以上のエントリーに
ル よって重要または不適切であると指定されて
いるコンテンツが含まれます。
DLP.Classification.BodyText.
MatchedClassifications
文
字
列
の
リ
ス
ト
要求または応答の本文テキストにある重要ま
たは不適切なコンテンツを指定する分類リス
トのエントリーのリスト
文
字
列
の
リ
ス
ト
分類リストの 1 つ以上のエントリーによる
と、重要または不適切なコンテンツである要求
または応答の本文テキストの用語のリスト。
DLP.Classification.BodyText.
MatchedTerms
リストは
DLP.Classification.BodyText.Matched
が true に設定された場合に満たされます。
DLP.Dictionary.AnyText. Matched
ブ true の場合、特定のテキスト文字列がディク
ー ショナリ リストで重要または不適切なコンテ
ル ンツであると指定されています。
文字列:重要または不適切
るかどうか確認されるテ
ト
DLP.Dictionary.AnyText. MatchedTerms
文
字
列
の
リ
ス
ト
文字列:機密性または適切
確認されるテキスト
DLP.Dictionary.BodyText. Matched
480
リストは
DLP.Classification.BodyText.Matched
が true に設定された場合に満たされます。
McAfee Web Gateway 7.4.0
ディクショナリ リストで機密または不適切と
指定されている特定のテキスト文字列を含む
項目のリスト
リストは
DLP.Dictionary .AnyText.Matched が
true に設定された場合に満たされます。
ブ true の場合、要求または応答の本文のテキス
ー トに、自分で作成したエントリーによって重要
ル または不適切であると指定されているコンテ
ンツが含まれます。
製品ガイド
A
構成リスト
プロパティのリスト
表 A-9 プロパティのリスト - D (続き)
名前
タ 説明
イ
プ
DLP.Dictionary.BodyText. MatchedTerms
文
字
列
の
リ
ス
ト
パラメーター
自分で作成したエントリーによると、重要また
は不適切なコンテンツである要求または応答
の本文テキストの用語のリスト。
リストは
DLP.Dictionary.BodyText.Matched が
true に設定された場合に満たされます。
DNS 検索
IP ホスト名の DNS 検索で見つかった IP アドレ 文字列:ホスト名
の スのリスト
リ
ス
ト
DNS.Lookup.Reverse
文 IP アドレスの DNS の逆引き参照で見つかっ
字 たホスト名のリスト
列
の
リ
ス
ト
IP:IP アドレス
表 A-10 プロパティのリスト – E
名前
タイプ
説明
Error.ID
数値
エラーの ID
Error.Message
文字列
エラーを説明するメッセージ
テキスト
ExtLists.Boolean
ブール
ブール値
パラメーター
1 文字列:外部リスト ソ
ースを識別する用語の
場所を保持する値。
例: URL
2 文字列:上記を参照
3 文字列:上記を参照
ExtLists.Category
カテゴリ
URL カテゴリ
上記を参照
ExtLists.CategoryList
カテゴリのリスト
URL カテゴリのリスト
上記を参照
ExtLists.Double
ダブル
ダブルの値
上記を参照
ExtLists.DoubleList
ダブルのリスト
ダブルの値のリスト
上記を参照
ExtLists.Integer
整数
整数
上記を参照
ExtLists.IntegerList
整数のリスト
整数のリスト
上記を参照
ExtLists.IP
IP
IP アドレス
上記を参照
ExtLists.IPList
IP のリスト
IP アドレスのリスト
上記を参照
ExtLists.IPRange
IPRange
IP アドレスの範囲
上記を参照
ExtLists.IPRangeList
IPRange のリスト
IP アドレスの範囲のリスト
上記を参照
ExtLists.JSON
JSON
JSON 要素のリスト
上記と同じ
ExtLists.LastUsedListName 文字列
McAfee Web Gateway 7.4.0
最後に使用された外部リスト
モジュールの設定の名前を表
す文字列
製品ガイド
481
A
構成リスト
プロパティのリスト
表 A-10 プロパティのリスト – E (続き)
名前
タイプ
説明
パラメーター
ExtLists.MediaType
MediaType
メディア タイプ
上記を参照
ExtLists.MediaTypeList
MediaType のリスト
メディア タイプのリスト
上記を参照
ExtLists.String
文字列
文字列
上記を参照
ExtLists.StringList
文字列のリスト
文字列のリスト
上記を参照
ExtLists.StringMap
文字列のリスト
マップ タイプのキーと値の組
み合わせを表す文字列のリス
ト
上記と同じ
ExtLists.Wildcard
ワイルドカード式
ワイルドカード(正規表現)式 上記を参照
ExtLists.WildcardList
ワイルドカード式のリス ワイルドカード(正規表現)式 上記を参照
ト
のリスト
表 A-11 プロパティのリスト - F
名前
タイプ 説明
パラメーター
FileSystemLogging.MakeAnonymous 文字列 暗号化によって匿名にされた文字列 文字列:暗号化する文字列
表 A-12 プロパティのリスト - G
名前
タイプ 説明
パラメーター
GTI.RequestSentToCloud ブール true の場合、URL カテゴリ情報の参照要求が Global Threat
Intelligence サーバーに送信されました。
表 A-13 プロパティのリスト - H
名前
タイプ
説明
パラメーター
Header.Block.Exists
ブール
true の場合、指定ブロック ヘッダーが存在します。 文字列:ヘッダ
ー名
Header.Block.Get
文字列
指定ブロック ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
Header.Block.GetMultiple
文字列の
リスト
指定ブロック ヘッダーで見つかった値のリスト
文字列:ヘッダ
ー名
Header.Exists
ブール
true の場合、アプライアンスで処理される要求また 文字列:ヘッダ
ー名
は応答が指定ヘッダーに含まれます。
現在の処理サイクルが実際にヘッダーに含まれてい
る要求または応答かどうかによります。
Header.Get
文字列
アプライアンスで処理される要求または応答の指定
ヘッダーで見つかった最初の値。
文字列:ヘッダ
ー名
現在の処理サイクルが実際にヘッダーに含まれてい
る要求または応答かどうかによります。
Header.GetMultiple
文字列の
リスト
アプライアンスで処理される要求または応答の指定
ヘッダーで見つかった値のリスト
文字列:ヘッダ
ー名
現在の処理サイクルが実際にヘッダーに含まれてい
る要求または応答かどうかによります。
482
Header.ICAP.Request.Exists
ブール
true の場合、指定ヘッダーは ICAP 通信で送信され 文字列:ヘッダ
た要求に含まれています。
ー名
Header.ICAP.Request.Get
文字列
ICAP 通信で送信された要求の指定ヘッダーで見つ
かった最初の値
McAfee Web Gateway 7.4.0
文字列:ヘッダ
ー名
製品ガイド
A
構成リスト
プロパティのリスト
表 A-13 プロパティのリスト - H (続き)
名前
タイプ
説明
パラメーター
Header.ICAP.Response.Exists ブール
true の場合、指定ヘッダーは ICAP 通信で受信した 文字列:ヘッダ
応答に含まれています。
ー名
Header.ICAP.Response.Get
文字列
ICAP 通信で受信された応答の指定ヘッダーで見つ
かった最初の値。
Header.Request.Exists
ブール
true の場合、指定ヘッダーは要求に含まれています。 文字列:ヘッダ
ー名
Header.Request.Get
文字列
要求の指定ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
Header.Request.GetMultiple
文字列の
リスト
要求の指定ヘッダーで見つかった値のリスト
文字列:ヘッダ
ー名
Header.Response.Exists
ブール
true の場合、指定ヘッダーは応答に含まれています。 文字列:ヘッダ
ー名
Header.Response.Get
文字列
応答の指定ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
Header.Response.GetMultiple 文字列の
リスト
応答の指定ヘッダーで見つかった値のリスト
文字列:ヘッダ
ー名
Hex.ToString
文字列
文字列に変換された 16 進数値
16 進数値:変
換する 16 進
数値
HTML.Element.Attribute
文字列
HTML 要素の属性を表す文字列
HTML.Element.Dimension
ディメン
ション
HTML 要素のディメンション(横幅および高さ)
HTML.Element.HasAttribute
ブール
true の場合、HTML 要素に指定属性があります。
HTML.Element.Name
文字列
HTML 要素名
HTML.Element.ScriptType
文字列
HTML 要素のスクリプト タイプ。例: JavaScript
または Visual Basic のスクリプト
文字列:ヘッダ
ー名
文字列:属性名
表 A-14 プロパティのリスト – I
名前
タイ 説明
プ
パラメータ
ー
ICAP.Policy
文字 URL の ICAP 要求に含まれるポリシー名
列
ICAP.ReqMod.
ResponseHeader.Exists
ブー true の場合、REQMOD モードで ICAP サーバーから送信 文字列:ヘッ
ル
された応答に指定ヘッダーが含まれます。
ダー名
ICAP.ReqMod.
ResponseHeader.Get
文字 REQMOD 応答の指定ヘッダーで見つかった最初の値
列
文字列:ヘッ
ダー名
ICAP.ReqMod.
ResponseHeader.GetMultiple
文字 REQMOD 応答の指定ヘッダーで見つかった値のリスト
列の
リス
ト
文字列:ヘッ
ダー名
ICAP.ReqMod.Satisfaction
ブー true の場合、ICAP サーバーは要求を応答に置き換えまし
ル
た。
特定の要求をブロックするというメッセージを送信した
後、ICAP サーバーはこれを行います。
ICAP.RespMod.
EncapsulatedHTTPChanged
McAfee Web Gateway 7.4.0
ブー true の場合、ICAP サーバーは RESPMOD モードで送信さ
ル
れた応答の HTTP ステータスを変更しました。
製品ガイド
483
A
構成リスト
プロパティのリスト
表 A-14 プロパティのリスト – I (続き)
名前
タイ 説明
プ
パラメータ
ー
ICAP.RespMod.
ResponseHeader.Exists
ブー true の場合、RESPMOD モードで ICAP サーバーから送信 文字列:ヘッ
ル
された応答に指定ヘッダーが含まれます。
ダー名
ICAP.RespMod.
ResponseHeader.Get
文字 RESPMOD 応答の指定ヘッダーで見つかった最初の値
列
文字列:ヘッ
ダー名
ICAP.RespMod.
ResponseHeader.GetMultiple
文字 RESPMOD 応答の指定ヘッダーで見つかった値のリスト
列の
リス
ト
文字列:ヘッ
ダー名
IM.Direction
文字 送信されたチャット メッセージ、またはインスタント メッ
列
セージ プロトコルで転送されてアプライアンスで処理され
たファイルの方向
例: クライアントからアプライアンスに送信されたチャッ
ト メッセージでは方向が out として指定され、サーバーか
らアプライアンスに送信されたメッセージでは方向が in
として指定されます。
IM.FileName
文字 インスタント メッセージ プロトコルで転送されるファイ
列
ルの名前
IM.FileSize
数値 インスタント メッセージ プロトコルで転送されるファイ
ルのサイズ(バイト)
IM.MessageCanSendBack
ブー true の場合、アプライアンスからインスタント メッセー
ル
ジ サービスのユーザーにブロック メッセージまたはその
他のメッセージを送信できます。
ブロック メッセージは、例えば、チャットが許可されてい
ない時間にチャット メッセージを送信したユーザーに送り
返されます。
メッセージは通常ユーザーがインスタント メッセージ サ
ービスにログオンする手順を完了する前には送信でませ
ん。
IM.Notification
文字 アプライアンスからインスタント メッセージ サービスの
列
ユーザーに通知を送信するために使用されるテンプレート
の名前。例: ブロック メッセージ
IM.Recipient
文字 インスタント メッセージ プロトコルでチャット メッセー
列
ジまたはファイルを受信するクライアントの名前
また、チャット メッセージが受信者グループに送信される
際に、この名前はグループ名にもなります(グループ ID)
IM.Sender
文字 インスタント メッセージ プロトコルでチャット メッセー
列
ジまたはファイルを送信するクライアントの名前
Incident.AffectedHost
IP
Incident.Description
文字 インシデントの平文の説明
列
Incident.ID
数値 インシデントの ID
インシデントに関連しているホストの IP アドレス。例:
アプライアンスが接続できない Web サーバー
これらの ID のリストについては、「インシデント ID のリ
スト」を参照してください。
484
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-14 プロパティのリスト – I (続き)
名前
タイ 説明
プ
パラメータ
ー
Incident.Origin
数値 インシデントの元の場所のアプライアンス コンポーネント
を指定する数値
1 - アプライアンス システム
2 - コア サブシステム
3 - コーディネーター サブシステム
4 - マルウェア対策プロセス
5 – ログ ファイル マネージャー
6 - sysconf デーモン
7 - ユーザー インターフェース
8 - SaaS コネクター
9 - 未識別の元
インシデントの元は Incident.OriginName プロパティ
でさらに指定されます。
特定の ID をもつインシデントの元は、「インシデント ID
のリスト」を参照してください。
Incident.OriginName
文字 インシデントの元であるアプライアンスの名前。たとえ
列
ば、Core または Log File Manager
名前は Incident.Origin の下にリストされたメイン コ
ンポーネントの 1 つである場合があります。
また、関連するメイン コンポーネントの
Incident.Origin の数でともに表示されるサブコンポー
ネントの名前でもあります。
たとえば、Incident.OriginName の値は 2 Proxy と
なることがあります。
特定の ID をもつインシデントの元の名前は、「インシデン
ト ID のリスト」を参照してください。
Incident.Severity
数値 インシデントの 重大度
重大度レベル:
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 - 通知
7 - デバッグ
これらのレベルは syslog エントリーで使用されているも
のと同じです。
特定の重大度レベルをもつインシデントの場合は、
「インシ
デント ID のリスト」を参照してください。
McAfee Web Gateway 7.4.0
製品ガイド
485
A
構成リスト
プロパティのリスト
表 A-14 プロパティのリスト – I (続き)
名前
タイ 説明
プ
パラメータ
ー
IP.ToString
文字 文字列に変換された IP アドレス
列
IP:変換する
IP アドレス
IPRange.ToString
文字 文字列に変換された IP アドレスの範囲
列
IPRange:変
換する IP ア
ドレスの範
囲
表 A-15 プロパティのリスト - J
名前
タイプ 説明
パラメーター
JSON.ArrayAppend
JSON 指定した要素が追加された JSON 配列
1 JSON:配列
2 JSON:追加する要素
JSON.AsBool
ブール 指定した JSON 要素にブール値として戻された
値
JSON:要素
要素の値はブール値になります。
JSON.AsNumber
数値
指定した JSON 要素に数値として戻された値
JSON:要素
要素の値は、長整数型、倍精度型または 16
進数になります。
JSON.AsString
文字列 指定した JSON 要素に文字列として戻された値
JSON:要素
要素の値は文字列になります。
486
JSON.CreateArray
JSON 新しい空の JSON 配列
JSON.CreateObject
JSON 新しい空の JSON オブジェクト
JSON.CreateNull
JSON NULL の JSON 要素値
JSON.FromBool
JSON ブール値から作成された JSON 要素値
ブール:JSON 要素値を作成
するブール値
JSON.FromNumber
JSON 数値から作成された JSON 要素値
数値:JSON 要素値を作成す
る数値
JSON.FromNumberList 文字列 数値リストから作成された JSON 要素値
数値リスト:JSON 要素値を
作成する数値リスト
JSON.FromString
JSON 文字列から作成された JSON 要素値
文字列:JSON 要素値を作成
する文字列
JSON.FromStringList
JSON 文字列リストから作成された JSON 要素値
文字列リスト:JSON 要素値
を作成する文字列リスト
JSON.GetAt
JSON 指定した配列の指定位置から取得した JSON 要
素値
1 JSON:配列
2 数値:要素の位置
JSON.GetByName
JSON 指定したオブジェクトから取得したキーで識別さ 1 JSON:オブジェクト
れる JSON 要素
2 文字列:要素キー
JSON.GetType
文字列 指定した JSON 要素のタイプ
McAfee Web Gateway 7.4.0
JSON:要素
製品ガイド
構成リスト
プロパティのリスト
A
表 A-15 プロパティのリスト - J (続き)
名前
タイプ 説明
パラメーター
JSON.PutAt
JSON 指定した位置に要素が挿入された JSON 配列
1 JSON:配列
2 数値:要素の位置
3 JSON:要素
JSON.ReadFromString JSON 指定した文字列から作成された JSON 要素
文字列:要素を作成する文字
列
JSON.RemoveAt
1 JSON:配列:
JSON 指定した位置から要素が削除された JSON 配列
2 数値:要素の位置
JSON.RemoveByName JSON 指定したキーで識別された要素が削除された
JSON オブジェクト
1 JSON:オブジェクト
JSON.Size
数値
JSON:オブジェクトまたは
配列
JSON.StoreByName
JSON 指定したキーで要素値が格納されている JSON
オブジェクト
1 JSON:オブジェクト
文字列 文字列に変換された JSON 要素値
JSON:変換する要素値
指定した JSON オブジェクトまたは配列の要素
数
2 文字列:要素キー
2 文字列:要素キー
オブジェクトが存在しない場合には、指定した名
前でオブジェクトが作成されます。
3 JSON:要素値
JSON.ToString
要素値は文字列か、要素値の他のデータ形式
のいずれかになります。
McAfee Web Gateway 7.4.0
製品ガイド
487
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L
名前
タイプ
説明
License.RemainingDays
数値
ライセンスが期限切
れになるまでの残り
時間(日数)
List.LastMatches
文字列
2 つのリストが演算
子を使用して比較さ
れるとき、一致する
ことが判明したすべ
ての要素を含む文字
列。例: at least
one in list または
all in list
パラメーター
一致したものは、演
算子が求めたリスト
間に関係があるかど
うかが決定されてい
ない限り、リストに
追加されます。
例: リスト A は要素
1、2、3 を含み、リ
スト B は 1、2、4
を含みます。
リストは両方とも
at least one in
list 演算子を使用し
て比較されます。
演算子がリスト A
が実際にリスト B
に一致する要素を少
なくとも 1 つ以上
を含むことを見つけ
るために、比較する
必要があるのは両方
のリストの要素 1 の
みです。
List.LastMatche
s には、一致するこ
とが判明した 1 が含
まれます。
2 も 2 つのリストの
一致ですが、これは
演算子によって求め
られて一致している
と判明していないた
め、
List.LastMatche
s に含まれていませ
ん。
リスト A の 1 つ以
上の要素がリスト B
に存在し、両方のリ
ストが 1 と評価され
た後に演算子が処理
されるため、評価さ
れていません。
488
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
String.BelongsT
oDomains プロパ
ティの値が true の
場合、最初のパラメ
ーターには
List.LastMatche
s の値が文字列とし
て設定されます。
List.LastMatche
s は、ドメイン名の
リストで一致する文
字列 (ドメイン名ま
たはサブドメイン
名) を渡します。
同じ処理が
URL.Host.Belon
gsToDomains プ
ロパティと
List.LastMatche
s プロパティでも行
われます。
List.OfCategory.Append
カテゴリのリス 追加されたカテゴリ
ト
の URL カテゴリの
リスト
1 カテゴリのリスト:カテゴリを追加
するリスト
2 カテゴリ:追加するカテゴリ
List.OfCategory.ByName
カテゴリのリス URL カテゴリのリス 文字列:リスト名
ト
ト(名前で指定)
List.OfCategory.Erase
カテゴリのリス 指定カテゴリが消去
ト
されている URL カ
テゴリのリスト
1 カテゴリのリスト:消去するカテゴ
リを含むリスト
2 数値:消去するカテゴリの位置
List.OfCategory.
EraseElementRange
カテゴリのリス 指定のカテゴリ範囲 1 カテゴリのリスト:消去するカテゴ
ト
が消去されている
リを含むリスト
URL カテゴリのリス
ト
2 数値:消去する最初のカテゴリの位
置
3 数値:消去する最後のカテゴリの位
置
List.OfCategory.EraseList
List.OfCategory.Find
カテゴリのリス その他のリストでも
ト
消去されているカテ
ゴリの URL カテゴ
リのリスト
数値
リストでの URL カ
テゴリの位置
1 カテゴリのリスト:消去するカテゴ
リを含むリスト
2 カテゴリのリスト:最初のリストで
消去するカテゴリのリスト
1 カテゴリのリスト:位置を探すカテ
ゴリを含むリスト
2 カテゴリ:位置を探すカテゴリ
McAfee Web Gateway 7.4.0
製品ガイド
489
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfCategory.Get
カテゴリ
リストでの位置によ
って指定されている
URL カテゴリ
1 カテゴリのリスト:カテゴリを含む
リスト
2 数値:リストでのカテゴリの位置
List.OfCategory.
GetElementRange
カテゴリのリス その他のリストから
ト
抽出された URL カ
テゴリのリスト
1 カテゴリのリス
ト:抽出するカテ
ゴリのリスト
2 数値:抽出する最
初のカテゴリの位
置
1 カテゴリのリスト:抽出するカテゴ
リのリスト
2 数値:抽出する最初のカテゴリの位
置
3 数値:抽出する最後のカテゴリの位
置
3 数値:抽出する最
後のカテゴリの位
置
List.OfCategory.Insert
カテゴリのリス 指定カテゴリが挿入
ト
されている URL カ
テゴリのリスト
1 カテゴリのリスト:カテゴリを挿入
するリスト
2 カテゴリ:挿入するカテゴリ
List.OfCategory.IsEmpty
ブール
List.OfCategory.Join
カテゴリのリス 2 つのリストが結合
ト
することで作成され
た URL カテゴリの
リスト
1 カテゴリのリスト:結合する最初の
リスト
List.OfCategory.Reverse
カテゴリのリス オリジナルの順に戻
ト
された URL カテゴ
リのリスト
カテゴリのリスト:オリジナルの順番
でのリスト
List.OfCategory.Size
数値
List.OfCategory.Sort
カテゴリのリス アルファベット順に カテゴリのリスト:ソートするリスト
ト
ソートされている
URL カテゴリのリス
ト
List.OfCategory.ToShortString
文字列
URL カテゴリの省略 カテゴリのリスト:変換するリスト
名前形式のリストに
変換された URL カ
テゴリのリスト
List.OfCategory.ToString
文字列
文字列に変換された カテゴリのリスト:変換するリスト
URL カテゴリのリス
ト
List.OfDimension.Append
ディメンション ディメンションを追
のリスト
加するディメンショ
ンのリスト
true の場合、指定リ カテゴリのリスト:空になっているか
ストは空です。
どうかを確認するリスト
リストでの URL カ
テゴリの数
2 カテゴリのリスト:結合する 2 番目
のリスト
カテゴリのリスト:カテゴリ数を提供
するリスト
1 ディメンションのリスト:ディメン
ションを追加するリスト
2 ディメンション:追加するディメン
ション
490
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
List.OfDimension.ByName
ディメンション 名前で指定されるデ
のリスト
ィメンションのリス
ト
文字列:リスト名
List.OfDimension.Erase
ディメンション 指定されたディメン
のリスト
ションが消去された
ディメンションのリ
スト
1 ディメンションのリスト:消去する
ディメンションのリスト
ディメンション 指定のディメンショ
のリスト
ン範囲が消去された
ディメンションのリ
スト
1 ディメンションのリスト:消去する
ディメンション範囲を含むリスト
List.OfDimension.
EraseElementRange
説明
パラメーター
2 数値:消去するディメンションの位
置
2 数値:消去する最初のディメンショ
ンの位置
3 数値:消去する最後のディメンショ
ンの位置
List.OfDimension.EraseList
ディメンション その他のリストでも
のリスト
消去されているディ
メンションのリスト
1 ディメンションのリスト:消去する
ディメンションを含むリスト
2 ディメンションのリスト:最初のリ
ストで消去するディメンションのリ
スト
List.OfDimension.Find
数値
リストでのディメン
ションの位置
1 ディメンションのリスト:位置を探
すディメンションのリスト
2 ディメンション:位置を探すディメ
ンション
List.OfDimension.Get
ディメンション リストでの位置によ
って指定されるディ
メンション
1 ディメンションのリスト:ディメン
ションを含むリスト
2 数値:リストでのディメンションの
位置
List.OfDimension.
GetElementRange
ディメンション その他のリストから
のリスト
抽出されたディメン
ションのリスト
1 ディメンションのリスト:抽出する
ディメンションを含むリスト
2 数値:抽出する最初のディメンショ
ンの位置
3 数値:抽出する最後のディメンショ
ンの位置
4 ディメンション:挿入するディメン
ション
List.OfDimension.Insert
ディメンション 指定ディメンション
のリスト
が挿入されたディメ
ンションのリスト
1 ディメンションのリスト:ディメン
ションに挿入するリスト
2 ディメンション:挿入するディメン
ション
List.OfDimension.IsEmpty
McAfee Web Gateway 7.4.0
ブール
true の場合、指定リ ディメンションのリスト:空になって
ストは空です。
いるかどうかを確認するリスト
製品ガイド
491
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
List.OfDimension.Join
ディメンション 2 つのリストを結合
のリスト
することで作成され
たディメンションの
リスト
1 ディメンションのリスト:結合する
最初のリスト
List.OfDimension.Reverse
ディメンション オリジナルの順に戻
のリスト
されたディメンショ
ンのリスト
ディメンションのリスト:オリジナル
の順番でのリスト
List.OfDimension.Size
数値
ディメンションのリスト:ディメンシ
ョン数を提供するリスト
List.OfDimension.Sort
ディメンション アルファベット順で ディメンションのリスト:ソートする
のリスト
ソートされている
リスト
URL カテゴリのリス
ト
List.OfDimension.ToString
文字列
文字列に変換された
ディメンションのリ
スト
ディメンションのリスト:変換するリ
スト
List.OfHex.Append
16 進数値のリ
スト
16 進数値が追加さ
れる 16 進数値のリ
スト
1 16 進数値のリスト:16 進数値を追
加するリスト
リストでのディメン
ションの数
パラメーター
2 ディメンションのリスト:結合する
2 番目のリスト
2 16 進数値:追加する 16 進数値
List.OfHex.ByName
16 進数値のリ
スト
名前によって指定さ
れる 16 進数値のリ
スト
文字列:リスト名
List.OfHex.Erase
16 進数値のリ
スト
指定値が消去された
16 進数値のリスト
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 数値:消去する 16 進数値の位置
List.OfHex.
EraseElementRange
16 進数値のリ
スト
指定の値の範囲が消
去された 16 進数値
のリスト
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 数値:消去する最初の 16 進数値の
位置
3 数値:消去する最後の 16 進数値の
位置
List.OfHex.EraseList
List.OfHex.Find
16 進数値のリ
スト
数値
その他のリストでも
消去されている値を
含む 16 進数値のリ
スト
リストでの 16 進数
値の位置
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 16 進数値のリスト:最初のリストで
消去する 16 進数値のリスト
1 16 進数値のリスト:位置を探す 16
進数値を含むリスト
2 16 進数値:位置を探す 16 進数値
List.OfHex.Get
16 進数値
リストでの位置によ
って指定される 16
進数値
1 16 進数値のリスト:16 進数値を含
むリスト
2 数値:リストでの 16 進数値の位置
492
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfHex.GetElementRange
16 進数値のリ
スト
その他のリストから
抽出された 16 進数
値のリスト
1 16 進数値のリスト:抽出する 16 進
数値を含むリスト
2 数値:抽出する最初の 16 進数値の
位置
3 数値:抽出する最後の 16 進数値の
位置
List.OfHex.Insert
16 進数値のリ
スト
指定値が挿入された
16 進数値のリスト
1 16 進数値のリスト:16 進数値を挿
入するリスト
2 16 進数値:挿入する 16 進数値
List.OfHex.IsEmpty
ブール
true の場合、指定リ 16 進数値のリスト:空になっているか
ストは空です。
どうかを確認するリスト
List.OfHex.Join
16 進数値のリ
スト
2 つのリストを結合
することで作成され
た 16 進数値のリス
ト
1 16 進数値のリスト:結合する最初の
リスト
2 16 進数値のリスト:結合する 2 番目
のリスト
List.OfHex.Reverse
16 進数値のリ
スト
オリジナルの順に戻
された 16 進数値の
リスト
16 進数値のリスト:オリジナルの順番
でのリスト
List.OfHex.Size
数値
リストでの 16 進数
値の数
16 進数値のリスト:16 進数値の数を
提供するリスト
List.OfHex.Sort
16 進数値のリ
スト
ソートされた 16 進
数値のリスト
16 進数値のリスト:ソートするリスト
List.OfHex.ToString
文字列
文字列に変換された
16 進数値のリスト
16 進数値のリスト:変換するリスト
List.OfIP.Append
IP のリスト
IP アドレスが追加
された IP アドレス
のリスト
1 IP のリスト:IP アドレスを追加する
リスト
2 IP:追加する IP アドレス
List.OfIP.ByName
IP のリスト
名前で指定される
IP アドレスのリス
ト
文字列:リスト名
List.OfIP.Erase
IP のリスト
指定アドレスが消去
された IP アドレス
のリスト
1 IP のリスト:消去する IP アドレス
のリスト
2 数値:消去する IP アドレスの位置
List.OfIP.EraseElementRange
IP のリスト
指定のアドレス範囲
が消去された IP ア
ドレスのリスト
1 IP のリスト:消去する IP アドレス
のリスト
2 数値:消去する最初の IP アドレスの
位置
3 数値:消去する最後の IP アドレスの
位置
McAfee Web Gateway 7.4.0
製品ガイド
493
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfIP.EraseList
IP のリスト
その他のリストでも
消去されているアド
レスを含む IP アド
レスのリスト
1 IP のリスト:消去する IP アドレス
のリスト
リストでの IP アド
レスの位置
1 IP のリスト:位置を探す IP アドレ
スを含むリスト
List.OfIP.Find
数値
2 IP のリスト:最初のリストで消去す
る IP アドレスのリスト
2 IP:位置を探す IP アドレス
List.OfIP.Get
IP
リストでの位置によ
って指定される IP
アドレス
1 IP のリスト:IP アドレスを含むリス
ト
2 数値:リストの IP アドレスの位置
List.OfIP.GetElementRange
IP のリスト
その他のリストから
抽出される IP アド
レスのリスト
1 IP のリスト:抽出する IP アドレス
のリスト
2 数値:抽出する最初の IP アドレスの
位置
3 数値:抽出する最後の IP アドレスの
位置
List.OfIP.Insert
IP のリスト
指定アドレスが挿入
された IP アドレス
のリスト
1 IP のリスト:IP アドレスを挿入する
リスト
2 IP:挿入する IP アドレス
List.OfIP.IsEmpty
ブール
true の場合、指定リ IP のリスト:空になっているかどうか
ストは空です。
を確認するリスト
List.OfIP.Join
IP のリスト
2 つのリストを結合
することで作成され
た IP アドレスのリ
スト
1 IP のリスト:結合する最初のリスト
2 IP のリスト:結合する 2 番目のリス
ト
List.OfIP.Reverse
IP のリスト
オリジナルの順に戻
された IP アドレス
のリスト
IP のリスト:オリジナルの順番でのリ
スト
List.OfIP.Size
数値
リストの IP アドレ
スの数
IP のリスト:IP アドレス数を提供する
リスト
List.OfIP.Sort
IP のリスト
ソートされた IP ア
ドレスのリスト
IP のリスト:ソートするリスト
List.OfIP.ToString
文字列
文字列に変換された
IP アドレスのリス
ト
IP のリスト:変換するリスト
List.OfIPRange.Append
IPRange のリ
スト
IP アドレス範囲を
追加する IP アドレ
ス範囲のリスト
1 IPRange のリスト:IP アドレス範囲
を追加するリスト
2 IPRange:追加する IP アドレス範囲
List.OfIPRange.ByName
494
McAfee Web Gateway 7.4.0
IPRange のリ
スト
名前で指定される
IP アドレス範囲の
リスト
文字列:リスト名
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfIPRange.Erase
IPRange のリ
スト
指定範囲を消去した
IP アドレス範囲の
リスト
1 IPRange のリスト:消去する IP ア
ドレス範囲のリスト
2 数値:消去する IP アドレス範囲の位
置
List.OfIPRange.
EraseElementRange
IPRange のリ
スト
指定範囲を消去した
IP アドレス範囲の
リスト
1 IPRange のリスト:消去する IP ア
ドレス範囲を含むリスト
2 数値:消去する最初の IP アドレス範
囲の位置
3 数値:消去する最後の IP アドレス範
囲の位置
List.OfIPRange.EraseList
List.OfIPRange.Find
IPRange のリ
スト
数値
その他のリストでも
消去されている範囲
を含む IP アドレス
範囲のリスト
1 IPRange のリスト:消去する IP ア
ドレス範囲を含むリスト
リストでの IP アド
レス範囲の位置
1 IPRange のリスト:位置を探す IP
アドレス範囲を含むリスト
2 IPRange のリスト:最初のリストで
消去する IP アドレス範囲のリスト
2 IPRange:位置を探す IP アドレス範
囲
List.OfIPRange.Get
IPRange
リストでの位置によ
って指定される IP
アドレス範囲
1 IPRange のリスト:IP アドレス範囲
を含むリスト
2 数値:リストでの IP アドレス範囲の
位置
List.OfIPRange.
GetElementRange
IPRange のリ
スト
その他のリストから
抽出する IP アドレ
ス範囲のリスト
1 IPRange のリスト:抽出する IP ア
ドレス範囲のリスト
2 数値:抽出する最初の IP アドレス範
囲の位置
3 数値:抽出する最後の IP アドレス範
囲の位置
List.OfIPRange.Insert
IPRange のリ
スト
指定範囲を挿入した
IP アドレス範囲を
含むリスト
1 IPRange のリスト:IP アドレス範囲
を挿入するリスト
2 IPRange:挿入する IP アドレス範囲
List.OfIPRange.IsEmpty
ブール
true の場合、指定リ IPRange のリスト:空になっているか
ストは空です。
どうかを確認するリスト
List.OfIPRange.Join
IPRange のリ
スト
2 つのリストを結合
することで作成され
た IP アドレス範囲
のリスト
McAfee Web Gateway 7.4.0
1 IPRange のリスト:結合する最初の
リスト
2 IPRange のリスト:結合する 2 番目
のリスト
製品ガイド
495
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfIPRange.Reverse
IPRange のリ
スト
オリジナルの順に戻
された IP アドレス
範囲のリスト
IPRange のリスト:オリジナルの順番
でのリスト
List.OfIPRange.Size
数値
リストでの IP アド
レス範囲の数
IPRange のリスト:IP アドレス範囲の
数を提供するリスト
List.OfIPRange.Sort
IPRange のリ
スト
ソートされた IP ア
ドレス範囲のリスト
IPRange のリスト:ソートするリスト
List.OfIPRange.ToString
文字列
文字列に変換された
IP アドレス範囲の
リスト
IPRange のリスト:変換するリスト
List.OfMediaType.Append
MediaType の
リスト
メディア タイプを追 1 MediaType のリスト:追加するメデ
加するメディア タイ
ィア タイプのリスト
プのリスト
2 MediaType:追加するメディア タイ
プ
List.OfMediaType.ByName
MediaType の
リスト
名前で指定されるメ 文字列:リスト名
ディア タイプのリス
ト
List.OfMediaType.Erase
MediaType の
リスト
指定タイプが消去さ 1 MediaType のリスト:消去するメデ
れたメディア タイプ
ィア タイプを含むリスト
のリスト
2 数値:消去するメディア タイプの位
置
List.OfMediaType.
EraseElementRange
MediaType の
リスト
指定のタイプ範囲が
消去されたメディア
タイプのリスト
1 MediaType のリスト:消去するメデ
ィア タイプのリスト
2 数値:消去する最初のメディア タイ
プのリスト
3 数値:消去する最後のメディア タイ
プのリスト
List.OfMediaType.EraseList
MediaType の
リスト
その他のリストでも 1 MediaType のリスト:消去するメデ
消去されたタイプの
ィア タイプのリスト
メディア タイプのリ
スト
2 MediaType のリスト:最初のリスト
で消去するメディア タイプのリスト
List.OfMediaType.Find
数値
リストでのメディア
タイプの位置
1 MediaType のリスト:位置を探すメ
ディア タイプのリスト
2 MediaType:位置を探すメディア タ
イプ
List.OfMediaType.Get
MediaType
リストの位置によっ
て指定されるメディ
ア タイプ
1 MediaType のリスト:メディア タ
イプを含むリスト
2 数値:リストでのメディア タイプの
位置
496
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfMediaType.GetElems
MediaType の
リスト
その他のリストから
抽出されたメディア
タイプのリスト
1 MediaType のリスト:抽出するメデ
ィア タイプのリスト
2 数値:抽出する最初のメディア タイ
プのリスト
3 数値:抽出する最後のメディア タイ
プのリスト
List.OfMediaType.Insert
MediaType の
リスト
指定タイプが挿入さ 1 MediaType のリスト:メディア タ
れたメディア タイプ
イプを挿入するリスト
のリスト
2 MediaType:挿入するメディア タイ
プ
List.OfMediaType.IsEmpty
ブール
true の場合、指定リ MediaType のリスト:空になっている
ストは空です。
かどうかを確認するリスト
List.OfMediaType.Join
MediaType の
リスト
2 つのリストを結合 1 MediaType のリスト:結合する最初
することで作成され
のリスト
たメディア タイプの
リスト
2 MediaType のリスト:結合する 2 番
目のリスト
List.OfMediaType.Reverse
MediaType の
リスト
オリジナルの順に戻 MediaType のリスト:オリジナルの順
されたメディア タイ 番でのリスト
プのリスト
List.OfMediaType.Size
数値
リストのメディア タ MediaType のリスト:メディア タイ
イプの数
プ数を提供するリスト
List.OfMediaType.Sort
MediaType の
リスト
アルファベット順で MediaType のリスト:ソートするリス
ソートされているメ ト
ディア タイプのリス
ト
List.OfMediaType.ToString
文字列
文字列に変換された MediaType のリスト:変換するリスト
メディア タイプのリ
スト
List.OfNumber.Append
数値のリスト
数値を追加する数値
のリスト
1 数値のリスト:数値を追加するリス
ト
2 数値:追加する数値
List.OfNumber.ByName
数値のリスト
名前で指定される数
値のリスト
文字列:リスト名
List.OfNumber.Erase
数値のリスト
指定数値が消去され
た数値のリスト
1 数値のリスト:消去する数値のリス
ト
2 数値:消去する数値の位置
List.OfNumber.
EraseElementRange
数値のリスト
指定数値の範囲が消
去された数値のリス
ト
1 数値のリスト:消去する数値のリス
ト
2 数値:消去する最初の数値の位置
3 数値:消去する最後の数値の位置
McAfee Web Gateway 7.4.0
製品ガイド
497
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfNumber.EraseList
数値のリスト
その他のリストでも
消去されている数値
のリスト
1 数値のリスト:消去する数値のリス
ト
2 数値のリスト:最初のリストで消去
する数値のリスト
List.OfNumber.Find
数値
リストでの数の位置
1 数値のリスト:位置を探す数値のリ
スト
2 数値:位置を探す数値
List.OfNumber.Get
List.OfNumber.
GetElementRange
数値
数値のリスト
リストの位置によっ
て指定される数値
1 数値のリスト:数値を含むリスト
その他のリストから
抽出された数のリス
ト
1 数値のリスト:抽出する数のリスト
2 数値:リストでの数値の位置
2 数値:抽出する最初の数値の位置
3 数値:抽出する最後の数の位置
List.OfNumber.Insert
数値のリスト
指定数値が挿入され
た数のリスト
1 数値のリスト:数値を挿入するリス
ト
2 数値:挿入する数
List.OfNumber.IsEmpty
ブール
true の場合、指定リ 数値のリスト:空になっているかどう
ストは空です。
かを確認するリスト
List.OfNumber.Join
数値のリスト
2 つのリストを結合
することで作成され
た数値のリスト
1 数値のリスト:結合する最初のリス
ト
2 数値のリスト:結合する 2 番目のリ
スト
List.OfNumber.Reverse
数値のリスト
オリジナルの順に戻
った数のリスト
数値のリスト:オリジナルの順番での
リスト
List.OfNumber.Size
数値
リストでの数値の数
数値のリスト:数値の数を提供するリ
スト
List.OfNumber.Sort
数値のリスト
ソートされた数のリ
スト
数値のリスト:ソートするリスト
List.OfNumber.ToString
文字列
文字列に変換された
数値のリスト
数値のリスト:変換するリスト
List.OfString.Append
文字列のリスト 文字列を追加する文
字列のリスト
1 文字列のリスト:文字列を追加する
リスト
2 文字列:追加する文字列
List.OfString.ByName
文字列のリスト 名前で指定される文
字列のリスト
文字列:リスト名
List.OfString.Erase
文字列のリスト 指定文字列が消去さ
れた文字列のリスト
1 文字列のリスト:消去する文字列の
リスト
2 数値:消去する文字列の位置
498
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
List.OfString.
EraseElementRange
文字列のリスト 指定文字列の範囲が
消去された文字列の
リスト
パラメーター
1 文字列のリスト:消去する文字列の
リスト
2 数値:消去する最初の文字列の位置
3 数値:消去する最後の文字列の位置
List.OfString.EraseList
文字列のリスト その他のリストでも
消去されている文字
列のリスト
1 文字列のリスト:消去する文字列の
リスト
2 文字列のリスト:最初のリストで消
去する文字列のリスト
List.OfString.Find
数値
リストの文字列の位
置
1 文字列のリスト:位置を探す文字列
のリスト
2 文字列:位置を探す文字列
List.OfString.Get
文字列
リストの位置によっ
て指定される文字列
1 文字列のリスト:文字列を含むリス
ト
2 数値:リストの文字列の位置
List.OfString.GetElementRang
e
文字列のリスト その他のリストから
抽出された文字列の
リスト
1 文字列のリスト:抽出する文字列を
含むリスト
2 数値:抽出する最初の文字列の位置
3 数値:抽出する最後の文字列の位置
List.OfString.Insert
文字列のリスト 指定文字列が挿入さ
れた文字列のリスト
1 文字列のリスト:数値を挿入するリ
スト
2 文字列:挿入する文字列
List.OfString.IsEmpty
ブール
List.OfString.Join
文字列のリスト 2 つのリストを結合
することで作成され
た文字列のリスト
true の場合、指定さ 文字列のリスト:空になっているかど
れたリストは空です うかを確認するリスト
1 文字列のリスト:結合する最初のリ
スト
2 文字列のリスト:結合する 2 番目の
リスト
List.OfString.JSON.AsStringLis 文字列リスト
t
JSON 配列の要素値
から作成された文字
列リスト
JSON:配列
値が NULL の場合、
空の文字列が作成さ
れます。
McAfee Web Gateway 7.4.0
製品ガイド
499
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfStringMapInList
文字列リスト
パラメーターによっ
て文字列は指定さ
れ、この文字列が他
のリストで持つ位置
に対するインデック
スを含むリストに含
まれます。
1 文字列のリスト:文字列を含む最初
のリスト
指定文字列が最初の
リストに含まれてい
ないか、または 2 番
目のリストの位置と
して存在しない場合
は、文字列は空です。
2 文字列のリスト:文字列を含む 2 番
目のリスト
3 文字列:最初と 2 番目のリストに文
字列が含まれるか、または彼の文字
列
List.OfString.Reverse
文字列のリスト オリジナルの順に戻
された文字列のリス
ト
文字列のリスト:オリジナルの順番で
のリスト
List.OfString.Size
数値
文字列のリスト:文字列数を提供する
リスト
List.OfString.Sort
文字列のリスト アルファベット順で
ソートされている文
字列のリスト
文字列のリスト:ソートするリスト
List.OfString.ToString
文字列
文字列のリスト:変換するリスト
List.OfWildcard.Append
ワイルドカード 表現を追加するワイ
式のリスト
ルドカード式のリス
ト
指定リストの文字列
の数
文字列に変換された
文字列のリスト
1 ワイルドカード式のリスト:追加す
るワイルドカード式のリスト
2 ワイルドカード式:追加するワイル
ドカード式
List.OfWildcard.ByName
ワイルドカード 名前で指定されるワ
式のリスト
イルドカード式のリ
スト
文字列:リスト名
List.OfWildcard.Erase
ワイルドカード 指定表現が消去され
式のリスト
たワイルドカード式
を含むリスト
1 ワイルドカード式のリスト:消去す
るワイルドカード式を含むリスト
2 数値:消去するワイルドカード式の
位置
List.ofWildcard.
EraseElementRange
ワイルドカード 指定表現の範囲が消
式のリスト
去されたワイルドカ
ード式のリスト
1 ワイルドカード式のリスト:消去す
るワイルドカード式のリスト
2 数値:消去する最初のワイルドカー
ド式の位置
3 数値:消去する最後のワイルドカー
ド式の位置
List.OfWildcard.EraseList
500
McAfee Web Gateway 7.4.0
ワイルドカード その他のリストでも
式のリスト
消去されている表現
のワイルドカード式
のリスト
1 ワイルドカード式のリスト:消去す
るワイルドカード式のリスト
2 ワイルドカード式のリスト:最初の
リストで消去するワイルドカード式
のリスト
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfWildcard.Find
数値
リストでのワイルド
カード式の位置
1 ワイルドカード式のリスト:位置を
探すワイルドカード式のリスト
2 ワイルドカード式:位置を探すワイ
ルドカード式
List.OfWildcard.Get
ワイルドカード リストの位置によっ 1 ワイルドカード式のリスト:ワイル
式
て指定される ワイル
ドカード式を含むリスト
ドカード式
2 数値:リストでのワイルドカード式
の位置
List.OfWildcard.
GetElementRange
ワイルドカード その他のリストから
式のリスト
抽出されたワイルド
カード式のリスト
1 ワイルドカード式のリスト:抽出す
るワイルドカード式のリスト
2 数値:抽出する最初のワイルドカー
ド式の位置
3 数値:抽出する最後のワイルドカー
ド式の位置
List.OfWildcard.Insert
ワイルドカード 指定表現が挿入され
式のリスト
たワイルドカード式
のリスト
1 ワイルドカード式のリスト:ワイル
ドカード式を挿入するリスト
2 ワイルドカード式:挿入するワイル
ドカード式
List.OfWildcard.IsEmpty
ブール
List.OfWildcard.Join
ワイルドカード 2 つのリストを結合
式のリスト
することで作成され
たワイルドカード式
のリスト
1 ワイルドカード式のリスト:結合す
る最初のリスト
List.OfWildcard.Reverse
ワイルドカード オリジナルの順に戻
式のリスト
されたワイルドカー
ド式のリスト
ワイルドカード式のリスト:オリジナ
ルの順番でのリスト
List.OfWildcard.Size
数値
リストのワイルドカ
ード式の数
ワイルドカード式のリスト:ワイルド
カード式数を提供するリスト
List.OfWildcard.Sort
ワイルドカード ソートされたワイル
式のリスト
ドカード式のリスト
ワイルドカード式のリスト:ソートす
るリスト
List.OfWildcard.ToString
文字列
ワイルドカード式のリスト:変換する
リスト
true の場合、指定リ ワイルドカード式のリスト:空になっ
ストは空です。
ているかどうかを確認するリスト
文字列に変換された
ワイルドカード式の
リスト
2 ワイルドカード式のリスト:結合す
る 2 番目のリスト
表 A-17 プロパティのリスト – M
名前
種類
説明
パラメーター
Map.ByName
マップ タイプ
のリスト
指定した名前ですでに存在するマップ 文字列:リスト名
タイプのリスト
Map.CreateStringMap
マップ タイプ
のリスト
新規に作成されたマップ タイプ リス
ト
このリストは空です。
McAfee Web Gateway 7.4.0
製品ガイド
501
A
構成リスト
プロパティのリスト
表 A-17 プロパティのリスト – M (続き)
名前
種類
説明
パラメーター
Map.DeleteKey
マップ タイプ
のリスト
指定したキーと関連値が削除されたマ 1 マップ タイプの
ップ タイプ リスト
リスト:マップ タ
イプ リスト
2 文字列:キー
Map.GetKeys
マップ タイプ
のリスト
指定したマップ タイプ リストに含ま
れているキーのリスト
マップ タイプのリ
スト:マップ タイプ
リスト
Map.GetStringValue
文字列
指定したマップ タイプ リストの特定
のキーの値を表す文字列
1 マップ タイプの
リスト:マップ タ
イプ リスト
2 文字列:キー
Map.HasKey
ブール
true の場合、指定したキーがマップ
タイプ リストに存在します。
1 マップ タイプの
リスト:マップ タ
イプ リスト
2 文字列:キー
Map.SetStringValue
マップ タイプ
のリスト
指定したキーに特定の値が設定されて 1 マップ タイプの
いるマップ タイプ リスト
リスト:マップ タ
イプ リスト
2 文字列:キー
3 文字列:値
Map.Size
数値
指定したマップ タイプ リストに存在
するキーと値の組み合わせの数
マップ タイプのリ
スト:マップ タイプ
リスト
Map.ToString
文字列
文字列に変換されるマップ タイプ リ
スト
マップ タイプのリ
スト:マップ タイプ
リスト
Math.Abs
数値
指定数値の絶対値
数値:絶対値のため
に提供される数値
Math.Modulo
数値
整数を結果の商として受け付けるとき 1 数値:a の値
のみ、整数 a を整数 b で割った後の
2 数値:b の値
残りである整数。
たとえば、a = 14 と b = 3 の場合、
Math.Modulo の値は 2 です。
14 を 3 で割った結果の整数は 4 で、
3 x 4 = 12 は 2 を残します。
502
Math.Random
数値
指定された最小値と最大値の間にある 1 数値:最小値
ランダム数値(これらの値を含みます)
2 数値:最大値
MediaStreamProbability
数値
対象のストリーミング メディアが見
つかったメディア タイプに一致する
確率(パーセント)
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-17 プロパティのリスト – M (続き)
名前
種類
説明
パラメーター
MediaType.EnsuredTypes
MediaType の
リスト
50% より高い確率でそれぞれのメデ
ィアを保証するメディア タイプのリ
スト
MediaType.FromFileExtension
MediaType の
リスト
メディアのファイル名拡張子を使用し
て見つかったメディア タイプのリス
ト
MediaType.FromHeader
MediaType の
リスト
メディアとともに送信したコンテンツ
タイプ ヘッダーを使用して見つかっ
たメディア タイプのリスト
MediaType.HasOpener
ブール
true の場合、オープナー モジュール
はアプライアンスでの特定タイプのメ
ディアのために利用できます。
MediaType.IsCompositeObject
ブール
true の場合、特定タイプのメディアは
複合オブジェクトです。例: アーカイ
ブ
MediaType.MagicBytesMismatch ブール
true の場合、メディアとともに送信さ
れたヘッダーで指定されたメディア
タイプは、メディアに実際に含まれて
いるマジック バイトを検査すること
でアプライアンスで見つかったタイプ
に一致しません。
MediaType.NotEnsuredTypes
MediaType の
リスト
50% 未満の確率でそれぞれのメディ
アを保証するメディア タイプのリス
ト
MediaType.ToString
文字列
文字列に変換されたメディア タイプ
Message.Language
文字列
簡略形式でユーザーにメッセージを送
信する際の言語名。例: en、de、ja
Message.TemplateName
文字列
ユーザーに送信されるメッセージのテ
ンプレートの名前
MediaType:変換す
るメディア タイプ
表 A-18 プロパティのリスト – N
名前
タイプ 説明
Number.ToDecimalNumber
数値
パラメーター
10 進数形式に変換された整数
数値:変換する整数
例: 10 は 10.0 に変換されます。
Number.ToString
文字列 文字列に変換する数値
数値:変換する数値
Number.ToVolumeString
文字列 文字列に変換されたボリューム容量のバイト数
数値:変換するバイト数
NumberOfClientConnections 数値
アプライアンスで同時に開いているクライアン
トとの接続の数
表 A-19 プロパティのリスト – P
名前
タイプ
説明
PDStorage.GetAllData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたデータを含むリスト
PDStorage.GetAllGlobalData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたグローバル データを含むリスト
PDStorage.GetAllUserData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたユーザー データを含むリスト
McAfee Web Gateway 7.4.0
パラメーター
製品ガイド
503
A
構成リスト
プロパティのリスト
表 A-19 プロパティのリスト – P (続き)
名前
タイプ
説明
パラメーター
PDStorage.GetGlobalData.Bool
ブール
タイプ ブールのグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
Category
カテゴリ
タイプ カテゴリのグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
Dimension
ディメンション
タイプ ディメンションのグローバル
変数
文字列:変数キ
ー
PDStorage.GetGlobalData.Hex
16 進数値
タイプ 16 進数値のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.IP
IP
タイプ IP のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
IPRange
IPRange
タイプ IPRange のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.List.
Category
カテゴリのリスト
タイプ カテゴリのリストのグローバ
ル変数
文字列:変数キ
ー
PDStorage.GetGlobalData. List.
Dimension
ディメンションの
リスト
タイプ ディメンションのリストのグ
ローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData. List
Hex
16 進数値のリスト タイプ 16 進数値のリストのグローバ 文字列:変数キ
ル変数
ー
PDStorage.GetGlobalData.List. IP IP のリスト
504
タイプ IP のリストのグローバル変数 文字列:変数キ
ー
PDStorage.GetGlobalData.List.
IPRange
IPRange のリスト タイプ IPRange のリストのグローバ 文字列:変数キ
ル変数
ー
PDStorage.GetGlobalData.List.
MediaType
MediaType のリス タイプ MediaType のリストのグロー 文字列:変数キ
ト
バル変数
ー
PDStorage.GetGlobalData.List.
Number
数値のリスト
タイプ数値のリストのグローバル変数 文字列:変数キ
ー
PDStorage.GetGlobalData.List.
String
文字列のリスト
タイプ文字列のリストのグローバル変 文字列:変数キ
数
ー
PDStorage.GetGlobalData.List.
WildcardExpression
ワイルドカード式
のリスト
タイプ ワイルドカード式のリストの
グローバル変数
PDStorage.GetGlobalData.
MediaType
MediaType
タイプ MediaType のグローバル変数 文字列:変数キ
ー
PDStorage.GetGlobalData.
Number
数値
タイプ数値のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData. String 文字列
タイプ文字列のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
WildcardExpression
ワイルドカード式
タイプ ワイルドカード式のグローバ
ル変数
文字列:変数キ
ー
PDStorage.GetUserData.Bool
ブール
タイプ ブールのユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
Category
カテゴリ
タイプ カテゴリのユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
Dimension
ディメンション
タイプ ディメンションのユーザー変
数
文字列:変数キ
ー
PDStorage.GetUserData.Hex
16 進数値
タイプ 16 進数値のユーザー変数
文字列:変数キ
ー
McAfee Web Gateway 7.4.0
文字列:変数キ
ー
製品ガイド
A
構成リスト
プロパティのリスト
表 A-19 プロパティのリスト – P (続き)
名前
タイプ
説明
パラメーター
PDStorage.GetUserData.IP
IP
タイプ IP のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. IPRange IPRange
タイプ IPRange のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.List
Category
カテゴリのリスト
タイプ カテゴリのリストのユーザー
変数
文字列:変数キ
ー
PDStorage.GetUserData.List
Dimension
ディメンションの
リスト
タイプ ディメンションのリストのユ
ーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.List Hex
16 進数値のリスト タイプ 16 進数値のリストのユーザー 文字列:変数キ
変数
ー
PDStorage.GetUserData.List IP
IP のリスト
PDStorage.GetUserData.List
IPRange
IPRange のリスト タイプ IPRange のリストのユーザー 文字列:変数キ
変数
ー
PDStorage.GetUserData.List
MediaType
MediaType のリス タイプ MediaType のリストのユーザ 文字列:変数キ
ト
ー変数
ー
PDStorage.GetUserData.List
String
数値のリスト
タイプ数値のリストのユーザー変数
PDStorage.GetUserData.List
Category
文字列のリスト
タイプ文字列のリストのユーザー変数 文字列:変数キ
ー
PDStorage.GetUserData.
ListWildcard Expression
ワイルドカード式
のリスト
タイプ ワイルドカード式のリストの
ユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
MediaType
MediaType
タイプ MediaType のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. Number 数値
タイプ数値のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. String
文字列
タイプ文字列のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
WildcardExpression
ワイルドカード式
タイプ ワイルドカード式のユーザー
変数
文字列:変数キ
ー
PDStorage.HasGlobalData
ブール
true の場合、持続的に保管されている 文字列:変数キ
グローバル データが利用可能です。 ー
PDStorage.HasGlobalDataWait
ブール
true の場合、要求されたグローバル変 1 文字列:変数
数がストレージに存在するか、また指
キー
定期間が経過するまで、要求は待たさ
2 数値:タイム
れます。
アウト (秒
次に、プロパティの値は false に設定
単位)
されます。デフォルトは true です。
PDStorage.HasUserData
ブール
true の場合、持続的に保管されたユー 文字列:変数キ
ザー データが利用可能です。
ー
ProgressPage.Enabled
ブール
true の場合、ダウンロードの進行状況
は進行状況ページでユーザーに示され
ます。
ProgressPage.Sent
ブール
真の場合、要求された Web オブジェ
クトがダウンロードされるとき、進行
状況のページが表示されます。
McAfee Web Gateway 7.4.0
タイプ IP のリストのユーザー変数
文字列:変数キ
ー
文字列:変数キ
ー
製品ガイド
505
A
構成リスト
プロパティのリスト
表 A-19 プロパティのリスト – P (続き)
名前
タイプ
説明
パラメーター
Protocol.FailureDescription
文字列
現在のプロトコルでの接続エラーの説
明を含む文字列
Proxy.EndUserURL
文字列
ユーザーに表示する URL を表す文字
列
Proxy.IP
IP
接続の IP アドレス
Proxy.Port
数値
接続に使用されるポート番号
表 A-20 プロパティのリスト - Q
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.AuthorizedOverride. GetLogin
文字 許可オーバーライドを実行するために提出さ
列
れるユーザー名
Quota.AuthorizedOverride. IsActivationRequest
ブー true の場合、認証されたユーザーはセッショ
ル
ン時間が過ぎた後に、許可オーバーライド セ
ッションの継続を選択しました。
Quota.AuthorizedOverride.
IsActivationRequest.Strict
ブー true の場合、許可されたユーザーは許可オー
ル
バーライド セッションでの継続を選択したた
め、セッションを続行する要求が現在の設定
に適用されます。
Quota.AuthorizedOverride.JS. ActivateSession
文字 認定ユーザーが許可オーバーライド テンプレ
列
ートの該当するボタンをクリックすること
で、新しいセッションの開始を選択した際に
実行する関数をコールする JavaScript コー
ドの文字列。
コードはテンプレートが作成されユーザーに
表示されたときに表示されます。
506
Quota.AuthorizedOverride.LastAuthorizedPerson
文字 ユーザーの追加セッション時間を指定するた
列
めに許可されたオーバーライドを実行した最
後の人のユーザー名
Quota.AuthorizedOverride. RemainingSession
数値 許可オーバーライド セッションの残り時間
(秒単位)
Quota.AuthorizedOverride. SessionExceeded
ブー true の場合、許可オーバーライド セッション
ル
の許容時間が超過されました。
Quota.AuthorizedOverride. SessionLength
数値 許可オーバーライド セッションの期間(秒単
位)
Quota.Coaching. IsActivationRequest
ブー true の場合、ユーザーはセッション時間が過
ル
ぎた後に新しい警告セッションでの継続を選
択しました。
Quota.Coaching. IsActivationRequest.Strict
ブー true の場合、ユーザーは警告セッションでの
ル
継続を選択したため、セッションを続行する
要求が現在の設定に適用されます。
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-20 プロパティのリスト - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Coaching.JS. ActivateSession
文字 認定ユーザーが警告セッション テンプレート
列
の該当するボタンをクリックすることで、新
しいセッションの開始を選択した際に実行す
る関数をコールする JavaScript コードの文
字列。
コードはテンプレートが作成されユーザーに
表示されたときに表示されます。
Quota.Coaching. RemainingSession
数値 警告セッションの残り時間(秒単位)
Quota.Coaching. SessionExceeded
ブー true の場合、警告セッションの許容時間が超
ル
過されました。
Quota.Coaching.SessionLength
数値 警告セッションの期間(秒単位)
Quota.Time.Exceeded
ブー true の場合、時間クォータが超過されました。
ル
Quota.Time. IsActivationRequest
ブー true の場合、ユーザーはセッション時間が超
ル
過された後に新しい時間セッションでの継続
を選択しました。
Quota.Time. IsActivationRequest.Strict
ブー true の場合、ユーザーは新しい時間セッショ
ル
ンでの継続を選択したため、セッションを続
行する要求が現在の設定に適用されます。
Quota.Time.JS. ActivateSession
文字 ユーザーが、時間セッション テンプレートで
列
該当するボタンをクリックするで、新しいセ
ッションの開始を選択する際に、実行される
関数をコールする JavaScript コードの文字
列。
コードはテンプレートが作成されユーザーに
表示されたときに表示されます。
Quota.Time.RemainingDay
数値 現在の日のために構成された時間クォータか
らの残り時間(秒単位)
Quota.Time.RemainingDay. ReducedAtActivation
数値 ユーザーがセッションを開始したばかりのと
き、現在の日のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.RemainingDay.
ReducedAtDeactivation
数値 ユーザーがセッションを閉じたばかりのと
き、現在の日のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.RemainingMonth
数値 現在の月のために構成された時間クォータか
らの残り時間(秒単位)
Quota.Time.RemainingMonth.
ReducedAtActivation
数値 ユーザーがセッションを開始したばかりのと
き、現在の月のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.RemainingMonth.
ReducedAtDeactivation
数値 ユーザーがセッションを閉じたばかりのと
き、現在の月のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.RemainingSession
数値 時間セッションの残り時間(秒単位)
Quota.Time.RemainingWeek
数値 現在の週のために構成された時間クォータか
らの残り時間(秒単位)
McAfee Web Gateway 7.4.0
製品ガイド
507
A
構成リスト
プロパティのリスト
表 A-20 プロパティのリスト - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Time.RemainingWeek.
ReducedAtActivation
数値 ユーザーがセッションを開始したばかりのと
き、現在の週のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.RemainingWeek.
ReducedAtDeactivation
数値 ユーザーがセッションを開始したばかりのと
き、現在の週のために構成された時間クォー
タからの残り時間(秒単位)
Quota.Time.SessionExceeded
ブー true の場合、時間セッションの許容時間が超
ル
過されました。
Quota.Time.SessionLength
数値 時間セッションの期間(秒単位)
Quota.Time.SizePerDay
数値 構成されたクォータでの 1 日あたりの許容時
間(秒単位)
Quota.Time.SizePerMonth
数値 構成されたクォータでの 1 月あたりの許容時
間(秒単位)
Quota.Time.SizePerWeek
数値 構成されたクォータでの 1 週あたりの許容時
間(秒単位)
Quota.Volume.Exceeded
ブー true の場合、ボリューム クォータが超過され
ル
ました。
Quota.Volume. IsActivationRequest
ブー true の場合、ユーザーはセッション時間が超
ル
過された後に、新しいボリューム セッション
の継続を選択しました。
Quota.Volume. IsActivationRequest.Strict
ブー true の場合、ユーザーは構成されたボリュー
ル
ムが超過された際にセッションの継続を選択
したため、セッションを続行する要求が現在
の設定に適用されます。
Quota.Volume.JS. ActivateSession
文字 ユーザーが、ボリューム セッション テンプレ
列
ートで該当するボタンをクリックすることで
新しいセッションの開始を選択する際に、実
行される関数をコールする JavaScript コー
ドの文字列。
コードはテンプレートが作成されユーザーに
表示されたときに表示されます。
508
Quota.Volume.RemainingDay
数値 現在の日のために構成されたボリューム クォ
ータからの残りの容量(バイト単位)
Quota.Volume. RemainingMonth
数値 現在の月のために構成されたボリューム クォ
ータからの残りの容量(バイト単位)
Quota.Volume. RemainingSession
数値 ボリューム セッションの残り時間(秒単位)
Quota.Volume.RemainingWeek
数値 現在の週のために構成されたボリューム クォ
ータからの残りの容量(バイト単位)
Quota.Volume.SessionExceeded
ブー true の場合、ボリューム セッションの許容時
ル
間が超過されました。
Quota.Volume.SessionLength
数値 ボリューム セッションの期間(秒単位)
Quota.Volume.SizePerDay
数値 構成されたクォータでの 1 日あたりの許容ボ
リューム(バイト単位)
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-20 プロパティのリスト - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Volume.SizePerMonth
数値 構成されたクォータでの 1 月あたりの許容ボ
リューム(バイト単位)
Quota.Volume.SizePerWeek
数値 構成されたクォータでの 1 週あたりの許容ボ
リューム(バイト単位)
表 A-21 プロパティのリスト – R
名前
タイプ
説明
パラ
メー
ター
Redirect.URL
文字列
認証またはクォータ ルールでユーザーがリダイレクト
された URL を表す文字列
Reporting.URL.Categories
カテゴリのリス アプライアンスで使用されるすべての URL カテゴリ
ト
のリスト
Reporting.URL.Reputation
数値のリスト
アプライアンスで使用されるすべてのレピュテーショ
ン スコア値のリスト
Request.Header.FirstLine
文字列
要求とともに送信されたヘッダーの最初の行
Request.ProtocolAndVersion
文字列
要求が送信される際に使用されるプロトコルおよびプ
ロトコル バージョン
Response.ProtocolandVersion 文字列
応答が送信される際に使用されるプロトコルおよびプ
ロトコル バージョン
Response.Redirect.URL
文字列
応答が送信される際にユーザーがリダイレクトされる
URL
Response.StatusCode
文字列
応答のステータス コード
Rules.CurrentRuleID
文字列
現在処理中のルールの ID
Rules.CurrentRuleName
文字列
現在処理中のルールの名前
Rules.CurrentRuleSetName
文字列
現在処理中のルール セットの名前
Rules.EvaluatedRules
文字列のリスト 処理されたすべてのルールのリスト
Rules.EvaluatedRules.Names 文字列のリスト 処理されたすべてのルールの名前を含むリスト
Rules.FiredRules
文字列のリスト 適用されたすべてのルールのリスト
Rules.FiredRules.Names
文字列のリスト 適用されたすべてのルールの名前を含むリスト
表 A-22 プロパティのリスト – S
名前
タイプ
説明
SecureReverseProxy.EmbeddedHost
文字列
HTTPS 要求に埋め込まれている HTTP 要求
での URL のホスト名
SecureReverseProxy.Embedded Protocol
文字列
HTTPS 要求に埋め込まれている HTTP 要求
での URL のプロトコル
McAfee Web Gateway 7.4.0
パラメ
ーター
製品ガイド
509
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
SecureReverseProxy. Embedded URL
文字列
HTTPS 要求に埋め込まれている HTTP 要求
での URL
文字
列:URL
のホス
ト名
これは
SecureReverseProxy.EmbeddedHost
プロパティの値によって指定されるホストの
URL です。
SecureReverseProxy.GetDomain
文字列
SecureReverseProxy モジュールの設定に
指定されているドメイン
SecureReverseProxy.IsValidReverseProxyRequest ブール
true の場合、要求で提出された URL は
SecureReverseProxy 構成で必要な形式に
なっています。
SecureReverseProxy.URLToEmbed
文字列
HTTPS 要求に埋め込まれている HTTP 要求
で提出された URL
SecureToken.CreateToken
文字列
暗号化された文字列
この文字列は IP アドレスを確保するための
トークンとして機能します。トークンを作成
するために AES-128 ビット アルゴリズム
が使用されます。
文字
列:暗
号化す
る文字
列
SecureReverseProxy モジュールの設定の
パラメーター値によって、文字列にタイムス
タンプが含まれます。
SecureToken.IsValid
ブール
true の場合、トークンは有効で期限は切れな 1 文字
いです。
列:
確認
SecureReverseProxy モジュールの設定の
パラメーター値によって、トークン文字列に
する
タイムスタンプが含まれません。
トー
クン
すると、トークンの期限が確認されません。
2 数
値:
トー
クン
の期
限が
切れ
るま
で経
過す
る時
間
(秒
単
位)
510
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
SecureToken.GetString
文字列
IP アドレスを確保するためのトークンとして 1 文字
機能する文字列
列:
確認
トークンが無効か、または期限が切れている
場合、文字列は空です。
する
トー
クン
2 数
値:
トー
クン
の期
限が
切れ
るま
で経
過す
る時
間
(秒
単
位)
SNMP.Trap.Additional
文字列
SSL.Certificate. CN.ToWildcard
ワイルドカ ワイルドカード式に変換された SSL 認証書
ード式
の共通名
SSL.Client.Certificate.Serial
文字列
クライアント証明書のシリアル番号
SSL.ClientContext.IsApplied
ブール
true の場合、SSL セキュア通信でクライアン
ト コンテキストを設定するためのパラメータ
ーは構成されました。
SSL.Server.Certificate. AlternativeCNs
ワイルドカ SSL 証明書で使用するための Web サーバー
ード式のリ の代替共通名のリスト
スト
SSL.Server.Certificate.CN
文字列
SSL セキュア通信で提供される Web サーバ
ーの共通名
SSL.Server.Certificate.CN. HasWildcards
ブール
true の場合、SSL 証明書の Web サーバーの
共通名はワイルドカードを含みます。
SSL.Server.Certificate. DaysExpired
数値
Web サーバーの SSL 証明書の期限が切れた
日数
SSL.Server.Certificate. HostAndCertificate
HostAnd
SSL セキュア通信での Web サーバーのホス
Certificate ト名および証明書
SSL.Server.Certificate. SelfSigned
ブール
true の場合、Web サーバーの SSL 証明書は
自己署名です。
SSL.Server.Certificate. SHA1Digest
文字列
Web サーバーの SSL 証明書の
SHA1Digest を表す文字列
McAfee Web Gateway 7.4.0
SNMP プロトコルでトラップに送信された追
加メッセージ
製品ガイド
511
文字
列:変
換する
共通名
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
SSL.Server.CertificateChain.
AllRevocationStatusesKnown
ブール
true の場合、Web サーバーの証明書チェー
ンのすべての SSL 証明書が失効したかどう
かが知られています。
SSL.Server.CertificateChain. ContainsExpiredCA
ブール
true の場合、Web サーバーの証明書チェー
ンの SSL 証明書は期限が切れています。
SSL.Server.CertificateChain. ContainsRevoked
ブール
true の場合、Web サーバーの証明書チェー
ンの SSL 証明書は失効しています。
SSL.Server.CertificateChain.
FirstKnownCAIsTrusted
ブール
true の場合、Web サーバーの証明書チェー
ンで最初に見つかった SSL 証明書を発行す
る証明機関は信頼されています。
SSL.Server.CertificateChain. FoundKnownCA
ブール
true の場合、Web サーバーの証明書チェー
ンで最初に見つかった SSL 証明書を発行す
る既知の証明機関は信頼されています。
SSL.Server.CertificateChain. IsComplete
ブール
true の場合、Web サーバーの SSL 証明書の
チェーンは完了しました。
SSL.Server.CertificateChain. Length
数値
Web サーバーの証明書チェーンでの SSL 証
明書の数
SSL.Server.CertificateChain.
PathLengthExceeded
ブール
true の場合、Web サーバーの SSL 証明書の
チェーンが許容長さを超えました。
SSL.Server.Handshake. IsRequested
ブール
true の場合、SSL セキュア通信で Web サー
バーと接続をセット アップするためにハンド
シェイクが要求されています。
SSO.LoginProcessStarted
ブール
true の場合、クラウド アプリケーションへの
ログオン プロセスが開始しています。
これは、認証トークンが POST 要求で送信さ
れている (要求サイクル) か、クラウド アプ
リケーションのログオン ページが表示されて
いる (応答サイクル) ことで確認できます。
プロパティが評価されると、要求が所定のク
ラウド アプリケーションに転送される前に、
要求から認証が削除されます。
このプロパティのルールは、要求サイクルと
応答サイクルの処理に設定する必要がありま
す。
SSO.ServiceName
文字列
現在処理中の要求でアクセスが要求されたク
ラウド アプリケーション (サービス) の名
前。
クラウド アプリケーションへのアクセスが要
求されていない場合、この文字列は空になり
ます。
Statistics.Counter.Get
512
McAfee Web Gateway 7.4.0
数値
アクティビティの発生またはカウンターで記
録された状況の数
製品ガイド
文字
列:カ
ウンタ
ーの名
前
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
Statistics.Counter.GetCurrent
数値
過去 1 分の間にカウンターに記録されたアク 文字
ティビティまたは状況のの発生数(完全に完 列:カ
了したもの)
ウンタ
ーの名
前
Stopwatch.GetMacroSeconds
数値
ミリ秒単位で測定されたルール セット処理の 文字
列:ル
時間
ール セ
ット名
Stopwatch.GetMilliSeconds
数値
マクロ秒単位で測定されたルール セット処理 文字
列:ル
の時間
ール セ
ット名
StreamDetector.IsMediaStream
ブール
true の場合、要求された Web オブジェクト
はストリーミング メディアです。
これはストリーミング メディア フィルタリ
ングに使用される基本プロパティです。
StreamDetector.MatchedRule
文字列
一致したストリーミング メディア フィルタ
リング ルールの名前
StreamDetector.IsMediaStream プロ
パティが true に設定されている場合、この
プロパティに値が与えられます。
StreamDetector.Probability
数値
Web オブジェクトがストリーミング メディ
アである確率(パーセント)
値の範囲は 1 ~ 100 です。
StreamDetector.IsMediaStream プロ
パティが true に設定されている場合、この
プロパティに値が与えられます。
McAfee Web Gateway 7.4.0
製品ガイド
513
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.BackwardFind
数値
逆方向検索によって文字列内で見つかったサ
ブ文字列の開始位置
1 文字
列:
サブ
文字
列を
含む
文字
列
サブ文字列が見つからない場合は -1 が返さ
れます。
2 文字
列:
サブ
文字
列
3 数
値:
サブ
文字
列の
逆方
向検
索が
開始
する
位置
514
String.Base64Decode
文字列
ベース 64 エンコード形式で指定されている
文字列のデコード形式
文字
列:エ
ンコー
ド形式
の文字
列
String.Base64Encode
文字列
指定文字列のベース 64 エンコード形式
文字
列:エ
ンコー
ドする
文字列
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.BelongsToDomains
ブール
true の場合、指定した文字列がドメイン名の 1 文字
リストに含まれています。
列:
リス
文字列がリスト項目 (ドメイン名) に一致す
ると、プロパティの値が true になります。
トで
検索
文字またはドットとサブ文字列が続くは文字
され
列 (ドメインのサブドメイン名) がリスト項
る文
目 (*.<list entry>) に一致する場合にも、プ
ロパティの値が true になります。
字列
いずれの場合も、List.LastMatches プロパ 2 文字
ティの値に文字列が設定されます。
列の
リス
ト:
ドメ
イン
名の
リス
ト
String.Concat
文字列
2 つの指定文字列の連結
1 文字
列:
連結
する
最初
の文
字列
2 文字
列:
連結
する
2番
目の
文字
列
String.CRLF
McAfee Web Gateway 7.4.0
文字列
復帰改行
製品ガイド
515
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.Find
数値
順方向検索によって文字列内に見つかったサ
ブ文字列の開始位置
1 文字
列:
サブ
文字
列を
含む
文字
列
サブ文字列が見つからない場合は -1 が返さ
れます。
2 文字
列:
サブ
文字
列
3 数
値:
サブ
文字
列の
順方
向検
索が
開始
する
位置
String.FindFirstOf
数値
文字列内で見つかったサブ文字列の最初の文
字の位置
サブ文字列が見つからない場合は -1 が返さ
れます。
1 文字
列:
サブ
文字
列を
含む
文字
列
2 文字
列:
サブ
文字
列
3 数
値:
サブ
文字
列の
検索
が開
始す
る位
置
516
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.FindLastOf
数値
文字列内に見つかったサブ文字列の最後の文
字の位置
1 文字
列:
サブ
文字
列を
含む
文字
列
サブ文字列が見つからない場合は -1 が返さ
れます。
2 文字
列:
サブ
文字
列
3 数
値:
サブ
文字
列の
検索
が開
始す
る位
置
String.GetWordCount
数値
文字列の単語数
文字
列:単
語数を
取得す
る文字
列
String.IsEmpty
ブール
true の場合、指定文字列は空です。
文字
列:空
になっ
ている
かどう
かを確
認する
文字列
String.Length
数値
文字列の文字数
文字
列:文
字数を
数える
文字列
String.LF
文字列
改行
McAfee Web Gateway 7.4.0
製品ガイド
517
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.MatchWildcard
文字列のリ ワイルドカード式と一致する文字列の用語リ
スト
スト
1 文字
列:
用語
と一
致す
る文
字列
2 ワイ
ルド
カー
ド
式:
一致
する
ワイ
ルド
カー
ド式
3 数
値:
サブ
文字
列の
検索
が開
始す
る位
置
518
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.Replace
文字列
指定文字列と置き換えられたサブ文字列を含
む文字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 数
値:
置き
換え
が開
始す
る位
置
3 数
値:
置き
換え
る文
字数
4 文字
列:
置き
換え
る文
字列
McAfee Web Gateway 7.4.0
製品ガイド
519
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceAll
文字列
各サブ文字列が指定どおりに文字列と置き換
えられた文字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 文字
列:
置き
換わ
るサ
ブ文
字列
3 文字
列:
置き
換わ
るサ
ブ文
字列
520
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceAllMatches
文字列
ワイルドカード式に一致する各サブ文字列が
指定どおりに文字列と置き換えられた文字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 ワイ
ルド
カー
ド
式:
一致
する
ワイ
ルド
カー
ド式
3 文字
列:
置き
換わ
るサ
ブ文
字列
McAfee Web Gateway 7.4.0
製品ガイド
521
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceFirst
文字列
最初のサブ文字列が指定どおりに文字列と置
き換えられた文字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 文字
列:
置き
換え
る文
字列
3 文字
列:
置き
換え
る文
字列
522
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceFirstMatch
文字列
ワイルドカード式に一致する最初のサブ文字
列が指定どおりに文字列と置き換えられた文
字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 ワイ
ルド
カー
ド
式:
一致
する
ワイ
ルド
カー
ド式
3 文字
列:
置き
換わ
るサ
ブ文
字列
McAfee Web Gateway 7.4.0
製品ガイド
523
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceIfEquals
文字列
すべてのサブ文字列が指定どおりに文字列と
置き換えられた文字列
1 文字
列:
置き
換え
るサ
ブ文
字列
を含
む文
字列
2 文字
列:
置き
換わ
るサ
ブ文
字列
3 文字
列:
置き
換え
る文
字列
524
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.SubString
文字列
開始位置と長さで指定した文字列に含まれて
いるサブ文字列
1 文字
列:
サブ
文字
列を
含む
文字
列
2 数
値:
サブ
文字
列が
開始
する
位置
3 数
値:
サブ
文字
列の
文字
数
数値が
指定さ
れてい
ない場
合、サ
ブ文字
列はオ
リジナ
ルの文
字列の
最後ま
で及び
ます
McAfee Web Gateway 7.4.0
製品ガイド
525
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.SubStringBetween
文字列
この文字列の 2 つのその他の文字列間に及ぶ 1 文字
文字列のサブ文字列
列:
サブ
このサブ文字列の検索は、その他サブ文字列
の 1 番目を検索することから始まります。こ
文字
の文字列が見つかった場合、検索は 2 番目の
列を
サブ文字列の検索で継続されます。
含む
文字
最初のサブ文字列が見つからなかった場合は
検索結果がでません。2 番目のサブ文字列が
列
見つからなかった場合、求まれるサブ文字列
は最初のサブ文字列からメイン文字列の終わ 2 文字
りまで及びます。
列:
求む
サブ
文字
列の
すぐ
前に
終わ
るサ
ブ文
字列
3 文字
列:
求む
サブ
文字
列の
すぐ
後に
開始
する
サブ
文字
列
526
String.ToCategory
カテゴリ
String.ToDimension
ディメンシ ディメンションに変換された文字列
ョン
文字
列:変
換する
文字列
String.ToHex
16 進数値
16 進数値に変換された文字列
文字
列:変
換する
文字列
String.ToIP
IP
IP アドレスに変換された文字列
文字
列:変
換する
文字列
McAfee Web Gateway 7.4.0
カテゴリに変換された文字列
製品ガイド
文字
列:変
換する
文字列
構成リスト
プロパティのリスト
A
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ToIPRange
IPRange
IP アドレス範囲に変換された文字列
文字
列:変
換する
文字列
String.ToMediaType
MediaType メディア タイプに変換された文字列
文字
列:変
換する
文字列
String.ToNumber
数値
文字
列:変
換する
文字列
String.ToStringList
文字列のリ 文字列リストに変換された文字列
1 文字
スト
列:
文字列リストは変換する文字列の要素のリス
変換
トです。例: 変換する文字列はテキストで、文
字列リストはこのテキスト内にある単語のリ
する
スト。
文字
列
区切り文字列は変換する文字列内で要素を区
切るサブ文字列です。例: 通常のテキストで
2 文字
は、区切り文字列は空白スペースです。サブ
列:
文字列は空白スペースなどの単一文字、また
は複数の文字にすることが可能です。空白ス
区切
ペースを指定するにはスペース キーを押しま
り文
す。
字列
トリム文字は変換する文字列の始めまたは最
3 文字
後の要素に表示されますが、文字列リストに
は表示されません。トリム文字は、たとえば、 列:
コンマ、ピリオド、または単一引用符である
求む
可能性があります。また、タブ位置や改行な
サブ
ど「不可視」文字の可能性もあります。
文字
トリム文字を指定するには、ユーザー インタ
列の
ーフェースで提供されている入力フィールド
すぐ
に、互いに離さないでそれらを入力します。
後に
次の組み合わせを使用して非表示の文字を入
開始
力します。
する
サブ
\t – タブ位置
文字
\r – 復帰改行
列
\n – 改行
数値に変換された文字列
\b – バックスペース
\\ – バックスラッシュ
区切り文字列として文字を指定した場合、文
字列リストの結果からも削除されるため、ト
リム文字として指定する必要はありません。
String.ToWildcard
McAfee Web Gateway 7.4.0
ワイルドカ ワイルドカード式に変換された文字列
ード式
製品ガイド
文字
列:変
換する
文字列
527
A
構成リスト
プロパティのリスト
表 A-22 プロパティのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.URLDecode
文字列
エンコード形式で指定された URL の標準形
式
文字
列:エ
ンコー
ド形式
の URL
String.URLEncode
文字列
URL のエンコード形式
文字
列:エ
ンコー
ドする
URL
System.HostName
文字列
アプライアンスのホスト名
System.UUID
文字列
アプライアンスの UUID(汎用固有識別子)
表 A-23 プロパティのリスト – T
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Timer.FirstReceivedFirstSentClient
数値 トランザクション内でアプライアンスでクライアントから
最初のバイトを受信してから、このクライアントに最初のバ
イトを送信するまで消費された処理時間
このプロパティの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.FirstSentFirstReceivedServer
数値 トランザクション内でアプライアンスから Web サーバー
に最初のバイトを送信してから、このサーバーから最初のバ
イトを受信するまで消費された処理時間
このプロパティの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.HandleConnectToServer
数値 トランザクション内で Web サーバーに接続するために消
費した処理時間
Timer.LastReceivedLastSentClient
数値 トランザクション内でアプライアンスでクライアントから
最後のバイトを受信してから、このクライアントに最後のバ
イトを送信するまで消費された処理時間
このプロパティの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.LastSentLastReceived
FromServer
数値 トランザクション内でアプライアンスから Web サーバー
に最後のバイトを送信してから、このサーバーから最後のバ
イトを受信するまで消費された処理時間
このプロパティの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
528
McAfee Web Gateway 7.4.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-23 プロパティのリスト – T (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Timer.ResolveHostNameViaDNS
数値 トランザクション内で DNS サーバーでホスト名を参照す
るために消費した処理時間
外部サーバーの参照のみが検討されます。キャッシュ参照
は無視されます。
Timer.TimeConsumedByRuleEngine
数値 すべての関連処理サイクルを通して要求を処理するために
ルール エンジンによって消費される時間
すべての関連処理サイクルをとおした要求の処理は、1 つの
トランザクションと見なされます。
Timer.TimeForTransaction
数値 すべての関連処理サイクルをとおしてアプライアンスで受
信された要求を処理するためにルール エンジンによって消
費される時間
このプロパティは HTTP または HTTPS 接続のみでサポー
トされていますが、FTP 接続ではサポートされません。
Tunnel.Enabled
ブー true の場合、HTTP または HTTPS トンネルが有効です
ル
表 A-24 プロパティのリスト - U
名前
タイ
プ
説明
パラメ
ーター
URL
文字
列
Web オブジェクトの URL
URL.Categories
カテ
ゴリ
のリ
スト
URL が属する URL カテゴリのリスト
URL.CategoriesForURL
カテ
ゴリ
のリ
スト
指定 URL が属する URL カテゴリのリスト
URL.DestinationIP
IP
DNS 参照で見つかった URL の IP アドレス
URL.FileExtension
文字
列
要求されたファイルのファイル名の拡張子
URL.FileName
文字
列
URL をとおしてアクセスできるファイルの名前
URL.Geolocation
文字
列
URL が属するホストが位置している国の ISO3166 コード
文字
列:文
字列形
式の
URL
値がこのプロパティに割り当てられる場合、以下の URL フィ
ルターー モジュールの設定のオプションが有効である必要が
あります。
オンラインの GTI Web レピュテーションと分類サービスを
使用する。
McAfee Web Gateway 7.4.0
製品ガイド
529
A
構成リスト
プロパティのリスト
表 A-24 プロパティのリスト - U (続き)
530
名前
タイ
プ
説明
パラメ
ーター
URL.GetParameter
文字
列
文字列形式での URL のパラメーター
文字
列:パ
ラメー
ター名
URL.HasParameter
ブー
ル
true の場合、指定パラメーターは URL のパラメーターに属し 文字
列:パ
ます。
ラメー
ター名
URL.Host
文字
列
URL が属するホスト
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-24 プロパティのリスト - U (続き)
名前
タイ
プ
説明
パラメ
ーター
URL.Host.BelongsToDomains
ブー
ル
true の場合、特定 URL を提出することによってアクセスが要 文字列
求されたホストが、リストにあるドメインの 1 つの属していま のリス
ト:ド
す。
メイン
いずれかのドメインに属するホスト名の名前が
名のリ
List:LastMatches プロパティの値に設定されます。
スト
URL.Host.BelongsToDomains プロパティを使用する
と、URL に含まれているドメイン名またはドメイン名のドット
より左側の部分 (*.domain.com) と比較することができま
す。ドメイン名 (*domain.com) に含まれる部分は一致と見
なされません。
例:
ドメイン リストは、プロパティ パラメーターとして指定され
ている文字列リストです。以下のエントリーがそれに含まれま
す(URL のドメイン名の前にあるドットは省略されています)。
twitter.com
mcafee.com
dell.com
k12.ga.us
xxx
次に、以下の条件:
URL.Host.BelongsToDomains("Domain List")
equals true
は以下の URL に一致します。
http://twitter.com
http://www.twitter.com
http://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
any.site.xxx
ただし、以下とは一致しません。
http://malicioustwitter.com
http://www.mymcafee.com
http://www.treasury.ga.us
このプロパティを使用すると、同じことを達成するのに、複雑
なソリューションの作成に努力を費やすことを避けられます。
例:
• ワイルドカード式のリストに、以下のような 2 つのエントリ
ーを使用。
twitter.com と *twitter.com
• ワイルドカード式のリストに、以下のような単一で複雑なエ
ントリーを使用。
McAfee Web Gateway 7.4.0
製品ガイド
531
A
構成リスト
プロパティのリスト
表 A-24 プロパティのリスト - U (続き)
名前
タイ
プ
説明
パラメ
ーター
regex((.*\.|.?)twitter\.com)
これらのエントリーが他のドメイン リストのリストに含まれ
る場合、以下の条件が twitter.com ドメインに一致します。
URL.Host matches in list "Other Domain List"
URL.HostIsIP
ブー
ル
true の場合、ホストへのアクセスのために送信される URL は
IP アドレスです。
URL.IsHighRisk
ブー
ル
true の場合、URL のレピュテーション スコアは高リスク範囲
内にあります。
URL.IsMediumRisk
ブー
ル
true の場合、URL のレピュテーション スコアは中リスク範囲
内にあります。
URL.IsMinimalRisk
ブー
ル
true の場合、URL のレピュテーション スコアは低リスク範囲
内にあります。
URL.IsUnverifiedRisk
ブー
ル
true の場合、URL のレピュテーション スコアは未確認のリス
ク範囲内にあります。
URL.Parameters
文字
列の
リス
ト
URL パラメーターのリスト
URL.ParametersString
文字
列
URL のパラメーターを含む文字列
URL.Path
文字
列
URL のパス名
URL.Port
数値
URL のポート番号
URL.Protocol
文字
列
URL のプロトコル
URL.Raw
文字
列
クライアントまたはネットワークの他のインスタンスからアプ
ライアンスが受信した URL (元の形式)
URL にパラメーターがある場合、文字列は ? の文字から始ま
ります。
ルール構成にこのプロパティを使用すると、単純な URL プロ
パティで行われる、URL コードを人が読める形式に変換する時
間を短縮するため、処理がスピード アップします。
532
URL.Reputation
数値
URL のレピュテーション スコア
URL.ReputationForURL
数値
指定 URL のレピュテーション スコア
URL.ReputationString
文字
列
URL のレピュテーション スコアを表す文字列
User-Defined.cacheMessage
文字
列
Web キャッシュの使用率の情報を提供するメッセージ テキス
ト
User-Defined.eventMessage
文字
列
イベントに関する情報を提供するメッセージ テキスト
User-Defined.loadMessage
文字
列
CPU 過負荷に関する情報を提供するメッセージ テキスト
McAfee Web Gateway 7.4.0
文字
列:文
字列形
式の
URL
製品ガイド
構成リスト
ワイルドカード式
A
表 A-24 プロパティのリスト - U (続き)
名前
タイ
プ
説明
パラメ
ーター
User-Defined.logLine
文字
列
ログ ファイルに書き込まれるエントリー
User-Defined.
monitorLogMessage
文字
列
ログ ファイルに書き込まれるエントリー
User-Defined.
notificationMessage
文字
列
通知メッセージのテキスト
User-Defined.
requestLoadMessage
文字
列
要求過負荷に関する情報を提供するメッセージ テキスト
User-Defined.
requestsPerSecond
数値
1 秒ごとにアプライアンスで処理される要求の数
表 A-25 プロパティのリスト - W
名前
タイプ 説明
パラメーター
Wildcard.ToString 文字列 文字列に変換されたワイルカード式 ワイルドカード式:変換するワイルドカード式
ワイルドカード式
構成アクティビティがアプライアンスで完了したら、ブロック リストやホワイトリストに URL を一致させるためな
ど、複数の目的に対してワイルドカード式を使用できます。
使用できるワイルドカード式には、2 つのタイプがあります。
•
glob 表現 — これらの使用はデフォルトで行われます。
表現タイプに関する詳細は、次の Linux マン ページなどに記載されています。
glob(7)
•
正規表現(Regex) — これらを使用する場合は、regex という語を最初に入力した後、半角丸括弧内に正規表
現を含める必要があります。例は次のとおりです。
regex(a*b)
McAfee Web Gateway アプライアンスで使用される正規表現は、Perl の正規表現構文に従います。この構文に
関する情報は、次の Linux マン ページなどに記載されています。
perlre(1)
ワイルドカード式のテスト
ワイルドカード式をリストに追加する際には、テストを行ってから実際に追加することができます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、[ワイルドカード式]を展開し、リストを選択します。
McAfee Web Gateway 7.4.0
製品ガイド
533
A
構成リスト
ワイルドカード式
3
設定ペインで、[追加]アイコンをクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
4
入力フィールドにワイルドカード式を入力し、[テスト]をクリックします。
[ワイルドカード式のテスト]ウィンドウが開き、式が有効であるかどうかに関する情報が表示されます。
重要な特殊 glob 文字のリスト
以下の表は、glob タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提供
します。
表 A-26 重要な特殊 glob 文字のリスト
文字 説明
?
任意の単一の文字と一致します(角括弧の間にない場合)。
例: ?est は、以下と一致します。
best
rest
test
およびその他
*
空の文字列を含む任意の文字列と一致します(角括弧の間にない場合)。
例: b* は、以下と一致します。
b
best
binary
およびその他
[...] 角括弧に含まれるいずれかの単一の文字と一致します。
? および * は角括弧内の通常文字です。
例: [a5?] は、以下と一致します。
a
5
?
最初の文字は! 以外である必要があります(感嘆符)。
!
感嘆符の後の文字を除く任意の 1 文字と一致します。
例: [!ab] は、以下と一致します。
c
S
%
以下とは一致しません。
a
b
534
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
ワイルドカード式
A
表 A-26 重要な特殊 glob 文字のリスト (続き)
文字 説明
-
文字の範囲を示すために使用されます。
例: [a-f A-F 0-5] は、以下と一致します。
d
F
3
およびその他
/
? および * とは一致しません。また、[...] に含むこと、および範囲の一部にすることができません。
これは、たとえば、以下のことを意味します
http://linux.die.net/*
は以下のパス名と一致しません。
http://linux.die.net/man/7/glob
しかし、パス名は次と一致します。
http://linux.die.net/*/*/*
\
前に ?、*、または [ が付いている場合、これらは通常文字になります。
例: [mn\*\[] は、以下と一致します。
m
n
*
[
.
.(ドット)で始まるファイル名は明示的に一致する必要があります。
例: 以下のコマンド
rm *
はファイル .profile を削除しません。
しかし、次のコマンドの場合は削除します。
rm .*
重要な特殊正規表現文字のリスト
以下の表は、正規表現タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提
供します。
以下の例には、regex の用語と括弧が含まれます。アプライアンスでこれらの式に関する作業を行う際には、両方
を使用する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
535
A
構成リスト
ワイルドカード式
表 A-27 重要な特殊正規表現文字のリスト
文字
説明
.
任意の 1 文字と一致します。
例: regex(.est) は、以下と一致します。
best
rest
テスト
およびその他
*
前の文字 0 回以上と一致します
例: regex(a*b) は、以下と一致します。
b
ab
aaaaab
およびその他
+
前の文字 1 回以上と一致します。
例: regex(c+d) は、以下と一致します。
cd
ccccd
およびその他
?
前の文字 0 回または 1 回と一致します。
例: regex(m?n) は、以下と一致します。
n
mn
536
^
行の先頭と一致します
$
行の末尾と一致します。
McAfee Web Gateway 7.4.0
製品ガイド
構成リスト
ワイルドカード式
A
表 A-27 重要な特殊正規表現文字のリスト (続き)
文字
説明
{...} 指定回数の 1 文字と一致するために使用します。
オプション:
• a{n} — n 回の 1 文字と一致します。
例: regex(a{3}) は、以下と一致します。
aaa
• a{n,} — n 回以上の 1 文字と一致します。
例: regex(p{4,}) は、以下と一致します。
pppp
ppppp
およびその他
• a{n,m} — 限界値を含めて n ~ m 回と一致します。
例: regex(q{1,3}) は、以下と一致します。
q
qq
qqq
|
二者択一的に一致する表現を分割します。
例: regex(abc|klm) は以下と一致します。
abc
klm
(...)
他の表現と組み合わせて、別の表現を区切ります。
例: regex(bi(n|rd)) は以下と一致します。
bin
bird
[...]
角括弧に含まれるいずれかの単一の文字と一致します。
例: regex([bc3]) は、以下と一致します。
b
c
3
-
文字の範囲を括弧内の表現で示すために使用されます。
例:regex([c-f C-F 3-5]) は、以下と一致します。
d
F
4
およびその他
McAfee Web Gateway 7.4.0
製品ガイド
537
A
構成リスト
ワイルドカード式
表 A-27 重要な特殊正規表現文字のリスト (続き)
文字
説明
^
かっこ内にある表現を、アクセント サーカムフレックスの後に続く文字を除き、任意の 1 文字と一致しま
す。
例: regex([^a-d]) は、以下と一致します。
e
7
&
およびその他。以下を除きます。
a
b
c
d
\
特殊文字の前にある場合、それを通常の文字に変換します。
例: regex(mn\+) は、以下と一致します。
mn+
通常の文字の前にある場合、文字の特定のクラスと一致します。
これらのクラスの詳細については、perlre man ページまたはその他のドキュメントを参照してください。
次はよく使われる文字クラスの例です。
regex(\d) は、次のような数字と一致します。
3
4
7
およびその他
regex(\w) は次のようなすべてのアルファベット文字と一致します。
a
F
s
およびその他
regex(\D) は数字ではなく次のようなすべての文字と一致します。
c
T
%
およびその他
538
McAfee Web Gateway 7.4.0
製品ガイド
B
REST インターフェース
アプライアンスの標準インターフェースにログオンすることなく、アプライアンスを管理することを可能にするイン
ターフェースが提供されています。この代わりのインターフェースは、REST()インターフェースとして知られて
います。
REST インターフェースを使用して、さまざまな種類のアクティビティを特定のアプライアンス、またはそれに接続
されている他のアプライアンスに実行できます。
•
アクション — アプライアンスをオフ、再起動、キャッシュを消去、構成バックアップを作成、およびさまざまな
他のアクティビティを実行します。
•
ファイル処理 — ダウンロード、変更、削除、およびその他のアクティビティを実行するために、システムにアク
セス、ログ、およびファイルのトラブルシューティングします
•
ポリシー構成 — エンジンおよびルール アクションの設定を構成したり、有効化、追加、削除、エクスポート、
インポートなどのアクティビティを実行することにより、ルール セットおよびルールを管理したりします。
•
更新 — 手動エンジン構成および自動 yum 更新とエンジン更新のトリガーを実行します。
適切なスクリプトは、これらのアクティビティを実行する通常の方法です。
目次
REST インターフェースの使用の準備
REST インターフェースの操作
REST インターフェースを操作するためのサンプル スクリプト
REST インターフェースの使用の準備
ユーザーが REST インターフェースを操作できるようにするには、アプライアンスの標準ユーザー インターフェー
スで REST インターフェースを有効にし、アクセスを許可する必要があります。
タスク
•
540 ページの「インターフェースの使用の有効化」
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェー
スの使用を有効化できます。
•
540 ページの「インターフェースにアクセスする権限を与える」
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限
を追加する必要があります。
McAfee Web Gateway 7.4.0
製品ガイド
539
B
REST インターフェース
REST インターフェースの操作
インターフェースの使用の有効化
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェースの使用を有
効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、REST インターフェースを使用して管理するアプライアンスを選択して、[ユーザー
インタフェース]をクリックします。
3
[UI アクセス]で、必要に応じて、[HTTP 経由の REST インターフェースの有効化]または[HTTPS 経由の REST
インターフェースの有効化]を選択します。
4
[変更の保存]をクリックします。
インターフェースにアクセスする権限を与える
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限を追加する必
要があります。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[ロール領域]で管理者ロールを選択して、[編集]をクリックします。
[ロールの編集]ウィンドウが開きます。
3
[REST インタフェースがアクセス可能]を選択します。
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
これで、管理者ロールを適切なユーザーに割り当てることができます。
既存のロールにアクセス権限を追加する代わりに、この権限を持つ新しいロールを作成して、それを名前を付けるこ
とも可能です。例: REST Admin。
REST インターフェースの操作
REST インターフェースを操作する際には、1 つまたは複数のアプライアンスでアクティビティを実行するために、
HTTP または HTTPS の要求を送信することを目的として REST インターフェースを使用します。
直ちに処理される個々の要求を送信したり、bash スクリプトなどのスクリプト内で要求を使用したりすることがで
きます。後者は、一般的な使用法です。
要求は、この要求を処理して応答を送信するためのサーバーを提供するアプライアンスのクライアントを使用して、
REST インターフェースに送信されます。このサーバーでは特定の作業領域が割り当てられるため、一部のタイプの
変更を適用するには、変更を確定するための要求を送信して、この変更が有効になるようにする必要があります。
1 つのアプライアンスで REST インターフェースにログオンする際には、認証が行われ、セッション ID が提供され
ます。すると、アプライアンスでアクションを実行したり、ファイルやリストを操作したりするために、HTTP また
は HTTPS の要求を送信できます。さらに、集中管理構成でノードとして接続されているその他のアプライアンス(最
初にログオンしたアプライアンス以外)でも、同じことを実行できます。
REST インターフェースは、ATOM 形式とも呼ばれる特定の形式で提供されます。
540
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
インターフェース サーバーと通信するためのクライアントとして、curl(Client for URLs)などのデータ転送ツー
ルを使用することができます。
要求を送信するためのサンプル スクリプト
curl を使用して REST インターフェースに要求を送信する bash スクリプトの例は、次のとおりです。要求の目的
は、構成バックアップを作成することです。
このスクリプトは、基本的に以下を実行します。
•
アプライアンスで REST インターフェースへのログオンと認証を行う
•
バックアップ ファイルを作成するための要求を送信する
•
再度ログオフする
また、このスクリプトは、REST インターフェースにログオンするための要求内で指定された URL に対する変数を
使用します。この変数は、先頭で設定されます。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
データ転送ツールとしての curl の使用
アプライアンスで REST インターフェースに要求を送信するために、データ転送ツールとして curl を使用すること
ができます。
curl を使用して送信される要求は、curl コマンド、1 つまたは複数のオプション、および 1 つの URL という 3 つ
の部分で通常は構成されます。
たとえば、次のバックアップ要求が送信されたとします。
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
ここで、curl コマンドは、テキスト ファイル内に収集された cookie を送信するための -b オプション、および別の
ファイルに要求の出力を保存する -o オプションとともに指定されています。-X オプションは、要求メソッドに対す
るものです。
URL は、IP アドレス、ポート番号、およびアプライアンスで REST インターフェースにアクセスするために必要な
その他の情報を値として持つ変数として指定されます。この後には、実行する必要のあるアクティビティの名前が続
きます。
これらと、curl の他のオプションを、適切な URL とともに使用することにより、必要に応じてアクティビティを実
行するために、アプライアンスで REST インターフェースに要求を送信できます。
curl データ転送ツールは、Linux およびその他の UNIX オペレーティング システムで利用可能です。詳細は、curl
マン ページなどで説明されています。
McAfee Web Gateway 7.4.0
製品ガイド
541
B
REST インターフェース
REST インターフェースの操作
要求メソッド
要求メソッドは、-X オプションによって curl で指定されます。アプライアンスで REST インターフェースを操作す
る際には、GET、POST、PUT、および DELETE という方法を使用することができます。例は次のとおりです。
curl -X POST <URL>
要求メソッドが指定されていない場合は、デフォルトのメソッドとして GET が使用されます。
ヘッダー
要求とともにヘッダーが送信される場合は、-H オプションによって指定されます。例は次のとおりです。
curl -H <ヘッダー名>:<ヘッダー値> -X POST <URL>
-H オプション文字を各ヘッダーの前で繰り返すことにより、1 つの要求内で複数のヘッダーを送信できます。
curl -H <ヘッダー名 1>:<ヘッダー値 1> -H <ヘッダー名 2>:<ヘッダー 2> <...>-X POST <URL>
要求には、application/atom+xml を値として持つ Accept ヘッダーが通常は含まれています。curl では、
REST インターフェースで受け入れられる Accept: */* がデフォルトとして送信されるため、多くの場合はこのヘ
ッダーを省略してもかまいません。
ただし、要求の本文内にあるデータを送信する場合は、application/atom+xml を値として持つ Content-Type
ヘッダーを含める必要があります。その後、Content-Length ヘッダーを含めて正しく設定する必要もあります。
後者については、デフォルトによって curl で行われるため、このツールを使用する場合には明示的に行う必要はあ
りません。
要求時に取得する応答のヘッダーを出力に含める場合は、-i オプションを挿入する必要があります。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST
"$REST/login"
-v オプションは、詳細出力を作成します。つまり、要求ヘッダーも含まれるようになります。
URL
要求内の URL は、プロトコル(REST インターフェースとの通信において HTTP または HTTPS)、IP アドレスまた
はホスト名と、要求が送信される先のアプライアンスのポート番号、および REST インターフェースへのアプライア
ンスの内部パスを指定します。
この後には、実行する必要のあるアクティビティの名前と、存在する場合はさらなるパラメーターが続きます。
REST インターフェースはアプライアンスのコンフィギュレーター サブシステム内にあるため、このサブシステムの
内部名である Konfigurator が URL 内に現れます。
たとえば、ログイン要求内の URL は、次のようになります。
curl -X POST "HTTP://localhost:4711/Konfigurator/REST/login?userName=myusername
&pass=mypassword
この要求では、ログオン認証情報に対するクエリ パラメーターも URL 内にあります。クエリ パラメーターは、示す
ように、?(疑問符)によって導入され、&(アンパサンド)で区切られます。また、URL は、;(セミコロン)によ
って導入されるマトリックス パラメーターを持つこともできます。
URL エンコードが正しくなるように、URL 内のスペースは %20 記号で埋める必要があります。たとえば、Bob
Smith は Bob%20Smith にします。
コードの書き込みと読み取りを容易にするために、URL 内では変数を使用できます。たとえば、$REST 変数を適宜
設定した場合、上記の要求は次のようになります。
542
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
curl -X POST "$REST/login?userName=myusername&pass=mypassword
要求本文内のデータの送信
要求の本文内にあるデータを送信するには、そのデータを含んでいるファイルの名前の前で -d オプションを使用し
ます。
curl -b cookies.txt -X POST -d "file.txt" "$REST/list?name=newlist&type=string"
バイナリ データのみを送信する場合に使用するオプションは、--data-binary です。
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
ファイル名を指定するためのオプション名の後には、@ 記号を使用できます。
インターフェースへの認証
REST インターフェースを使用して、アプライアンスのアクティビティを実行する前に、認証する必要があります。
認証するには、REST インターフェースに送信するログオン リクエストでユーザー名とパスワードを提出します。
それらを提出するには、以下の 2 つの方法があります。
•
クエリ パラメーターの使用
•
認証ヘッダーの使用
認証に成功した後、応答には後に続くそれぞれのリクエストに含む必要のある、セッション ID が含まれます。
認証のためにクエリ パラメーターを使用する
ログオン リクエストで URL に追加するクエリ パラメーターで認証情報を提出できます。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
認証ヘッダーの使用
また、認証するために基本アクセス認証方法を使用することも可能で、それは認証情報を認証ヘッダーに提出するこ
とを必要とします。
curl -i -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login
認証ヘッダーで、認証: 基本 の後の文字列が、ユーザー名とパスワードの Base64 エンコード形式です。
セッション ID
セッション ID は、ログオン リクエストへの応答で送信されます。セッション ID は、たとえば、以下のように見え
ます。
D0EFF1F50909466159728F28465CF763
それは、次のいずれかに含まれます。応答本文:
<entryxmlns="http://www.w3.org/2005/
Atom"><contenttype="text">D0EFF1F50909466159728F28465CF763</content></entry>
Set-Cookie ヘッダー:
Set-Cookie:JSESSIONID=D0EFF1F50909466159728F28465CF763
McAfee Web Gateway 7.4.0
製品ガイド
543
B
REST インターフェース
REST インターフェースの操作
ログオン リクエストの後に続くセッションのリクエストでは、セッション ID を JSESSIONID として含める必要が
あります。
より簡単にコードを書いたり読んだりするために、変数を ID の値に設定し、それを ID を含めるために使用するこ
とが可能です。
export SESSIONID=D0EFF1F50909466159728F28465CF763
ID の前にセミコロンを付けたして、それをマトリックス パラメーターとして URL に付与することができます。
curl -i "$REST/appliances;jsessionid=$SESSIONID"
あるいは、ID を Cookie ヘッダー内で ID を送信できます。
curl -i -H "Cookie:JSESSIONID=$SESSIONID" "$REST/appliances"
curl のオプション -c は、テキストファイルですべての Cookie を収集することを可能にし、それはその後に後続の
リクエストとともに送信されます。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST
"$REST/login"
Cookie ファイルをリクエストとともに送信するには、オプション -b が使用されます。
curl -i -b cookies.txt "$REST/appliances"
リソースの要求
システム ファイル、ログ ファイル、リスト、およびその他の項目に関して REST インターフェースに送信された要
求は、リソースの要求と見なされます。
リソースの要求に対する応答は、以下のいずれかに設定できます。
•
エントリ — エントリは、個々のリソースに関する情報(リソースにアクセスするために使用できる ID、名前、
URL など)を xml 形式で配信します。
•
フィード - フィードは、リソースの集合に関する情報を xml 形式で配信します。
フィードの例には、集中管理構成でノードとして利用可能なアプライアンスのリスト、アプライアンスに存在す
るすべてのリストのリスト、または特定のタイプのすべてのリストのリストが含まれます。
•
バイナリ データ — バイナリ データは、ダウンロードを要求したファイル内に配信されます。
要求されたデータが利用可能でない場合は、応答を空にすることもできます。
xml データのオーバーヘッドの削減
応答で受信する xml データのオーバーヘッドは、適切な Accept ヘッダーをリソースの要求に含めることによって
削減できます。この目的のため、ヘッダー値は application/mwg+xml にする必要があります。
通常の Atom 形式のエントリの代わりに、xml データのみをその形式のコンテンツ部分から受信します。
Atom 形式のフィードの代わりに、ID のリストのみを要求したリソースに対して受信します。
同様に、リソースを操作する際(リソースを変更する場合など)にも xml データのオーバーヘッドを削減できます。
このためには、Content-Type ヘッダーを application/mwg+xml に設定する必要があります。
フィードのページング
フィードを要求する際に、ページングを使用することができます。つまり、複数のページに分割されるフィードを要
求することが可能です。
544
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
ページング情報は、URL に追加されるクエリ パラメーターによって要求内で指定されます。使用できるパラメータ
ーには、以下の 2 つがあります。
•
PageSize — 1 ページの最大要素数
•
Page — ページ番号
ページングを使用するフィードの要求は、次のようになります。
curl -i -b cookies.txt "$REST/list?pageSize=10&page=4"
たとえば、フィードが 35 リストのリストである場合、上記の要求内の pageSize パラメーターはフィードを 4 ペ
ージに分割し、そのうちの 3 ページにはそれぞれ 10 リスト、最後の 1 つには 5 リストのみが含まれます。また、
最後のページが配信される対象です。
フィード内での移動
フィード内での移動を可能にするため、受信する xml ファイルには適切なリンクが含まれています。
これらのリンクを使用すると、現在、次、前、最初、および最後のページにそれぞれ移動できます。
基本アクティビティの実行
REST インターフェースを操作する際には、ログオン、ログオフ、変更の確定、構成バックアップの作成など、複数
の基本アクティビティを作業環境内で実行できます。
POST 要求メソッドは、これらのアクティビティすべてを実行するために使用されます。特定のアクティビティは、
要求の URL に追加されるパラメーターによって指定されます。
たとえば、アプライアンスで REST インターフェースからログオフするための要求は、次のとおりです。
curl -i -b cookies.txt -X POST "$REST/logout"
基本アクティビティに対するパラメーターは、以下のとおりです。
•
login — ログオンします
•
discard — 変更を破棄します
•
logout — ログオフします
•
backup — 構成をバックアップします
•
heartbeat — セッションをキープアライブ(維
持)します
•
restore — 構成を復元します
•
commit — 変更を確定します
これらのアクティビティの実行以外にも、REST インターフェースのバージョンに関する情報、および現在作業して
いるアプライアンスの標準ユーザー インターフェースのバージョンに関する情報も要求することができます。
ログオン
アプライアンスで REST インターフェースにログオンするには、login パラメーターが要求内で使用されます。この
要求内では、認証用の情報も入力します。例は次のとおりです。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
認証が正常に実行されると、ログオン要求に対する応答によってセッション ID が提供されます。
ログオフ
アプライアンスで REST インターフェースからログオフするには、logout パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/logout"
McAfee Web Gateway 7.4.0
製品ガイド
545
B
REST インターフェース
REST インターフェースの操作
ログオフすると、セッション情報が削除され、必要な確定が行われていないセッション中の変更は破棄されます。
セッションのキープアライブ
要求内で heartbeat パラメーターを使用すると、現在作業しているセッションが維持されます。
curl -i -b cookies.txt -X POST "$REST/heartbeat"
変更の確定
アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を確定するには、
commit パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/commit"
変更の破棄
アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を破棄するには、
discard パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/discard"
構成のバックアップ
現在作業しているアプライアンスに対して構成バックアップを作成するには、backup パラメーターが使用されま
す。
curl -b cookies.txt -X POST "$REST/backup -o filename.backup"
構成をバックアップまたは復元する際には、出力の一部として応答ヘッダーは必要ないため、要求内に -i オプショ
ンを含めなくてもかまいません。
構成の復元
現在作業しているアプライアンスの構成を復元するには、restore パラメーターが使用されます。また、バックアッ
プ ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -b cookies.txt --data-binary @filename.backup -X POST "$REST/restore" -H
"Content-Type:text/plain;charset=UTF-8"
バージョン情報の要求
REST インターフェースのバージョンに関する情報や、現在作業しているアプライアンスの標準ユーザー インターフ
ェースのバージョンに関する情報を要求するには、version パラメーターを使用できます。
このパラメーターを要求内で単独使用すると、両方のインターフェースのバージョンを含むフィードが XML 形式で
取得されます。
curl -i -b cookies.txt -X GET "$REST/version"
また、いずれかのインターフェースに対するバージョン情報のみを取得することもできます。REST インターフェー
スに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-rest"
標準ユーザー インターフェースに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-ui"
546
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
個々のアプライアンスでの作業
1 つのアプライアンスで REST インターフェースにログオンした後、接続されているその他のアプライアンスでアク
ティビティを実行することができます。個々のアプライアンスは、その UUID(ユニバーサル固有識別子)によって
要求内で識別されます。
個々のアプライアンスの UUID を調べるには、集中管理構成でノードとして接続されているすべてのアプライアンス
のフィードを、現在作業しているアプライアンスに要求できます。
フィードには、すべてのノードに対する UUID のリストが含まれます。UUID は次のようになります。
081EEDBC-7978-4611-9B96-CB388EEFC4BC
フィードを取得するために、GET 要求が送信されます(appliances パラメーターが URL に追加された状態で)。
curl -i -b cookies.txt -X GET "$REST/appliances"
これで、個々のアプライアンスを UUID によって識別し、たとえば、action パラメーターと shutdown アクショ
ン名が追加された POST 要求を使用してこのアプライアンスをシャットダウンできます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
適切なスクリプトを実行するなどして、フィードによって UUID が配信された個々のアプライアンスすべてで、この
アクションまたはその他のアクティビティを繰り返すことが可能です。
アクション
REST インターフェースを操作する際のアクションとは、要求内の action パラメーターに先行するアクティビティ
です。リソースの変更を伴わず、アクションは直ちに実行され、確定するための要求は必要ありません。
アクション名は以下のとおりです。
•
restart — アプライアンスを再起動します
•
rotateLogs — ログ ファイルのローテーション
を行います
•
shutdown — アプライアンスをシャットダウ
ンします
•
rotateAndPushLogs — ログ ファイルのロー
テーションとプッシュを行います
•
flushcache — キャッシュをフラッシュします
•
license — ライセンスをインポートします
アプライアンスの再起動
アプライアンスを再起動するには、要求内のアクション名として restart が使用されます。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/action/restart"
アプライアンスのシャットダウン
アプライアンスをシャットダウンするには、アクション名として shutdown が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
キャッシュのフラッシュ
アプライアンスでキャッシュをフラッシュするには、アクション名として flushcache が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/flushcache"
ログ ファイルのローテーション
アプライアンスでログ ファイルのローテーションを行うには、アクション名として rotateLogs が使用されます。
McAfee Web Gateway 7.4.0
製品ガイド
547
B
REST インターフェース
REST インターフェースの操作
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/rotateLogs"
ログ ファイルのローテーションとプッシュ
アプライアンスでログ ファイルのローテーションとプッシュを行うには、アクション名として
rotateAndPushLogs が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/" <UUID>/action/rotateAndPushLogs"
ライセンスのインポート
アプライアンスでライセンスをインポートするには、アクション名として license が使用されます。また、ライセ
ンス ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -i -b cookies.txt -H "Content-Type:text/plain; charset=UTF-8" -X POST "$REST/
appliances/ <UUID>/action/license" --data-binary @license.xml
ファイルとリストの操作
システム ファイル、ログ ファイル、トラブルシューティング用にアップロードされたファイル、およびリストを操
作する際には、action パラメーターの代わりに、system、log、files、および list といったパラメーターが要求
内で使用されます。
システム ファイルおよびリストに対して行われた変更は、適切な要求を送信することによって確定される必要があり
ます。
システム ファイルの操作
アプライアンスでシステム ファイルを操作するために、REST インターフェースを使用することができます。
不適切な方法でシステム ファイルを移動すると、正常に動作しているアプライアンスに影響を与える可能性がありま
す。
特定のアプライアンスでシステム ファイル(/etc/hosts ファイルなど)にアクセスするための要求内では、UUID
を使用してアプライアンスを識別し、system パラメーターを URL に追加します。
システム ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接ア
クセスすることができます。
それ以外の場合は、アプライアンスに存在するシステム ファイルのリストを配信するフィードを要求できます。例は
次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/system"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
システム ファイルに関しては、以下を実行できます。
•
システム ファイルのダウンロード
•
システム ファイルの変更
アプライアンスのログ ファイルやその他のファイルとは異なり、システム ファイルに対して行った変更を確定する
ための要求を別途に送信する必要があります。
FIPS 対応モードでアプライアンスを実行している場合は、システム ファイルを変更できません。
548
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
システム ファイルのダウンロード
システム ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、
このシステム ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /system/etc/hosts" -O
-O オプションは、データをローカル ファイル(名前は、データをダウンロードしたアプライアンスで指定されてい
るものと同じ)内に保存します。
システム ファイルの変更
システム ファイルを変更する際には、Content-Type ヘッダーを設定し、このシステム ファイルのパスと名前を
URL に追加します。また、ファイルは、このシステム ファイルを変更するためのバイナリ形式データを含む要求本
文として提供します。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/
system/etc/hosts" --data-binary @binary.zip
ログ ファイルの操作
アプライアンスでログ ファイルを操作するために、REST インターフェースを使用することができます。
特定のアプライアンスでログ ファイルにアクセスするための要求内では、UUID を使用してアプライアンスを識別
し、log パラメーターを URL に追加します。
ログ ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接アクセ
スすることができます。
それ以外の場合は、アプライアンスのルート ログ ディレクトリに保存されているファイルとディレクトリのリスト
を配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/log"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
応答のフィードとして受信する xml ファイルは、MIME タイプの情報を提供し、個々のログ ファイルであるのか、
またはディレクトリであるのかを、フィード内の各要素に対して示します。
•
"application/x-download" — 個々のログ ファイルの場合
•
"application/atom+xml; type=feed" — ディレクトリの場合
たとえば、ルート ログ ディレクトリに個々のログ ファイル debug_1234.log が含まれていることを示す xml フ
ァイルは、次のようになります。
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/debug_1234.log" rel="self"
type="application/x-download"/>
また、ディレクトリ connection_tracing が含まれていることは、次のように示されます。
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/connection_tracing" rel="self"
type="application/atom+xml; type=feed"/>
個々のログ ファイルに関しては、以下を実行できます。
•
ログ ファイルのダウンロード
•
ログ ファイルの削除
McAfee Web Gateway 7.4.0
製品ガイド
549
B
REST インターフェース
REST インターフェースの操作
ログ ファイルのダウンロード
ログ ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、この
ログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /log/debug/debug_1234.log" -O
-O オプションは、ログ ファイル データをローカル ファイル(名前は、データをダウンロードしたアプライアンス
で指定されているものと同じ)内に保存します。
ログ ファイルの削除
ログ ファイルを削除する際には、このログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/log/debug/debug_1234.log"
トラブルシューティング用にアップロードされたファイルの操作
アプライアンスでトラブルシューティングを目的としてアップロードされたファイルを操作するために、REST イン
ターフェースを使用することができます。
アプライアンスの標準ユーザー インターフェースでは、[トラブルシューティング]トップレベル メニューからアク
セスできる[ファイル]の下に、トラブルシューティングを目的としてファイルをアップロードできます。
特定のアプライアンスでアップロードされたファイルの 1 つにアクセスするための要求内では、UUID を使用してア
プライアンスを識別し、files パラメーターを URL に追加します。
アップロードされたファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイ
ルに直接アクセスすることができます。
それ以外の場合は、これらのファイルのリストを配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/files"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
アップロードされたファイルに関しては、以下を実行できます。
•
アップロードされたファイルのダウンロード
•
アップロードされたファイルへのファイルの追加
•
アップロードされたファイルの変更
•
アップロードされたファイルの削除
アップロードされたファイルのダウンロード
アップロードされたファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダー
を指定し、このファイルの名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID>/files/troubleshooting.zip" -O
-O オプションは、ダウンロードされたデータをローカル ファイル(名前は、データをダウンロードしたアプライア
ンスで指定されているものと同じ)内に保存します。
アップロードされたファイルへのファイルの追加
アップロードされたファイルに別のファイルを追加する際には、Content-Type ヘッダーを設定し、追加するファイ
ルの名前を URL に追加します。また、バイナリ形式のデータを含むこのファイルは、要求本文として提供します。
550
McAfee Web Gateway 7.4.0
製品ガイド
B
REST インターフェース
REST インターフェースの操作
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
moretroubleshooting.zip" --data-binary @moretroubleshooting.zip
コンテンツ タイプが application/x-www-form-urlencoded でないことを確認してください。これは、curl
ツールによってヘッダーがこの値に設定されるためです。
アップロードされたファイルの変更
アップロードされたファイルを変更する際には、Content-Type ヘッダーを設定し、このファイルの名前を URL に
追加します。また、ファイルは、このファイルを変更するためのバイナリ形式データを含む要求本文として提供しま
す。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
troubleshooting.zip" --data-binary @binary.zip
アップロードされたファイルの削除
アップロードされたファイルを削除する際には、このファイルの名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/files/troubleshooting.zip"
リストの操作
アプライアンスでリストとリスト エントリを操作するために、REST インターフェースを使用することができます。
リストにアクセスするための要求内では、list パラメーターを URL に追加します。
アプライアンスで利用可能なすべてのリストのリストを配信するフィードに対する要求は、次のようになります。
curl -i -b cookies.txt -X GET "$REST/appliances/ list"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することができます。これ
以外に、ファイルの名前とタイプに対するクエリ パラメーターを追加することもできます。
次の要求は、利用可能な文字列リストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/ list?type=string"
次の要求は、Default という名前を持つすべてのリストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/ list?name=Default"
要求に応答するフィードとして受信する xml ファイルは、各リストに対してリスト ID を提供します。この ID は、
アクセスするリストを識別するために使用できます。リスト ID は次のようになります。
com.scur.type.regex.11347
リスト ID は、特定のリストのエントリのフィードに対する要求内で、entry パラメーターとともに使用することも
できます。次の要求は、リスト エントリ フィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances//list/<list ID>/entry"
要求に応答するフィードとして受信する xml ファイルは、各エントリに対して位置を識別するための番号を提供し
ます。この位置は、アクセスするエントリを識別するために使用できます。
リストに関しては、以下を実行できます。
•
コンテンツを含むリストの追加
•
リストの取得
•
コンテンツ内に名前とタイプを含むリストの追加
•
リストの変更
McAfee Web Gateway 7.4.0
製品ガイド
551
B
REST インターフェース
REST インターフェースの操作
•
空のリストの追加
•
リストの削除
•
リストのコピー
リスト エントリに関しては、以下を実行できます。
•
リスト エントリの取得
•
リスト エントリの移動
•
リスト エントリの削除
•
リスト エントリの挿入
•
リスト エントリの変更
コンテンツを含むリストの追加
コンテンツを含むリストを追加する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式
のファイルを要求本文として提供します。また、URL のクエリ パラメーターを使用して、リストの名前をタイプを
指定します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@listwithcontent.xml "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
</content>
</list>
</content>
</entry>
552
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
コンテンツ内に名前とタイプを含むリストの追加
コンテンツ内に名前とタイプが含まれているリストを追加する際には、Content-Type ヘッダーを指定し、-d オプ
ションを使用して xml 形式のファイルを要求本文として提供します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@nameandtypeinside.xml" "$REST/list"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list name=“Lifestyle” typeId=“com.scur.type.category”>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
</content>
</list>
</content>
</entry>
空のリストの追加
空のリストを追加する際には、URL のクエリ パラメーターを使用して、リストの名前をタイプを指定します。
curl -i -b cookies.txt -X POST "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の空のリストが要求本文として含まれます。
リストの取得
コンテンツを含むリストを取得する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X GET "$REST/list/ <リスト ID>"
この要求への応答には、xml 形式の該当リストが要求本文として含まれます。これは、新しいリストが追加された場
合と同じ構造を持ちます。
McAfee Web Gateway 7.4.0
製品ガイド
553
B
REST インターフェース
REST インターフェースの操作
リストの削除
リストを削除する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/list/ <リスト ID>"
リストの変更
リストを変更する際には、変更されたコンテンツでそのリストを置換します。Content-Type ヘッダーを指定し、-d
オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。また、リスト ID も URL に追
加します。
変更されたコンテンツの構造は、コンテンツ内に名前とタイプを含めずにリストのコンテンツが追加された場合と同
じです。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedlist.xml
"$REST/list/<list ID>"
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リストのコピー
リストをコピーする際には、コピーするリストの ID を URL に追加します。また、copy パラメーターと、コピー
されるリストが持つべき名前に対するクエリ パラメーターも追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/copy/?newname"
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リスト エントリの取得
リスト エントリを取得する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X GET "$REST/list/<リスト ID>/entry/3"
この要求への応答には、xml 形式のエントリが要求本文として含まれます。
リスト エントリの削除
リスト エントリを削除する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X DELETE "$REST/list/<リスト ID>/entry/4"
リスト エントリの変更
リスト エントリを変更する際には、変更されたコンテンツでそのリスト エントリを置換します。Content-Type ヘ
ッダーを指定し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。
また、リスト ID、entry パラメーター、およびそのエントリの位置も URL に追加します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedentry.xml
"$REST/list/<リスト ID>/entry/2"
この要求への応答には、xml 形式の変更済みエントリが要求本文として含まれます。
要求とともに送信する変更済みコンテンツは、次のようになります。
554
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
B
<entry xmlns=“http://www.w3org/2011/Atom”>
<content type=“application/xml”>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
</content>
</entry>
リスト エントリの移動
リスト エントリを移動する際には、リスト ID、entry パラメーター、およびそのエントリの元の位置を URL に追
加します。また、move、newpos クエリ パラメーター、およびそのエントリの新しい位置も追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/entry/4/move?newpos=3"
この要求への応答には、xml 形式のエントリ(新しい位置)が要求本文として含まれます。
リスト エントリの挿入
リスト エントリを挿入する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式のエント
リを要求本文として提供します。
また、リスト ID、entry パラメーター、そのエントリを挿入する位置、および insert パラメーターも URL に追
加します。
curl -i -b cookies.txt -H "Content-Type:application/xml -X POST -d @newentry.xml
"$REST/list/<リスト ID>/entry/2/insert"
この要求への応答には、xml 形式の挿入済みエントリが要求本文として含まれます。
REST インターフェースを操作するためのサンプル スクリプト
REST インターフェースを操作する際には、インターフェースに要求を送信するために適切なスクリプトを使用する
ことができます。
以下のスクリプトは、データ転送ツールとして curl を使用する bash スクリプトです。これらは、以下のアクティ
ビティを完了します。
•
アクションの実行
•
ログ ファイルのダウンロード
•
構成バックアップの作成
•
構成の復元
アクションの実行
次の bash スクリプトは、複数のアプライアンスのそれぞれで特定のアクションを実行します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
McAfee Web Gateway 7.4.0
製品ガイド
555
B
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
# Set action variable
action="flushcache"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"``
## Perform action on all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
do
echo Sending $action to $uuid
curl -b cookies.txt -X POST "$REST/appliances/$uuid/action/$action"
done
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
ログ ファイルのダウンロード
次の bash スクリプトは、複数のアプライアンスのそれぞれから特定のログ ファイルをダウンロードします。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
# Set log file variable
auditlog="/audit/audit.log"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"`
## Retrieve log file from all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
do
echo Downloading $auditlog from $uuid
curl -b cookies.txt -H "Accept:application/x-download" -X POST "$REST/appliances/
$uuid/log/$auditlog" -o audit$uuid.log
done
556
McAfee Web Gateway 7.4.0
製品ガイド
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
B
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成バックアップの作成
次の bash スクリプトは、1 つのアプライアンスで構成バックアップを作成します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o file.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成の復元
次の bash スクリプトは、1 つのアプライアンスでバックアップ ファイルから構成を復元します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Restore configuration from backup file
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
McAfee Web Gateway 7.4.0
製品ガイド
557
B
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
558
McAfee Web Gateway 7.4.0
製品ガイド
C
サードパーティ ソフトウェア
以下のリストは、McAfee Web Gateway アプライアンス ソフトウェアを開発するために使用されるサードパーテ
ィ ソフトウェアに対する情報を提供します。
情報はサードパーティ ソフトウェア名のアルファベット順で示しています。
アプライアンス ソフトウェアのユーザー インターフェースを開発するために使用されるサードパーティ ソフトウ
ェアは、メイン リストの下の別のリストに表示されます。
目次
主要リスト
ユーザー インターフェース:
主要リスト
以下のリストは、ユーザー インターフェースを開発するために使用されたサードパーティ ソフトウェアを除く、
McAfee Web Gateway アプライアンス ソフトウェアを開発するために使用されたサードパーティ ソフトウェアに
関する情報を示します。
情報はサードパーティ名のアルファベット順で示しています。
Arabica C++ XML Library
Berkeley Software Distribution(BSD)ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 2001-2010 Jez UK Ltd. All rights reserved.
ASN.1 Compiler
Berkeley Software Distribution(BSD)ライセンスのもとで利用可能になっています。
Copyright © 2003-2010 Lev Walkin.
Boost C++ Libraries
Boost Software License、バージョン 1.0 のもとで利用可能になっています。
Copyright © 1998-2005 Bernan Dawes, David Abrahams.
Copyright © 2004-2007 Rene Rivera.
bzip2
Berkeley Software Distribution(BSD)ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1996-2007 Julian Seward.
McAfee Web Gateway 7.4.0
製品ガイド
559
C
サードパーティ ソフトウェア
主要リスト
libcurl
MIT/X ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1996-2011 Daniel Stenberg.All rights reserved.
libiconv
GNU Lesser General Public License(LGPL)、バージョン 2.1 のもとで利用可能になっています。
Copyright © 1998, 2010 Free Software Foundation, Inc.
libxml2
MIT ライセンスのもとで利用可能になっています。
LZMA SDK
LZMA SDK はパブリック ドメインに配置されます。
OpenLDAP
OpenLDAP パブリック ライセンス、バージョン 2.8 のもとで利用可能になっています。
Copyright © 2012 OpenLDAP Foundation.
OpenSSL
Apache ライセンス(APL)に適応したライセンスのもとで利用可能になっています。
Copyright © 1999-2009 The OpenSSL Project.All rights reserved.
RapidXml Library
Boost Software ライセンス、バージョン 1.0 または MIT ライセンスのもとで利用可能になっています。
Copyright © 2006, 2009 Marcin Kalicinski.
SOCI C++ Database Access Library
Boost Software License、バージョン 1.0 のもとで利用可能になっています。
Copyright © 2004-2006 Maciej Sobczak, Stephen Hutton.
UDNS:DNS Resolver Library
GNU Lesser General パブリック ライセンス(LGPL)のもとで利用可能になっています。
UnRAR
Berkeley Software Distribution(BSD)ライセンスに適応したライセンスのもとで利用可能になっています。
Unzip
Berkeley Software Distribution(BSD)ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1990-2009 Info-ZIP.All rights reserved.
Info-ZIP は、Mark Adler、John Bush、その他などの個人のセットです。
560
McAfee Web Gateway 7.4.0
製品ガイド
C
サードパーティ ソフトウェア
ユーザー インターフェース:
zlib
Berkeley Software Distribution(BSD)ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1995-2012 Jean-loup Gailly and Mark Adler.
ユーザー インターフェース:
以下のリストは、McAfee Web Gateway アプライアンス ソフトウェアのユーザー インターフェースを開発するた
めに使用されるサードパーティ ソフトウェアに対する情報を提供します。
情報はサードパーティ名のアルファベット順で示しています。
Apache Abdera
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2006-2010 The Apache Software Foundation.
Apache Axiom
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2004-2012 The Apache Software Foundation.All rights reserved.
Apache Commons
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2012 The Apache Software Foundation.All rights reserved.
Apache Commons Codec
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2002-2011 The Apache Software Foundation.All rights reserved.
Apache Commons Logging
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2001-2008 The Apache Software Foundation..
Apache log4j
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2011 The Apache Software Foundation.
Apache Tomcat 4.1.31)
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 1999-2012 The Apache Software Foundation.
ASM
OW2 consortium のライセンスのもとで利用可能になっています。
McAfee Web Gateway 7.4.0
製品ガイド
561
C
サードパーティ ソフトウェア
ユーザー インターフェース:
Copyright © 1999-2009 OW2 Consortium.
Fugue Icons
Creative Commons Attribution License、バージョン 3.0 のもとで利用可能になっています。
Glazedlists
GNU Lesser General Public License(LGPL)、バージョン 2.1 または Mozilla Public License (MPL)、バージョ
ン 1.1 のもとで利用可能になっています。
Copyright © 2011 Oracle and/or its affiliates.All rights reserved.
Jakarta Commons HttpClient
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2001-2011 Apache Software Foundation.
Jakarta ORO
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 1999-2004 The Apache Software Foundation.
Jaxen XPath Library
Codehaus のプロジェクト ライセンスのもとで利用可能になっています。
Copyright © 2001-2010 Codehaus.
JCommon
GNU Lesser General Public License(LGPL)、バージョン 2.1 以降のもとで利用可能になっています。
Copyright © 2007-2011 Object Refinery Limited.
Jersey
Common Development and Distribution License (CDDL)、バージョン 1.1 または GNU General Public
License (GPL)、バージョン 2 、クラスパス例外付きのもとで利用可能になっています。
Copyright © 2008-2012 Oracle and/or its affiliates.All rights reserved.
JGoodies UIForms Lite
Berkeley Software Distribution(BSD)ライセンスのもとで利用可能になっています。
Copyright © 2012 JGoodies.
JFree Chart
GNU Lesser General Public License(LGPL)、バージョン 2.1 のもとで利用可能になっています。
Copyright © 2005-2011 Object Refinery Limited.
Jide Common
GNU General Public License (GPL)、バージョン 2、クラスパス例外付きまたは無料商用来世年すのもとで利用可
能になっています。
562
McAfee Web Gateway 7.4.0
製品ガイド
C
サードパーティ ソフトウェア
ユーザー インターフェース:
GPL は Java プラットフォームが利用可能にされているライセンスです。無料商用ライセンスはその他の Jide 製品
が利用可能にしたライセンスと同じですが、無料である点のみが異なります。
Copyright © 2011 Oracle and/or its affiliates.All rights reserved.
JSR-000154 Java Servlet 2.5
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2011 Oracle Corporation and/or its affiliates.
JSR-000311 Java API for RESTful Web Services
Common Development and Distribution License (CDDL)、バージョン 1.1 または GNU General Public
License (GPL)、バージョン 2 、クラスパス例外付きのもとで利用可能になっています。
Copyright © 2011 Oracle Corporation and/or its affiliates.
新しい Java プラグイン
Java ソフトウェアの配布を伴うライセンス合意書の元で利用可能になります。
Copyright © 2008-2012 Oracle and/or its affiliates.All rights reserved.
opencsv
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Rhino:JavaScript for Java
Mozilla Public License (MPL)、バージョン 1.1 または GNU General Public License (GPL)、バージョン 2 のも
とで大部分が利用可能になっています。
Silk Icons
Creative Commons Attribution License、バージョン 2.5 または 3.0 のもとで利用可能になっています。
StAX2 and Woodstox
Apache License (APL) 、バージョン 2.0 または GNU Lesser General Public License (LGPL)、バージョン 2.1
のもとで利用可能になっています。
The Legion of the Bouncy Castle
MIX X11 ライセンスの適応である The Legion of the Bouncy Castle で提供されるライセンスのもとで利用可能
になっています。
The Legion of the Bouncy Castle
Trove
GNU Lesser General Public License(LGPL)、バージョン 2.1 のもとで利用可能になっています。
2 つのクラス(HashFunctions および PrimeFinder)が Trove に含まれており、European Organization for
Nuclear Research (CERN) のライセンスの下で利用可能になっています。
XStream
Berkeley Software Distribution(BSD)ライセンスのもとで利用可能になっています。
McAfee Web Gateway 7.4.0
製品ガイド
563
C
サードパーティ ソフトウェア
ユーザー インターフェース:
Copyright © 2003-2006 Joe Walnes.
Copyright © 2006-2009. XStream Committers.
All rights reserved.
564
McAfee Web Gateway 7.4.0
製品ガイド
索引
A
McAfee Pledge 162
Advanced Threat Defense
概要 278
R
設定 278
REST インターフェース
curl 541
全般 274
アクション 547
ルール セット 281
アクセス権限 540
ゲートウェイ ATD の設定 279
アップロードされたファイル 550
インターフェースの操作 540
D
個々のアプライアンスでの作業 547
Data Loss Prevention
サンプル スクリプト 555
ICAP サーバー 291
システム ファイル 548
ディクショナリ設定 288
使用の準備 539
プロセス 282
使用の有効化 540
分類設定 288
認証 543
ルール 282
リスト 551
ルール セット 289
リソースの要求 544
ログ 282
ログ ファイル 549
DNS サーバー
基本アクティビティ 545
逆引き参照 119
条件付きの前方参照 118
設定 119
ドメインに応じた使用 118
Dynamic Content Classifier
URL カテゴリ 226
S
ServicePortal、製品マニュアルの検索 14
SNMP モニタリング 425
SSL スキャン
SSL スキャナー ルール セット 265
使用を構成する 227
クライアント証明書リスト 260
E
証明書キー 270
ハードウェア セキュリティ モジュール 270
ePolicy Orchestrator 423
秘密鍵 270
ホワイトリスト 256
G
モジュール 256
GTI URL フィードバックの設定 324
リスト 256
ルール 256
H
SSL スキャナが無効な XMPP 109
Helix プロキシ 135
U
J
JavaScript Object Notation データ (JSON) 74
URL フィルタリング
Dynamic Content Classifier 226
IFP プロキシ 229
M
URL フィルター モジュール 221
McAfee ServicePortal へのアクセス 14
McAfee Web Gateway 7.4.0
URL フィルタリング ルール セット 221
製品ガイド
565
索引
URL フィルタリング (続き)
アプライアンス
URL プロパティを使用してホワイトリストを追加 233
高レベルの管理アクティビティ 18
固有の URL フィルター データベース 228
コーディネーター 17
ブロッキング リスト 221
コンフィギュレーター 17
ベスト プラクティス、URL プロパティを使用してホワイトリスト
に追加 233
コンポーネント 17
ホワイトリスト 221
システム アーキテクチャ 17
モジュール 221
システム構成 320
ルール 221
システム情報行 21
ルール セット 221
主要機能 16
サードパーティ ソフトウェア 559
設定デーモン 17
W
ダッシュボード 383
トラブルシューティング 429
Web Hybrid Security
SaaS 型 Web 保護サービス 379
認証 137
設定 381
配備概要 18
ソリューション 379
フィルタリング サイクル 27
同期 379
ユーザー インターフェース 21
ルール 28
Web キャッシュ
ログ 392
Web キャッシュ ルール セット 302
ログオフ 21
有効にする 302
アプリケーション フィルタリング
ルール 302
各機能 245
ルール セット 302
システム リスト 245
Web フィルタリング
Advanced Threat Defense 274
Data Loss Prevention 282
プロセス 245
ブロッキング リスト 245
SSL スキャン 256
ルール 245
URL フィルタリング 221
アプリケーション フィルタリング 245
ルール セット 249
アラート 383
ウイルスおよびマルウェアのフィルタリング 207
グローバル ホワイトリスト登録 255
い
ストリーミング メディア フィルタリング 251
一元管理
メディア タイプ フィルタリング 241
グループにノードを割り当てる 342
更新グループにノードを割り当てる 343
あ
構成 339
アクション
スケジュール設定されたジョブ 339
アクションのリスト 445
スケジュール設定されたジョブを追加 347
設定 79
ネットワーク グループにノードを割り当てる 343
設定タブ 81
ノード 339
ルールに追加 40
ノード グループ 339
ルール要素 28
ノードの追加 341
ランタイム グループにノードを割り当てる 342
アプライアンス
REST インターフェース 540
Web フィルタリング 15
イベントのリスト 452
アプライアンス タブ 322
ルールに追加 41
アラート 383
ルール要素 28
一元管理 339
インスタント メッセージ
エラー処理 410
オペレーティング システム 17
管理者 182
ICQ の設定 110
Windows Live Messenger の設定 110
XMPP の設定 110
Yahoo の設定 110
コア 17
構成のバックアップ 443
構成の復元 443
566
イベント
McAfee Web Gateway 7.4.0
インスタント メッセージング
プロセス 105
製品ガイド
索引
インライン リスト 46
き
キャッシュ ボリュームのサイズ変更 335
う
共通カタログ
ウイルスおよびマルウェアのフィルタリング
使用の有効化 70
Gateway Antimalware ルール セット 207
ユーザー アカウント 72
システム設定 218
リスト タイプ 70
ホワイトリスト 207
マルウェア対策キュー 217
マルウェア対策の透かしを削除する 218
マルウェア対策モジュール 207
く
クォータの管理
許可オーバーライド 200
モジュール 207
警告 197
ルール 207
時間のクォータ 189
ルール セット 207
システム設定 205
ウイルスとマルウェアのフィルタリング
セッションのブロック 203
ゲートウェイ マルウェア対策ルール セット 220
メディア ストリームのスキャン 216
モジュールの設定 211
ボリュームのクォータ 193
クラウド サービス
MCSSO 認証ルール セット 369
埋め込みオブジェクト サイクル 27
暗号化アルゴリズム 371
クラウド アプリケーションのログオン設定 365
え
クラウド アプリケーションへのログオン 359
エラー処理
クラウド ストレージ暗号化サポートの設定 375
インシデント ID のリスト 461
クラウド ストレージ暗号化の設定 375
インシデント情報の使用 410
クラウド ストレージ暗号化ルール セット 376
エラー ID の使用 410
手動でのストレージ データの復号化 376
エラー ID のリスト 447
シングル サインオン 359
演算子 28
シングル サイン オンのシステム設定 368
演算対象 28
シングル サイン オンの設定 365
シングル サイン オン ルール セット 369
お
推奨 Web ブラウザー 359
応答サイクル 27
ストレージ サービス 371
オペレーティング システム 17
ストレージ データの暗号化 371
オンライン ヘルプ 21
ストレージ データの復号 371
オンライン ルール セット ライブラリ 33
データの暗号化と復号化の概要 374
データの暗号化と復号化の設定 374
か
認証 MCSSO の設定 366
外部リスト
ログオン設定の概要 364
システム設定 62
ログオンの設定 364
推奨される使用方法 53
ソース 53
ログオン問題の解決 370
グローバル ホワイトリスト登録
プロパティ 53
グローバル ホワイトリストのルール セット 255
モジュール 53
ホワイトリスト 255
モジュールの設定 56
ルール 255
隔絶されたネットワークの更新 337
ルール セット 255
管理者
アカウント 182
外部アカウント 184
高レベルのアクティビティ 18
テスト アカウント 183
ロール 183
こ
コア サブシステム 17
構成のバックアップ 443
構成の復元 443
購読リスト
更新 65
コンテンツの取得 63
McAfee Web Gateway 7.4.0
製品ガイド
567
索引
購読リスト (続き)
条件
コンテンツの設定 65
演算対象 28
作成 64
パラメーター 28
コーディネーター サブシステム 17
複雑 30
このガイドで使用している表記規則とアイコン 13
プロパティ 28
このガイドについて 13
ルールに追加 39
コンフィギュレーター サブシステム 17
ルール要素 28
証明書キー 270
さ
進行状況の表示
サードパーティ ソフトウェア 559
進行状況ページ 295
サイクル
データ トリックル 295
埋め込みオブジェクト 27
応答 27
す
リクエスト 27
ストリーミング メディア フィルタリング
最上位メニュー
ベスト プラクティス 253
アカウント 21
モジュールの設定 254
設定 21
ルール 251
ダッシュボード 21
トラブルシューティング 21
ポリシー 21
せ
設定
アクション 79
し
アクセス 82
システム アーキテクチャ 17
作成 83
システム構成
システム 79
GTI URL フィードバックの設定 324
制限付きアクセス 44
アプライアンス タブ 322
設定タブ 81
キャッシュ ボリュームのサイズ変更 335
タイプ 79
システム ファイル 334
モジュール 79
初期設定 319
リスト タブにアクセスする 82
初期セットアップ後 320
静的ルート設定 333
ルールのアクセス 82
設定デーモン 17
ネットワーク設定 330
データベースの更新 336
日時設定 326
ネットワーク保護設定 332
ファイル エディター タブ 334
た
帯域幅スロットル 300
ダッシュボード
アクセス 384
ファイル サーバー設定 327
アラート 383
フィードバック収集 324
グラフおよび表 383
ポート転送設定 333
トップ スコア 387
ユーザー インターフェース設定 328
ライセンス 323
ライセンスの設定 323
システム情報行 21
発展データ 387
タブ
アプライアンス 322
アラート 384
集中管理
構成の更新 347
設定 348
ノード グループの設定 344
ノード通信プロトコル 117
閉鎖ネットワークのアプライアンスの更新 337
ベスト プラクティス - ノード グループの設定 344
管理者アカウント 182
グラフおよび表 387
設定 81
ファイル エディター 334
リスト 47
ルール セット 34
条件
演算子 28
568
McAfee Web Gateway 7.4.0
製品ガイド
索引
て
認証
定期的なルール エンジン トリガー リスト 110
ワンタイム パスワード 162
データ トリックル 295
ワンタイム パスワードの設定 139
データベースの更新
自動 336
ね
手動 336
ネクスト ホップ プロキシ
テクニカル サポート、製品情報の検索 14
設定 306
テンプレート エディター 314
モード 304
ルール セット 307
と
の
透過型モード
ブリッジ 100
ノード通信プロトコル 117
ルーター 94
ドキュメント
は
製品固有、検索 14
表記規則とアイコン 13
ハードウェア セキュリティ モジュール
HSM エージェントの有効化 272
トラブルシューティング
アクセス 270
コア ファイル 441
インストール 270
構成のバックアップ 443
管理者の責任 270
構成の復元 443
設定 272
接続追跡ファイル 441
ドライバーのインストール 272
ネットワーク ツール 442
秘密鍵の保存 270
パケット追跡ファイル 442
バックアップの暗号化 443
フィードバック ファイル 440
方法 429
ルール追跡 430
モジュール操作の記録 270
パスワードの変更 21
バックアップの暗号化 443
ひ
秘密鍵 270
に
認証
ふ
IM 認証ルール セット 160
Kerberos 管理システムの設定 148
LDAP の設定 139
McAfee Pledge 162
Novell eDirectory の設定 139
NTML エージェントの設定 139
NTML の設定 139
RADIUS の設定 139
Windows ドメイン メンバーシップの設定 150
インスタント メッセージング 158
共通設定 139
異なる方法の実装 148
システム設定 148
詳細設定 139
フィードバック収集 324
フィルタリング
埋め込みオブジェクト サイクル 27
応答サイクル 27
プロセス フロー 27
プロパティ 25
ユーザー 25
リクエスト サイクル 27
プロキシ
DNS の設定 110
FTP の設定 110
Helix 135
HTTP 設定 110
ICAP サーバーの設定 110
設定 139
認証サーバーの設定 139
認証モジュール 137
方法 137
モジュール 137
ユーザー データベースの設定 139
ルール 137
ルール セット 137
McAfee Web Gateway 7.4.0
ICQ の設定 110
IFP の設定 110
SSL スキャナが無効な XMPP 109
Windows Live Messenger の設定 110
XMPP の設定 110
Yahoo の設定 110
インスタント メッセージング 105
製品ガイド
569
索引
プロキシ (続き)
モニタリング
自動設定 133
パフォーマンス測定 419
条件付きの DNS 前方参照 118
ログ 392
詳細設定 110
設定 110
ゆ
タイムアウト 110
定期的なルール エンジン トリガー リスト 110
透過型ブリッジ モード 100
ユーザー メッセージ
text 309
タイプ 309
透過型プロキシ 87
テンプレート 309
透過型ルーター モード 94
テンプレート エディター 314
ネットワークのセットアップ 110
認証設定 312
ノード通信プロトコル 117
ブロック設定 312
明示的プロキシ モード 86
編集テキスト 311
リバース HTTPS 120
変数 309
ブロック理由 ID
リダイレクト設定 313
認証設定 312
ブロック理由 ID のリスト 446
ユーザー インターフェース
検索 21
ブロック設定ぶろっくせってい 312
最上位メニュー 21
リダイレクト設定 313
サンプル スクリーンショット 21
プロパティ
システム情報行 21
フィルター処理 25
システム設定 328
プロパティのリスト 468
主要要素 21
ルールに追加 39
設定機能のサポート 23
ルール要素 28
設定タブ 81
設定ペイン 21
へ
タブ バー 21
閉鎖されたネットワークの更新 337
ツールバー 21
ベスト プラクティス
ナビゲーション ペイン 21
URL プロパティを使用してホワイトリストを追加 233
パスワードの変更 21
集中管理でのノード グループの設定 344
ヘルプ 21
ストリーム ディテクターの設定 253
変更を保存 21
配備タイプに合わせた認証の設定 151
ユーザー設定 21
ログの作成 403
ログオフ 21
ログ ファイル フィールドの追加 402
ヘルプ 21
ら
変更を保存 21
ライセンス 323
ライセンスの設定 323
め
明示的プロキシ モード 86
メディア ストリームのスキャン 216
メディア タイプ フィルタリング
ブロック リスト 241
メディア タイプ フィルタリングのルール セット 241
ルール 241
ルール セット 241
り
リクエスト サイクル 27
リスト
インライン リスト 46
外部リスト 53
カスタム リスト 46
共通カタログ 70
更新可能なシステム リスト 46
も
購読リスト 63
モニタリング
ePolicy Orchestrator 423
作成 49
570
システム リスト 46
SNMP エージェント 425
制限付きアクセス 44
エラー処理 410
タイプ 46
ダッシュボード 383
リスト タブ 47
McAfee Web Gateway 7.4.0
製品ガイド
索引
リスト (続き)
ルール セット
リスト タブにアクセスする 49
ルールのアクセス 49
ルール セット タブ 34
ルール追跡
概要 430
検索 432
る
追跡の削除 440
ルール
追跡の復元 439
アクション 28
リスト 432
イベント 28
ルール追跡ペイン 432
演算子 28
演算対象 28
作成 36
ろ
条件 28
ログ
セットせっと 31
モジュール 392
プロセス フロー 27
ルール 392
ログ ファイル 392
プロパティ 28
ユーザー インターフェースでの形式 29
ログオフ 21
要素 28
ルール セット タブ 34
ルール セット
わ
ワイルドカード式
インポート 43
glob 表現 533
オンライン ライブラリ 33
重要な特殊 glob 文字のリスト 534
サイクル 31
重要な特殊正規表現文字のリスト 535
作成 41
正規表現 533
システム 32
テスト 533
条件 31
制限付きアクセス 44
ワンタイム パスワード
McAfee Pledge 162
デフォルト システム 32
概要 162
ネストされた 31
許可オーバーライドに設定 163
ライブラリ 33
ユーザー認証に設定 163
McAfee Web Gateway 7.4.0
製品ガイド
571
0A16
Fly UP